Uso de AMI compartidas con organizaciones y unidades organizativas
AWS Organizations es un servicio de administración de cuentas que le permite unificar varias Cuentas de AWS en una organización que crea y administra de forma centralizada. Puede compartir una AMI con una organización o una unidad organizativa (UO) de su creación, además de compartirla con cuentas específicas.
Una organización es una entidad que se crea para consolidar y administrar las Cuentas de AWS de forma centralizada. Puede organizar las cuentas jerárquicamente en una estructura de árbol con un nodo raíz en la parte superior y unidades organizativas anidadas bajo la organización raíz. Cada cuenta puede añadirse directamente en el nodo raíz o colocarse en una de las UO de la jerarquía. Para obtener más información, consulte Terminología y conceptos de AWS Organizations en la Guía del usuario de AWS Organizations.
Cuando comparte una AMI con una organización o una unidad organizativa, todas las cuentas secundarias obtienen acceso a la AMI. Por ejemplo, en el siguiente diagrama, la AMI se comparte con una unidad organizativa de nivel superior (indicada por la flecha en el número 1). Todas las unidades organizativas y cuentas anidadas debajo de esa unidad organizativa de nivel superior (indicadas por la línea punteada en el número 2) también tienen acceso a la AMI. Las cuentas de la organización y la unidad organizativa fuera de la línea punteada (indicadas por el número 3) no tienen acceso a la AMI porque no dependen de la unidad organizativa con la que se comparte la AMI.
Temas
Consideraciones
Tenga en cuenta lo siguiente al compartir AMI con organizaciones o unidades organizativas específicas.
-
Propiedad: para compartir una AMI, su Cuenta de AWS debe ser la propietaria de esta.
-
Límites del uso compartido: el propietario de la AMI puede compartir una AMI con cualquier organización o unidad organizativa, incluidas organizaciones y unidades organizativas de las que no son miembros.
Para conocer el número máximo de entidades con las que se puede compartir una AMI dentro de una región, consulte Amazon EC2 service quotas.
-
Etiquetas: no puede compartir etiquetas definidas por el usuario (etiquetas que se adjuntan a una AMI). Al compartir una AMI, las etiquetas definidas por el usuario no están disponibles para ninguna Cuenta de AWS de organización o unidad organizativa con la que se comparte la AMI.
-
Formato ARN: al especificar una organización o UO en un comando, asegúrese de utilizar el formato ARN correcto. Si especifica solo el ID se producirá un error, por ejemplo, si solo especifica
o-123example
oou-1234-5example
.Formatos de ARN adecuados:
-
ARN de la organización:
arn:aws:organizations::
account-id
:organization/organization-id
-
ARN de la unidad organizativa:
arn:aws:organizations::
account-id
:ou/organization-id
/ou-id
Donde:
-
es el número de cuenta de administración de 12 dígitos, por ejemplo,account-id
123456789012
. Si no conoce el número de cuenta de administración, puede describir la organización o la unidad organizativa para obtener el ARN, que incluye el número de cuenta de administración. Para obtener más información, consulte Obtención del ARN de una organización o unidad organizativa. -
es el ID de la organización, por ejemplo,organization-id
o-123example
. -
es el ID de la unidad organizativa, por ejemplo,ou-id
ou-1234-5example
.
Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon (ARN) en la Guía del usuario de IAM.
-
-
Cifrado y claves: puede compartir AMI que cuentan con el respaldo de instantáneas sin cifrar y cifradas.
-
Las instantáneas cifradas deben estar cifradas con una clave administrada por el cliente. No pueden compartir las AMI que están respaldadas por instantáneas cifradas con la clave predeterminada administrada por AWS.
-
Si comparte una AMI basada en instantáneas cifradas, debe permitir que las organizaciones o unidades organizativas utilicen las claves administradas por el cliente que se utilizaron para cifrar las instantáneas. Para obtener más información, consulte Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS.
-
-
Región: las AMI son un recurso regional. Cuando comparte una AMI, solo está disponible en la región desde donde la compartió. Para hacer que una AMI esté disponible en una región distinta, copie la AMI en dicha región y, a continuación, compártala. Para obtener más información, consulte Copia de una AMI de Amazon EC2.
-
Uso: cuando comparte una AMI, los usuarios solo pueden iniciar instancias desde la AMI. No pueden eliminarla, compartirla ni modificarla. Sin embargo, después de iniciar una instancia mediante la AMI, pueden crear una AMI a partir de esa instancia.
-
Facturación: no se factura cuando otras Cuentas de AWS utilizan la AMI para iniciar instancias. Las cuentas que inician instancias mediante la AMI serán facturadas por las instancias iniciadas.