Compartir los recursos de Generador de Imágenes de EC2 - Generador de Imágenes de EC2
Trabajo con recursos compartidosRequisitos previos para compartir componentes, imágenes y recetasServicios relacionadosUso compartido entre regionesCómo compartir un componente, imagen o recetaCómo dejar de compartir un componente, imagen o receta compartidaIdentificación de un componente, imagen o receta compartidaPermisos de componentes, imágenes y recetas compartidasFacturación y mediciónLímites de recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir los recursos de Generador de Imágenes de EC2

EC2 Image Builder se integra AWS Resource Access Manager con AWS RAM() para permitirle compartir determinados recursos con Cuenta de AWS cualquiera o AWS Organizations a través de ellos. Los recursos de Generador de Imágenes de EC2 que se pueden compartir son:

  • Componentes

  • Imágenes

  • Recetas

En esta sección se proporciona información que le ayudará a compartir estos recursos de Generador de Imágenes de EC2.

Trabajar con componentes, imágenes y recetas compartidas en Generador de Imágenes de EC2

El uso compartido de componentes, imágenes y recetas permite a los propietarios de los recursos compartir configuraciones de software con otras personas Cuentas de AWS o dentro de una AWS organización. Puede gestionar el uso compartido de recursos de forma centralizada y definir un conjunto de cuentas con las que se puede compartir la configuración.

En este modelo, el Cuenta de AWS propietario del componente, la imagen o la receta (propietarios) lo comparte con otros Cuentas de AWS (consumidores). Los consumidores pueden asociar un componente compartido a sus canalizaciones de imágenes para consumir automáticamente las actualizaciones del componente, la imagen o la receta compartida.

El propietario de un componente, imagen o receta puede compartir estos recursos con:

  • Cuentas de AWS Específico dentro o fuera de su organización en AWS Organizations.

  • Una unidad organizativa (OU) dentro de la organización en AWS Organizations.

  • Toda la organización en AWS Organizations.

  • AWS Organizations o unidades organizativas ajenas a su organización.

Requisitos previos para compartir componentes, imágenes y recetas

Para compartir un componente, imagen o receta de Generador de Imágenes:

  • Debe ser el propietario del componente, imagen o receta en su Cuenta de AWS. No puede compartir recursos que se han compartido con usted.

  • La clave AWS Key Management Service (AWS KMS) asociada a los recursos cifrados debe compartirse de forma explícita con las cuentas, organizaciones o unidades organizativas de destino.

  • Para compartir sus recursos de Image Builder con las unidades AWS Organizations organizativas que utilice AWS RAM, debe habilitar el uso compartido. Para obtener más información, consulte Habilitar el uso compartido con AWS Organizations en la Guía del usuario de AWS RAM .

  • Si distribuye una imagen cifrada AWS KMS entre cuentas de distintas regiones, debe crear una clave de KMS y un alias en cada región de destino. Además, las personas que vayan a lanzar instancias en esas regiones deberán acceder a la clave de KMS especificada en la política de claves.

Los siguientes recursos que Image Builder crea a partir de su creación en proceso no se consideran recursos de Image Builder, sino que son recursos externos que Image Builder distribuye en su cuenta y a las Regiones de AWS cuentas y organizaciones o unidades organizativas (OU) que especifique en la configuración de distribución.

  • Imágenes de máquina de Amazon (AMI)

  • Imágenes de contenedor que residen en Amazon ECR

Para obtener más información sobre los ajustes de distribución para su AMI, consulte Creación y actualización de ajustes de distribución de AMI. Para obtener más información sobre los ajustes de distribución de la imagen de contenedor en Amazon ECR, consulte Creación y actualización de los ajustes de la distribución de las imágenes de los contenedores.

Para obtener más información sobre cómo compartir la AMI con AWS Organizations una OU, consulte Compartir una AMI con organizaciones o unidades organizativas.

AWS Resource Access Manager

El uso compartido de componentes, imágenes y recetas se integra con AWS Resource Access Manager (AWS RAM). AWS RAM es un servicio que le permite compartir sus AWS recursos con cualquier AWS cuenta o a través de AWS Organizations. Con AWS RAM, compartes los recursos de tu propiedad mediante la creación de un recurso compartido. Un uso compartido de recursos especifica los recursos para compartir y los consumidores con quienes compartirlos. Los consumidores pueden ser individuos Cuentas de AWS, unidades organizativas o toda una organización AWS Organizations.

Para obtener más información al respecto AWS RAM, consulte la Guía AWS RAM del usuario.

Uso compartido entre regiones

Los componentes, imágenes y recetas compartidas solo se pueden compartir en una región de AWS específica. Cuando compartes estos recursos, no se replicarán en todas las regiones.

Cómo compartir un componente, imagen o receta

Para compartir un componente, imagen o receta de Generador de Imágenes, debe agregarlo a un recurso compartido. Un recurso compartido es un AWS RAM recurso que te permite compartir tus recursos entre AWS cuentas. Un uso compartido de recursos especifica los recursos que se deben compartir y los consumidores con quienes se comparten. Para añadir el componente, la imagen o la receta a un nuevo recurso compartido, primero debe crear el recurso compartido mediante la AWS RAM consola.

Si forma parte de una organización AWS Organizations y está habilitado el uso compartido dentro de su organización, los consumidores de su organización tendrán acceso automático al componente, imagen o receta compartidos. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y se les concede acceso al recurso compartido después de aceptar la invitación.

Las siguientes opciones están disponibles para compartir sus recursos:.

Opción 1: crear un recurso compartido de RAM

Al crear un recurso compartido de RAM, puede compartir un componente, imagen o receta de su propiedad en un solo paso. Utilice uno de los siguientes métodos para crear el recurso compartido:

Opción 2: aplicar una política de recursos y convertirla en un recurso compartido de RAM

La segunda opción para compartir los recursos consta de dos pasos: ejecutar comandos en ambos. AWS CLI El primer paso utiliza los comandos de Image Builder AWS CLI para aplicar políticas basadas en recursos al recurso compartido. El segundo paso convierte el recurso en un recurso compartido de RAM mediante el promote-resource-share-created-from-policy AWS RAM comando incluido en el AWS CLI para garantizar que el recurso esté visible para todas las personas con las que lo has compartido.

  1. Aplicar la política de recursos

    Para aplicar correctamente la política de recursos, debe asegurarse de que la cuenta con la que comparte tiene permiso para acceder a los recursos subyacentes.

    Elija la pestaña que coincida con su tipo de recurso para el comando correspondiente.

    Image

    Puede aplicar una política de recursos a una imagen para permitir que otros la utilicen como imagen base en sus recetas.

    Ejecute el comando put-image-policy Image Builder en el AWS CLI, para identificar AWS los principales con los que compartir la imagen.

    aws imagebuilder put-image-policy --image-arn arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": ["imagebuilder:GetImage", "imagebuilder:ListImages"], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1" ] } ] }'
    Component

    Puede aplicar una política de recursos a un componente de compilación o prueba para permitir el uso compartido entre cuentas. Este comando permite a otras cuentas usar su componente en sus recetas. Para aplicar correctamente la política de recursos, debe asegurarse de que la cuenta con la que comparte tiene permiso para acceder a los recursos a los que hace referencia el componente compartido, como los archivos alojados en repositorios privados.

    Ejecute el comando put-component-policy Image Builder en AWS CLI, para identificar AWS los principales con los que compartir el componente.

    aws imagebuilder put-component-policy --component-arn arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetComponent", "imagebuilder:ListComponents" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1" ] } ] }'
    Image recipe

    Puede aplicar una política de recursos a una receta de imágenes para permitir el uso compartido entre cuentas. Este comando permite a otras cuentas usar su receta para crear imágenes en sus cuentas. Para aplicar correctamente la política de recursos, debe asegurarse de que la cuenta con la que comparte tiene permiso para acceder a los recursos a los que hace referencia la receta, como la imagen base o los componentes seleccionados.

    Ejecute el comando put-image-recipe-policy Image Builder en el AWS CLI, para identificar AWS los principales con los que compartir la imagen.

    aws imagebuilder put-image-recipe-policy --image-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetImageRecipe", "imagebuilder:ListImageRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03" ] } ] }'
    Container recipe

    Puede aplicar una política de recursos a una receta de contenedor para permitir el uso compartido entre cuentas. Este comando permite a otras cuentas usar su receta para crear imágenes en sus cuentas. Para aplicar correctamente la política de recursos, debe asegurarse de que la cuenta con la que comparte tiene permiso para acceder a los recursos a los que hace referencia la receta, como la imagen base o los componentes seleccionados.

    Ejecute el comando put-container-recipe-policy Image Builder en el AWS CLI, para identificar AWS los principales con los que compartir la imagen.

    aws imagebuilder put-container-recipe-policy --container-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetContainerRecipe", "imagebuilder:ListContainerRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03" ] } ] }'
    nota

    Para establecer las políticas correctas para compartir y dejar de compartir un recurso, el propietario del recurso debe tener permisos imagebuilder:put*.

  2. Cómo convertir en un recurso compartido de RAM

    Para asegurarse de que el recurso esté visible para todos los responsables con los que lo ha compartido, ejecute el promote-resource-share-created-from-policy AWS RAM comando incluido en el. AWS CLI

Cómo dejar de compartir un componente, imagen o receta compartida

Para dejar de compartir un componente, imagen o receta compartida que posea, debe quitarlo del recurso compartido. Puede hacerlo mediante la AWS Resource Access Manager consola o el AWS CLI.

nota

Para dejar de compartir un componente, imagen o receta, el consumidor no puede tener ninguna dependencia en ellos. El consumidor debe eliminar cualquier dependencia de los recursos compartidos antes de que el propietario pueda dejar de compartirlos.

Para dejar de compartir un componente, imagen o receta compartida que posea utilizando la consola de AWS Resource Access Manager

Consulte Actualizar un recurso compartido en la Guía del usuario de AWS RAM .

Para dejar de compartir un componente, imagen o receta compartida que posea utilizando AWS CLI

Use el comando disassociate-resource-share para dejar de compartir el recurso.

Identificación de un componente, imagen o receta compartida

Los propietarios y los consumidores pueden identificar los componentes, imágenes y recetas de imágenes compartidas utilizando los comandos de Generador de Imágenes en la AWS CLI.

Cómo identificar un componente compartido

Ejecute el comando list-components para obtener una lista de los componentes de su propiedad y los componentes que se comparten con usted. El comando get-component muestra el Cuenta de AWS ID del propietario del componente.

Cómo identificar una imagen compartida

Ejecute el comando list-images para obtener una lista de las imágenes de su propiedad y las imágenes que se comparten con usted. El comando get-image muestra el Cuenta de AWS ID del propietario de la imagen.

Cómo identificar una imagen de contenedor compartida

Ejecute el comando list-images para obtener una lista de las imágenes de su propiedad y las imágenes que se comparten con usted. El comando get-image muestra el ID de la Cuenta de AWS del propietario de la imagen.

Cómo identificar una receta de imagen compartida

Ejecute el list-image-recipescomando para obtener una lista de las recetas de imágenes de su propiedad y de las recetas de imágenes que se han compartido con usted. El get-image-recipecomando muestra el Cuenta de AWS ID del propietario de la receta de la imagen.

Cómo identificar una receta de contenedor compartida

Ejecuta el list-container-recipescomando para obtener una lista de las recetas de contenedores de tu propiedad y de las recetas de contenedores que se han compartido contigo. El get-container-recipecomando muestra el Cuenta de AWS ID del propietario de la receta del contenedor.

Permisos de componentes, imágenes y recetas compartidas

Permisos de los propietarios

Los propietarios no pueden eliminar un componente, imagen o receta de imagen compartida hasta que ya no se compartan. Un propietario no puede dejar de compartir estos recursos hasta que ninguno de los consumidores dependa de ellos.

Permisos de los consumidores

Los consumidores pueden leer un componente, imagen o receta de imagen, pero no pueden modificarlos de ninguna manera. No pueden ver ni modificar estos recursos si son propiedad de otros consumidores o del propietario del recurso. Los consumidores pueden usar componentes e imágenes compartidas en recetas de imágenes para crear imágenes personalizadas. Los consumidores pueden usar recetas de imágenes compartidas para crear sus propias imágenes personalizadas.

Facturación y medición

No se cobra por usar Generador de Imágenes de EC2.

Límites de recursos

Los componentes, imágenes y recetas de imágenes compartidas se tienen en cuenta únicamente para los límites de recursos correspondientes del propietario. Los límites de recursos de los consumidores no se ven afectados por los recursos que se comparten con ellos.