Administración del uso compartido de AMI con una organización o unidad organizativa - Amazon Elastic Compute Cloud
Visualización de las organizaciones y las unidades organizativas con las que se comparte una AMIUso compartido de una AMI con una organización o unidad organizativaFinalización del uso compartido de una AMI con una organización o unidad organizativa

Administración del uso compartido de AMI con una organización o unidad organizativa

Puede administrar el uso compartido de AMI con organizaciones y unidades organizativas (OU) para controlar si pueden lanzar instancias de Amazon EC2.

Ver las organizaciones y unidades organizativas con las que se comparte una AMI

Para verificar con qué organizaciones y unidades organizativas compartió la AMI, puede utilizar la consola de Amazon EC2 o la AWS CLI.

Console
Para verificar con qué organizaciones y unidades organizativas compartió la AMI mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista, elija la pestaña Permisos y desplácese hacia abajo hasta Organizaciones/unidades organizativas compartidas.

    Para encontrar las AMI compartidas con usted, consulte Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2.

AWS CLI

Puede verificar con qué organizaciones y unidades organizativas compartió la AMI mediante el comando describe-image-attribute (AWS CLI) y el atributo launchPermission.

Para verificar con qué organizaciones y unidades organizativas compartió la AMI mediante la AWS CLI

El comando describe-image-attribute describe el atributo launchPermission de la AMI especificada y muestra las organizaciones y unidades organizativas con las que la compartió.

aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

A continuación, se muestra un ejemplo de respuesta.

{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}

Uso compartido de una AMI con una organización o unidad organizativa

Puede utilizar la consola de Amazon EC2 o la AWS CLI para compartir una AMI con una organización o una unidad organizativa.

nota

No es necesario compartir las instantáneas de Amazon EBS a las que hace referencia una AMI para compartir dicha AMI. Solo es necesario compartir la AMI; para la inicialización, el sistema proporciona automáticamente a la instancia acceso a las instantáneas de Amazon EBS a las que se hace referencia. Sin embargo, es necesario compartir las claves de KMS que se utilizan para cifrar instantáneas a las que hace referencia la AMI. Para obtener más información, consulte Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS.

Console
Para compartir una AMI con una organización o una unidad organizativa mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista y, a continuación, elija Acciones, Editar permisos de la AMI.

  4. En Disponibilidad de AMI, elija Privada.

  5. Junto a Organizaciones/unidades organizativas compartidas, elija Agregar ARN de organización/unidad organizativa.

  6. En ARN de organización/unidad organizativa, introduzca el ARN de la organización o de la unidad organizativa con el que desea compartir la AMI y, a continuación, elija Compartir AMI. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

    Para compartir esta AMI con varias organizaciones o unidades organizativas, repita este paso hasta que haya agregado todas las organizaciones o unidades organizativas necesarias.

  7. Cuando haya terminado, elija Guardar cambios.

  8. (Opcional) Para ver las organizaciones o unidades organizativas con las que ha compartido la AMI, seleccione la AMI en la lista, elija la pestaña Permisos y desplácese hacia abajo hasta Organizaciones/unidades organizativas compartidas. Para encontrar las AMI compartidas con usted, consulte Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2.

AWS CLI

Utilice el comando modify-image-attribute (AWS CLI) para compartir una AMI.

Para compartir una AMI con una organización mediante la AWS CLI

El comando modify-image-attribute concede permisos de inicialización para la AMI especificada a la organización determinada. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para compartir una AMI con una unidad organizativa mediante la AWS CLI

El comando modify-image-attribute concede permisos de inicialización para la AMI especificada a la unidad organizativa determinada. Tenga en cuenta que debe especificar el ARN completo, no solo el ID.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
PowerShell

Utilice el comando Edit-EC2ImageAttribute (Herramientas para Windows PowerShell) para compartir una AMI tal y como se muestra en los siguientes ejemplos.

Para compartir una AMI con una organización o una unidad organizativa

El siguiente comando concede permisos de inicialización para la AMI especificada a la organización determinada.

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para dejar de compartir una AMI con una organización o unidad organizativa

El siguiente comando elimina permisos de inicialización para la AMI especificada de la organización determinada:

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"

Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS

El siguiente comando elimina todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission

Finalización del uso compartido de una AMI con una organización o unidad organizativa

Puede utilizar la consola de Amazon EC2 o la AWS CLI para dejar de compartir una AMI con una organización o una unidad organizativa.

nota

No puede dejar de compartir una AMI con una cuenta específica si se encuentra en una organización o unidad organizativa con la que se comparte una AMI. Si intenta dejar de compartir la AMI mediante la eliminación de los permisos de inicialización de la cuenta, Amazon EC2 devuelve el mensaje de que la operación se realizó correctamente. Sin embargo, la AMI sigue compartiéndose con la cuenta.

Console
Finalización del uso compartido de una AMI con una organización u OU

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista y, a continuación, elija Actions (Acciones), Edit AMI permissions (Editar permisos de la AMI).

  4. En Organizaciones/unidades organizativas compartidas, seleccione las organizaciones o unidades organizativas con las que desea dejar de compartir la AMI y, a continuación, elija Eliminar la selección.

  5. Cuando haya terminado, elija Guardar cambios.

  6. (Opcional) Para confirmar que dejó de compartir la AMI con las organizaciones o unidades organizativas, seleccione la AMI en la lista, elija la pestaña Permisos y desplácese hacia abajo hasta Organizaciones/unidades organizativas compartidas.

AWS CLI

Utilice los comandos modify-image-attribute o reset-image-attribute (AWS CLI) para dejar de compartir una AMI.

Para dejar de compartir una AMI con una organización o una unidad organizativa mediante la AWS CLI

El comando modify-image-attribute elimina permisos de inicialización para la AMI especificada de la organización determinada. Tenga en cuenta que debe especificar el ARN.

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para dejar de compartir una AMI con todas las organizaciones, unidades organizativas y Cuentas de AWS mediante la AWS CLI

El comando reset-image-attribute elimina todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta.

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission