Compartir una AMI con cuentas de AWS específicas - Amazon Elastic Compute Cloud

Compartir una AMI con cuentas de AWS específicas

Puede compartir una AMI con Cuentas de AWS específicas sin hacerla pública. Lo único que necesita es las ID de Cuenta de AWS.

Un identificador de Cuenta de AWS es un número de 12 dígitos, por ejemplo 012345678901, que identifica de forma única a una Cuenta de AWS. Para obtener más información, consulte Visualización de identificadores de la Cuenta de AWS en la Guía de referencia de AWS Account Management.

Consideraciones

Tenga en cuenta lo siguiente al compartir AMI con Cuentas de AWS específicas.

  • Propiedad: para compartir una AMI, su Cuenta de AWS debe ser la propietaria de esta.

  • Límites del uso compartido: para conocer el número máximo de entidades con las que se puede compartir una AMI dentro de una región, consulte Amazon EC2 service quotas.

  • Etiquetas: no puede compartir etiquetas definidas por el usuario (etiquetas que se adjuntan a una AMI). Al compartir una AMI, las etiquetas definidas por el usuario no están disponibles para ninguna de las personas de las Cuenta de AWS que comparten la AMI.

  • Cifrado y claves: puede compartir AMI que cuentan con el respaldo de instantáneas sin cifrar y cifradas.

    • Las instantáneas cifradas deben estar cifradas con una clave de KMS. No pueden compartir las AMI que están respaldadas por instantáneas cifradas con la clave predeterminada administrada por AWS.

    • Si comparte una AMI respaldada por instantáneas cifradas, debe permitir que las Cuentas de AWS utilicen las claves administradas por el cliente que se utilizaron para cifrar las instantáneas. Para obtener más información, consulte Permitir que las organizaciones y unidades organizativas utilicen una clave de KMS. Para configurar la política de claves que necesita para iniciar instancias de Auto Scaling cuando utiliza una clave administrada por el cliente para el cifrado, consulte Política requerida AWS KMS key para usar con volúmenes cifrados en la Guía del usuario de Amazon EC2 Auto Scaling.

  • Región: las AMI son un recurso regional. Cuando comparte una AMI, solo estará disponible en esa región. Para hacer que una AMI esté disponible en una región distinta, copie la AMI en dicha región y, a continuación, compártala. Para obtener más información, consulte Copia de una AMI de Amazon EC2.

  • Uso: cuando comparte una AMI, los usuarios solo pueden iniciar instancias desde la AMI. No pueden eliminarla, compartirla ni modificarla. Sin embargo, después de iniciar una instancia mediante la AMI, pueden crear una AMI a partir de esa instancia.

  • Copiar AMI compartidas: si los usuarios de otra cuenta desean copiar una AMI compartida, debe otorgar permisos de lectura para el almacenamiento que respalda la AMI. Para obtener más información, consulte Copias entre cuentas.

  • Facturación: no se factura cuando otras Cuentas de AWS utilizan la AMI para iniciar instancias. Las cuentas que inician instancias mediante la AMI serán facturadas por las instancias iniciadas.

Para conceder permisos de inicialización explícito mediante la consola
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione AMIs.

  3. Seleccione la AMI en la lista y, a continuación, elija Actions (Acciones), Edit AMI permissions (Editar permisos de la AMI).

  4. Seleccione Privado.

  5. En Cuentas compartidas, elija Agregar ID de cuenta.

  6. En ID de la Cuenta de AWS, ingrese el ID de la Cuenta de AWS con la que desea compartir la AMI y, a continuación, elija Compartir AMI.

    Para compartir esta AMI con varias cuentas, repita los pasos 5 y 6 hasta que haya agregado todos los ID de cuenta necesarios.

    nota

    No es necesario compartir las instantáneas de Amazon EBS a las que hace referencia una AMI para compartir dicha AMI. Solo es necesario compartir la propia AMI; el sistema proporciona automáticamente a la instancia acceso a las instantáneas de Amazon EBS a las que se hace referencia para la inicialización. Sin embargo, es necesario compartir las Claves de KMS que se utilizan para cifrar instantáneas a las que hace referencia la AMI. Para obtener más información, consulte Compartir una instantánea de Amazon EBS en la Guía del usuario de Amazon EBS.

  7. Cuando haya terminado, elija Guardar cambios.

  8. (Opcional) Para ver los ID de la Cuenta de AWS con los que ha compartido la AMI, seleccione la AMI en la lista y elija la pestaña Permisos. Para encontrar las AMI compartidas con usted, consulte Búsqueda de AMI compartidas para utilizarlas en las instancias de Amazon EC2.

Utilice el comando modify-image-attribute (AWS CLI) para compartir una AMI tal y como se muestra en los siguientes ejemplos.

Para conceder permisos de inicialización explícitos

El siguiente comando concede permisos de inicialización para la AMI especificada a la Cuenta de AWS especificada. En el siguiente ejemplo, reemplace el ID de AMI de ejemplo con un ID de AMI válido y reemplace account-id con el ID de Cuenta de AWS de 12 dígitos.

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{UserId=account-id}]"
nota

No es necesario compartir las instantáneas de Amazon EBS a las que hace referencia una AMI para compartir dicha AMI. Solo es necesario compartir la propia AMI; el sistema proporciona automáticamente a la instancia acceso a las instantáneas de Amazon EBS a las que se hace referencia para la inicialización. Sin embargo, es necesario compartir las Claves de KMS que se utilizan para cifrar instantáneas a las que hace referencia la AMI. Para obtener más información, consulte Compartir una instantánea de Amazon EBS en la Guía del usuario de Amazon EBS.

Para eliminar permisos de inicialización para una cuenta

El siguiente comando elimina permisos de inicialización para la AMI especificada de la Cuenta de AWS especificada. En el siguiente ejemplo, reemplace el ID de AMI de ejemplo con un ID de AMI válido y reemplace account-id con el ID de Cuenta de AWS de 12 dígitos.

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{UserId=account-id}]"
Para eliminar todos los permisos de inicialización

El siguiente comando elimina todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta. En el siguiente ejemplo, reemplace el ID de AMI de ejemplo con un ID de AMI válido.

aws ec2 reset-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission

Utilice el comando Edit-EC2ImageAttribute (Herramientas para Windows PowerShell) para compartir una AMI tal y como se muestra en los siguientes ejemplos.

Para conceder permisos de inicialización explícitos

El siguiente comando concede permisos de inicialización para la AMI especificada a la Cuenta de AWS especificada. En el siguiente ejemplo, reemplace el ID de AMI de ejemplo con un ID de AMI válido y reemplace account-id con el ID de Cuenta de AWS de 12 dígitos.

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -UserId "account-id"
nota

No es necesario compartir las instantáneas de Amazon EBS a las que hace referencia una AMI para compartir dicha AMI. Solo es necesario compartir la propia AMI; el sistema proporciona automáticamente a la instancia acceso a las instantáneas de Amazon EBS a las que se hace referencia para la inicialización. Sin embargo, es necesario compartir las Claves de KMS que se utilizan para cifrar instantáneas a las que hace referencia la AMI. Para obtener más información, consulte Compartir una instantánea de Amazon EBS en la Guía del usuario de Amazon EBS.

Para eliminar permisos de inicialización para una cuenta

El siguiente comando elimina permisos de inicialización para la AMI especificada de la Cuenta de AWS especificada. En el siguiente ejemplo, reemplace el ID de AMI de ejemplo con un ID de AMI válido y reemplace account-id con el ID de Cuenta de AWS de 12 dígitos.

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -UserId "account-id"
Para eliminar todos los permisos de inicialización

El siguiente comando elimina todos los permisos de inicialización públicos y explícitos de la AMI especificada. Tenga en cuenta que el propietario de la AMI siempre tiene permisos de inicialización, por lo que este comando no le afecta. En el siguiente ejemplo, reemplace el ID de AMI de ejemplo con un ID de AMI válido.

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission