Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Gambar Mesin Amazon di Amazon EC2
Amazon Machine Image (AMI) adalah gambar yang menyediakan perangkat lunak yang diperlukan untuk mengatur dan mem-boot instans Amazon EC2. Setiap AMI juga berisi pemetaan perangkat blok yang menentukan perangkat blok untuk dilampirkan ke instance yang Anda luncurkan. Anda harus menentukan AMI saat meluncurkan instans. AMI harus kompatibel dengan jenis instans yang Anda pilih untuk instans Anda. Anda dapat menggunakan AMI yang disediakan oleh AWS, AMI publik, AMI yang dibagikan orang lain dengan Anda, atau AMI yang Anda beli dari AMI AWS Marketplace.
AMI khusus untuk yang berikut:
+ Region
+ Sistem operasi
+ Arsitektur prosesor
+ Tipe volume root
+ Tipe virtualisasi
Anda dapat meluncurkan beberapa instans dari satu AMI jika Anda memerlukan beberapa instans dengan konfigurasi yang sama. Anda dapat menggunakan yang berbeda AMIs untuk meluncurkan instance ketika Anda memerlukan instance dengan konfigurasi yang berbeda, seperti yang ditunjukkan pada diagram berikut.
![\[Luncurkan beberapa instans dari AMI.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/launch-from-ami.png)
Anda dapat membuat AMI dari instans Amazon EC2 dan kemudian menggunakannya untuk meluncurkan instans dengan konfigurasi yang sama. Anda dapat menyalin AMI ke AWS Wilayah lain, dan kemudian menggunakannya untuk meluncurkan instance di Wilayah tersebut. Anda juga dapat membagikan AMI yang Anda buat dengan akun lain sehingga mereka dapat meluncurkan instance dengan konfigurasi yang sama. Anda dapat menjual AMI Anda menggunakan AWS Marketplace.
**Topics**
+ [Karakteristik AMI](ComponentsAMIs.md)
+ [Temukan AMI](finding-an-ami.md)
+ [Dibayar AMIs di AWS Marketplace](paid-amis.md)
+ [Siklus hidup AMI](ami-lifecycle.md)
+ [Mode boot](ami-boot.md)
+ [Enkripsi AMI](AMIEncryption.md)
+ [Berbagi AMIs](sharing-amis.md)
+ [Memantau peristiwa AMI](monitor-ami-events.md)
+ [Memahami penagihan AMI](ami-billing-info.md)
+ [Kuota AMI](ami-quotas.md)
# Jenis dan karakteristik AMI di Amazon EC2
Saat meluncurkan instance, AMI yang Anda pilih harus kompatibel dengan jenis instans yang Anda pilih. Anda dapat memilih AMI untuk digunakan berdasarkan karakteristik berikut:
+ [Wilayah](using-regions-availability-zones.md)
+ Sistem operasi
+ Arsitektur prosesor
+ [Izin peluncuran](#launch-permissions)
+ [Tipe volume root](#storage-for-the-root-device)
+ [Tipe virtualisasi](#virtualization_types)
## Izin peluncuran
Izin peluncuran menentukan siapa yang dapat menggunakan AMI untuk meluncurkan instance. Anda dapat menganggap izin peluncuran [sebagai berbagi AMI](sharing-amis.md) —ketika Anda memberikan izin peluncuran, Anda membagikan AMI dengan pengguna lain. Hanya pemilik AMI yang dapat menentukan ketersediaannya dengan menentukan izin peluncuran. Izin peluncuran termasuk ke dalam kategori berikut.
| Izin peluncuran | Deskripsi |
| --- | --- |
| publik | Pemilik memberikan izin peluncuran ke semua AWS akun. |
| eksplisit | Pemilik memberikan izin peluncuran ke AWS akun, organisasi, atau unit organisasi tertentu ()OUs. |
| implisit | Pemilik memiliki izin peluncuran implisit untuk AMI. |
Amazon dan komunitas Amazon EC2 menyediakan banyak pilihan publik. AMIs Untuk informasi selengkapnya, lihat [Memahami penggunaan AMI bersama di Amazon EC2](sharing-amis.md). Pengembang dapat mengenakan biaya untuk mereka AMIs. Untuk informasi selengkapnya, lihat [AMIs Dibayar AWS Marketplace untuk instans Amazon EC2](paid-amis.md).
## Tipe volume root
Semua AMIs dikategorikan sebagai *didukung oleh Amazon EBS* atau *didukung oleh Amazon S3*.
+ AMI yang didukung Amazon EBS-Backed — Volume root untuk instance yang diluncurkan dari AMI adalah volume Amazon Elastic Block Store (Amazon EBS) yang dibuat dari snapshot Amazon EBS. Didukung untuk Linux dan Windows AMIs.
+ AMI yang didukung Amazon S3 — Volume root untuk instance yang diluncurkan dari AMI adalah volume penyimpanan instans yang dibuat dari template yang disimpan di Amazon S3. Didukung AMIs hanya untuk Linux. Windows AMIs tidak mendukung penyimpanan instance untuk volume root.
Untuk informasi selengkapnya, lihat [Volume root untuk instans Amazon EC2](RootDeviceStorage.md).
**catatan**
Dukungan Amazon S3 AMIs dianggap sebagai akhir masa pakai dan tidak direkomendasikan untuk penggunaan baru. Mereka hanya didukung pada jenis instans lama berikut: C1, C3, D2, I2, M1, M2, M3, R3, dan X1.
Tabel berikut merangkum perbedaan penting saat menggunakan kedua jenis. AMIs
| Karakteristik | AMI yang didukung Amazon EBS | AMI yang didukung Amazon S3 |
| --- | --- | --- |
| Volume root | Volume EBS | Volume penyimpanan instans |
| Waktu boot untuk instans | Biasanya kurang dari 1 menit | Biasanya kurang dari 5 menit |
| Persistensi data | Secara default, volume root dihapus ketika instans berakhir.\$1 Data di volume EBS lainnya tetap ada setelah pengakhiran instans secara default. | Data pada setiap volume penyimpanan instans hanya bertahan selama masa hidup instans. |
| Kondisi terhenti | Dapat berada dalam kondisi terhenti. Bahkan ketika instance dihentikan dan tidak berjalan, volume root tetap ada di Amazon EBS. | Tidak dapat berada dalam keadaan berhenti; instance sedang berjalan atau dihentikan. |
| Pengubahan | Tipe instans, kernel, disk RAM, dan data pengguna dapat diubah saat instans dihentikan. | Atribut instans tetap selama instan berlangsung. |
| Biaya | Anda dikenai biaya untuk penggunaan instans, penggunaan volume EBS, dan penyimpanan AMI sebagai snapshot EBS. | Anda dikenai biaya penggunaan instans dan penyimpanan AMI di Amazon S3. |
| Pembuatan/pemaketan AMI | Menggunakan perintah/panggilan tunggal | Memerlukan instalasi dan penggunaan alat AMI |
\$1 Secara default, volume root EBS memiliki tanda `DeleteOnTermination` diatur ke `true`. Untuk informasi tentang cara mengubah tanda ini sehingga volume tetap ada setelah pengakhiran, lihat [Pertahankan volume root Amazon EBS setelah instans Amazon EC2 dihentikan](configure-root-volume-delete-on-termination.md).
\$1\$1 Hanya didukung dengan `io2` EBS Block Express. Untuk informasi selengkapnya, lihat [Volume Blok Express IOPS SSD yang disediakan di Panduan](https://docs.aws.amazon.com/ebs/latest/userguide/provisioned-iops.html#io2-block-express) Pengguna *Amazon EBS*.
# Identifikasi jenis volume root yang ditentukan oleh AMI Anda
AMI yang Anda gunakan untuk meluncurkan instans EC2 menentukan jenis volume root. Volume root dari instans EC2 adalah volume EBS atau volume penyimpanan instans.
[Instans berbasis nitro](instance-types.md#instance-hypervisor-type) hanya mendukung volume root EBS. Jenis instans generasi sebelumnya berikut adalah satu-satunya tipe instans yang mendukung volume root penyimpanan instans: C1, C3, D2, I2, M1, M2, M3, R3, dan X1.
------
#### [ Console ]
**Untuk mengidentifikasi jenis volume root yang ditentukan oleh AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**, dan pilih AMI.
1. Pada tab **Detail**, periksa nilai **Tipe perangkat root** sebagai berikut:
+ `ebs`— Instans yang diluncurkan dari AMI ini akan mendapatkan volume root EBS
+ `instance store`— Instans yang diluncurkan dari AMI ini akan mendapatkan volume root penyimpanan instance.
------
#### [ AWS CLI ]
**Untuk mengidentifikasi jenis volume root yang ditentukan oleh AMI**
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query Images[].RootDeviceType
```
Berikut ini adalah output contoh.
```
ebs
```
------
#### [ PowerShell ]
**Untuk mengidentifikasi jenis volume root yang ditentukan oleh AMI**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
(Get-EC2Image `
-ImageId ami-0abcdef1234567890).RootDeviceType.Value
```
Berikut ini adalah output contoh.
```
ebs
```
------
## Tipe virtualisasi
Amazon Machine Image menggunakan salah satu dari dua tipe virtualisasi: paravirtual (PV) atau mesin virtual perangkat keras (HVM). Perbedaan utama antara PV dan HVM AMIs adalah cara mereka boot dan apakah mereka dapat memanfaatkan ekstensi perangkat keras khusus (CPU, jaringan, dan penyimpanan) untuk kinerja yang lebih baik. Windows AMIs adalah AMIs HVM.
Tabel berikut membandingkan HVM dan PV. AMIs
| Karakteristik | HVM | PV |
| --- | --- | --- |
| Deskripsi | AMI HVM disajikan dengan set perangkat keras virtual dan boot dengan menjalankan rekaman boot master perangkat blok root gambar Anda. Tipe virtualisasi ini menyediakan kemampuan untuk menjalankan sistem operasi secara langsung pada mesin virtual tanpa modifikasi apa pun, seolah-olah dijalankan di perangkat keras bare metal. Sistem host Amazon EC2 mengemulasi beberapa atau semua perangkat keras dasar yang disajikan kepada tamu. | AMIs Boot PV dengan boot loader khusus yang disebut PV-GRUB, yang memulai siklus boot dan kemudian rantai memuat kernel yang ditentukan dalam menu.lst file pada gambar Anda. Tamu Paravirtual dapat menjalankan perangkat keras host yang tidak memiliki dukungan virtualisasi secara eksplisit. [Untuk informasi selengkapnya tentang PV-GRUB dan penggunaannya di Amazon EC2, lihat Kernel yang disediakan pengguna.](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) |
| Tipe instans yang didukung | Semua jenis instance generasi saat ini mendukung AMIs HVM. | Jenis instans generasi sebelumnya berikut mendukung PV AMIs: C1, C3, M1, M3, M2, dan T1. Jenis instans generasi saat ini yang tidak mendukung PV AMIs. |
| Dukungan untuk ekstensi perangkat keras | Tamu HVM dapat memanfaatkan ekstensi perangkat keras yang menyediakan akses cepat ke perangkat keras dasar di sistem host. Mereka diharuskan menggunakan jaringan yang disempurnakan dan pemrosesan GPU. Untuk melewati instruksi ke jaringan khusus dan perangkat GPU, OS harus memiliki akses ke platform perangkat keras asli, dan virtualisasi HVM menyediakan akses ini. Untuk informasi selengkapnya, lihat [Jaringan yang disempurnakan di EC2 instans Amazon](enhanced-networking.md). | Tidak, mereka tidak dapat memanfaatkan ekstensi perangkat keras khusus seperti jaringan yang disempurnakan atau pemrosesan GPU. |
| [Bagaimana menemukan](finding-an-ami.md) | Verifikasikan bahwa jenis virtualisasi AMI diatur ke hvm, menggunakan konsol atau perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | Verifikasikan bahwa jenis virtualisasi AMI diatur ke paravirtual, menggunakan konsol atau perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). |
**PV di HVM**
Tamu paravirtual secara tradisional berkinerja lebih baik dengan penyimpanan dan operasi jaringan daripada tamu HVM karena mereka dapat memanfaatkan driver khusus untuk I/O menghindari overhead meniru jaringan dan perangkat keras disk, sedangkan tamu HVM harus menerjemahkan instruksi ini ke perangkat keras yang ditiru. Sekarang driver PV tersedia untuk tamu HVM, sehingga sistem operasi yang tidak dapat di-porting untuk berjalan di lingkungan paravirtualisasi masih dapat melihat keunggulan kinerja dalam penyimpanan dan jaringan dengan menggunakannya. I/O Dengan PV pada driver HVM ini, tamu HVM dapat memperoleh performa yang sama, atau lebih baik daripada tamu paravirtual.
# Temukan AMI yang memenuhi persyaratan untuk EC2 instans Anda
AMI mencakup komponen dan aplikasi, seperti sistem operasi dan jenis volume root, yang diperlukan untuk meluncurkan sebuah instance. Untuk meluncurkan instance, Anda harus menemukan AMI yang memenuhi kebutuhan Anda.
Saat memilih AMI, pertimbangkan persyaratan berikut yang mungkin Anda miliki untuk instance yang ingin Anda luncurkan:
+ AWS Wilayah AMI sebagai AMI IDs unik untuk setiap Wilayah.
+ Sistem operasi (misalnya, Linux atau Windows).
+ Arsitektur (misalnya, 32-bit, 64-bit, atau 64-bit ARM).
+ Jenis volume root (misalnya, Amazon EBS atau penyimpanan instance).
+ Penyedia (misalnya, Amazon Web Services).
+ Perangkat lunak tambahan (misalnya, SQL Server).
------
#### [ Console ]
Anda dapat memilih dari daftar AMIs kapan Anda menggunakan wizard instance peluncuran, atau Anda dapat mencari semua yang tersedia AMIs menggunakan halaman **Gambar**.
**Untuk menemukan AMI Mulai Cepat menggunakan wizard instance peluncuran**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dari bilah navigasi, pilih Wilayah untuk meluncurkan instans Anda. Anda dapat memilih Wilayah yang tersedia untuk Anda, terlepas dari lokasi Anda. AMI IDs unik untuk setiap AWS Wilayah.
1. Dari dasbor konsol, pilih **Luncurkan instans**.
1. Di bawah **Gambar Aplikasi dan OS (Gambar Mesin Amazon)**, pilih **Mulai Cepat**, pilih sistem operasi (OS) untuk instans Anda, dan kemudian, dari **Amazon Machine Image (AMI)**, pilih dari salah satu yang umum digunakan AMIs dalam daftar. Jika Anda tidak melihat AMI yang ingin Anda gunakan, pilih **Jelajahi lebih lanjut AMIs** untuk menelusuri katalog AMI lengkap. Untuk informasi selengkapnya, lihat [Aplikasi dan Gambar OS (Gambar Mesin Amazon)](ec2-instance-launch-parameters.md#liw-ami).
**Untuk menemukan AMI menggunakan AMIs halaman**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dari bilah navigasi, pilih Wilayah untuk meluncurkan instans Anda. Anda dapat memilih Wilayah yang tersedia untuk Anda, terlepas dari lokasi Anda. AMI IDs unik untuk setiap AWS Wilayah.
1. Di panel navigasi, pilih **AMIs**.
1. (Opsional) Gunakan opsi filter dan pencarian untuk cakupan daftar yang ditampilkan AMIs untuk melihat hanya AMIs yang sesuai dengan kriteria Anda.
Misalnya, untuk mencantumkan semua AMIs yang disediakan oleh AWS, pilih **Gambar publik**. Kemudian gunakan opsi pencarian untuk cakupan lebih lanjut daftar yang ditampilkan AMIs. Pilih bilah **Pencarian** dan, dari menu, pilih **Alias pemilik**, lalu operator **=**, lalu nilai **amazon**. Untuk menemukan AMIs yang cocok dengan platform tertentu, misalnya Linux atau Windows, pilih bilah **Pencarian** lagi untuk memilih **Platform**, lalu operator **=**, dan kemudian sistem operasi dari daftar yang disediakan.
1. (Opsional) Pilih ikon **Preferensi** untuk memilih atribut gambar mana yang akan ditampilkan, seperti jenis volume root. Atau, Anda dapat memilih AMI dari daftar dan melihat propertinya di tab **Detail**.
1. Sebelum memilih AMI, penting bagi Anda untuk memeriksa apakah ia didukung oleh penyimpanan instans atau Amazon EBS dan Anda mengetahui efek dari perbedaan ini. Untuk informasi selengkapnya, lihat [Tipe volume root](ComponentsAMIs.md#storage-for-the-root-device).
1. Untuk meluncurkan instans dari AMI ini, pilih dan pilih **Peluncuran instans dari gambar**. Untuk informasi selengkapnya tentang meluncurkan instans menggunakan konsol, lihat [Luncurkan instans EC2 menggunakan wizard instans peluncuran di konsol](ec2-launch-instance-wizard.md). Jika Anda belum siap untuk meluncurkan instans, catatlah ID AMI untuk nanti.
------
#### [ AWS CLI ]
Gunakan [perintah deskripsikan gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) untuk menemukan AMI yang memenuhi persyaratan Anda. Secara default, perintah ini mengembalikan semua AMIs yang bersifat publik, yang Anda miliki, dan yang dibagikan dengan Anda.
**Untuk menemukan AMI yang dimiliki oleh Amazon**
Gunakan [perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) dengan opsi. `--owners`
```
aws ec2 describe-images --owners amazon
```
**Untuk menemukan AMI Windows**
Tambahkan filter berikut untuk hanya menampilkan Windows AMIs.
```
--filters "Name=platform,Values=windows"
```
**Untuk menemukan AMI yang didukung EBS**
Tambahkan filter berikut untuk menampilkan hanya AMIs didukung oleh Amazon EBS.
```
--filters "Name=root-device-type,Values=ebs"
```
------
#### [ PowerShell ]
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet untuk menemukan AMI yang memenuhi kebutuhan Anda. Secara default, cmdlet ini mengembalikan semua AMIs yang bersifat publik, yang Anda miliki, atau yang dibagikan dengan Anda.
**Untuk menemukan AMI yang dimiliki oleh Amazon**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)perintah dengan `-Owner` parameter.
```
Get-EC2Image -Owner amazon
```
**Untuk menemukan AMI Windows**
Tambahkan filter berikut untuk hanya menampilkan Windows AMIs.
```
-Filter @{Name="platform"; Values="windows"}
```
Untuk contoh tambahan, lihat [Menemukan Gambar Mesin Amazon Menggunakan Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-ec2-get-amis.html) di *Panduan Alat AWS untuk PowerShell Pengguna*.
------
**Sumber daya terkait**
Untuk informasi selengkapnya tentang AMIs sistem operasi tertentu, lihat berikut ini:
+ Amazon Linux 2023 - [AL2023 EC2 di Amazon](https://docs.aws.amazon.com/linux/al2023/ug/ec2.html) di Panduan Pengguna *Amazon Linux 2023*
+ Ubuntu - [Amazon EC2 AMI Locator](https://cloud-images.ubuntu.com/locator/ec2/) di situs web *Canonical* Ubuntu
+ RHEL — [Red Hat Enterprise Linux Images (AMI) Tersedia di Amazon Web Services (AWS)](https://access.redhat.com/solutions/15356) di situs web Red Hat
+ Windows Server - [Referensi AWS Windows AMI](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/windows-amis.html)
Untuk informasi tentang AMIs itu, Anda dapat berlangganan di AWS Marketplace lihat[AMIs Dibayar AWS Marketplace untuk instans Amazon EC2](paid-amis.md).
Untuk informasi tentang penggunaan Systems Manager untuk membantu pengguna menemukan AMI terbaru yang harus mereka gunakan saat meluncurkan instans, lihat berikut ini:
+ [Referensi AMIs menggunakan parameter Systems Manager](using-systems-manager-parameter-to-find-AMI.md)
+ [Referensi terbaru AMIs menggunakan parameter publik Systems Manager](finding-an-ami-parameter-store.md)
# Referensi AMIs menggunakan parameter Systems Manager
Saat meluncurkan instance menggunakan wizard instans EC2 peluncuran di EC2 konsol Amazon, Anda dapat memilih AMI dari daftar, atau Anda dapat memilih AWS Systems Manager parameter yang mengarah ke ID AMI (dijelaskan di bagian ini). Jika menggunakan kode automasi untuk meluncurkan instans, Anda dapat menentukan parameter Systems Manager, bukan AMI ID.
Parameter System Manager adalah pasangan nilai-kunci yang ditentukan pelanggan yang dapat Anda buat di Penyimpanan Parameter System Manager. Penyimpanan Parameter menyediakan penyimpanan pusat untuk mengeksternalisasi nilai konfigurasi aplikasi Anda. Untuk informasi selengkapnya, lihat [Penyimpanan Parameter AWS](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) dalam *Panduan Pengguna AWS Systems Manager *.
Ketika Anda membuat parameter yang menunjuk ke sebuah ID AMI, pastikan Anda menentukan tipe data sebagai `aws:ec2:image`. Menentukan tipe data akan memastikan bahwa ketika parameter dibuat atau dimodifikasi, nilai parameter divalidasi sebagai ID AMI. Untuk informasi selengkapnya, lihat [Dukungan parameter asli untuk Gambar Mesin Amazon IDs](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html) di *Panduan AWS Systems Manager Pengguna*.
**Topics**
+ [
## Kasus penggunaan
](#systems-manager-parameter-use-case)
+ [
## Izin
](#systems-manager-permissions)
+ [
## Batasan
](#AMI-systems-manager-parameter-limitations)
+ [
## Meluncurkan instans menggunakan parameter Systems Manager
](#systems-manager-parameter-launch-instance)
## Kasus penggunaan
Bila Anda menggunakan parameter Systems Manager untuk menunjuk ke AMI IDs, akan lebih mudah bagi pengguna Anda untuk memilih AMI yang benar saat meluncurkan instance. Parameter Systems Manager juga dapat menyederhanakan pemeliharaan kode otomatisasi.
**Lebih mudah bagi pengguna**
Jika suatu instans perlu diluncurkan menggunakan AMI tertentu, dan AMI diperbarui secara rutin, kami sarankan Anda meminta pengguna untuk memilih parameter Systems Manager untuk mencari AMI. Mengharuskan pengguna memilih parameter Systems Manager memastikan AMI terbaru digunakan untuk meluncurkan instans.
Sebagai contoh, setiap bulan di organisasi, Anda dapat membuat versi AMI baru yang memiliki sistem operasi dan patch aplikasi terbaru. Anda juga memerlukan pengguna untuk meluncurkan instans menggunakan AMI versi terbaru Anda. Untuk memastikan pengguna menggunakan versi terbaru, Anda dapat membuat parameter Systems Manager (misalnya, `golden-ami`) yang menunjuk ke ID AMI yang benar. Setiap kali versi baru AMI dibuat, Anda memperbarui nilai ID AMI di parameter sehingga selalu mengarah ke AMI terbaru. Pengguna tidak perlu mengetahui pembaruan berkala untuk AMI karena mereka terus memilih parameter Systems Manager yang sama setiap saat. Penggunaan parameter Systems Manager untuk AMI Anda memudahkan mereka dalam memilih AMI yang benar untuk peluncuran instans.
**Menyederhanakan pemeliharaan kode automasi**
Jika menggunakan kode automasi untuk meluncurkan instans, Anda dapat menentukan parameter Systems Manager, bukan ID AMI. Setiap kali versi baru AMI dibuat, Anda memperbarui nilai ID AMI di parameter sehingga selalu mengarah ke AMI terbaru. Kode otomatisasi yang mengacu pada parameter tidak harus dimodifikasi setiap kali versi baru AMI dibuat. Hal ini menyederhanakan pemeliharaan otomatisasi dan membantu menurunkan biaya deployment.
**catatan**
Instans yang berjalan tidak terpengaruh saat Anda mengubah ID AMI yang ditunjuk oleh parameter Systems Manager.
## Izin
Jika Anda menggunakan parameter Systems Manager yang mengarah ke AMI IDs di wizard instans peluncuran, Anda harus menambahkan izin berikut ke kebijakan IAM Anda:
+ `ssm:DescribeParameters`— Memberikan izin untuk melihat dan memilih parameter Systems Manager.
+ `ssm:GetParameters`— Memberikan izin untuk mengambil nilai parameter Systems Manager.
Anda juga dapat membatasi akses ke parameter Systems Manager tertentu. Untuk informasi selengkapnya dan contoh kebijakan IAM, lihat[Contoh: Menggunakan wizard peluncuran instans EC2](iam-policies-ec2-console.md#ex-launch-wizard).
## Batasan
AMIs dan parameter Systems Manager adalah Region spesifik. Untuk menggunakan nama parameter Systems Manager yang sama di seluruh Wilayah, buatlah parameter Systems Manager di setiap Wilayah dengan nama yang sama (misalnya, `golden-ami`). Di setiap Wilayah, arahkan parameter Systems Manager ke AMI di dalam Wilayah tersebut.
Nama parameter peka huruf besar/kecil. Garis miring terbalik untuk nama parameter hanya diperlukan jika parameter adalah bagian dari hierarki, misalnya, `/amis/production/golden-ami`. Anda dapat menghilangkan garis miring terbalik jika parameter bukan bagian dari hirarki.
## Meluncurkan instans menggunakan parameter Systems Manager
Saat meluncurkan instance, alih-alih menentukan ID AMI, Anda dapat menentukan parameter Systems Manager yang menunjuk ke ID AMI.
Untuk menentukan parameter secara terprogram, gunakan sintaks berikut, di mana awalan standar dan `resolve:ssm` `parameter-name` merupakan nama parameter unik.
```
resolve:ssm:parameter-name
```
Parameter Systems Manager memiliki dukungan versi. Setiap iterasi parameter diberi nomor versi unik. Anda dapat mereferensikan versi parameter sebagai berikut, di `version` mana nomor versi uniknya. Secara default, versi terbaru parameter digunakan ketika tidak ada versi yang ditentukan.
```
resolve:ssm:parameter-name:version
```
Untuk meluncurkan instance menggunakan parameter publik yang disediakan oleh AWS, lihat[Referensi terbaru AMIs menggunakan parameter publik Systems Manager](finding-an-ami-parameter-store.md).
------
#### [ Console ]
**Untuk menemukan AMI menggunakan parameter Systems Manager**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dari bilah navigasi, pilih Wilayah untuk meluncurkan instans Anda. Anda dapat memilih Wilayah yang tersedia untuk Anda, terlepas dari lokasi Anda.
1. Dari dasbor konsol, pilih **Luncurkan instans**.
1. Di bawah Gambar **Aplikasi dan OS (Gambar Mesin Amazon)**, pilih **Jelajahi lebih banyak AMIs**.
1. Pilih tombol panah di sebelah kanan bilah pencarian, lalu pilih **parameter Pencarian dengan Systems Manager**.
1. Untuk **Parameter System Manager**, pilih parameter. ID AMI terkait akan muncul di bawah **Saat ini memutuskan ke**.
1. Pilih **Pencarian**. AMIs Yang cocok dengan ID AMI muncul dalam daftar.
1. Pilih AMI dari daftar, lalu pilih **Pilih**.
Untuk informasi tentang peluncuran instans menggunakan wizard peluncuran instans, lihat [Luncurkan instans EC2 menggunakan wizard instans peluncuran di konsol](ec2-launch-instance-wizard.md).
------
#### [ AWS CLI ]
**Untuk meluncurkan instance menggunakan parameter Systems Manager**
Gunakan perintah [run-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) dengan opsi. `--image-id` Contoh ini menggunakan parameter Systems Manager bernama**golden-ami**, yang menentukan ID AMI.
```
--image-id resolve:ssm:/golden-ami
```
Anda dapat membuat versi parameter Systems Manager. Contoh berikut menentukan versi 2 dari **golden-ami** parameter.
```
--image-id resolve:ssm:/golden-ami:2
```
------
#### [ PowerShell ]
**Untuk meluncurkan instance menggunakan parameter Systems Manager**
Gunakan [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet dengan parameter. `-ImageId` Contoh ini menggunakan parameter Systems Manager bernama**golden-ami**, yang menentukan ID AMI.
```
-ImageId "resolve:ssm:/golden-ami"
```
Anda dapat membuat versi parameter Systems Manager. Contoh berikut menentukan versi 2 dari **golden-ami** parameter.
```
-ImageId "resolve:ssm:/golden-ami:2"
```
------
# Referensi terbaru AMIs menggunakan parameter publik Systems Manager
AWS Systems Manager menyediakan parameter publik untuk publik yang AMIs dikelola oleh AWS. Anda dapat menggunakan parameter publik saat meluncurkan instance untuk memastikan bahwa Anda menggunakan yang terbaru AMIs. Misalnya, parameter publik `/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-arm64` tersedia di semua Wilayah dan selalu menunjuk ke versi terbaru Amazon Linux 2023 AMI untuk arsitektur arm64 di Wilayah tertentu.
Parameter publik tersedia dari jalur berikut:
+ **Linux** – `/aws/service/ami-amazon-linux-latest`
+ **Windows** – `/aws/service/ami-windows-latest`
Untuk informasi selengkapnya, lihat [Bekerja dengan parameter publik](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-public-parameters.html) di *Panduan Pengguna AWS Systems Manager *.
## Daftar Amazon Linux AMIs
------
#### [ AWS CLI ]
**Untuk daftar Linux AMIs di AWS Wilayah saat ini**
Gunakan perintah berikut [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html). Nilai untuk `--path` parameter khusus untuk Linux AMIs.
```
aws ssm get-parameters-by-path \
--path /aws/service/ami-amazon-linux-latest \
--query "Parameters[].Name"
```
------
#### [ PowerShell ]
**Untuk daftar Linux AMIs di AWS Wilayah saat ini**
Gunakan [Get- SSMParameters ByPath](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html) cmdlet.
```
Get-SSMParametersByPath `
-Path "/aws/service/ami-amazon-linux-latest" | `
Sort-Object Name | Format-Table Name
```
------
## Daftar Windows AMIs
------
#### [ AWS CLI ]
**Untuk membuat daftar Windows AMIs di AWS Wilayah saat ini**
Gunakan perintah berikut [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html). Nilai untuk `--path` parameter khusus untuk Windows AMIs.
```
aws ssm get-parameters-by-path \
--path /aws/service/ami-windows-latest \
--query "Parameters[].Name"
```
------
#### [ PowerShell ]
**Untuk membuat daftar Windows AMIs di AWS Wilayah saat ini**
Gunakan [Get- SSMParameters ByPath](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html) cmdlet.
```
Get-SSMParametersByPath `
-Path "/aws/service/ami-windows-latest" | `
Sort-Object Name | Format-Table Name
```
------
## Luncurkan instance menggunakan parameter publik
Untuk menentukan parameter publik saat meluncurkan instance, gunakan sintaks berikut:`resolve:ssm:public-parameter`, di mana `resolve:ssm` awalan standar dan `public-parameter` merupakan jalur dan nama parameter publik.
------
#### [ AWS CLI ]
**Untuk meluncurkan suatu instans menggunakan parameter publik**
Gunakan perintah [run-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) dengan opsi. `--image-id` Contoh ini menentukan parameter publik Systems Manager untuk ID gambar untuk meluncurkan instance menggunakan AMI Amazon Linux 2023 terbaru
```
--image-id resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64
```
------
#### [ PowerShell ]
**Untuk meluncurkan suatu instans menggunakan parameter publik**
Gunakan [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet dengan parameter. `-ImageId` Contoh ini menentukan parameter publik Systems Manager untuk ID gambar untuk meluncurkan instance menggunakan AMI terbaru untuk Windows Server 2022.
```
-ImageId "resolve:ssm:/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-Base"
```
------
Untuk contoh selengkapnya yang menggunakan parameter Systems Manager, lihat [Kueri untuk Amazon Linux AMI terbaru IDs Menggunakan AWS Systems Manager Parameter Store](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/) dan [Query untuk AMI Windows Terbaru Menggunakan AWS Systems Manager Parameter Store](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/).
# AMIs Dibayar AWS Marketplace untuk instans Amazon EC2
*AMI berbayar* adalah AMI yang terdaftar untuk dijual di AWS Marketplace. AWS Marketplace Ini adalah toko online tempat Anda dapat membeli perangkat lunak yang berjalan AWS, termasuk AMI yang dapat Anda gunakan untuk meluncurkan instans EC2 Anda. AWS Marketplace AMIs Ini disusun ke dalam kategori, seperti Alat Pengembang, untuk memungkinkan Anda menemukan produk yang sesuai dengan kebutuhan Anda. Untuk informasi lebih lanjut tentang AWS Marketplace, lihat situs [AWS Marketplace](https://aws.amazon.com/marketplace)web.
Anda dapat membeli AMIs AWS Marketplace dari pihak ketiga, termasuk AMIs yang datang dengan kontrak layanan dari organisasi seperti Red Hat. Anda juga dapat membuat AMI dan menjualnya AWS Marketplace ke pengguna Amazon EC2 lainnya. Membangun AMI yang aman, terjaga, dan dapat digunakan untuk konsumsi publik adalah hal yang cukup mudah jika Anda mengikuti beberapa langkah panduan sederhana. Untuk informasi tentang cara membuat dan menggunakan bersama AMIs, lihat[Memahami penggunaan AMI bersama di Amazon EC2](sharing-amis.md).
Meluncurkan instans dari AMI berbayar sama seperti meluncurkan instans dari AMI lainnya. Tidak perlu parameter tambahan. Instans dibebankan sesuai dengan tarif yang ditetapkan oleh pemilik AMI, serta biaya penggunaan standar untuk layanan web terkait, misalnya, tarif per jam untuk menjalankan jenis instans m5.small di Amazon EC2. Pajak tambahan mungkin juga berlaku. Pemilik AMI berbayar dapat mengonfirmasi apakah instans tertentu diluncurkan menggunakan AMI berbayar tersebut.
**penting**
Amazon DevPay tidak lagi menerima penjual atau produk baru. AWS Marketplace Sekarang menjadi platform e-commerce tunggal terpadu untuk menjual perangkat lunak dan layanan melalui AWS. Untuk informasi tentang cara menyebarkan dan menjual perangkat lunak AWS Marketplace, lihat [Menjual di AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). AWS Marketplace mendukung AMIs didukung oleh Amazon EBS.
**Topics**
+ [
## Jual AMI Anda di AWS Marketplace
](#selling-your-ami)
+ [
# Mencari AMI berbayar
](using-paid-amis-finding-paid-ami.md)
+ [
# Beli AMI berbayar di AWS Marketplace
](using-paid-amis-purchasing-paid-ami.md)
+ [
# Ambil kode AWS Marketplace produk dari instans Anda
](get-product-code.md)
+ [
# Gunakan dukungan berbayar untuk AWS Marketplace penawaran yang didukung
](using-paid-amis-support.md)
+ [
## Tagihan untuk dibayar dan didukung AMIs
](#using-paid-amis-bills)
+ [
# Kelola AWS Marketplace langganan Anda
](marketplace-manage-subscriptions.md)
## Jual AMI Anda di AWS Marketplace
Anda dapat menjual AMI Anda menggunakan AWS Marketplace. AWS Marketplace menawarkan pengalaman berbelanja yang terorganisir. Selain itu, AWS Marketplace juga mendukung AWS fitur-fitur seperti Amazon EBS yang didukung AMIs, Instans Cadangan, dan Instans Spot.
Untuk informasi tentang cara menjual AMI Anda di AWS Marketplace, lihat [Menjual di AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour).
# Mencari AMI berbayar
AMI berbayar adalah Amazon Machine Image (AMI) yang tersedia untuk dibeli. AMI berbayar juga memiliki kode produk. Anda dapat menemukan AMIs yang tersedia untuk pembelian di AWS Marketplace.
------
#### [ Console ]
**Untuk menemukan AMI berbayar**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih **Gambar publik** untuk filter pertama.
1. Lakukan salah satu tindakan berikut:
+ Jika Anda mengetahui kode produk, pilih **Kode Produk**, lalu **=**, lalu masukkan kode produk.
+ Jika Anda tidak tahu kode produk, di bilah Pencarian, tentukan filter berikut: **Owner alias=aws-marketplace**. Tentukan filter tambahan sesuai kebutuhan.
1. Simpan ID AMI.
------
#### [ AWS CLI ]
**Untuk menemukan AMI berbayar**
Gunakan [perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) berikut.
```
aws ec2 describe-images --owners aws-marketplace
```
Outputnya mencakup sejumlah besar gambar. Anda dapat menentukan filter untuk membantu Anda menentukan AMI yang Anda butuhkan. Setelah Anda menemukan AMI, tentukan ID-nya dalam perintah berikut untuk mendapatkan kode produknya.
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query Images[*].ProductCodes[].ProductCodeId
```
Berikut ini adalah output contoh.
```
[
"cdef1234abc567def8EXAMPLE"
]
```
Jika Anda mengetahui kode produk, Anda dapat memfilter hasilnya berdasarkan kode produk. Contoh berikut ini memberikan AMI terbaru dengan kode produk tertentu.
```
aws ec2 describe-images \
--filters "Name=product-code,Values=cdef1234abc567def8EXAMPLE" \
--query "sort_by(Images, &CreationDate)[-1].[ImageId]"
```
------
#### [ PowerShell ]
**Untuk menemukan AMI berbayar**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
Get-EC2Image -Owner aws-marketplace
```
Outputnya mencakup sejumlah besar gambar. Anda dapat menentukan filter untuk membantu Anda menentukan AMI yang Anda butuhkan. Setelah Anda menemukan AMI, tentukan ID-nya dalam perintah berikut untuk mendapatkan kode produknya.
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ProductCodes
```
Berikut ini adalah output contoh.
```
ProductCodeId ProductCodeType
------------- ---------------
cdef1234abc567def8EXAMPLE marketplace
```
Jika Anda mengetahui kode produk, Anda dapat memfilter hasilnya berdasarkan kode produk. Contoh berikut ini memberikan AMI terbaru dengan kode produk tertentu.
```
(Get-EC2Image -Owner aws-marketplace -Filter @{"Name"="product-code";"Value"="cdef1234abc567def8EXAMPLE"} | sort CreationDate -Descending | Select-Object -First 1).ImageId
```
------
# Beli AMI berbayar di AWS Marketplace
Anda harus mendaftar (membeli) AMI berbayar sebelum dapat meluncurkan instans Amazon EC2 menggunakan AMI.
Biasanya, penjual AMI berbayar memberi Anda informasi tentang AMI, termasuk harga dan tautan tempat Anda dapat membelinya. Ketika Anda mengklik tautan, pertama-tama Anda diminta untuk masuk AWS, dan kemudian Anda dapat membeli AMI.
## Membeli AMI berbayar menggunakan konsol
Anda dapat membeli AMI berbayar dengan menggunakan wizard peluncuran Amazon EC2. Untuk informasi selengkapnya, lihat [Luncurkan instans Amazon EC2 dari AMI AWS Marketplace](launch-marketplace-console.md).
## Berlangganan produk menggunakan AWS Marketplace
Untuk menggunakan AWS Marketplace, Anda harus memiliki Akun AWS. Untuk meluncurkan instans dari AWS Marketplace produk, Anda harus mendaftar untuk menggunakan layanan Amazon EC2, dan Anda harus berlangganan produk untuk meluncurkan instans. Anda dapat menggunakan salah satu metode berikut untuk berlangganan produk di AWS Marketplace:
+ **AWS Marketplace situs web**: Anda dapat meluncurkan perangkat lunak yang telah dikonfigurasi sebelumnya dengan cepat dengan fitur penyebaran 1-Klik. Untuk informasi lebih lanjut, lihat [produk berbasis AMI](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-server-products.html) di. AWS Marketplace
+ **Wizard peluncuran Amazon EC2**: Anda dapat mencari AMI dan meluncurkan instans langsung dari wizard. Untuk informasi selengkapnya, lihat [Luncurkan instans Amazon EC2 dari AMI AWS Marketplace](launch-marketplace-console.md).
# Ambil kode AWS Marketplace produk dari instans Anda
Anda dapat mengambil kode AWS Marketplace produk untuk instance Anda menggunakan metadata instance-nya. Jika instans memiliki kode produk, Amazon EC2 akan memberikannya. Untuk informasi selengkapnya tentang pengambilan metadata instans, lihat [Akses metadata instans untuk instans EC2](instancedata-data-retrieval.md).
------
#### [ IMDSv2 ]
**Linux**
Jalankan perintah berikut dari instance Linux Anda.
```
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes
```
**Windows**
Jalankan cmdlet berikut dari instance Windows Anda.
```
[string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} `
-Method PUT -Uri http://169.254.169.254/latest/api/token
```
```
Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} `
-Method GET -Uri http://169.254.169.254/latest/meta-data/product-codes
```
------
#### [ IMDSv1 ]
**Linux**
Jalankan perintah berikut dari instance Linux Anda.
```
curl http://169.254.169.254/latest/meta-data/product-codes
```
**Windows**
Jalankan perintah berikut dari instance Windows Anda.
```
Invoke-RestMethod -Uri http://169.254.169.254/latest/meta-data/product-codes
```
------
# Gunakan dukungan berbayar untuk AWS Marketplace penawaran yang didukung
Amazon EC2 juga memungkinkan pengembang untuk menawarkan dukungan untuk perangkat lunak (atau turunan AMIs). Developer dapat membuat produk dukungan yang dapat Anda gunakan dengan mendaftar. Saat mendaftar untuk produk dukungan, developer memberi Anda kode produk, yang kemudian harus dikaitkan dengan AMI Anda sendiri. Hal ini memungkinkan developer untuk mengonfirmasi bahwa instans Anda memenuhi syarat untuk dukungan. Ini juga memastikan ketika Anda menjalankan instans produk, Anda dikenai biaya sesuai ketentuan untuk produk tertentu dari developer.
**Batasan**
+ Setelah Anda mengatur atribut kode produk, itu tidak dapat diubah atau dihapus.
+ Anda tidak dapat menggunakan produk dukungan dengan Instans Tercadang. Anda selalu membayar harga yang ditetapkan oleh penjual produk dukungan.
------
#### [ AWS CLI ]
**Untuk mengaitkan kode produk dengan AMI Anda**
Gunakan perintah [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html).
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--product-codes "cdef1234abc567def8EXAMPLE"
```
------
#### [ PowerShell ]
**Untuk mengaitkan kode produk dengan AMI Anda**
Gunakan [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)cmdlet.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-ProductCode "cdef1234abc567def8EXAMPLE"
```
------
## Tagihan untuk dibayar dan didukung AMIs
Di setiap akhir bulan, Anda akan menerima email dengan jumlah yang ditagih ke kartu kredit untuk penggunaan AMI yang dibayar atau didukung selama bulan tersebut. Tagihan ini terpisah dari tagihan Amazon EC2 reguler Anda. Untuk informasi selengkapnya, lihat [Membayar produk](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-paying-for-products.html) dalam *Panduan Pembeli AWS Marketplace *.
# Kelola AWS Marketplace langganan Anda
Di AWS Marketplace situs web, Anda dapat memeriksa detail langganan, melihat petunjuk penggunaan vendor, mengelola langganan, dan banyak lagi.
## Periksa detail berlangganan
**Untuk memeriksa detail langganan Anda**
1. Masuk ke [AWS Marketplace](https://aws.amazon.com/marketplace).
1. Pilih **Akun Marketplace Anda**.
1. Pilih **Kelola langganan perangkat lunak Anda**.
1. Semua langganan Anda saat ini akan tercantum. Pilih **Petunjuk Penggunaan** untuk melihat petunjuk spesifik untuk menggunakan produk, misalnya, nama pengguna untuk menghubungkan ke instans yang sedang berjalan.
## Batalkan langganan
**catatan**
Membatalkan langganan tidak menghentikan instans yang diluncurkan dengan AMI tersebut. Kami akan terus menagih Anda untuk instans yang sedang berjalan hingga instans tersebut dihentikan. Anda harus menghentikan semua instans yang diluncurkan dengan AMI untuk menghentikan penagihan langganan.
Setelah membatalkan langganan, Anda tidak lagi dapat meluncurkan instans apa pun dari AMI tersebut. Untuk menggunakan AMI itu lagi, Anda harus berlangganan kembali, baik di AWS Marketplace situs web, atau melalui panduan peluncuran di konsol Amazon EC2.
**Untuk membatalkan AWS Marketplace langganan**
1. Untuk menghentikan penagihan langganan, pastikan bahwa Anda telah menghentikan semua instans yang berjalan dari langganan.
**Awas**
**Mengakhiri sebuah instance bersifat permanen dan ireversibel.**
Setelah Anda menghentikan sebuah instance, Anda tidak dapat lagi terhubung dengannya, dan itu tidak dapat dipulihkan. Semua volume Amazon EBS terlampir yang dikonfigurasi untuk dihapus saat penghentian juga dihapus secara permanen dan tidak dapat dipulihkan. Semua data yang disimpan pada volume penyimpanan instance hilang secara permanen. Untuk informasi selengkapnya, lihat [Cara kerja penghentian instance](how-ec2-instance-termination-works.md).
Sebelum menghentikan instans, pastikan bahwa Anda telah mencadangkan semua data yang perlu disimpan setelah penghentian penyimpanan persisten.
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Instans**.
1. Pilih instance, lalu pilih **Instance state**, **Terminate (delete) instance**.
1. Pilih **Hentikan (hapus)** saat diminta konfirmasi.
1. Masuk ke [AWS Marketplace](https://aws.amazon.com/marketplace), dan pilih **Akun Marketplace Anda**, lalu **Kelola langganan perangkat lunak Anda**.
1. Pilih **Batalkan langganan**. Anda diminta untuk mengonfirmasi pembatalan.
# Siklus hidup Amazon EC2 AMI
Amazon Machine Image (AMI) adalah gambar yang berisi konfigurasi perangkat lunak yang diperlukan untuk mengatur dan mem-boot instance. Anda harus menentukan AMI saat meluncurkan instans. Anda dapat menggunakan AMIs yang disediakan oleh Amazon, atau Anda dapat membuat sendiri AMIs. AMI harus terletak Wilayah AWS di tempat Anda ingin meluncurkan instance Anda.
Siklus hidup AMI termasuk membuat, menyalin, menghentikan, menonaktifkan, dan menghapus (membatalkan pendaftaran) AMI.
**Buat AMIs.** Meskipun Amazon menyediakan AMIs yang dapat Anda gunakan untuk meluncurkan instans, Anda dapat membuat kustom yang AMIs disesuaikan dengan kebutuhan Anda. Untuk membuat AMI kustom, luncurkan instance dari AMI yang ada, sesuaikan instance (misalnya, instal perangkat lunak dan konfigurasikan pengaturan sistem operasi), lalu buat AMI dari instance. Setiap penyesuaian instans disimpan ke AMI baru, sehingga instance yang diluncurkan dari AMI baru Anda menyertakan penyesuaian ini.
**Dapat dibuktikan. AMIs** Untuk membuat AMI yang mendukung pengesahan instans EC2, lihat. [Dapat dibuktikan AMIs](attestable-ami.md)
**Salin AMIs.** Anda dapat menggunakan AMI untuk meluncurkan instance hanya Wilayah AWS di tempat AMI berada. Jika Anda perlu meluncurkan instance dengan konfigurasi yang sama di beberapa Wilayah, salin AMI ke Wilayah lain.
**Menghentikan AMIs.** Untuk menandai AMI sebagai digantikan atau kedaluwarsa, Anda dapat menetapkan tanggal penghentian langsung atau masa depan. Usang AMIs disembunyikan dari daftar AMI, tetapi pengguna dan layanan dapat terus menggunakan usang jika AMIs mereka mengetahui ID AMI.
**Nonaktifkan AMIs.** Untuk mencegah sementara AMI digunakan, Anda dapat menonaktifkannya. Ketika AMI dinonaktifkan, AMI tidak dapat digunakan untuk meluncurkan instance baru. Namun, jika Anda mengaktifkan kembali AMI, AMI dapat digunakan untuk meluncurkan instance lagi. Perhatikan bahwa menonaktifkan AMI tidak memengaruhi instans yang ada yang telah diluncurkan darinya.
**Deregister (hapus). AMIs** Ketika Anda tidak lagi membutuhkan AMI, Anda dapat membatalkan pendaftarannya, mencegahnya digunakan untuk meluncurkan instance baru. Jika AMI cocok dengan aturan retensi, AMI pindah ke Recycle Bin, di mana AMI dapat dipulihkan sebelum periode retensi berakhir, setelah itu dihapus secara permanen. Jika tidak cocok dengan aturan retensi, itu akan segera dihapus secara permanen. Perhatikan bahwa membatalkan pendaftaran AMI tidak memengaruhi instans yang ada yang diluncurkan dari AMI.
**Otomatiskan siklus hidup AMI.** Anda dapat menggunakan Amazon Data Lifecycle Manager untuk melakukan otomatisasi pembuatan, penyimpanan, penyalinan, pengusangan, dan pembatalan pendaftaran AMI yang didukung Amazon EBS dan snapshot pendukungnya. Anda juga dapat menggunakan EC2 Image Builder untuk mengotomatiskan pembuatan, pengelolaan, penyebaran yang disesuaikan. AMIs Untuk informasi selengkapnya, lihat [Mengotomatiskan pencadangan dengan Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html) *di Panduan Pengguna Amazon EBS dan Panduan* Pengguna [EC2](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) Image Builder.
**Topics**
+ [Membuat AMI](creating-an-ami-ebs.md)
+ [
# Buat AMI yang didukung Amazon S3
](creating-an-ami-instance-store.md)
+ [Buat AMI menggunakan Windows Sysprep](ami-create-win-sysprep.md)
+ [Menyalin AMI](CopyingAMIs.md)
+ [Menyimpan dan memulihkan AMI](ami-store-restore.md)
+ [Nenek moyang AMI](ami-ancestry.md)
+ [Penggunaan AMI](ec2-ami-usage.md)
+ [Usangkan AMI](ami-deprecate.md)
+ [Menonaktifkan AMI](disable-an-ami.md)
+ [Membatalkan pendaftaran AMI](deregister-ami.md)
# Buat AMI yang didukung Amazon EBS-Backed
Anda dapat membuat sendiri AMI yang didukung Amazon EBS-backed dari instans Amazon EC2 atau dari snapshot volume root instans Amazon EC2.
Untuk membuat AMI yang didukung Amazon EBS-backed dari sebuah instans, mulailah dengan meluncurkan instans menggunakan AMI yang didukung Amazon EBS-backed yang sudah ada. AMI ini dapat berupa AMI yang Anda peroleh dari AWS Marketplace, dibuat menggunakan [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html), atau AMI lain yang dapat Anda akses. Setelah menyesuaikan instans untuk memenuhi persyaratan spesifik Anda, buat dan daftarkan AMI baru. Anda kemudian dapat menggunakan AMI baru untuk meluncurkan instance baru dengan penyesuaian Anda.
**catatan**
Untuk membuat AMI yang mendukung pengesahan instans EC2, lihat. [Dapat dibuktikan AMIs](attestable-ami.md)
Prosedur yang dijelaskan di bawah berfungsi untuk instans Amazon EC2 yang didukung oleh volume Amazon Elastic Block Store (Amazon EBS) terenkripsi (termasuk volume root) serta volume yang tidak dienkripsi.
Proses pembuatan AMI berbeda untuk Amazon S3 AMIs yang didukung. Untuk informasi selengkapnya, lihat [Buat AMI yang didukung Amazon S3](creating-an-ami-instance-store.md).
**Topics**
+ [
## Ikhtisar pembuatan AMI dari sebuah instance
](#process-creating-an-ami-ebs)
+ [
## Buat AMI dari sebuah instance
](#how-to-create-ebs-ami)
+ [
## Buat AMI dari snapshot
](#creating-launching-ami-from-snapshot)
## Ikhtisar pembuatan AMI dari sebuah instance
Diagram berikut merangkum proses pembuatan AMI yang didukung Amazon EBS dari instans EC2 yang sedang berjalan: Mulai dengan AMI yang ada, luncurkan instans, kustomisasi, buat AMI baru darinya, dan terakhir luncurkan instans AMI baru Anda. Angka-angka dalam diagram cocok dengan angka-angka dalam deskripsi berikut.
![\[Alur kerja untuk membuat AMI dari suatu instans\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/running-instance.png)
**1 – AMI \$11: Mulailah dengan AMI yang ada**
Cari AMI yang mirip dengan AMI yang ingin Anda buat. Ini bisa berupa AMI yang Anda peroleh dari AWS Marketplace, AMI yang telah Anda buat menggunakan [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html), atau AMI lain yang dapat Anda akses. Anda akan mengkustomisasi AMI ini untuk kebutuhan Anda.
Dalam diagram, **Snapshot volume root EBS \$11** menunjukkan bahwa AMI adalah AMI yang didukung Amazon EBS dan informasi tentang volume root disimpan dalam snapshot ini.
**2 – Luncurkan instans dari AMI yang ada**
Cara mengonfigurasi AMI adalah dengan meluncurkan instans dari AMI tempat Anda ingin mendasarkan AMI baru Anda, lalu mengustomisasi instans (ditunjukkan pada **3** dalam diagram). Kemudian, Anda akan membuat AMI baru yang menyertakan kustomisasi (ditunjukkan pada **4** dalam diagram).
**3 – Instans EC2 \$11: Kustomisasi instans**
Sambungkan ke instans Anda dan kustomisasi sesuai kebutuhan. AMI Anda yang baru akan menyertakan kustomisasi ini.
Anda dapat melakukan tindakan berikut ini pada instans Anda untuk mengustomisasikannya:
+ Menginstal perangkat lunak dan aplikasi
+ Menyalin data
+ Kurangi waktu mulai dengan menghapus file sementara dan mendefragmentasi hard drive Anda
+ Melampirkan volume EBS tambahan
**4 – Buat gambar**
Saat Anda membuat AMI dari instans, Amazon EC2 menonaktifkan instans sebelum membuat AMI guna memastikan segala sesuatu yang ada pada instans dihentikan dan dalam kondisi yang konsisten selama proses pembuatan. Jika Anda yakin instans Anda berada dalam kondisi konsisten yang cocok untuk pembuatan AMI, Anda dapat memberi tahu Amazon EC2 untuk tidak mematikan dan melakukan boot ulang instans. Beberapa sistem file, seperti XFS, dapat membekukan dan membatalkan pembekuan aktivitas sehingga aman untuk membuat gambar tanpa boot ulang instans.
Selama proses pembuatan AMI, Amazon EC2 membuat snapshot volume root instans dan volume EBS lainnya yang dilampirkan ke instans Anda. Anda dikenai biaya untuk snapshot hingga Anda [membatalkan pendaftaran AMI](deregister-ami.md) dan menghapus snapshot. Jika setiap volume yang dilampirkan pada instans dienkripsi, AMI yang baru hanya akan berhasil diluncurkan pada tipe instans yang mendukung enkripsi Amazon EBS.
Bergantung pada ukuran volume, pembuatan AMI dapat memakan waktu beberapa menit untuk selesai (terkadang hingga 24 jam). Anda mungkin merasa lebih efisien untuk membuat snapshot volume sebelum membuat AMI. Dengan begitu, hanya snapshot kecil dan bertahap yang perlu dibuat saat AMI dibuat, dan proses ini selesai lebih cepat (total waktu untuk pembuatan snapshot tetap sama).
**5 – AMI \$12: AMI Baru**
Setelah proses selesai, Anda memiliki AMI baru dan snapshot (**snapshot \$12**) dibuat dari volume root instans. Jika Anda menambahkan volume penyimpanan instans atau volume EBS ke instans, selain volume root, pemetaan perangkat blok untuk AMI baru berisi informasi untuk volume ini.
Amazon EC2 secara otomatis mendaftarkan AMI untuk Anda.
**6 – Meluncurkan instans dari AMI baru**
Anda dapat menggunakan AMI baru untuk meluncurkan instans.
**7 – Instans EC2 \$12: Instans baru**
Saat Anda meluncurkan instans menggunakan AMI baru, Amazon EC2 membuat volume EBS baru untuk volume root instans menggunakan snapshot. Jika Anda menambahkan volume penyimpanan instans atau volume EBS saat Anda menyesuaikan instans, pemetaan perangkat blok untuk AMI baru berisi informasi untuk volume ini, dan pemetaan perangkat blok untuk instance yang Anda luncurkan dari AMI baru secara otomatis berisi informasi untuk volume ini. Volume penyimpanan instans yang ditentukan dalam pemetaan perangkat blok untuk instans yang baru adalah volume baru dan tidak berisi data dari volume penyimpanan instans yang Anda gunakan untuk membuat AMI. Data di volume EBS tetap ada. Untuk informasi selengkapnya, lihat [Blokir pemetaan perangkat untuk volume di instans Amazon EC2](block-device-mapping-concepts.md).
Saat membuat instans baru dari AMI yang didukung EBS, Anda harus menginisialisasi volume root dan penyimpanan EBS tambahan sebelum memasukkannya ke tahap produksi. Untuk informasi selengkapnya, lihat [Menginisialisasi volume Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-initialize.html) di Panduan Pengguna *Amazon EBS*.
## Buat AMI dari sebuah instance
Jika Anda memiliki instance yang sudah ada, Anda dapat membuat AMI dari instance ini.
------
#### [ Console ]
**Untuk membuat AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Instans**.
1. Pilih instans untuk membuat AMI, lalu pilih **Tindakan**, **Gambar dan templat**, **Buat gambar**.
**Tip**
Jika opsi ini dinonaktifkan, instans Anda bukan instans yang didukung Amazon EBS.
1. Pada halaman **Buat gambar**, tentukan informasi berikut:
1. Untuk **Nama gambar**, masukkan nama yang unik untuk gambar, hingga 127 karakter.
1. Untuk **Deskripsi gambar**, masukkan deskripsi opsional gambar, hingga 255 karakter.
1. Untuk **contoh Reboot**, simpan kotak centang yang dipilih (default), atau hapus.
+ Jika **instans Reboot** dipilih, saat Amazon EC2 membuat AMI baru, instans akan me-reboot instans sehingga dapat mengambil snapshot dari volume yang dilampirkan saat data dalam keadaan diam, untuk memastikan status yang konsisten.
+ Jika **instans Reboot** dihapus, saat Amazon EC2 membuat AMI baru, instans tidak mematikan dan mem-boot ulang instance.
**Awas**
Jika Anda menghapus **instance Reboot**, kami tidak dapat menjamin integritas sistem file dari gambar yang dibuat.
1. **Volume instans** – Anda dapat memodifikasi volume root, dan menambahkan Amazon EBS tambahan serta volume penyimpanan instans, sebagai berikut:
1. Volume root ditentukan dalam baris pertama.
+ Untuk mengubah ukuran volume root, untuk **Ukuran**, masukkan nilai yang diperlukan.
+ Jika Anda memilih **Hapus saat pengakhiran**, saat Anda mengakhiri instans yang dibuat dari AMI ini, volume EBS akan dihapus. Jika Anda mengosongkan **Hapus saat pengakhiran**, saat Anda mengakhiri instans, volume EBS tidak dihapus. Untuk informasi selengkapnya, lihat [Pertahankan data saat instans diakhiri](preserving-volumes-on-termination.md).
1. Untuk menambahkan volume EBS, pilih **Tambahkan Volume** (yang akan menambahkan baris baru). Untuk **Tipe Penyimpanan**, pilih **EBS**, dan isi bidang dalam baris. Saat Anda meluncurkan instans dari AMI baru, volume tambahan ini secara otomatis dilampirkan ke instans. Volume kosong harus diformat dan dipasang. Volume berdasarkan snapshot harus dipasang.
1. Untuk menambahkan volume penyimpanan instans, lihat [Tambahkan volume penyimpanan instans ke Amazon EC2 AMI](adding-instance-storage-ami.md). Saat Anda meluncurkan instans dari AMI baru, volume tambahan ini secara otomatis diinisialisasi dan dipasang. Volume ini tidak berisi data dari volume penyimpanan instans pada instans berjalan yang Anda gunakan untuk membuat AMI.
1. **Tujuan snapshot** - Jika volume instans Anda berada di Zona Lokal yang mendukung snapshot lokal EBS, pilih tempat untuk membuat snapshot AMI:
+ **Wilayah AWS**: Buat snapshot di Wilayah induk Zona Lokal volume Anda.
+ **AWS Zona Lokal**: Buat snapshot di Zona Lokal yang sama dengan volume Anda.
**catatan**
Opsi ini hanya muncul di Local Zones yang mendukung snapshot lokal EBS, dan hanya jika instance Anda dibuat di Zona Lokal. Jika volume berada di Wilayah, opsi ini tidak muncul, dan snapshot secara otomatis dibuat di Wilayah yang sama dengan volume. Untuk informasi selengkapnya, lihat [Snapshot lokal di Local Zones](https://docs.aws.amazon.com/ebs/latest/userguide/snapshots-localzones.html) di *Panduan Pengguna Amazon EBS*.
**penting**
Semua snapshot dari volume instance harus berada di lokasi yang sama. Verifikasi lokasi snapshot yang ada. Jika ada snapshot yang ada di lokasi yang berbeda dari tujuan yang Anda pilih, pembuatan AMI akan gagal.
1. **Tag** – Anda dapat menandai AMI dan snapshot dengan tag yang sama, atau Anda dapat menandai keduanya dengan tag yang berbeda.
+ Untuk menandai AMI dan snapshot dengan tag yang *sama*, pilih **Tag gambar dan snapshot bersama-sama**. Tag yang sama akan diterapkan pada AMI dan setiap snapshot yang dibuat.
+ Untuk menandai AMI dan snapshot dengan tanda yang *berbeda*, pilih **Tag gambar dan snapshot secara terpisah**. Tag yang berbeda akan diterapkan pada AMI dan setiap snapshot yang dibuat. Namun, semua snapshot mendapatkan tag yang sama; Anda tidak dapat menandai setiap snapshot dengan tag yang berbeda.
Untuk menambahkan tag , pilih **Tambahkan tag** dan masukkan kunci dan nilai tag. Ulangi hal itu untuk setiap tanda.
1. Saat Anda siap membuat AMI, pilih **Buat gambar**.
1. Untuk melihat status AMI Anda saat sedang dibuat:
1. Di panel navigasi, pilih **AMIs**.
1. Atur filter ke **Dimiliki oleh saya**, dan cari AMI Anda dalam daftar.
Awalnya, statusnya adalah `pending` namun akan berubah menjadi `available` setelah beberapa menit.
1. (Opsional) Untuk melihat snapshot yang dibuat untuk AMI baru:
1. Perhatikan ID AMI Anda di langkah sebelumnya.
1. Di panel navigasi, pilih **Snapshot**.
1. Atur filter ke **Dimiliki oleh saya**, lalu cari snapshot dengan ID AMI baru di kolom **Deskripsi**.
Saat Anda meluncurkan instance dari AMI ini, Amazon EC2 menggunakan snapshot ini untuk membuat volume root instans.
------
#### [ AWS CLI ]
**Untuk membuat AMI**
Gunakan perintah [create-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image.html).
```
aws ec2 create-image \
--instance-id i-1234567890abcdef0 \
--name "my-web-server" \
--description "My web server image" \
--no-reboot
```
------
#### [ PowerShell ]
**Untuk membuat AMI**
Gunakan [New-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Image.html)cmdlet.
```
New-EC2Image `
-InstanceId i-1234567890abcdef0 `
-Name "my-web-server" `
-Description "My web server image" `
-NoReboot $true
```
------
## Buat AMI dari snapshot
Jika Anda memiliki snapshot volume root dari sebuah instance, Anda dapat membuat AMI dari snapshot ini.
**catatan**
Dalam kebanyakan kasus, AMIs untuk Windows, Red Hat, SUSE, dan SQL Server memerlukan informasi lisensi yang benar untuk hadir di AMI. Untuk informasi selengkapnya, lihat [Memahami informasi penagihan AMI](ami-billing-info.md). Saat membuat AMI dari snapshot, `RegisterImage` operasi memperoleh informasi penagihan yang benar dari metadata snapshot, tetapi ini memerlukan metadata yang sesuai untuk hadir. Untuk memverifikasi apakah informasi penagihan yang benar diterapkan, periksa bidang **Detail Platform** pada AMI baru. Jika bidang kosong atau tidak cocok dengan kode sistem operasi yang diharapkan (misalnya, Windows, Red Hat, SUSE, atau SQL), pembuatan AMI tidak berhasil, dan Anda harus membuang AMI dan mengikuti instruksi di. [Buat AMI dari sebuah instance](#how-to-create-ebs-ami)
------
#### [ Console ]
**Untuk membuat AMI dari snapshot**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Snapshot**.
1. Pilih snapshot untuk membuat AMI, lalu pilih **Tindakan**, **Buat gambar dari snapshot**.
1. Pada halaman **Buat gambar dari snapshot**, tentukan informasi berikut:
1. Untuk **Nama gambar**, masukkan nama deskriptif untuk gambar tersebut.
1. Untuk **Deskripsi**, masukkan deskripsi singkat untuk gambar tersebut.
1. Untuk **Arsitektur**, pilih arsitektur gambar. **Pilih **i386** untuk 32-bit, **x86\$164 untuk 64-bit, arm64** **untuk ARM 64-bit, atau x86\$164** untuk macOS 64-bit.**
1. Untuk **nama perangkat Root**, masukkan nama perangkat yang akan digunakan untuk volume root. Untuk informasi selengkapnya, lihat [Nama perangkat untuk volume di EC2 instans Amazon](device_naming.md).
1. Untuk **Tipe virtualisasi**, pilih tipe virtualisasi yang akan digunakan oleh instans yang diluncurkan dari AMI ini. Untuk informasi selengkapnya, lihat [Tipe virtualisasi](ComponentsAMIs.md#virtualization_types).
1. (Hanya untuk virtualisasi paravirtual) Untuk **ID Kernel**, pilih kernel sistem operasi untuk gambar tersebut. Jika Anda menggunakan snapshot dari volume root sebuah instance, pilih ID kernel yang sama dengan instance aslinya. Jika Anda tidak yakin, gunakan kernel default.
1. (Hanya untuk virtualisasi paravirtual) Untuk **ID disk RAM**, pilih disk RAM untuk gambar tersebut. Jika Anda memilih kernel tertentu, Anda mungkin perlu memilih RAM disk tertentu dengan driver yang mendukungnya.
1. Untuk **mode Boot**, pilih mode boot untuk gambar, atau pilih **Use default** sehingga ketika instance diluncurkan dengan AMI ini, boot dengan mode boot yang didukung oleh jenis instance. Untuk informasi selengkapnya, lihat [Mengatur mode boot Amazon EC2 AMI](set-ami-boot-mode.md).
1. (Opsional) Di bawah **Blokir pemetaan perangkat**, sesuaikan volume root dan tambahkan volume data tambahan.
Untuk setiap volume, Anda dapat menentukan ukuran, tipe, karakteristik performa, perilaku penghapusan saat pengakhiran, dan status enkripsi. Untuk volume root, ukurannya tidak bisa lebih kecil dari ukuran snapshot. Untuk tipe volume, General Purpose SSD `gp3` adalah pilihan default.
1. (Opsional) Di bawah **Tag**, Anda dapat menambahkan satu atau beberapa tag ke AMI baru. Untuk menambahkan tag , pilih **Tambahkan tag** dan masukkan kunci dan nilai tag. Ulangi hal itu untuk setiap tanda.
1. Saat Anda siap membuat AMI, pilih **Buat gambar**.
1. (Hanya Windows, Red Hat, SUSE, dan SQL Server) Untuk memverifikasi apakah informasi penagihan yang benar diterapkan, periksa bidang **Detail Platform** pada AMI baru. Jika bidang kosong atau tidak cocok dengan kode sistem operasi yang diharapkan (misalnya, **Windows** atau **Red Hat**), pembuatan AMI tidak berhasil, dan Anda harus membuang AMI dan mengikuti instruksi di. [Buat AMI dari sebuah instance](#how-to-create-ebs-ami)
------
#### [ AWS CLI ]
**Untuk membuat AMI dari snapshot menggunakan AWS CLI**
Gunakan perintah [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html).
```
aws ec2 register-image \
--name my-image \
--root-device-name /dev/xvda \
--block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0db2cf683925d191f}
```
------
#### [ PowerShell ]
**Untuk membuat AMI dari snapshot menggunakan PowerShell**
Gunakan [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet.
```
$block = @{SnapshotId=snap-0db2cf683925d191f}
Register-EC2Image `
-Name my-image `
-RootDeviceName /dev/xvda `
-BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block}
```
------
# Buat AMI yang didukung Amazon S3
AMI yang Anda tentukan saat meluncurkan instans menentukan jenis volume root.
Untuk membuat AMI Linux yang didukung Amazon S3, mulailah dari instance yang telah Anda luncurkan dari AMI Linux yang didukung Amazon S3 yang sudah ada. Setelah Anda mengustomisasi instans sesuai kebutuhan, paketkan dan daftarkan AMI baru tersebut, yang dapat Anda gunakan untuk meluncurkan instans baru dengan kustomisasi ini.
Anda tidak dapat membuat AMI Windows yang didukung Amazon S3 karena Windows AMIs tidak mendukung penyimpanan instance untuk volume root.
**penting**
Hanya jenis instance berikut yang mendukung volume penyimpanan instans sebagai volume root dan memerlukan AMI yang didukung Amazon S3: C1, C3, D2, I2, M1, M2, M3, R3, dan X1.
Proses pembuatan AMI berbeda untuk Amazon EBS yang didukung AMIs. Untuk informasi selengkapnya, lihat [Buat AMI yang didukung Amazon EBS-Backed](creating-an-ami-ebs.md).
**Topics**
+ [
## Ikhtisar penciptaan AMI
](#process-creating-an-ami-instance-store)
+ [
## Prasyarat
](#bundle-ami-prerequisites)
+ [
## Buat AMI dari instans Amazon Linux
](#amazon_linux_instructions)
+ [
# Siapkan alat Amazon EC2 AMI
](set-up-ami-tools.md)
+ [
# Referensi alat Amazon EC2 AMI
](ami-tools-commands.md)
+ [
# Konversikan AMI yang didukung Amazon S3 Anda ke AMI yang didukung EBS
](Using_ConvertingS3toEBS.md)
## Ikhtisar penciptaan AMI
Diagram berikut merangkum proses pembuatan AMI dari sebuah instance dengan volume root penyimpanan instance.
![\[Membuat AMI yang didukung Amazon S3.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami_create_instance_store.png)
Pertama, luncurkan instans dari AMI yang serupa dengan AMI yang ingin Anda buat. Anda dapat menyambungkan ke instans dan mengustomisasikannya. Saat instans diatur sesuai keinginan, Anda dapat membuat paketan. Perlu beberapa menit untuk menyelesaikan proses pembuatan paket. Setelah proses selesai, Anda akan memiliki paketan, yang terdiri atas manifes gambar (`image.manifest.xml`) dan file (`image.part.`*xx*) yang berisi templat untuk volume root. Berikutnya, Anda mengunggah paketan tersebut ke bucket Amazon S3 kemudian mendaftarkan AMI Anda.
**catatan**
Untuk mengunggah objek ke bucket S3 untuk AMI Linux yang didukung Amazon S3, ACL harus diaktifkan untuk bucket. Jika tidak, Amazon EC2 tidak akan dapat mengatur ACLs objek yang akan diunggah. Jika bucket tujuan Anda menggunakan setelan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3, ini tidak akan berfungsi karena ACLs dinonaktifkan. Untuk informasi selengkapnya, lihat [Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).
Saat Anda meluncurkan instans menggunakan AMI yang baru, kami membuat volume root untuk instans tersebut menggunakan paketan yang Anda unggah ke Amazon S3. Ruang penyimpanan yang digunakan oleh paketan di Amazon S3 akan menimbulkan biaya sampai Anda menghapusnya. Untuk informasi selengkapnya, lihat [Membatalkan pendaftaran ke Amazon EC2 AMI](deregister-ami.md).
Jika Anda menambahkan volume penyimpanan instans ke instans Anda selain volume root, pemetaan perangkat blok untuk AMI baru berisi informasi untuk volume ini, dan pemetaan perangkat blok untuk instance yang Anda luncurkan dari AMI baru secara otomatis berisi informasi untuk volume ini. Untuk informasi selengkapnya, lihat [Blokir pemetaan perangkat untuk volume di instans Amazon EC2](block-device-mapping-concepts.md).
## Prasyarat
Sebelum dapat membuat AMI, Anda harus menyelesaikan tugas berikut:
+ Menginstal alat AMI. Untuk informasi selengkapnya, lihat [Siapkan alat Amazon EC2 AMI](set-up-ami-tools.md).
+ Instal AWS CLI. Untuk informasi selengkapnya, lihat [Memulai dengan AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Pastikan Anda memiliki bucket S3 untuk bundel, dan bucket Anda telah ACLs diaktifkan. Untuk informasi selengkapnya tentang mengonfigurasi ACLs, lihat [Mengkonfigurasi ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html).
+ Untuk membuat bucket S3 menggunakan Konsol Manajemen AWS, buka konsol Amazon S3 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)di dan **pilih** Create Bucket.
+ Untuk membuat bucket S3 dengan AWS CLI, Anda dapat menggunakan perintah [mb](https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html). Jika versi alat AMI yang terinstal adalah 1.5.18 atau yang lebih baru, Anda juga dapat menggunakan perintah `ec2-upload-bundle` untuk membuat bucket S3. Untuk informasi selengkapnya, lihat [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle).
+ Pastikan file dalam bundel Anda tidak dienkripsi di bucket S3. Jika Anda memerlukan enkripsi untuk AMI Anda, Anda dapat menggunakan AMI yang didukung EBS sebagai gantinya. Untuk informasi selengkapnya, lihat [Gunakan enkripsi dengan dukungan EBS AMIs](AMIEncryption.md).
+ Pastikan Anda memiliki ID AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat Akun AWS pengenal](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) di *Panduan Referensi Manajemen AWS Akun*.
+ Pastikan Anda memiliki kredensial untuk menggunakan AWS CLI. *Untuk informasi selengkapnya, lihat [Authentication and access credentials for the AWS CLI in the User](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) Guide.AWS Command Line Interface *
+ Pastikan Anda memiliki sertifikat X.509 dan kunci privat yang sesuai.
+ Jika Anda perlu membuat sertifikat X.509, lihat [Mengelola sertifikat penandatanganan](set-up-ami-tools.md#ami-tools-managing-certs). Sertifikat X.509 dan kunci privat digunakan untuk mengenkripsi dan mendekripsi AMI Anda.
+ [Tiongkok (Beijing)] Gunakan sertifikat `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-cn-north-1.pem`.
+ [AWS GovCloud (AS-Barat)] Gunakan `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-gov.pem` sertifikat.
+ Sambungkan ke instans Anda dan kustomisasikan. Misalnya, Anda dapat menginstal perangkat lunak dan aplikasi, menyalin data, menghapus file sementara, dan mengubah konfigurasi Linux.
## Buat AMI dari instans Amazon Linux
Prosedur berikut menjelaskan cara membuat AMI dari instance dengan volume root penyimpanan instance yang menjalankan Amazon Linux 1. Mereka mungkin tidak berfungsi untuk instance yang menjalankan distribusi Linux lainnya.
**Untuk mempersiapkan penggunaan alat AMI (khusus instans HVM)**
1. Alat AMI memerlukan GRUB Legacy untuk melakukan boot dengan benar. Gunakan perintah berikut untuk menginstal GRUB:
```
[ec2-user ~]$ sudo yum install -y grub
```
1. Instal paket manajemen partisi dengan perintah berikut:
```
[ec2-user ~]$ sudo yum install -y gdisk kpartx parted
```
**Untuk membuat AMI dari instans Amazon Linux dengan volume root penyimpanan instance**
Prosedur ini mengasumsikan bahwa Anda telah memenuhi prasyarat dalam [Prasyarat](#bundle-ami-prerequisites).
Dalam perintah berikut, ganti masing-masing *user input placeholder* dengan informasi Anda sendiri.
1. Unggah kredensial Anda ke instans. Kami menggunakan kredensial ini untuk memastikan hanya Anda dan Amazon EC2 yang dapat mengakses AMI.
1. Buat direktori sementara pada instans untuk kredensial Anda sebagai berikut:
```
[ec2-user ~]$ mkdir /tmp/cert
```
Ini memungkinkan Anda mengecualikan kredensial Anda dari gambar yang dibuat.
1. Salin sertifikat X.509 dan kunci privat terkait dari komputer Anda ke direktori `/tmp/cert` pada instans dengan alat penyalin aman, seperti [scp](linux-file-transfer-scp.md). Opsi `-i my-private-key.pem` dalam perintah **scp** berikut adalah kunci privat yang Anda gunakan untuk terhubung ke instan Anda dengan SSH, bukan kunci privat X.509. Sebagai contoh:
```
you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem /path/to/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/
pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem 100% 717 0.7KB/s 00:00
cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem 100% 685 0.7KB/s 00:00
```
Atau, karena ini adalah file teks biasa, Anda dapat membuka sertifikat dan mengetikannya dalam editor teks dan menyalin kontennya ke dalam file baru di `/tmp/cert`.
1. Siapkan paketan untuk diunggah ke Amazon S3 dengan menjalankan perintah [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) dari dalam instans Anda. Pastikan untuk menentukan opsi `-e` untuk mengecualikan direktori tempat kredensial Anda disimpan. Secara default, proses paketan mengecualikan file yang mungkin berisi informasi sensitif. File ini termasuk `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys`, dan `*/.bash_history`. Untuk menyertakan semua file ini, gunakan opsi `--no-filter`. Untuk menyertakan beberapa file ini, gunakan opsi `--include`.
**penting**
Secara default, proses pembuatan paketan AMI membuat koleksi file yang dikompresi dan dienkripsi di direktori `/tmp` yang mewakili volume root Anda. Jika tidak memiliki cukup ruang disk di `/tmp` untuk menyimpan paketan, Anda perlu menentukan lokasi berbeda untuk paketan yang akan disimpan dengan opsi `-d /path/to/bundle/storage`. Beberapa instance memiliki penyimpanan sementara yang terpasang pada `/mnt` atau `/media/ephemeral0` yang dapat Anda gunakan, atau Anda juga dapat membuat, melampirkan, dan memasang volume Amazon EBS baru) untuk menyimpan bundel. Untuk informasi selengkapnya, lihat [Membuat volume Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-volume.html) di *Panduan Pengguna Amazon EBS*.
1. Anda harus menjalankan perintah **ec2-bundle-vol** sebagai root. Untuk sebagian besar perintah, Anda dapat menggunakan **sudo** untuk mendapatkan izin yang lebih tinggi, tetapi dalam kasus ini, Anda harus menjalankan **sudo -E su** untuk menjaga variabel lingkungan Anda.
```
[ec2-user ~]$ sudo -E su
```
Perhatikan bahwa perintah bash kini mengidentifikasi Anda sebagai pengguna root, dan bahwa tanda dolar telah diganti dengan tanda pagar, menandakan bahwa Anda berada dalam shell root:
```
[root ec2-user]#
```
1. Untuk membuat paketan AMI, jalankan perintah [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) sebagai berikut:
```
[root ec2-user]# ec2-bundle-vol -k /tmp/cert/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c /tmp/cert/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 123456789012 -r x86_64 -e /tmp/cert --partition gpt
```
**catatan**
[Untuk Wilayah Tiongkok (Beijing) AWS GovCloud dan (AS-Barat), gunakan `--ec2cert` parameter dan tentukan sertifikat sesuai prasyarat.](#bundle-ami-prerequisites)
Perlu waktu beberapa menit untuk membuat gambar. Ketika perintah ini selesai, direktori Anda `/tmp` (atau non-default) berisi bundel (`image.manifest.xml`, ditambah beberapa `image.part.` *xx* file).
1. Keluar dari shell root.
```
[root ec2-user]# exit
```
1. (Opsional) Untuk menambahkan volume penyimpanan instans, edit pemetaan perangkat blok dalam file `image.manifest.xml` untuk AMI Anda. Untuk informasi selengkapnya, lihat [Blokir pemetaan perangkat untuk volume di instans Amazon EC2](block-device-mapping-concepts.md).
1. Membuat cadangan file `image.manifest.xml` Anda.
```
[ec2-user ~]$ sudo cp /tmp/image.manifest.xml /tmp/image.manifest.xml.bak
```
1. Format ulang file `image.manifest.xml` agar lebih mudah dibaca dan diubah.
```
[ec2-user ~]$ sudo xmllint --format /tmp/image.manifest.xml.bak > /tmp/image.manifest.xml
```
1. Edit pemetaan perangkat blok di `image.manifest.xml` editor teks. Contoh di bawah ini menunjukkan entri baru untuk volume penyimpanan instans `ephemeral1`.
**catatan**
Untuk daftar file yang dikecualikan, lihat [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol).
```
ami
sda
ephemeral0
sdb
ephemeral1
sdc
root
/dev/sda1
```
1. Simpan file `image.manifest.xml`, dan tutup editor teks Anda.
1. Untuk mengunggah paketan Anda ke Amazon S3, jalankan perintah [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle) sebagai berikut.
```
[ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m /tmp/image.manifest.xml -a your_access_key_id -s your_secret_access_key
```
**penting**
Untuk mendaftarkan AMI Anda di Wilayah selain AS Timur (Virginia Utara), Anda harus menentukan Wilayah target dengan opsi `--region` dan jalur bucket yang sudah ada di Wilayah target atau jalur bucket unik yang dapat dibuat di Wilayah target.
1. (Opsional) Setelah bundel diunggah ke Amazon S3, Anda dapat menghapus bundel dari direktori `/tmp` pada instans menggunakan perintah **rm** berikut:
```
[ec2-user ~]$ sudo rm /tmp/image.manifest.xml /tmp/image.part.* /tmp/image
```
**penting**
Jika Anda menentukan jalur dengan opsi `-d /path/to/bundle/storage` di [Step 2](#step_with_bundle_path_amazon_linux), gunakan jalur tersebut, alih-alih `/tmp`.
1. Untuk mendaftarkan AMI Anda, jalankan perintah [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) sebagai berikut.
```
[ec2-user ~]$ aws ec2 register-image --image-location amzn-s3-demo-bucket/bundle_folder/bundle_name/image.manifest.xml --name AMI_name --virtualization-type hvm
```
**penting**
Jika sebelumnya Anda menentukan Wilayah untuk perintah [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle), tentukan Wilayah itu untuk perintah ini.
# Siapkan alat Amazon EC2 AMI
Anda dapat menggunakan alat AMI untuk membuat dan mengelola Linux yang didukung Amazon S3. AMIs Untuk menggunakan alat ini, Anda harus menginstalnya di instans Linux Anda. Alat AMI tersedia baik sebagai RPM dan sebagai file .zip untuk distribusi Linux yang tidak mendukung RPM.
**Untuk menyiapkan alat AMI menggunakan RPM**
1. Instal Ruby menggunakan manajer paket untuk distribusi Linux Anda, seperti yum. Sebagai contoh:
```
[ec2-user ~]$ sudo yum install -y ruby
```
1. Unduh file RPM menggunakan alat seperti wget atau curl. Sebagai contoh:
```
[ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.noarch.rpm
```
1. Verifikasikan tanda tangan file RPM menggunakan perintah berikut:
```
[ec2-user ~]$ rpm -K ec2-ami-tools.noarch.rpm
```
Perintah di atas harus menunjukkan bahwa file SHA1 dan MD5 hash adalah `OK.` Jika perintah menunjukkan bahwa hash tersebut`NOT OK`, gunakan perintah berikut untuk melihat Header SHA1 dan MD5 hash file:
```
[ec2-user ~]$ rpm -Kv ec2-ami-tools.noarch.rpm
```
Kemudian, bandingkan Header SHA1 dan MD5 hash file Anda dengan hash alat AMI terverifikasi berikut untuk mengonfirmasi keaslian file:
+ Tajuk SHA1: a1f662d6f25f69871104e6a62187fa4df508f880
+ MD5: 9faff05258064e2f7909b66142de6782
Jika Header SHA1 dan MD5 hash file Anda cocok dengan hash alat AMI yang diverifikasi, lanjutkan ke langkah berikutnya.
1. Instal RPM menggunakan perintah berikut:
```
[ec2-user ~]$ sudo yum install ec2-ami-tools.noarch.rpm
```
1. Verifikasi instalasi alat AMI Anda menggunakan perintah [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).
```
[ec2-user ~]$ ec2-ami-tools-version
```
**catatan**
Jika Anda menerima kesalahan pemuatan seperti “tidak dapat memuat file tersebut -- ec2/amitools/version (LoadError)”, selesaikan langkah berikutnya untuk menambahkan lokasi instalasi alat AMI Anda ke jalur Anda. `RUBYLIB`
1. (Opsional) Jika Anda menerima kesalahan pada langkah sebelumnya, tambahkan lokasi instalasi alat AMI Anda ke jalur `RUBYLIB`.
1. Jalankan perintah berikut untuk menentukan jalur yang akan ditambahkan.
```
[ec2-user ~]$ rpm -qil ec2-ami-tools | grep ec2/amitools/version
/usr/lib/ruby/site_ruby/ec2/amitools/version.rb
/usr/lib64/ruby/site_ruby/ec2/amitools/version.rb
```
Dalam contoh di atas, file yang hilang dari kesalahan pemuatan sebelumnya berada di `/usr/lib/ruby/site_ruby` dan `/usr/lib64/ruby/site_ruby`.
1. Tambahkan lokasi dari langkah sebelumnya ke jalur `RUBYLIB` Anda.
```
[ec2-user ~]$ export RUBYLIB=$RUBYLIB:/usr/lib/ruby/site_ruby:/usr/lib64/ruby/site_ruby
```
1. Verifikasi instalasi alat AMI Anda menggunakan perintah [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).
```
[ec2-user ~]$ ec2-ami-tools-version
```
**Untuk menyiapkan alat AMI menggunakan file .zip**
1. Instal Ruby dan bongkar file .zip menggunakan pengelola paket untuk distribusi Linux Anda, seperti **apt-get**. Sebagai contoh:
```
[ec2-user ~]$ sudo apt-get update -y && sudo apt-get install -y ruby unzip
```
1. Unduh file .zip menggunakan alat seperti wget atau curl. Sebagai contoh:
```
[ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip
```
1. Bongkar file .zip ke dalam direktori instalasi yang sesuai, seperti `/usr/local/ec2`.
```
[ec2-user ~]$ sudo mkdir -p /usr/local/ec2
$ sudo unzip ec2-ami-tools.zip -d /usr/local/ec2
```
Perhatikan bahwa file.zip berisi folder ec2-ami-tools-. *x* *x*. *x*, dimana*x*. *x*. *x*adalah nomor versi alat (misalnya,`ec2-ami-tools-1.5.7`).
1. Atur variabel lingkungan `EC2_AMITOOL_HOME` untuk direktori instalasi alat. Sebagai contoh:
```
[ec2-user ~]$ export EC2_AMITOOL_HOME=/usr/local/ec2/ec2-ami-tools-x.x.x
```
1. Tambahkan alat ke variabel lingkungan `PATH` Anda. Sebagai contoh:
```
[ec2-user ~]$ export PATH=$EC2_AMITOOL_HOME/bin:$PATH
```
1. Anda dapat memverifikasi instalasi alat AMI Anda menggunakan perintah [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).
```
[ec2-user ~]$ ec2-ami-tools-version
```
## Mengelola sertifikat penandatanganan
Perintah tertentu di alat AMI memerlukan penandatanganan sertifikat (juga dikenal sebagai sertifikat X.509). Anda harus membuat sertifikat dan kemudian mengunggahnya ke AWS. Misalnya, Anda dapat menggunakan alat pihak ketiga, seperti OpenSSL untuk membuat sertifikat.
**Untuk membuat sertifikat tanda tangan**
1. Instal dan konfigurasi OpenSSL.
1. Buat kunci privat menggunakan perintah `openssl genrsa` dan simpan output-nya ke file `.pem`. Kami sarankan Anda membuat kunci RSA 2048- atau 4096-bit.
```
openssl genrsa 2048 > private-key.pem
```
1. Munculkan sertifikat menggunakan perintah `openssl req`.
```
openssl req -new -x509 -nodes -sha256 -days 365 -key private-key.pem -outform PEM -out certificate.pem
```
Untuk mengunggah sertifikat ke AWS, gunakan [upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)perintah.
```
aws iam upload-signing-certificate --user-name user-name --certificate-body file://path/to/certificate.pem
```
Untuk membuat daftar sertifikat untuk pengguna, gunakan [list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)perintah:
```
aws iam list-signing-certificates --user-name user-name
```
Untuk menonaktifkan atau mengaktifkan kembali sertifikat penandatanganan untuk pengguna, gunakan [update-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/update-signing-certificate.html)perintah. Perintah berikut ini menonaktifkan sertifikat:
```
aws iam update-signing-certificate --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE --status Inactive --user-name user-name
```
Untuk menghapus sertifikat, gunakan [delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)perintah:
```
aws iam delete-signing-certificate --user-name user-name --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE
```
# Referensi alat Amazon EC2 AMI
Anda dapat menggunakan perintah alat AMI untuk membuat dan mengelola Linux yang didukung Amazon S3. AMIs Untuk menyiapkan alat, lihat [Siapkan alat Amazon EC2 AMI](set-up-ami-tools.md).
Untuk informasi tentang kunci akses Anda, lihat [Mengelola kunci akses untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) di *Panduan Pengguna IAM*.
**Topics**
+ [
## ec2- ami-tools-version
](#ami-tools-version)
+ [
## ec2-bundle-image
](#ami-bundle-image)
+ [
## ec2-bundle-vol
](#ami-bundle-vol)
+ [
## ec2-delete-bundle
](#ami-delete-bundle)
+ [
## ec2-download-bundle
](#ami-download-bundle)
+ [
## ec2-migrate-manifest
](#ami-migrate-manifest)
+ [
## ec2-unbundle
](#ami-unbundle)
+ [
## ec2-upload-bundle
](#ami-upload-bundle)
+ [
## Opsi umum untuk alat AMI
](#common-args-ami)
## ec2- ami-tools-version
### Deskripsi
Menjelaskan versi alat AMI.
### Sintaksis
**ec2-ami-tools-version**
### Output
Informasi versi.
### Contoh
Perintah contoh ini menampilkan informasi versi untuk alat AMI yang Anda gunakan.
```
[ec2-user ~]$ ec2-ami-tools-version
1.5.2 20071010
```
## ec2-bundle-image
### Deskripsi
Membuat AMI Linux yang didukung Amazon S3 dari image sistem operasi yang dibuat dalam file loopback.
### Sintaksis
****ec2-bundle-image** -c *path* -k *path* -u *account* -i *path* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [-p *prefix*]**
### Opsi
*jalur* `-c, --cert`
File sertifikat kunci publik RSA yang dienkode PEM.
Wajib: Ya
*jalur* `-k, --privatekey`
Jalur menuju file kunci RSA yang dienkode PEM. Anda akan perlu menentukan kunci ini untuk membuka paketan ini, jadi simpanlah di tempat yang aman. Perhatikan bahwa kunci tidak harus didaftarkan ke AWS akun Anda.
Wajib: Ya
*akun* `-u, --user `
ID AWS akun pengguna, tanpa tanda hubung.
Wajib: Ya
*jalur* `-i, --image`
Jalur ke gambar yang akan dipaketkan.
Wajib: Ya
*jalur* `-d, --destination`
Direktori untuk membuat paketan.
Default: `/tmp`
Wajib: Tidak
*jalur* `--ec2cert`
Jalur ke sertifikat kunci publik Amazon EC2 X.509 digunakan untuk mengenkripsi manifes gambar.
Wilayah `us-gov-west-1` dan `cn-north-1` menggunakan sertifikat kunci publik non-default dan jalur ke sertifikat tersebut harus ditetapkan dengan opsi ini. Jalur ke sertifikat berbeda-beda tergantung metode instalasi alat AMI. Untuk Amazon Linux, sertifikat terletak di `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Jika Anda menginstal alat AMI dari file RPM atau ZIP di [Siapkan alat Amazon EC2 AMI](set-up-ami-tools.md), sertifikat berada di `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.
Wajib: Hanya untuk Wilayah `us-gov-west-1` dan `cn-north-1`.
*arsitektur* `-r, --arch`
Arsitektur gambar. Jika Anda tidak memberikan arsitektur pada baris perintah, Anda akan diminta memberikannya saat pembuatan paketan dimulai.
Nilai yang valid: `i386` \$1 `x86_64`
Wajib: Tidak
*kode1,kode2,...* `--productcodes`
Kode produk yang dilampirkan ke gambar pada waktu pendaftaran, dipisahkan dengan koma.
Wajib: Tidak
*pemetaan* `-B, --block-device-mapping`
Menentukan bagaimana perangkat blok terpapar ke instans AMI ini jika tipe instans mendukung perangkat yang ditentukan.
Tentukan daftar pasangan kunci-nilai yang dipisahkan koma, di mana setiap kunci adalah nama virtual dan setiap nilai adalah nama perangkat yang terkait. Nama virtual mencakup hal berikut:
+ `ami`—Perangkat sistem file root, seperti yang terlihat oleh instans
+ `root`—Perangkat sistem file root, seperti yang terlihat oleh kernel
+ `swap`—Perangkat pertukaran, seperti yang terlihat oleh instans
+ `ephemeralN`—Volume penyimpanan instans ke-N
Wajib: Tidak
*awalan* `-p, --prefix`
Awalan nama file untuk file AMI yang dipaketkan.
Default: Nama file gambar. Misalnya, jika jalur gambar adalah `/var/spool/my-image/version-2/debian.img`, awalan default-nya adalah `debian.img`.
Wajib: Tidak
*kernel\$1id* `--kernel`
Tidak lagi digunakan. Gunakan [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) untuk mengatur kernel.
Wajib: Tidak
*ramdisk\$1id* `--ramdisk`
Tidak lagi digunakan. Gunakan [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) untuk mengatur disk RAM jika diperlukan.
Wajib: Tidak
### Output
Pesan status yang menjelaskan tahap dan status proses pembuatan paketan.
### Contoh
Contoh ini membuat paketan AMI dari gambar sistem operasi yang dibuat dalam file loopback.
```
[ec2-user ~]$ ec2-bundle-image -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -i image.img -d bundled/ -r x86_64
Please specify a value for arch [i386]:
Bundling image file...
Splitting bundled/image.gz.crypt...
Created image.part.00
Created image.part.01
Created image.part.02
Created image.part.03
Created image.part.04
Created image.part.05
Created image.part.06
Created image.part.07
Created image.part.08
Created image.part.09
Created image.part.10
Created image.part.11
Created image.part.12
Created image.part.13
Created image.part.14
Generating digests for each part...
Digests generated.
Creating bundle manifest...
ec2-bundle-image complete.
```
## ec2-bundle-vol
### Deskripsi
Membuat AMI Linux yang didukung Amazon S3 dengan mengompresi, mengenkripsi, dan menandatangani salinan volume root untuk instance.
Amazon EC2 mencoba mewarisi kode produk, pengaturan kernel, pengaturan disk RAM, dan memblokir pemetaan perangkat dari instance.
Secara default, proses paketan mengecualikan file yang mungkin berisi informasi sensitif. File ini termasuk `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys`, dan `*/.bash_history`. Untuk menyertakan semua file ini, gunakan opsi `--no-filter`. Untuk menyertakan beberapa file ini, gunakan opsi `--include`.
Untuk informasi selengkapnya, lihat [Buat AMI yang didukung Amazon S3](creating-an-ami-instance-store.md).
### Sintaksis
****ec2-bundle-vol** -c *path* -k *path* -u *account* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [--all] [-e *directory1*,*directory2*,...] [-i *file1*,*file2*,...] [--no-filter] [-p *prefix*] [-s *size*] [--[no-]inherit] [-v *volume*] [-P *type*] [-S *script*] [--fstab *path*] [--generate-fstab] [--grub-config *path*]**
### Opsi
*jalur* `-c, --cert`
File sertifikat kunci publik RSA yang dienkode PEM.
Wajib: Ya
*jalur* `-k, --privatekey `
Jalur menuju file kunci RSA yang dienkode PEM milik pengguna.
Wajib: Ya
*akun* `-u, --user`
ID AWS akun pengguna, tanpa tanda hubung.
Wajib: Ya
*tujuan* `-d, --destination`
Direktori untuk membuat paketan.
Default: `/tmp`
Wajib: Tidak
*jalur* `--ec2cert`
Jalur ke sertifikat kunci publik Amazon EC2 X.509 digunakan untuk mengenkripsi manifes gambar.
Wilayah `us-gov-west-1` dan `cn-north-1` menggunakan sertifikat kunci publik non-default dan jalur ke sertifikat tersebut harus ditetapkan dengan opsi ini. Jalur ke sertifikat berbeda-beda tergantung metode instalasi alat AMI. Untuk Amazon Linux, sertifikat terletak di `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Jika Anda menginstal alat AMI dari file RPM atau ZIP di [Siapkan alat Amazon EC2 AMI](set-up-ami-tools.md), sertifikat berada di `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.
Wajib: Hanya untuk Wilayah `us-gov-west-1` dan `cn-north-1`.
*arsitektur* `-r, --arch `
Arsitektur gambar. Jika Anda tidak memberikannya pada baris perintah, Anda akan diminta untuk memberikannya saat pembuatan paketan dimulai.
Nilai yang valid: `i386` \$1 `x86_64`
Wajib: Tidak
*kode1,kode2,...* `--productcodes`
Kode produk yang dilampirkan ke gambar pada waktu pendaftaran, dipisahkan dengan koma.
Wajib: Tidak
*pemetaan* `-B, --block-device-mapping`
Menentukan bagaimana perangkat blok terpapar ke instans AMI ini jika tipe instans mendukung perangkat yang ditentukan.
Tentukan daftar pasangan kunci-nilai yang dipisahkan koma, di mana setiap kunci adalah nama virtual dan setiap nilai adalah nama perangkat yang terkait. Nama virtual mencakup hal berikut:
+ `ami`—Perangkat sistem file root, seperti yang terlihat oleh instans
+ `root`—Perangkat sistem file root, seperti yang terlihat oleh kernel
+ `swap`—Perangkat pertukaran, seperti yang terlihat oleh instans
+ `ephemeralN`—Volume penyimpanan instans ke-N
Wajib: Tidak
`-a, --all`
Membuat paketan semua direktori, termasuk yang ada di sistem file yang dipasang dari jauh.
Wajib: Tidak
*direktori1,direktori2,...* `-e, --exclude `
Daftar jalur dan file direktori mutlak yang akan dikecualikan dari operasi paketan. Parameter ini menimpa opsi `--all`. Jika ada pengecualian, direktori dan subdirektori yang tercantum dengan parameter tidak akan dipaketkan dengan volume.
Wajib: Tidak
*file1,file2,...* `-i, --include `
Daftar file yang akan disertakan dalam operasi paketan. File yang ditentukan akan dikecualikan dari AMI karena mungkin mengandung informasi sensitif.
Wajib: Tidak
`--no-filter`
Jika ditentukan, kami tidak akan mengecualikan file dari AMI karena file tersebut mungkin berisi informasi sensitif.
Wajib: Tidak
*awalan* `-p, --prefix `
Awalan nama file untuk file AMI yang dipaketkan.
Default: `image`
Wajib: Tidak
*ukuran* `-s, --size`
Ukuran, dalam MB (1024 \$1 1024 byte), dari file gambar yang akan dibuat. Ukuran maksimalnya adalah 10240 MB.
Default: 10240
Wajib: Tidak
`--[no-]inherit`
Mengindikasikan apakah gambar harus mewarisi metadata instans (default-nya adalah mewarisi). Pembuatan paketan gagal jika Anda mengaktifkan `--inherit`, tetapi metadata instans tidak dapat diakses.
Wajib: Tidak
*volume* `-v, --volume `
Jalur mutlak ke volume yang dipasang dari tempat untuk membuat paketan.
Default: Direktori root (/)
Wajib: Tidak
*tipe* `-P, --partition`
Menunjukkan apakah gambar disk harus menggunakan tabel partisi. Jika Anda tidak menentukan tipe tabel partisi, default-nya adalah tipe yang digunakan pada perangkat blok induk volume, jika berlaku. Jika tidak, default-nya adalah `gpt`.
Nilai yang valid: `mbr` \$1 `gpt` \$1 `none`
Wajib: Tidak
*skrip* `-S, --script`
Skrip kustomisasi akan dijalankan tepat sebelum pembuatan paketan. Skrip harus menantikan satu argumen, titik pemasangan volume.
Wajib: Tidak
*jalur* `--fstab`
Jalur ke fstab yang akan dipaketkan ke dalam gambar. Jika ini tidak ditentukan, Amazon EC2 bundles /etc/fstab.
Wajib: Tidak
`--generate-fstab`
Bundel volume menggunakan fstab EC2 yang disediakan Amazon.
Wajib: Tidak
`--grub-config`
Jalur menuju file konfigurasi grub alternatif untuk dipaketkan ke dalam gambar. Secara default, `ec2-bundle-vol` menunggu `/boot/grub/menu.lst` atau `/boot/grub/grub.conf` ada pada gambar hasil klona. Opsi ini memungkinkan Anda menentukan jalur ke file konfigurasi grub alternatif, yang kemudian akan disalin menggantikan default (jika ada).
Wajib: Tidak
*kernel\$1id* `--kernel`
Tidak lagi digunakan. Gunakan [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) untuk mengatur kernel.
Wajib: Tidak
*ramdisk\$1id*`--ramdisk`
Tidak lagi digunakan. Gunakan [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) untuk mengatur disk RAM jika diperlukan.
Wajib: Tidak
### Output
Pesan status yang menjelaskan tahap dan status proses pemaketan.
### Contoh
Contoh ini membuat AMI paketan dengan mengompresi, mengenkripsi, dan menandatangani snapshot sistem file root mesin lokal.
```
[ec2-user ~]$ ec2-bundle-vol -d /mnt -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -r x86_64
Copying / into the image file /mnt/image...
Excluding:
sys
dev/shm
proc
dev/pts
proc/sys/fs/binfmt_misc
dev
media
mnt
proc
sys
tmp/image
mnt/img-mnt
1+0 records in
1+0 records out
mke2fs 1.38 (30-Jun-2005)
warning: 256 blocks unused.
Splitting /mnt/image.gz.crypt...
Created image.part.00
Created image.part.01
Created image.part.02
Created image.part.03
...
Created image.part.22
Created image.part.23
Generating digests for each part...
Digests generated.
Creating bundle manifest...
Bundle Volume complete.
```
## ec2-delete-bundle
### Deskripsi
Menghapus paketan tertentu dari penyimpanan Amazon S3. Setelah menghapus paketan, Anda tidak dapat meluncurkan instans dari AMI terkait.
### Sintaksis
****ec2-delete-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] [--url *url*] [--region *region*] [--sigv *version*] [-m *path*] [-p *prefix*] [--clear] [--retry] [-y]**
### Opsi
*bucket* `-b, --bucket `
Nama bucket Amazon S3 yang berisi paketan AMI, diikuti dengan awalan jalur opsional yang dibatasi ‘/’
Wajib: Ya
*access\$1key\$1id* `-a, --access-key`
ID kunci AWS akses.
Wajib: Ya
*secret\$1access\$1key* `-s, --secret-key`
Kunci akses AWS rahasia.
Wajib: Ya
*token* `-t, --delegation-token`
Token delegasi untuk diteruskan ke AWS permintaan. Untuk informasi selengkapnya, lihat [Kredensyal keamanan sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) di Panduan Pengguna *IAM*.
Wajib: Hanya saat Anda menggunakan kredensial keamanan sementara.
Default: Nilai dari variabel lingkungan `AWS_DELEGATION_TOKEN` (jika diatur).
*wilayah*`--region`
Wilayah yang akan digunakan dalam tanda tangan permintaan.
Default: `us-east-1`
Wajib: Wajib jika menggunakan tanda tangan versi 4
*version* `--sigv`
Versi tanda tangan yang digunakan ketika menandatangani permintaan.
Nilai yang valid: `2` \$1 `4`
Default: `4`
Wajib: Tidak
*path*`-m, --manifest`
Jalur ke file manifes.
Wajib: Anda harus menentukan `--prefix` atau `--manifest`.
*awalan* `-p, --prefix`
Awalan nama file AMI yang dipaketkan. Berikan seluruh awalan. Misalnya, jika awalannya adalah image.img, gunakan `-p image.img` dan bukan `-p image`.
Wajib: Anda harus menentukan `--prefix` atau `--manifest`.
`--clear`
Menghapus bucket Amazon S3 jika kosong setelah menghapus paketan tertentu.
Wajib: Tidak
`--retry`
Otomatis mencoba ulang semua kesalahan Amazon S3, hingga lima kali per operasi.
Wajib: Tidak
`-y, --yes`
Secara otomatis mengasumsikan jawaban semua permintaan adalah ya.
Wajib: Tidak
### Output
Amazon EC2 menampilkan pesan status yang menunjukkan tahapan dan status proses penghapusan.
### Contoh
Contoh ini menghapus paketan dari Amazon S3.
```
[ec2-user ~]$ ec2-delete-bundle -b amzn-s3-demo-bucket -a your_access_key_id -s your_secret_access_key
Deleting files:
amzn-s3-demo-bucket/image.manifest.xml
amzn-s3-demo-bucket/image.part.00
amzn-s3-demo-bucket/image.part.01
amzn-s3-demo-bucket/image.part.02
amzn-s3-demo-bucket/image.part.03
amzn-s3-demo-bucket/image.part.04
amzn-s3-demo-bucket/image.part.05
amzn-s3-demo-bucket/image.part.06
Continue? [y/n]
y
Deleted amzn-s3-demo-bucket/image.manifest.xml
Deleted amzn-s3-demo-bucket/image.part.00
Deleted amzn-s3-demo-bucket/image.part.01
Deleted amzn-s3-demo-bucket/image.part.02
Deleted amzn-s3-demo-bucket/image.part.03
Deleted amzn-s3-demo-bucket/image.part.04
Deleted amzn-s3-demo-bucket/image.part.05
Deleted amzn-s3-demo-bucket/image.part.06
ec2-delete-bundle complete.
```
## ec2-download-bundle
### Deskripsi
Mengunduh Linux yang didukung Amazon S3 yang ditentukan AMIs dari penyimpanan Amazon S3.
### Sintaksis
****ec2-download-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* -k *path* [--url *url*] [--region *region*] [--sigv *version*] [-m *file*] [-p *prefix*] [-d *directory*] [--retry]**
### Opsi
*bucket* `-b, --bucket`
Nama bucket Amazon S3 tempat paketan berada, diikuti dengan awalan jalur opsional yang dibatasi ‘/’.
Wajib: Ya
*access\$1key\$1id* `-a, --access-key`
ID kunci AWS akses.
Wajib: Ya
*secret\$1access\$1key* `-s, --secret-key`
Kunci akses AWS rahasia.
Wajib: Ya
*jalur* `-k, --privatekey`
Kunci privat yang digunakan untuk mendekripsi manifes.
Wajib: Ya
*url* `--url`
URL layanan Amazon S3.
Default: `https://s3.amazonaws.com/`
Wajib: Tidak
*wilayah* `--region`
Wilayah yang akan digunakan dalam tanda tangan permintaan.
Default: `us-east-1`
Wajib: Wajib jika menggunakan tanda tangan versi 4
*versi* `--sigv`
Versi tanda tangan yang digunakan ketika menandatangani permintaan.
Nilai yang valid: `2` \$1 `4`
Default: `4`
Wajib: Tidak
*file* `-m, --manifest`
Nama file manifes (tanpa jalur). Kami sarankan Anda untuk menentukan manifes (`-m`) atau awalan(`-p`).
Wajib: Tidak
*awalan* `-p, --prefix `
Awalan nama file untuk file AMI yang dipaketkan.
Default: `image`
Wajib: Tidak
*direktori* `-d, --directory `
Direktori tempat paketan yang diunduh disimpan. Direktori harus ada.
Default: Direktori kerja saat ini.
Wajib: Tidak
`--retry`
Otomatis mencoba ulang semua kesalahan Amazon S3, hingga lima kali per operasi.
Wajib: Tidak
### Output
Pesan status yang menunjukkan berbagai tahap proses pengunduhan ditampilkan.
### Contoh
Contoh ini membuat direktori `bundled` (menggunakan perintah Linux **mkdir**) dan mengunduh paketan dari bucket Amazon S3 `amzn-s3-demo-bucket`.
```
[ec2-user ~]$ mkdir bundled
[ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d mybundle
Downloading manifest image.manifest.xml from amzn-s3-demo-bucket to mybundle/image.manifest.xml ...
Downloading part image.part.00 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.00 ...
Downloaded image.part.00 from amzn-s3-demo-bucket
Downloading part image.part.01 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.01 ...
Downloaded image.part.01 from amzn-s3-demo-bucket
Downloading part image.part.02 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.02 ...
Downloaded image.part.02 from amzn-s3-demo-bucket
Downloading part image.part.03 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.03 ...
Downloaded image.part.03 from amzn-s3-demo-bucket
Downloading part image.part.04 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.04 ...
Downloaded image.part.04 from amzn-s3-demo-bucket
Downloading part image.part.05 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.05 ...
Downloaded image.part.05 from amzn-s3-demo-bucket
Downloading part image.part.06 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.06 ...
Downloaded image.part.06 from amzn-s3-demo-bucket
```
## ec2-migrate-manifest
### Deskripsi
Memodifikasi AMI Linux yang didukung Amazon S3 (misalnya, sertifikat, kernel, dan disk RAM) sehingga mendukung Wilayah yang berbeda.
### Sintaksis
****ec2-migrate-manifest** -c *path* -k *path* -m *path* \$1(-a *access\$1key\$1id* -s *secret\$1access\$1key* --region *region*) \$1 (--no-mapping)\$1 [--ec2cert *ec2\$1cert\$1path*] [--kernel *kernel-id*] [--ramdisk *ramdisk\$1id*]**
### Opsi
*jalur* `-c, --cert`
File sertifikat kunci publik RSA yang dienkode PEM.
Wajib: Ya
*jalur* `-k, --privatekey`
Jalur menuju file kunci RSA yang dienkode PEM milik pengguna.
Wajib: Ya
*jalur* `--manifest`
Jalur ke file manifes.
Wajib: Ya
*access\$1key\$1id* `-a, --access-key`
ID kunci AWS akses.
Wajib: Wajib jika menggunakan pemetaan otomatis.
*secret\$1access\$1key* `-s, --secret-key `
Kunci akses AWS rahasia.
Wajib: Wajib jika menggunakan pemetaan otomatis.
*wilayah* `--region`
Wilayah untuk dicari di file pemetaan.
Wajib: Wajib jika menggunakan pemetaan otomatis.
`--no-mapping`
Menonaktifkan pemetaan otomatis kernel dan disk RAM.
Selama migrasi, Amazon EC2 mengganti disk kernel dan RAM dalam file manifes dengan kernel dan disk RAM yang dirancang untuk wilayah tujuan. Kecuali parameter `--no-mapping` diberikan, `ec2-migrate-bundle` dapat menggunakan operasi `DescribeRegions` dan `DescribeImages` untuk melakukan pemetaan otomatis.
Wajib: Wajib jika Anda tidak menyediakan opsi `-a`, `-s`, dan `--region` yang digunakan untuk pemetaan otomatis.
*jalur* `--ec2cert`
Jalur ke sertifikat kunci publik Amazon EC2 X.509 digunakan untuk mengenkripsi manifes gambar.
Wilayah `us-gov-west-1` dan `cn-north-1` menggunakan sertifikat kunci publik non-default dan jalur ke sertifikat tersebut harus ditetapkan dengan opsi ini. Jalur ke sertifikat berbeda-beda tergantung metode instalasi alat AMI. Untuk Amazon Linux, sertifikat terletak di `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Jika Anda menginstal alat AMI dari file ZIP di [Siapkan alat Amazon EC2 AMI](set-up-ami-tools.md), sertifikat berada di `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.
Wajib: Hanya untuk Wilayah `us-gov-west-1` dan `cn-north-1`.
*kernel\$1id* `--kernel`
ID kernel yang akan dipilih.
Kami menyarankan Anda menggunakan PV-GRUB dibandingkan kernel dan disk RAM. Untuk informasi selengkapnya, lihat [Kernel yang disediakan pengguna](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) di *Panduan Pengguna Amazon Linux 2*.
Wajib: Tidak
*ramdisk\$1id* `--ramdisk`
ID disk RAM yang akan dipilih.
Kami menyarankan Anda menggunakan PV-GRUB dibandingkan kernel dan disk RAM. Untuk informasi selengkapnya, lihat [Kernel yang disediakan pengguna](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) di *Panduan Pengguna Amazon Linux 2*.
Wajib: Tidak
### Output
Pesan status yang menjelaskan tahap dan status proses pembuatan paketan.
### Contoh
Contoh ini menyalin AMI yang ditentukan dalam manifes `my-ami.manifest.xml` dari AS ke UE.
```
[ec2-user ~]$ ec2-migrate-manifest --manifest my-ami.manifest.xml --cert cert-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --privatekey pk-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --region eu-west-1
Backing up manifest...
Successfully migrated my-ami.manifest.xml It is now suitable for use in eu-west-1.
```
## ec2-unbundle
### Deskripsi
Membuat ulang bundel dari AMI Linux yang didukung Amazon S3.
### Sintaksis
****ec2-unbundle** -k *path* -m *path* [-s *source\$1directory*] [-d *destination\$1directory*]**
### Opsi
*jalur* `-k, --privatekey`
Jalur menuju file kunci RSA yang dienkode PEM.
Wajib: Ya
*jalur* `-m, --manifest`
Jalur ke file manifes.
Wajib: Ya
*source\$1directory* `-s, --source`
Direktori yang berisi paketan.
Default: Direktori saat ini.
Wajib: Tidak
*destination\$1directory* `-d, --destination`
Direktori tempat membongkar paketan AMI. Direktori tujuan harus ada.
Default: Direktori saat ini.
Wajib: Tidak
### Contoh
Contoh Linux dan UNIX ini membongkar paketan AMI yang ditentukan dalam file `image.manifest.xml`.
```
[ec2-user ~]$ mkdir unbundled
$ ec2-unbundle -m mybundle/image.manifest.xml -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -s mybundle -d unbundled
$ ls -l unbundled
total 1025008
-rw-r--r-- 1 root root 1048578048 Aug 25 23:46 image.img
```
### Output
Pesan status yang menunjukkan berbagai tahap proses pembongkaran paketan ditampilkan.
## ec2-upload-bundle
### Deskripsi
Mengunggah bundel untuk AMI Linux yang didukung Amazon S3 ke Amazon S3 dan menetapkan daftar kontrol akses (ACLs) yang sesuai pada objek yang diunggah. Untuk informasi selengkapnya, lihat [Buat AMI yang didukung Amazon S3](creating-an-ami-instance-store.md).
**catatan**
Untuk mengunggah objek ke bucket S3 untuk AMI Linux yang didukung Amazon S3, ACLs harus diaktifkan untuk bucket. Jika tidak, Amazon tidak EC2 akan dapat mengatur ACLs objek yang akan diunggah. Jika bucket tujuan Anda menggunakan setelan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3, ini tidak akan berfungsi karena ACLs dinonaktifkan. Untuk informasi selengkapnya, lihat [Mengontrol kepemilikan objek dan menonaktifkan bucket ACLs Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).
### Sintaksis
****ec2-upload-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] -m *path* [--url *url*] [--region *region*] [--sigv *version*] [--acl *acl*] [-d *directory*] [--part *part*] [--retry] [--skipmanifest]**
### Opsi
*bucket* `-b, --bucket`
Nama bucket Amazon S3 untuk menyimpan paketan, diikuti dengan awalan jalur opsional yang dibatasi ‘/’. Jika bucket tidak tersedia, bucket akan dibuat jika namanya tersedia. Selain itu, jika bucket tidak ada dan versi alat AMI adalah 1.5.18 atau yang lebih baru, perintah ini akan ACLs menetapkan bucket.
Wajib: Ya
*access\$1key\$1id* `-a, --access-key`
ID kunci AWS akses Anda.
Wajib: Ya
*secret\$1access\$1key* `-s, --secret-key`
Kunci akses AWS rahasia Anda.
Wajib: Ya
*token* `-t, --delegation-token`
Token delegasi untuk diteruskan ke AWS permintaan. Untuk informasi selengkapnya, lihat [Kredensyal keamanan sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) di Panduan Pengguna *IAM*.
Wajib: Hanya saat Anda menggunakan kredensial keamanan sementara.
Default: Nilai dari variabel lingkungan `AWS_DELEGATION_TOKEN` (jika diatur).
*jalur* `-m, --manifest`
Jalur ke file manifes. File manifes dibuat selama proses pembuatan paketan dan dapat ditemukan di direktori yang berisi paketan tersebut.
Wajib: Ya
*url* `--url`
Tidak lagi digunakan. Gunakan opsi `--region` sebagai gantinya kecuali jika bucket Anda dibatasi ke lokasi `EU` (dan bukan `eu-west-1`). Bendera `--location` adalah satu-satunya cara untuk menarget batasan lokasi tertentu.
URL layanan titik akhir Amazon S3.
Default: `https://s3.amazonaws.com/`
Wajib: Tidak
*wilayah* `--region`
Wilayah yang akan digunakan dalam tanda tangan permintaan untuk bucket S3 tujuan.
+ Jika bucket tidak ada dan Anda tidak menentukan Wilayah, alat akan membuat bucket tanpa batasan lokasi (di `us-east-1`).
+ Jika bucket tidak ada dan Anda menentukan Wilayah, alat akan membuat bucket di Wilayah yang ditentukan.
+ Jika bucket tersedia dan Anda tidak menentukan Wilayah, alat ini akan menggunakan lokasi bucket.
+ Jika bucket tersedia dan Anda menentukan `us-east-1` sebagai Wilayah, alat ini akan menggunakan lokasi aktual bucket tanpa pesan kesalahan apa pun, setiap file yang cocok akan ditimpa.
+ Jika bucket tersedia dan Anda menetapkan Wilayah (selain `us-east-1`) yang tidak sesuai dengan lokasi aktual bucket, alat akan keluar dengan kesalahan.
Jika bucket Anda dibatasi ke lokasi `EU` (dan bukan `eu-west-1`), gunakan bendera `--location` sebagai gantinya. Bendera `--location` adalah satu-satunya cara untuk menarget batasan lokasi tertentu.
Default: `us-east-1`
Wajib: Wajib jika menggunakan tanda tangan versi 4
*versi* `--sigv`
Versi tanda tangan yang digunakan ketika menandatangani permintaan.
Nilai yang valid: `2` \$1 `4`
Default: `4`
Wajib: Tidak
*acl* `--acl`
Kebijakan daftar kontrol akses dari gambar yang dipaketkan.
Nilai yang valid: `public-read` \$1 `aws-exec-read`
Default: `aws-exec-read`
Wajib: Tidak
*direktori* `-d, --directory`
Direktori yang berisi bagian AMI yang dipaketkan.
Default: Direktori yang berisi file manifes (lihat opsi `-m`).
Wajib: Tidak
*bagian* `--part`
Mulai mengunggah bagian tertentu dan semua bagian berikutnya. Sebagai contoh, `--part 04`.
Wajib: Tidak
`--retry`
Otomatis mencoba ulang semua kesalahan Amazon S3, hingga lima kali per operasi.
Wajib: Tidak
`--skipmanifest`
Tidak mengunggah manifes.
Wajib: Tidak
*lokasi* `--location`
Tidak lagi digunakan. Gunakan opsi `--region` sebagai gantinya, kecuali jika bucket Anda dibatasi ke lokasi `EU` (dan bukan `eu-west-1`). Bendera `--location` adalah satu-satunya cara untuk menarget batasan lokasi tersebut.
Batasan lokasi tujuan bucket Amazon S3. Jika bucket tersedia dan Anda menetapkan lokasi yang tidak sesuai dengan lokasi aktual bucket, alat akan keluar dengan kesalahan. Jika bucket tersedia dan Anda tidak menentukan lokasi, alat ini akan menggunakan lokasi bucket. Jika bucket tidak tersedia dan Anda menentukan lokasi, alat akan membuat bucket di lokasi yang ditentukan. Jika bucket tidak ada dan Anda tidak menentukan lokasi, alat akan membuat bucket tanpa batasan lokasi (di `us-east-1`).
Default: Jika `--region` ditentukan, lokasi diatur ke Wilayah yang ditentukan. Jika `--region` tidak ditentukan, lokasi secara default menjadi `us-east-1`.
Wajib: Tidak
### Output
Amazon EC2 menampilkan pesan status yang menunjukkan tahapan dan status proses unggahan.
### Contoh
Contoh ini mengunggah paketan yang ditentukan oleh manifes `image.manifest.xml`.
```
[ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key
Creating bucket...
Uploading bundled image parts to the S3 bucket amzn-s3-demo-bucket ...
Uploaded image.part.00
Uploaded image.part.01
Uploaded image.part.02
Uploaded image.part.03
Uploaded image.part.04
Uploaded image.part.05
Uploaded image.part.06
Uploaded image.part.07
Uploaded image.part.08
Uploaded image.part.09
Uploaded image.part.10
Uploaded image.part.11
Uploaded image.part.12
Uploaded image.part.13
Uploaded image.part.14
Uploading manifest ...
Uploaded manifest.
Bundle upload completed.
```
## Opsi umum untuk alat AMI
Sebagian besar alat AMI menerima parameter opsional berikut.
`--help, -h`
Menampilkan pesan bantuan.
`--version`
Menampilkan versi dan pemberitahuan hak cipta.
`--manual`
Menampilkan entri manual.
`--batch`
Berjalan dalam mode batch, menahan perintah interaktif.
`--debug`
Menampilkan informasi yang dapat berguna saat pemecahan masalah.
# Konversikan AMI yang didukung Amazon S3 Anda ke AMI yang didukung EBS
Anda dapat mengonversi AMI Linux yang didukung Amazon S3 yang Anda miliki ke AMI Linux yang didukung Amazon EBS.
**penting**
Anda tidak dapat mengonversi AMI yang tidak Anda miliki.
**Untuk mengonversi AMI yang didukung Amazon S3 ke AMI yang didukung Amazon EBS**
1. Luncurkan instans Amazon Linux dari AMI yang didukung Amazon EBS. Untuk informasi selengkapnya, lihat [Luncurkan instans EC2 menggunakan wizard instans peluncuran di konsol](ec2-launch-instance-wizard.md). Instans Amazon Linux memiliki alat AWS CLI dan AMI yang sudah diinstal sebelumnya.
1. Unggah kunci pribadi X.509 yang Anda gunakan untuk menggabungkan AMI yang didukung Amazon S3 ke instans Anda. Kami menggunakan kunci ini untuk memastikan hanya Anda dan Amazon EC2 yang dapat mengakses AMI.
1. Buat direktori sementara pada instans Anda untuk kunci privat X.509 sebagai berikut:
```
[ec2-user ~]$ mkdir /tmp/cert
```
1. Salin kunci privat X.509 dari komputer Anda ke direktori `/tmp/cert` pada instans, menggunakan alat penyalin aman seperti [scp](linux-file-transfer-scp.md). *my-private-key*Parameter dalam perintah berikut adalah kunci pribadi yang Anda gunakan untuk terhubung ke instance Anda dengan SSH. Contoh:
```
you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/
pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem 100% 717 0.7KB/s 00:00
```
1. Konfigurasikan variabel lingkungan Anda untuk menggunakan AWS CLI. Untuk informasi selengkapnya, lihat [Variabel lingkungan](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).
1. (Disarankan) Tetapkan variabel lingkungan untuk kunci AWS akses, kunci rahasia, dan token sesi Anda.
```
[ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id
[ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key
[ec2-user ~]$ export AWS_SESSION_TOKEN=your_session_token
```
1. Tetapkan variabel lingkungan untuk kunci AWS akses Anda, dan kunci rahasia.
```
[ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id
[ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key
```
1. Siapkan volume Amazon Elastic Block Store (Amazon EBS) untuk AMI baru Anda.
1. Buat volume EBS kosong di Zona Ketersediaan yang sama dengan instans Anda menggunakan perintah [create-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-volume.html). Perhatikan ID volume di output perintah.
**penting**
Volume EBS ini harus berukuran sama atau lebih besar dari volume root penyimpanan instans awal.
```
aws ec2 create-volume \
--size 10 \
--region us-west-2 \
--availability-zone us-west-2b
```
1. Lampirkan volume ke instans yang didukung Amazon EBS menggunakan perintah [attach-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-volume.html).
```
aws ec2 attach-volume \
--volume-id vol-01234567890abcdef \
--instance-id i-1234567890abcdef0 \
--region us-west-2
```
1. Buat folder untuk paketan Anda.
```
[ec2-user ~]$ mkdir /tmp/bundle
```
1. Unduh paketan untuk AMI berbasis penyimpanan instans Anda ke `/tmp/bundle` menggunakan perintah [ec2-download-bundle](ami-tools-commands.md#ami-download-bundle).
```
[ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m image.manifest.xml -a $AWS_ACCESS_KEY_ID -s $AWS_SECRET_ACCESS_KEY --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d /tmp/bundle
```
1. Susun kembali file gambar dari paketan menggunakan perintah [ec2-unbundle](ami-tools-commands.md#ami-unbundle).
1. Ubah direktori ke folder paketan.
```
[ec2-user ~]$ cd /tmp/bundle/
```
1. Jalankan perintah [ec2-unbundle](ami-tools-commands.md#ami-unbundle).
```
[ec2-user bundle]$ ec2-unbundle -m image.manifest.xml --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem
```
1. Salin file dari gambar yang tidak dipaketkan ke volume EBS baru.
```
[ec2-user bundle]$ sudo dd if=/tmp/bundle/image of=/dev/sdb bs=1M
```
1. Periksa volume apakah ada partisi baru yang tidak dipaketkan.
```
[ec2-user bundle]$ sudo partprobe /dev/sdb1
```
1. Buat daftar perangkat blok untuk mencari nama perangkat yang akan dipasang.
```
[ec2-user bundle]$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
/dev/sda 202:0 0 8G 0 disk
└─/dev/sda1 202:1 0 8G 0 part /
/dev/sdb 202:80 0 10G 0 disk
└─/dev/sdb1 202:81 0 10G 0 part
```
Dalam contoh ini, partisi yang akan dipasang adalah `/dev/sdb1`, tetapi nama perangkat Anda mungkin akan berbeda. Jika volume Anda tidak dipartisi, perangkat yang akan dipasang akan serupa dengan `/dev/sdb` (tanpa digit di bagian akhir partisi perangkat).
1. Buat titik pemasangan untuk volume EBS yang baru dan pasang volume.
```
[ec2-user bundle]$ sudo mkdir /mnt/ebs
[ec2-user bundle]$ sudo mount /dev/sdb1 /mnt/ebs
```
1. Buka file `/etc/fstab` pada volume EBS dengan editor teks favorit Anda (seperti **vim** atau **nano**) dan hapus entri apa pun untuk volume penyimpanan instans (ephemeral). Karena volume EBS dipasang di `/mnt/ebs`, file `fstab` berada di `/mnt/ebs/etc/fstab`.
```
[ec2-user bundle]$ sudo nano /mnt/ebs/etc/fstab
#
LABEL=/ / ext4 defaults,noatime 1 1
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
/dev/sdb /media/ephemeral0 auto defaults,comment=cloudconfig 0 2
```
Dalam contoh ini, baris terakhir harus dihapus.
1. Lepas volume dan pisahkan dari instans.
```
[ec2-user bundle]$ sudo umount /mnt/ebs
[ec2-user bundle]$ aws ec2 detach-volume --volume-id vol-01234567890abcdef --region us-west-2
```
1. Buat AMI dari volume EBS baru sebagai berikut.
1. Buat snapshot volume EBS yang baru.
```
[ec2-user bundle]$ aws ec2 create-snapshot --region us-west-2 --description "your_snapshot_description" --volume-id vol-01234567890abcdef
```
1. Periksa untuk memastikan kelengkapan snapshot Anda.
```
[ec2-user bundle]$ aws ec2 describe-snapshots --region us-west-2 --snapshot-id snap-0abcdef1234567890
```
1. Identifikasi arsitektur prosesor, tipe virtualisasi, dan gambar kernel (`aki`) yang digunakan pada AMI asli dengan perintah **describe-images**. Anda memerlukan ID AMI dari AMI asli yang didukung Amazon S3 untuk langkah ini.
```
[ec2-user bundle]$ aws ec2 describe-images --region us-west-2 --image-id ami-0abcdef1234567890 --output text
IMAGES x86_64 amazon/amzn-ami-pv-2013.09.2.x86_64-s3 ami-8ef297be amazon available public machine aki-fc8f11cc instance-store paravirtual xen
```
Dalam contoh ini, arsitekturnya adalah `x86_64` dan ID gambar kernel-nya adalah `aki-fc8f11cc`. Gunakan nilai-nilai ini di langkah berikut. Jika output perintah di atas juga mencantumkan ID `ari`, perhatikan juga hal tersebut.
1. Daftarkan AMI baru Anda dengan ID snapshot volume EBS baru Anda dan nilai-nilai dari langkah sebelumnya. Jika output perintah sebelumnya mencantumkan ID `ari`, sertakan ID tersebut dalam perintah berikut ini dengan `--ramdisk-id ari_id`.
```
[ec2-user bundle]$ aws ec2 register-image --region us-west-2 --name your_new_ami_name --block-device-mappings DeviceName=device-name,Ebs={SnapshotId=snap-0abcdef1234567890} --virtualization-type paravirtual --architecture x86_64 --kernel-id aki-fc8f11cc --root-device-name device-name
```
1. (Opsional) Setelah Anda menguji bahwa Anda dapat meluncurkan instans dari AMI baru, Anda dapat menghapus volume EBS yang Anda buat untuk prosedur ini.
```
aws ec2 delete-volume --volume-id vol-01234567890abcdef
```
# Buat Amazon EC2 AMI menggunakan Windows Sysprep
Alat Microsoft System Preparation (Windows Sysprep) membuat versi umum dari sistem operasi, dengan konfigurasi sistem khusus instance dihapus sebelum menangkap gambar baru.
Kami menyarankan Anda menggunakan [EC2 Image](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) Builder untuk mengotomatiskan pembuatan, pengelolaan, dan penyebaran gambar server yang disesuaikan, aman, up-to-date dan “emas” yang telah diinstal sebelumnya dan dikonfigurasi sebelumnya dengan perangkat lunak dan pengaturan.
Anda juga dapat menggunakan Windows Sysprep untuk membuat AMI standar menggunakan agen peluncuran Windows: Launch v2, Launch, dan EC2 Config. EC2 EC2
**penting**
Jangan gunakan Windows Sysprep untuk membuat cadangan instance. Windows Sysprep menghapus informasi spesifik sistem; menghapus informasi ini mungkin memiliki konsekuensi yang tidak diinginkan untuk cadangan instance.
Untuk memecahkan masalah Windows Sysprep, lihat. [Memecahkan masalah Sysprep dengan instans Windows Amazon EC2](sysprep-troubleshoot.md)
**Topics**
+ [
## Fase Windows Sysprep
](#sysprep-phases)
+ [
## Sebelum Anda mulai
](#sysprep-begin)
+ [Gunakan Windows Sysprep dengan Launch v2 EC2](sysprep-using-ec2launchv2.md)
+ [Gunakan Windows Sysprep dengan Peluncuran EC2](ec2launch-sysprep.md)
+ [Gunakan Windows Sysprep dengan Config EC2](sysprep-using.md)
## Fase Windows Sysprep
Windows Sysprep berjalan melalui fase-fase berikut:
+ **Generalisasi**: Alat Sysprep menghapus informasi dan konfigurasi khusus gambar. Misalnya, Windows Sysprep menghapus pengenal keamanan (SID), nama komputer, log peristiwa, dan driver tertentu, untuk beberapa nama. Setelah fase ini selesai, sistem operasi (OS) siap untuk membuat AMI.
**catatan**
Ketika Anda menjalankan Windows Sysprep dengan agen peluncuran Windows, sistem mencegah driver dihapus karena diatur ke true `PersistAllDeviceInstalls` secara default.
+ **Spesialisasi**: Plug and Play memindai komputer dan menginstal driver untuk perangkat yang terdeteksi. Alat Sysprep menghasilkan persyaratan OS, seperti nama komputer dan SID. Anda juga dapat menjalankan perintah dalam fase ini.
+ **Out-of-Box Experience (OOBE)**: Sistem menjalankan versi singkat dari Windows Setup dan meminta Anda untuk memasukkan informasi seperti bahasa sistem, zona waktu, dan organisasi terdaftar. Ketika Anda menjalankan Windows Sysprep dengan agen peluncuran Windows, file jawaban mengotomatiskan fase ini.
## Sebelum Anda mulai
+ Sebelum melakukan Windows Sysprep, kami sarankan Anda menghapus semua akun pengguna lokal dan semua profil akun selain satu akun administrator di mana Windows Sysprep akan dijalankan. Jika Anda menjalankan Windows Sysprep dengan akun dan profil tambahan, perilaku tak terduga dapat terjadi, termasuk hilangnya data profil atau kegagalan untuk menyelesaikan Windows Sysprep.
+ Pelajari selengkapnya tentang Ikhtisar [Sysprep](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--system-preparation--overview).
+ Pelajari [Dukungan Sysprep untuk](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep-support-for-server-roles) Peran Server.
# Buat AMI menggunakan Windows Sysprep dengan Launch v2 EC2
Saat Anda membuat gambar dari instance dengan agen EC2 Launch v2 diinstal, EC2 Launch v2 melakukan tugas tertentu saat gambar disiapkan. Ini termasuk bekerja dengan Windows Sysprep. Untuk informasi selengkapnya, lihat [Fase Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).
**Topics**
+ [
## Tindakan Windows Sysprep
](#sysprep-actions-ec2launchv2)
+ [
## Pasca Sysprep
](#sysprep-post-ec2launchv2)
+ [
## Jalankan Windows Sysprep dengan Launch v2 EC2
](#sysprep-gui-procedure-ec2launchv2)
## Tindakan Windows Sysprep
Windows Sysprep dan EC2 Launch v2 melakukan tindakan berikut saat menyiapkan gambar.
1. Ketika Anda memilih **Shutdown dengan Sysprep** di kotak dialog **EC2Launch settings**, sistem menjalankan perintah. `ec2launch sysprep`
1. EC2Luncurkan v2 mengedit konten `unattend.xml` file dengan membaca nilai registri di`HKEY_USERS\.DEFAULT\Control Panel\International\LocaleName`. File ini terletak di direktori berikut: `C:\ProgramData\Amazon\EC2Launch\sysprep`.
1. Sistem menjalankan `BeforeSysprep.cmd`. Perintah ini membuat kunci registri sebagai berikut:
**reg add "HKEY\$1LOCAL\$1MACHINE\$1SYSTEM\$1CurrentControlSet\$1Control\$1Terminal Server" /v fDenyTSConnections /t REG\$1DWORD /d 1 /f**
Kunci registri akan menonaktifkan koneksi RDP hingga diaktifkan kembali. Menonaktifkan koneksi RDP adalah langkah keamanan yang diperlukan karena, selama sesi boot pertama setelah Windows Sysprep berjalan, ada periode waktu singkat di mana RDP memungkinkan koneksi dan kata sandi Administrator kosong.
1. Layanan EC2 Launch v2 memanggil Windows Sysprep dengan menjalankan perintah berikut:
**sysprep.exe /oobe /generalize /shutdown /unattend: "C:\$1ProgramData\$1Amazon\$1EC2Launch\$1sysprep\$1unattend.xml"**
### Fase Generalisasi
+ EC2Launch v2 menghapus informasi dan konfigurasi khusus gambar, seperti nama komputer dan SID. Jika instans adalah anggota sebuah domain, instans akan dihapus dari domain tersebut. File jawaban `unattend.xml` mencakup pengaturan berikut yang memengaruhi fase ini:
+ **PersistAllDeviceInstalls**: Pengaturan ini mencegah Pengaturan Windows menghapus dan mengonfigurasi ulang perangkat, yang mempercepat proses persiapan gambar karena Amazon AMIs memerlukan driver tertentu untuk dijalankan dan deteksi ulang driver tersebut akan memakan waktu.
+ **DoNotCleanUpNonPresentDevices**: Pengaturan ini menyimpan informasi Plug and Play untuk perangkat yang saat ini tidak ada.
+ Windows Sysprep mematikan OS saat bersiap untuk membuat AMI. Sistem meluncurkan instans baru atau memulai instans asal.
### Tahap Spesialisasi
Sistem menghasilkan persyaratan spesifik OS, seperti nama komputer dan SID. Sistem juga melakukan tindakan berikut berdasarkan konfigurasi yang Anda tentukan dalam file jawaban `unattend.xml`.
+ **CopyProfile**: Windows Sysprep dapat dikonfigurasi untuk menghapus semua profil pengguna, termasuk profil Administrator bawaan. Pengaturan ini mempertahankan akun Administrator bawaan sehingga kustomisasi apa pun yang Anda buat pada akun tersebut dipindahkan ke gambar baru. Nilai bawaannya adalah `True`.
**CopyProfile** mengganti profil default dengan profil administrator lokal yang ada. Semua akun yang Anda masuk setelah menjalankan Windows Sysprep menerima salinan profil itu dan isinya saat login pertama.
Jika Anda tidak memiliki kustomisasi profil pengguna tertentu yang ingin Anda tampilkan ke gambar baru tersebut, ubah pengaturan ini menjadi `False`. Windows Sysprep akan menghapus semua profil pengguna (ini menghemat waktu dan ruang disk).
+ **TimeZone**: Zona waktu diatur ke Coordinate Universal Time (UTC) secara default.
+ **Perintah sinkron dengan order 1**: Sistem menjalankan perintah berikut, yang mengaktifkan akun administrator dan menentukan persyaratan kata sandi:
```
net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES
```
+ **Perintah sinkron dengan order 2**: Sistem mengacak kata sandi administrator. Langkah keamanan ini dirancang untuk mencegah instance agar tidak dapat diakses setelah Windows Sysprep selesai jika Anda tidak mengonfigurasi tugas. `setAdminAccount`
Sistem menjalankan perintah berikut dari direktori agen peluncuran lokal Anda (`C:\Program Files\Amazon\EC2Launch\`).
```
EC2Launch.exe internal randomize-password --username Administrator
```
+ Untuk mengaktifkan koneksi desktop jarak jauh, sistem menetapkan kunci `fDenyTSConnections` registri Terminal Server ke false.
### Fase OOBE
1. Sistem menentukan konfigurasi berikut menggunakan file jawaban EC2 Launch v2:
+ `en-US`
+ `en-US`
+ `en-US`
+ `en-US`
+ `true`
+ `true`
+ `3`
+ `false`
+ `UTC`
+ `Amazon.com`
+ `EC2`
**catatan**
Selama fase generalisasi dan spesialisasi, EC2 Launch v2 memantau status OS. Jika EC2 Launch v2 mendeteksi bahwa OS berada dalam fase Sysprep, maka ia menerbitkan pesan berikut ke log sistem:
Windows sedang dikonfigurasi. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE
1. Sistem menjalankan EC2 Launch v2.
## Pasca Sysprep
Setelah Windows Sysprep selesai, EC2 Launch v2 mengirimkan pesan berikut ke output konsol:
```
Windows sysprep configuration complete.
```
EC2Luncurkan v2 kemudian melakukan tindakan berikut:
1. Membaca konten file `agent-config.yml` dan menjalankan tugas-tugas yang dikonfigurasi.
1. Menjalankan semua tugas dalam tahap `preReady`.
1. Setelah selesai, mengirim pesan `Windows is ready` ke log sistem instans.
1. Menjalankan semua tugas dalam tahap `PostReady`.
Untuk informasi selengkapnya tentang EC2 Launch v2, lihat[Gunakan agen EC2launch v2 untuk melakukan tugas selama peluncuran instans Windows EC2](ec2launch-v2.md).
## Jalankan Windows Sysprep dengan Launch v2 EC2
Gunakan prosedur berikut untuk membuat AMI standar menggunakan Windows Sysprep dengan Launch v2. EC2
1. Di konsol Amazon EC2, cari AMI yang ingin Anda duplikat.
1. Jalankan dan hubungkan ke instans Windows Anda.
1. Sesuaikan pengaturan
1. Dari menu **Start** Windows, cari dan pilih **pengaturan Amazon EC2 Launch**. Untuk informasi selengkapnya tentang opsi dan pengaturan di kotak dialog **Pengaturan EC2 Peluncuran** Amazon, lihat[Konfigurasikan pengaturan EC2 Launch v2 untuk instance Windows](ec2launch-v2-settings.md).
1. Jika Anda telah membuat perubahan, pilih **Simpan** sebelum Anda mematikan.
1. **Pilih **Shutdown dengan Sysprep atau Shutdown tanpa Sysprep**.**
**Ketika Anda diminta untuk mengonfirmasi bahwa Anda ingin menjalankan Windows Sysprep dan mematikan instance, klik Ya.** EC2Luncurkan v2 menjalankan Windows Sysprep. Selanjutnya, Anda keluar dari instans, dan instans tersebut padam. Jika Anda memeriksa halaman **Instans** di konsol Amazon EC2, status instan berubah dari `Running` ke `Stopping`, lalu ke `Stopped`. Ketika itu, aman untuk membuat AMI dari instans ini.
Anda dapat secara manual memanggil alat Windows Sysprep dari baris perintah menggunakan perintah berikut:
```
"%programfiles%\amazon\ec2launch\ec2launch.exe" sysprep --shutdown=true
```
# Buat AMI menggunakan Windows Sysprep dengan Launch EC2
Saat Anda membuat gambar dari instance dengan agen EC2 Peluncuran diinstal, EC2 Launch melakukan tugas tertentu saat gambar disiapkan. Ini termasuk bekerja dengan Windows Sysprep. Untuk informasi selengkapnya, lihat [Fase Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).
EC2Launch menawarkan file jawaban default dan file batch untuk Windows Sysprep yang mengotomatiskan dan mengamankan proses persiapan gambar pada AMI Anda. Memodifikasi file ini bersifat opsional. File ini terletak di direktori berikut secara default: `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`.
**penting**
Jangan gunakan Windows Sysprep untuk membuat cadangan instance. Windows Sysprep menghapus informasi spesifik sistem. Jika Anda menghapus informasi ini, mungkin ada konsekuensi yang tidak diinginkan untuk pencadangan instans.
**Topics**
+ [
## EC2Luncurkan jawaban dan file batch untuk Windows Sysprep
](#ec2launch-sysprep-answer-batch)
+ [
## Jalankan Windows Sysprep dengan Launch EC2
](#ec2launch-sysprep-running)
+ [
## Perbarui metadata/KMS rute untuk Server 2016 dan yang lebih baru saat meluncurkan AMI khusus
](#update-metadata-KMS)
## EC2Luncurkan jawaban dan file batch untuk Windows Sysprep
File jawaban EC2 Launch dan file batch untuk Windows Sysprep meliputi yang berikut:
`Unattend.xml`
Ini adalah file jawaban default. Jika Anda menjalankan `SysprepInstance.ps1` atau memilih **ShutdownWithSysprep** dalam antarmuka pengguna, sistem membaca pengaturan dari file ini.
`BeforeSysprep.cmd`
Sesuaikan file batch ini untuk menjalankan perintah sebelum EC2 Launch menjalankan Windows Sysprep.
`SysprepSpecialize.cmd`
Sesuaikan file batch ini untuk menjalankan perintah selama fase spesialisasi Windows Sysprep.
## Jalankan Windows Sysprep dengan Launch EC2
Pada instalasi penuh Windows Server 2016 dan yang lebih baru (dengan pengalaman desktop), Anda dapat menjalankan Windows Sysprep dengan EC2 Launch secara manual atau dengan menggunakan aplikasi **EC2** Launch Settings.
**Untuk menjalankan Windows Sysprep menggunakan aplikasi Launch Settings EC2**
1. Di konsol Amazon EC2, cari atau buat AMI Windows Server 2016 atau yang lebih baru.
1. Luncurkan instans Windows dari AMI.
1. Sambungkan ke instans Windows Anda dan kustomisasikan.
1. Cari dan jalankan aplikasi **EC2LaunchSettings**. Aplikasi ini terletak di direktori berikut secara default: `C:\ProgramData\Amazon\EC2-Windows\Launch\Settings`.
![\[Aplikasi Pengaturan EC2 Launch\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ec2launch-sysprep.png)
1. Pilih atau hapus opsi sesuai kebutuhan. Pengaturan ini disimpan dalam file `LaunchConfig.json` Anda.
1. Untuk **Kata Sandi Administrator**, lakukan salah satu hal berikut:
+ Pilih **Acak**. EC2Peluncuran menghasilkan kata sandi dan mengenkripsi menggunakan kunci pengguna. Sistem akan menonaktifkan pengaturan ini setelah instans dijalankan sehingga kata sandi akan tetap ada meskipun instans di-boot ulang atau dihentikan dan dimulai.
+ Pilih **Tentukan** dan ketik kata sandi yang memenuhi persyaratan sistem. Kata sandi disimpan dalam teks `LaunchConfig.json` yang jelas dan dihapus setelah Windows Sysprep menetapkan kata sandi administrator. Jika Anda mematikan sekarang, kata sandi segera diatur. EC2Luncurkan mengenkripsi kata sandi menggunakan kunci pengguna.
+ Pilih **DoNothing** dan tentukan kata sandi dalam file `unattend.xml`. Jika Anda tidak menentukan kata sandi di `unattend.xml`, akun administrator akan dinonaktifkan.
1. Pilih **Matikan dengan Sysprep**.
**Untuk menjalankan Windows Sysprep secara manual menggunakan Launch EC2**
1. Di konsol Amazon EC2, cari atau buat AMI edisi Datacenter Windows Server 2016 atau lebih baru yang ingin Anda duplikasi.
1. Luncurkan dan sambungkan ke instans Windows Anda.
1. Kustomisasikan instans.
1. Tentukan pengaturan di file `LaunchConfig.json`. File ini terletak di direktori `C:\ProgramData\Amazon\EC2-Windows\Launch\Config` secara default.
Untuk `adminPasswordType`, tentukan satu dari nilai-nilai berikut:
`Random`
EC2Peluncuran menghasilkan kata sandi dan mengenkripsi menggunakan kunci pengguna. Sistem akan menonaktifkan pengaturan ini setelah instans dijalankan sehingga kata sandi ini akan tetap ada jika instans tersebut di-boot ulang atau dihentikan dan dimulai.
`Specify`
EC2Peluncuran menggunakan kata sandi yang Anda tentukan`adminPassword`. Jika kata sandi tidak memenuhi persyaratan sistem, EC2 Lauch menghasilkan kata sandi acak sebagai gantinya. Kata sandi disimpan dalam teks `LaunchConfig.json` yang jelas dan dihapus setelah Windows Sysprep menetapkan kata sandi administrator. EC2Luncurkan mengenkripsi kata sandi menggunakan kunci pengguna.
`DoNothing`
EC2Peluncuran menggunakan kata sandi yang Anda tentukan dalam `unattend.xml` file. Jika Anda tidak menentukan kata sandi di `unattend.xml`, akun administrator akan dinonaktifkan.
1. (Opsional) Tentukan pengaturan di `unattend.xml` dan file konfigurasi lainnya. Jika berencana mengatur instalasi, Anda tidak perlu mengubah file-file ini. File ini terletak di direktori berikut secara default: `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`.
1. Di Windows PowerShell, jalankan`./InitializeInstance.ps1 -Schedule`. Skrip ini terletak di direktori berikut secara default: `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. Skrip ini menjadwalkan instans untuk diinisialisasi saat boot berikutnya. Anda harus menjalankan skrip ini sebelum menjalankan skrip `SysprepInstance.ps1` dalam langkah berikutnya.
1. Di Windows PowerShell, jalankan`./SysprepInstance.ps1`. Skrip ini terletak di direktori berikut secara default: `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`.
Anda keluar dari instans dan instans akan dimatikan. Jika Anda memeriksa halaman **Instans** di konsol Amazon EC2, status instan berubah dari `Running` ke `Stopping`, lalu ke `Stopped`. Saat itu, aman untuk membuat AMI dari instans ini.
## Perbarui metadata/KMS rute untuk Server 2016 dan yang lebih baru saat meluncurkan AMI khusus
Untuk memperbarui metadata/KMS rute untuk Server 2016 dan yang lebih baru saat meluncurkan AMI kustom, lakukan salah satu hal berikut:
+ Jalankan EC2 LaunchSettings GUI (C:\$1\$1 ProgramData Amazon\$1 EC2-Windows\$1 Launch\$1 Settings\$1 Ec2 LaunchSettings .exe) dan pilih opsi untuk mematikan dengan Windows Sysprep.
+ Jalankan EC2 LaunchSettings dan matikan tanpa Windows Sysprep sebelum membuat AMI. Ini akan mengatur tugas inisialisasi EC2 Launch untuk berjalan pada boot berikutnya, yang akan mengatur rute berdasarkan subnet untuk instans.
+ Menjadwalkan ulang secara manual tugas inisialisasi EC2 Launch sebelum membuat AMI dari [PowerShell](ec2launch-config.md#ec2launch-inittasks).
**penting**
Perhatikan perilaku reset kata sandi default sebelum menjadwalkan ulang tugas.
+ Untuk memperbarui rute pada instans yang mengalami aktivasi atau komunikasi Windows dengan kegagalan metadata instans, lihat [“Tidak dapat mengaktivasi Windows”](common-messages.md#activate-windows).
# Buat AMI menggunakan Windows Sysprep dengan Config EC2
Saat Anda membuat gambar dari instance dengan layanan EC2 Config diinstal, EC2 Config melakukan tugas tertentu saat gambar disiapkan. Ini termasuk bekerja dengan Windows Sysprep. Untuk informasi selengkapnya, lihat [Fase Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).
**Topics**
+ [
## Tindakan Windows Sysprep
](#sysprep-actions)
+ [
## Pasca Sysprep
](#sysprep-post)
+ [
## Jalankan Windows Sysprep dengan layanan Config EC2
](#sysprep-gui-procedure)
## Tindakan Windows Sysprep
Windows Sysprep dan layanan EC2 Config melakukan tindakan berikut saat menyiapkan gambar.
1. Saat Anda memilih **Matikan dengan Sysprep** di kotak dialog **Properti Layanan EC2**, sistem menjalankan perintah **ec2config.exe –sysprep**.
1. Layanan EC2 Config membaca konten file. `BundleConfig.xml` Secara default, file terletak dalam direktori berikut: `C:\Program Files\Amazon\Ec2ConfigService\Settings`.
File `BundleConfig.xml` mencakup pengaturan berikut. Anda dapat mengubah pengaturan ini:
+ **AutoSysprep**: Menunjukkan apakah akan menggunakan Windows Sysprep secara otomatis. Anda tidak perlu mengubah nilai ini jika Anda menjalankan Windows Sysprep dari kotak dialog Properti Layanan EC2. Nilai default-nya adalah `No`.
+ **Set RDPCertificate**: Menetapkan sertifikat yang ditandatangani sendiri untuk server Remote Desktop. Ini memungkinkan Anda menggunakan Remote Desktop Protocol (RDP) secara aman untuk tersambung ke instans. Ubah nilai ke `Yes` jika instans baru harus menggunakan sertifikat. Pengaturan ini tidak digunakan dengan instance Windows Server 2012 karena sistem operasi ini dapat menghasilkan sertifikat mereka sendiri. Nilai default-nya adalah `No`.
+ **SetPasswordAfterSysprep**: Menetapkan kata sandi acak pada instance yang baru diluncurkan, mengenkripsi dengan kunci peluncuran pengguna, dan mengeluarkan kata sandi terenkripsi ke konsol. Ubah nilai ke `No` jika instans baru tidak boleh diatur ke kata sandi terenkripsi acak. Nilai default-nya adalah `Yes`.
+ **PreSysprepRunCmd**: Lokasi perintah untuk dijalankan. Skrip ini terletak di direktori berikut secara default: `C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd`
1. Sistem menjalankan `BeforeSysprep.cmd`. Perintah ini membuat kunci registri sebagai berikut:
```
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
```
Kunci registri akan menonaktifkan koneksi RDP hingga diaktifkan kembali. Menonaktifkan koneksi RDP adalah langkah keamanan yang diperlukan karena, selama sesi boot pertama setelah Windows Sysprep berjalan, ada periode waktu singkat di mana RDP memungkinkan koneksi dan kata sandi Administrator kosong.
1. Layanan EC2 Config memanggil Windows Sysprep dengan menjalankan perintah berikut:
```
sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown
```
### Fase Generalisasi
+ Alat ini menghapus informasi dan konfigurasi spesifik gambar, seperti nama komputer dan SID. Jika instans adalah anggota sebuah domain, instans akan dihapus dari domain tersebut. File jawaban `sysprep2008.xml` mencakup pengaturan berikut yang memengaruhi fase ini:
+ **PersistAllDeviceInstalls**: Pengaturan ini mencegah Pengaturan Windows menghapus dan mengonfigurasi ulang perangkat, yang mempercepat proses persiapan gambar karena Amazon AMIs memerlukan driver tertentu untuk dijalankan dan deteksi ulang driver tersebut akan memakan waktu.
+ **DoNotCleanUpNonPresentDevices**: Pengaturan ini menyimpan informasi Plug and Play untuk perangkat yang saat ini tidak ada.
+ Windows Sysprep mematikan OS saat bersiap untuk membuat AMI. Sistem meluncurkan instans baru atau memulai instans asal.
### Tahap Spesialisasi
Sistem menghasilkan persyaratan spesifik OS, seperti nama komputer dan SID. Sistem juga melakukan tindakan berikut ini berdasarkan konfigurasi yang Anda tentukan dalam file jawaban sysprep2008.xml.
+ **CopyProfile**: Windows Sysprep dapat dikonfigurasi untuk menghapus semua profil pengguna, termasuk profil Administrator bawaan. Pengaturan ini mempertahankan akun Administrator bawaan sehingga kustomisasi apa pun yang Anda buat pada akun tersebut dipindahkan ke gambar baru. Nilai default-nya adalah True.
**CopyProfile** mengganti profil default dengan profil administrator lokal yang ada. Semua akun yang masuk setelah menjalankan Windows Sysprep akan menerima salinan profil itu dan isinya pada login pertama.
Apabila Anda tidak memiliki kustomisasi profil pengguna tertentu yang ingin Anda tampilkan ke gambar baru tersebut, ubah pengaturan ini menjadi False. Windows Sysprep akan menghapus semua profil pengguna; ini menghemat waktu dan ruang disk.
+ **TimeZone**: Zona waktu diatur ke Coordinate Universal Time (UTC) secara default.
+ **Perintah sinkron dengan order 1**: Sistem menjalankan perintah berikut, yang mengaktifkan akun administrator dan menentukan persyaratan kata sandi.
**net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES**
+ **Perintah sinkron dengan order 2**: Sistem mengacak kata sandi administrator. Langkah keamanan ini dirancang untuk mencegah instance agar tidak dapat diakses setelah Windows Sysprep selesai jika Anda tidak mengaktifkan pengaturan ec2setpassword.
C:\$1Program Files\$1 Amazon\$1 Ec2ConfigService\$1 ScramblePassword .exe” -u Administrator
+ **Perintah sinkron dengan order 3**: Sistem menjalankan perintah berikut:
C:\$1Program File\$1 Amazon\$1 Ec2\$1 SkripConfigService\$1 .cmd SysprepSpecializePhase
Perintah ini menambahkan kunci registri berikut ini, yang mengaktifkan ulang RDP:
reg tambahkan “HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1\$1 ControlCurrentControlSet\$1 Terminal Server” /v fDeny/t REG\$1DWORD /d 0 /f TSConnections
### Fase OOBE
1. Menggunakan file jawaban layanan EC2 Config, sistem menentukan konfigurasi berikut:
+ < InputLocale InputLocale >en-kami
+ < SystemLocale SystemLocale >en-kami
+ < UILanguage UILanguage >en-kami
+ < UserLocale UserLocale >en-kami
+ Benar EULAPage
+ < HideWirelessSetupIn OOBE>BENAR
+ < NetworkLocation NetworkLocation >Lainnya
+ < ProtectYour PC> 3 ProtectYour
+ < BluetoothTaskbarIconEnabled BluetoothTaskbarIconEnabled >salah
+ < TimeZone TimeZone >UTC
+ < RegisteredOrganization RegisteredOrganization >Amazon.com
+ < RegisteredOwner RegisteredOwner >Amazon
**catatan**
Selama fase generalisasi dan spesialisasi, layanan EC2 Config memantau status OS. Jika EC2 Config mendeteksi bahwa OS berada dalam fase Sysprep, maka ia menerbitkan pesan berikut ke log sistem:
EC2ConfigMonitorState: 0 Windows sedang dikonfigurasi. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE
1. Setelah fase OOBE selesai, sistem menjalankan `SetupComplete.cmd` dari lokasi berikut: `C:\Windows\Setup\Scripts\SetupComplete.cmd`. Di Amazon publik AMIs sebelum April 2015 file ini kosong dan tidak menjalankan apa pun pada gambar. Di depan umum AMIs tertanggal setelah April 2015, file tersebut mencakup nilai berikut:**call "C:\$1Program Files\$1Amazon\$1Ec2ConfigService\$1Scripts\$1PostSysprep.cmd"**.
1. Sistem menjalankan `PostSysprep.cmd`, yang melakukan operasi berikut:
+ Mengatur kata sandi Administrator lokal agar tidak kedaluwarsa. Jika kata sandi kedaluwarsa, Administrator mungkin tidak bisa masuk.
+ Menetapkan nama MSSQLServer mesin (jika diinstal) sehingga nama akan sinkron dengan AMI.
## Pasca Sysprep
Setelah Windows Sysprep selesai, layanan EC2 Config mengirimkan pesan berikut ke output konsol:
```
Windows sysprep configuration complete.
Message: Sysprep Start
Message: Sysprep End
```
EC2Config kemudian melakukan tindakan berikut:
1. Membaca konten file config.xml dan mencantumkan semua plug-in yang diaktifkan.
1. Menjalankan semua plug-in “Sebelum Windows siap” secara bersamaan.
+ Ec2 SetPassword
+ Ec2 SetComputerName
+ Ec2 InitializeDrives
+ Ec2 EventLog
+ Ec2ConfigureRDP
+ Keluaran Ec2 RDPCert
+ Ec2 SetDriveLetter
+ Ec2 WindowsActivate
+ Ec2 DynamicBootVolumeSize
1. Setelah selesai, mengirimkan pesan “Windows siap” ke log sistem instans.
1. Menjalankan semua plug-in “Setelah Windows siap” secara bersamaan.
+ CloudWatch Log Amazon
+ UserData
+ AWS Systems Manager (Systems Manager)
Untuk informasi selengkapnya tentang plug-in Windows, lihat [Gunakan layanan EC2config untuk melakukan tugas selama peluncuran instans sistem operasi Windows lama EC2](ec2config-service.md).
## Jalankan Windows Sysprep dengan layanan Config EC2
Gunakan prosedur berikut untuk membuat AMI standar menggunakan Windows Sysprep dan layanan Config. EC2
1. Di konsol Amazon EC2, cari atau [buat](creating-an-ami-ebs.md) AMI yang ingin Anda duplikasi.
1. Luncurkan dan sambungkan ke instans Windows Anda.
1. Kustomisasikan.
1. Tentukan pengaturan konfigurasi dalam file jawaban layanan EC2 Config:
`C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml`
1. Dari menu **Mulai** Windows, pilih **Semua Program**, lalu pilih **Pengaturan EC2ConfigService**.
1. Pilih tab **Gambar** di kotak dialog **Properti Layanan Ec2**. Untuk informasi selengkapnya tentang opsi dan pengaturan di kotak dialog Properti Layanan Ec2, lihat [Properti Layanan Ec2](ec2config-service.md).
1. **Pilih opsi untuk kata sandi Administrator, lalu pilih **Shutdown dengan Sysprep atau Shutdown tanpa Sysprep**.** EC2Config mengedit file pengaturan berdasarkan opsi kata sandi yang Anda pilih.
+ **Acak**: EC2 Config menghasilkan kata sandi, mengenkripsi dengan kunci pengguna, dan menampilkan kata sandi terenkripsi ke konsol. Kami menonaktifkan pengaturan ini setelah peluncuran pertama sehingga kata sandi ini akan tetap ada jika instans tersebut di-boot ulang atau dihentikan dan dimulai.
+ **Tentukan**: Kata sandi disimpan dalam file jawaban Windows Sysprep dalam bentuk yang tidak terenkripsi (teks yang jelas). Ketika Windows Sysprep berjalan berikutnya, ia menetapkan kata sandi Administrator. Jika Anda mematikan sekarang, kata sandi akan segera ditetapkan. Saat layanan dimulai lagi, kata sandi Administrator dihapus. Penting untuk mengingat kata sandi ini karena Anda tidak dapat mengambilnya nanti.
+ **Tetap Ada**: Kata sandi yang ada untuk akun Administrator tidak berubah saat Windows Sysprep dijalankan atau Config EC2 dimulai ulang. Penting untuk mengingat kata sandi ini karena Anda tidak dapat mengambilnya nanti.
1. Pilih **OK**.
**Ketika Anda diminta untuk mengonfirmasi bahwa Anda ingin menjalankan Windows Sysprep dan mematikan instance, klik Ya.** Anda akan melihat bahwa EC2 Config menjalankan Windows Sysprep. Selanjutnya, Anda keluar dari instans, dan instansnya dimatikan. Jika Anda memeriksa halaman **Instans** di konsol Amazon EC2, status instan berubah dari `Running` ke `Stopping`, lalu ke `Stopped`. Ketika itu, aman untuk membuat AMI dari instans ini.
Anda dapat secara manual memanggil alat Windows Sysprep dari baris perintah menggunakan perintah berikut:
```
"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep""
```
**catatan**
Tanda kutip ganda dalam perintah tidak diperlukan jika shell CMD Anda sudah ada di direktori C:\$1Program Files\$1 Amazon\$1 EC2ConfigService\$1.
Namun, Anda harus sangat berhati-hati agar opsi file XML yang ditentukan dalam folder `Ec2ConfigService\Settings` sudah benar; jika tidak, Anda mungkin tidak dapat terhubung ke instans. Untuk informasi selengkapnya tentang file pengaturan, lihat [EC2File pengaturan Config](ec2config-service.md#UsingConfigXML_WinAMI). Untuk contoh mengkonfigurasi dan kemudian menjalankan Windows Sysprep dari baris perintah, lihat. `Ec2ConfigService\Scripts\InstallUpdates.ps1`
# Salin Amazon EC2 AMI
Jika Anda memerlukan konfigurasi instans Amazon EC2 yang konsisten di beberapa Wilayah, Anda dapat menggunakan satu Amazon Machine Image (AMI) sebagai template untuk meluncurkan semua instans. Namun, AMIs adalah sumber daya khusus Wilayah—untuk meluncurkan instance secara spesifik, AMI harus berada di Wilayah Wilayah AWS tersebut. Oleh karena itu, untuk menggunakan AMI yang sama di beberapa Wilayah, Anda harus menyalinnya dari Wilayah sumber ke setiap Wilayah target.
Metode yang Anda gunakan untuk menyalin AMI bergantung pada apakah Anda menyalin di seluruh Wilayah *dalam [partisi yang sama atau di partisi](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition)* *yang berbeda*:
+ **Penyalinan Lintas Wilayah** — Salin AMIs di seluruh Wilayah *dalam partisi yang sama*, misalnya, di seluruh Wilayah dalam partisi komersial. Metode penyalinan ini dijelaskan dalam topik ini.
+ **Penyalinan partisi silang** — Salin AMIs *dari satu partisi ke partisi lain*, misalnya, dari partisi komersial ke partisi. AWS GovCloud (US) Untuk informasi tentang metode penyalinan ini, lihat[Menyimpan dan memulihkan AMIDiizinkan AMIs](ami-store-restore.md).
+ **Penyalinan lintas akun** — Buat salinan AMI yang Akun AWS telah [dibagikan orang lain dengan](sharingamis-explicit.md) Anda. Akun AWS Metode penyalinan ini dijelaskan dalam topik ini.
Waktu yang dibutuhkan untuk menyelesaikan operasi penyalinan AMI lintas wilayah dan lintas akun adalah upaya terbaik. Jika Anda memerlukan kontrol atas waktu penyelesaian, Anda dapat menentukan jendela penyelesaian mulai dari 15 menit hingga 48 jam, memastikan AMI Anda disalin dalam jangka waktu yang diperlukan. Biaya tambahan berlaku untuk operasi penyalinan AMI berbasis waktu. Untuk informasi selengkapnya, lihat [Salinan berbasis waktu](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) di *Panduan Pengguna Amazon EBS*.
**Topics**
+ [
## Pertimbangan-pertimbangan
](#copy-ami-considerations)
+ [
## Biaya
](#copy-ami-costs)
+ [
# Berikan izin untuk menyalin Amazon EC2 AMIs
](copy-ami-permissions.md)
+ [
## Menyalin AMI
](#ami-copy-steps)
+ [
## Menghentikan operasi penyalinan AMI yang tertunda
](#ami-copy-stop)
+ [
# Cara kerja salinan Amazon EC2 AMI
](how-ami-copy-works.md)
## Pertimbangan-pertimbangan
+ **Izin untuk menyalin AMIs** — Anda dapat menggunakan kebijakan IAM untuk memberikan atau menolak izin pengguna untuk menyalin AMIs. Mulai 28 Oktober 2024, Anda dapat menentukan izin tingkat sumber daya untuk tindakan `CopyImage` di sumber AMI. Izin tingkat sumber daya untuk AMI baru tersedia seperti sebelumnya.
+ Izin **peluncuran dan izin bucket Amazon S3** AWS — tidak menyalin izin peluncuran atau izin bucket Amazon S3 dari sumber AMI ke AMI baru. Setelah operasi penyalinan selesai, Anda dapat menerapkan izin peluncuran dan izin bucket Amazon S3 ke AMI yang baru.
+ **Tag** — Anda hanya dapat menyalin tag AMI yang ditentukan pengguna yang Anda lampirkan ke sumber AMI. Tag sistem (diawali dengan `aws:`) dan tag yang ditentukan pengguna yang dilampirkan oleh Akun AWS lain tidak akan disalin. Saat menyalin AMI, Anda dapat melampirkan tag baru ke AMI baru dan snapshot dukungannya.
+ **Kuota untuk salinan AMI berbasis waktu** — Setelah Anda mencapai *kuota throughput salinan snapshot kumulatif, permintaan salinan AMI berbasis waktu berikutnya gagal*. Untuk informasi selengkapnya, lihat [Kuota untuk salinan berbasis waktu](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-quota) di Panduan Pengguna *Amazon EBS*.
+ **Salinan tujuan sumber yang didukung** — Lokasi AMI sumber menentukan apakah Anda dapat menyalinnya dan tujuan yang diizinkan untuk AMI baru:
+ Jika sumber AMI berada di Wilayah, Anda dapat menyalinnya di dalam Wilayah tersebut, ke Wilayah lain, ke Pos Terdepan yang terkait dengan Wilayah tersebut, atau ke Zona Lokal di Wilayah tersebut.
+ Jika AMI sumber berada di Zona Lokal, Anda dapat menyalinnya di dalam Zona Lokal tersebut, ke Wilayah induk Zona Lokal tersebut, atau ke Local Zone tertentu lainnya dengan Wilayah induk yang sama.
+ Jika sumber AMI ada di Outpost, Anda tidak dapat menyalinnya.
+ **Parameter CLI untuk sumber dan tujuan** — Saat menggunakan CLI, parameter berikut didukung untuk menentukan lokasi sumber AMI yang akan disalin dan tujuan AMI baru. Perhatikan bahwa operasi penyalinan harus dimulai di Wilayah tujuan; jika Anda menghilangkan `--region` parameter, tujuan mengasumsikan Wilayah default yang dikonfigurasi dalam pengaturan Anda. AWS CLI
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/CopyingAMIs.html)
## Biaya
Tidak ada biaya untuk menyalin AMI ketika tidak ada waktu penyelesaian yang ditentukan. Namun, biaya tambahan berlaku untuk operasi penyalinan AMI berbasis waktu. Untuk informasi selengkapnya, lihat [Salinan berbasis waktu](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-pricing) di *Panduan Pengguna Amazon EBS*.
Tarif penyimpanan dan transfer data standar berlaku. Jika Anda menyalin AMI yang didukung oleh EBS, Anda akan dikenai biaya untuk penyimpanan snapshot EBS tambahan.
# Berikan izin untuk menyalin Amazon EC2 AMIs
Untuk menyalin AMI yang didukung EBS atau yang didukung Amazon S3, Anda memerlukan izin IAM berikut:
+ `ec2:CopyImage`— Untuk menyalin AMI. Untuk yang didukung EBS AMIs, itu juga memberikan izin untuk menyalin snapshot dukungan AMI.
+ `ec2:CreateTags`— Untuk menandai target AMI. Untuk yang didukung EBSAMIs, itu juga memberikan izin untuk menandai snapshot dukungan AMI target.
Jika Anda menyalin AMI yang didukung penyimpanan instans, Anda memerlukan izin IAM tambahan *berikut:*
+ `s3:CreateBucket`— Untuk membuat bucket S3 di Wilayah target untuk AMI baru
+ `s3:PutBucketOwnershipControls`— ACLs Untuk mengaktifkan bucket S3 yang baru dibuat sehingga objek dapat ditulis dengan ACL `aws-exec-read` [kalengan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Untuk membaca ember sumber ACLs
+ `s3:ListAllMyBuckets`— Untuk menemukan bucket S3 yang ada AMIs di Wilayah target
+ `s3:GetObject`— Untuk membaca objek di ember sumber
+ `s3:PutObject`— Untuk menulis objek di ember target
+ `s3:PutObjectAcl`— Untuk menulis izin untuk objek baru di bucket target
**catatan**
Mulai 28 Oktober 2024, Anda dapat menentukan izin tingkat sumber daya untuk tindakan `CopyImage` di sumber AMI. Izin tingkat sumber daya untuk AMI target tersedia seperti sebelumnya. Untuk informasi selengkapnya, lihat tabel **CopyImage**di bawah [Tindakan yang ditentukan oleh Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) di Referensi *Otorisasi Layanan*.
## Contoh kebijakan IAM untuk menyalin AMI yang didukung EBS dan menandai AMI target dan snapshot
Contoh kebijakan berikut memberi Anda izin untuk menyalin AMI yang didukung EBS dan menandai AMI target dan snapshot dukungannya.
**catatan**
Mulai 28 Oktober 2024, Anda dapat menentukan snapshot di elemen. `Resource` Untuk informasi selengkapnya, lihat tabel **CopyImage**di bawah [Tindakan yang ditentukan oleh Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) di Referensi *Otorisasi Layanan*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
}]
}
```
------
## Contoh kebijakan IAM untuk menyalin AMI yang didukung EBS tetapi menolak menandai snapshot baru
`ec2:CopySnapshot`Izin secara otomatis diberikan ketika Anda mendapatkan `ec2:CopyImage` izin. Izin untuk menandai snapshot dukungan baru dapat ditolak secara eksplisit, mengesampingkan efek untuk tindakan tersebut`Allow`. `ec2:CreateTags`
Contoh kebijakan berikut memberi Anda izin untuk menyalin AMI yang didukung EBS, tetapi menolak Anda untuk menandai snapshot dukungan baru dari AMI target.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*::image/*",
"arn:aws:ec2:*::snapshot/*"
]
},
{
"Effect": "Deny",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:::snapshot/*"
}
]
}
```
------
## Contoh kebijakan IAM untuk menyalin AMI yang didukung Amazon S3 dan menandai AMI target
Contoh kebijakan berikut memberi Anda izin untuk menyalin AMI yang didukung Amazon S3 di bucket sumber yang ditentukan ke Wilayah yang ditentukan, dan menandai AMI target.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "PermissionToCopyAllImages",
"Effect": "Allow",
"Action": [
"ec2:CopyImage",
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*"
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:PutObjectAcl",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amis-for-111122223333-in-us-east-2-hash"
]
}
]
}
```
------
**Untuk menemukan Nama Sumber Daya Amazon (ARN) bucket sumber AMI, buka konsol Amazon EC2 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)di, di panel navigasi **AMIs**pilih, dan cari nama bucket di kolom Sumber.**
**catatan**
`s3:CreateBucket`Izin hanya diperlukan saat pertama kali Anda menyalin AMI yang didukung Amazon S3 ke Wilayah individual. Setelah itu, bucket Amazon S3 yang sudah dibuat di Wilayah digunakan untuk menyimpan semua future AMIs yang Anda salin ke Wilayah tersebut.
## Menyalin AMI
Anda dapat menyalin AMI yang Anda miliki atau AMI yang dibagikan dengan Anda dari akun lain. Untuk kombinasi sumber dan tujuan yang didukung, lihat[Pertimbangan-pertimbangan](#copy-ami-considerations).
------
#### [ Console ]
**Untuk menyalin AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dari bilah navigasi konsol, pilih Wilayah yang berisi AMI.
1. Di panel navigasi, pilih **AMIs**untuk menampilkan daftar yang AMIs tersedia untuk Anda di Wilayah.
1. Jika Anda tidak melihat AMI yang ingin Anda salin, pilih filter yang berbeda. Anda dapat memfilter berdasarkan AMIs **Dimiliki oleh saya**, **Gambar pribadi, Gambar** **publik, dan gambar** **Dinonaktifkan**.
1. Pilih AMI yang akan disalin, lalu pilih **Tindakan**, **Salin AMI**.
1. Pada halaman **Salin Gambar Mesin Amazon (AMI)**, tentukan informasi berikut:
1. **Nama salinan AMI**: Nama untuk AMI baru. Anda dapat menyertakan informasi sistem operasi dalam nama karena Amazon EC2 tidak memberikan informasi ini saat menampilkan detail tentang AMI.
1. **Deskripsi salinan AMI**: Secara default, deskripsi mencakup informasi tentang AMI sumber sehingga Anda dapat membedakan salinan dari aslinya. Anda dapat mengubah deskripsi ini sesuai kebutuhan.
1. **Wilayah Tujuan**: Wilayah untuk menyalin AMI. Untuk informasi selengkapnya, lihat [Penyalinan Lintas Wilayah](how-ami-copy-works.md#copy-amis-across-regions) dan [Penyalinan lintas akun](how-ami-copy-works.md#copy-ami-across-accounts).
1. **Salin tag**: Pilih kotak centang ini untuk menyertakan tag AMI yang ditentukan pengguna saat menyalin AMI. Tag sistem (diawali dengan `aws:`) dan tag yang ditentukan pengguna yang dilampirkan oleh Akun AWS lain tidak akan disalin.
1. **Salinan berbasis waktu**: Anda dapat menentukan apakah operasi penyalinan selesai dalam jangka waktu tertentu atau berdasarkan upaya terbaik, sebagai berikut:
+ Untuk melengkapi salinan dalam jangka waktu tertentu:
+ Pilih **Aktifkan salinan berbasis waktu**.
+ Untuk **durasi Penyelesaian**, masukkan jumlah menit (dalam kenaikan 15 menit) yang diizinkan untuk operasi penyalinan. Durasi penyelesaian berlaku untuk semua snapshot yang terkait dengan AMI.
Untuk informasi selengkapnya, lihat [Salinan berbasis waktu](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) di *Panduan Pengguna Amazon EBS*.
+ Untuk melengkapi salinan dengan upaya terbaik:
+ Biarkan **Aktifkan salinan berbasis waktu tidak dipilih**.
1. ( AMIs Hanya didukung EBS) **Enkripsi snapshot EBS dari salinan AMI**: Pilih kotak centang ini untuk mengenkripsi snapshot target, atau untuk mengenkripsi ulang mereka menggunakan kunci yang berbeda. Jika enkripsi secara default diaktifkan, kotak centang **Enkripsi snapshot EBS dari salinan AMI** dipilih dan tidak dapat dihapus. Untuk informasi selengkapnya, lihat [Enkripsi dan penyalinan](how-ami-copy-works.md#ami-copy-encryption).
1. ( AMIs Hanya didukung EBS) Kunci **KMS: Kunci** KMS yang digunakan untuk mengenkripsi snapshot target.
1. **Tag**: Anda dapat menandai AMI baru dan snapshot baru dengan tag yang sama, atau Anda dapat menandai mereka dengan tag yang berbeda.
+ Untuk menandai AMI baru dan snapshot baru dengan tag yang *sama*, pilih **Tag image dan snapshot bersama-sama**. Tag yang sama diterapkan ke AMI baru dan setiap snapshot yang dibuat.
+ Untuk menandai AMI baru dan snapshot baru dengan tag *yang berbeda*, pilih **Tag image dan snapshot** secara terpisah. Tag yang berbeda diterapkan ke AMI baru dan snapshot yang dibuat. Namun, perhatikan bahwa semua snapshot baru yang dibuat mendapatkan tag yang sama; Anda tidak dapat menandai setiap snapshot baru dengan tag yang berbeda.
Untuk menambahkan tag , pilih **Tambahkan tag** dan masukkan kunci dan nilai tag. Ulangi hal itu untuk setiap tanda.
1. Saat Anda siap untuk menyalin AMI, pilih **Salin AMI**.
Status awal AMI baru adalah `Pending`. Operasi penyalinan AMI selesai saat statusnya `Available`.
------
#### [ AWS CLI ]
**Untuk menyalin AMI dari satu Wilayah ke Wilayah lain**
Gunakan perintah [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Anda harus menentukan Wilayah sumber dan tujuan. Anda menentukan Wilayah sumber menggunakan parameter `--source-region`. Anda dapat menentukan Wilayah tujuan menggunakan `--region` parameter (atau menghilangkan parameter ini untuk mengasumsikan Wilayah default yang dikonfigurasi dalam AWS CLI pengaturan Anda).
```
aws ec2 copy-image \
--source-image-id ami-0abcdef1234567890 \
--source-region us-west-2 \
--name my-ami \
--region us-east-1
```
Saat Anda mengenkripsi snapshot target selama penyalinan AMI, Anda harus menentukan parameter tambahan ini: `--encrypted` dan. `--kms-key-id`
**Untuk menyalin AMI dari Wilayah ke Zona Lokal**
Gunakan perintah [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Anda harus menentukan sumber dan tujuan. Anda menentukan Wilayah sumber menggunakan parameter `--source-region`. Anda menentukan tujuan Local Zone menggunakan `--destination-availability-zone` parameter (Anda dapat menggunakan `--destination-availability-zone-id` sebagai gantinya). Perhatikan bahwa Anda hanya dapat menyalin AMI dari Wilayah ke Zona Lokal dalam Wilayah yang sama.
```
aws ec2 copy-image \
--source-image-id ami-0abcdef1234567890 \
--source-region cn-north-1 \
--destination-availability-zone cn-north-1-pkx-1a \
--name my-ami \
--region cn-north-1
```
**Untuk menyalin AMI dari Zona Lokal ke Wilayah**
Gunakan perintah [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Anda harus menentukan sumber dan tujuan. Anda menentukan Wilayah sumber menggunakan parameter `--source-region`. Anda menentukan Wilayah tujuan menggunakan `--region` parameter (atau menghilangkan parameter ini untuk mengasumsikan Wilayah default yang dikonfigurasi dalam AWS CLI pengaturan Anda). Sumber Local Zone diasumsikan dari lokasi ID AMI sumber yang ditentukan. Perhatikan bahwa Anda hanya dapat menyalin AMI dari Zona Lokal ke Wilayah induknya.
```
aws ec2 copy-image \
--source-image-id ami-0abcdef1234567890 \
--source-region cn-north-1 \
--name my-ami \
--region cn-north-1
```
**Untuk menyalin AMI dari satu Zona Lokal ke Zona Lokal lainnya**
Gunakan perintah [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Anda harus menentukan sumber dan tujuan. Anda menentukan wilayah sumber dari zona lokal menggunakan `--source-region` parameter. Anda menentukan tujuan Local Zone menggunakan `--destination-availability-zone` parameter (Anda dapat menggunakan `--destination-availability-zone-id` sebagai gantinya). Sumber Local Zone diasumsikan dari lokasi ID AMI sumber yang ditentukan. Anda menentukan Wilayah induk dari Zona Lokal tujuan menggunakan `--region` parameter (atau menghilangkan parameter ini untuk mengasumsikan Wilayah default yang dikonfigurasi dalam AWS CLI pengaturan Anda).
```
aws ec2 copy-image \
--source-image-id ami-0abcdef1234567890 \
--source-region cn-north-1 \
--destination-availability-zone cn-north-1-pkx-1a \
--name my-ami \
--region cn-north-1
```
------
#### [ PowerShell ]
**Untuk menyalin AMI dari satu Wilayah ke Wilayah lain**
Gunakan [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html)cmdlet. Anda harus menentukan Wilayah sumber dan tujuan. Anda menentukan Wilayah sumber menggunakan parameter `-SourceRegion`. Anda dapat menentukan Wilayah tujuan menggunakan `-Region` parameter atau cmdlet [Set- AWSDefault Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html).
```
Copy-EC2Image `
-SourceImageId ami-0abcdef1234567890 `
-SourceRegion us-west-2 `
-Name my-ami `
-Region us-east-1
```
Saat Anda mengenkripsi snapshot target selama penyalinan AMI, Anda harus menentukan parameter tambahan ini: `-Encrypted` dan. `-KmsKeyId`
**Untuk menyalin AMI dari Wilayah ke Zona Lokal**
Gunakan [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html)cmdlet. Anda harus menentukan sumber dan tujuan. Anda menentukan Wilayah sumber menggunakan parameter `-SourceRegion`. Anda menentukan tujuan Local Zone menggunakan `-DestinationAvailabilityZone` parameter (Anda dapat menggunakan `-DestinationAvailabilityZoneId` sebagai gantinya). Perhatikan bahwa Anda hanya dapat menyalin AMI dari Wilayah ke Zona Lokal dalam Wilayah yang sama.
```
Copy-EC2Image `
-SourceImageId ami-0abcdef1234567890 `
-SourceRegion cn-north-1 `
-DestinationAvailabilityZone cn-north-1-pkx-1a `
-Name my-ami `
-Region cn-north-1
```
**Untuk menyalin AMI dari Zona Lokal ke Wilayah**
Gunakan [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html)cmdlet. Anda harus menentukan sumber dan tujuan. Anda menentukan Wilayah sumber menggunakan parameter `-SourceRegion`. Anda menentukan Wilayah tujuan menggunakan `-Region` parameter atau cmdlet [Set- AWSDefault Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html). Sumber Local Zone diasumsikan dari lokasi ID AMI sumber yang ditentukan. Perhatikan bahwa Anda hanya dapat menyalin AMI dari Zona Lokal ke Wilayah induknya.
```
Copy-EC2Image `
-SourceImageId ami-0abcdef1234567890 `
-SourceRegion cn-north-1 `
-Name my-ami `
-Region cn-north-1
```
**Untuk menyalin AMI dari satu Zona Lokal ke Zona Lokal lainnya**
Gunakan [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html)cmdlet. Anda harus menentukan sumber dan tujuan. Anda menentukan wilayah sumber dari zona lokal menggunakan `-SourceRegion` parameter. Anda menentukan tujuan Local Zone menggunakan `-DestinationAvailabilityZone` parameter (Anda dapat menggunakan `-DestinationAvailabilityZoneId` sebagai gantinya). Sumber Local Zone diasumsikan dari lokasi ID AMI sumber yang ditentukan. Anda menentukan Wilayah induk dari Zona Lokal tujuan menggunakan `-Region` parameter atau cmdlet [Set- AWSDefault Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html).
```
Copy-EC2Image `
-SourceImageId ami-0abcdef1234567890 `
-SourceRegion cn-north-1 `
-DestinationAvailabilityZone cn-north-1-pkx-1a `
-Name my-ami `
-Region cn-north-1
```
------
## Menghentikan operasi penyalinan AMI yang tertunda
Anda dapat menghentikan salinan AMI yang tertunda menggunakan prosedur berikut.
------
#### [ Console ]
**Untuk menghentikan operasi penyalinan AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dari bilah navigasi, pilih Wilayah tujuan dari pemilih Wilayah.
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI untuk berhenti menyalin, lalu pilih **Actions**, **Deregister** AMI.
1. Saat diminta konfirmasi, pilih **Batalkan pendaftaran AMI**.
------
#### [ AWS CLI ]
**Untuk menghentikan operasi penyalinan AMI**
Gunakan perintah [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html).
```
aws ec2 deregister-image --image-id ami-0abcdef1234567890
```
------
#### [ PowerShell ]
**Untuk menghentikan operasi penyalinan AMI menggunakan**
Gunakan [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html)cmdlet.
```
Unregister-EC2Image -ImageId ami-0abcdef1234567890
```
------
# Cara kerja salinan Amazon EC2 AMI
Menyalin AMI sumber menghasilkan AMI baru yang identik namun berbeda yang juga kami sebut sebagai AMI *target*. Target AMI memiliki ID AMI uniknya sendiri. Anda dapat mengubah atau membatalkan pendaftaran AMI sumber tanpa memengaruhi AMI target. Begitu juga sebaliknya.
Dengan AMI yang didukung EBS, setiap snapshot pendukungnya disalin ke snapshot target yang identik namun berbeda. Jika Anda menyalin AMI ke Wilayah baru, snapshot tersebut merupakan salinan lengkap (non-inkremental). Jika Anda mengenkripsi snapshot dukungan yang tidak dienkripsi atau mengenkripsinya ke kunci KMS baru, snapshot tersebut merupakan salinan lengkap (non-inkremental). Operasi penyalinan AMI berikutnya akan menghasilkan salinan inkremental dari snapshot cadangan.
**Topics**
+ [
## Penyalinan Lintas Wilayah
](#copy-amis-across-regions)
+ [
## Penyalinan lintas akun
](#copy-ami-across-accounts)
+ [
## Operasi penyalinan AMI berbasis waktu
](#ami-time-based)
+ [
## Enkripsi dan penyalinan
](#ami-copy-encryption)
## Penyalinan Lintas Wilayah
Menyalin AMI di Wilayah yang berbeda secara geografis memiliki keuntungan berikut:
+ Deployment global yang konsisten: Menyalin AMI dari satu Wilayah ke Wilayah lain memungkinkan Anda meluncurkan instans yang konsisten di Wilayah yang berbeda berdasarkan AMI yang sama.
+ Skalabilitas: Anda dapat dengan lebih mudah merancang dan membangun aplikasi global yang memenuhi kebutuhan pengguna Anda, terlepas dari lokasi mereka.
+ Performa: Anda dapat meningkatkan performa dengan mendistribusikan aplikasi Anda, serta menemukan komponen penting pada aplikasi Anda dalam jarak yang lebih dekat dengan pengguna Anda. Anda juga dapat memanfaatkan fitur spesifik Wilayah, seperti tipe instans atau layanan AWS lainnya.
+ Ketersediaan tinggi: Anda dapat merancang dan melakukan deploy aplikasi di berbagai Wilayah AWS , untuk meningkatkan ketersediaan.
Diagram berikut menunjukkan hubungan antara AMI sumber dan dua AMI yang disalin di Wilayah yang berbeda, serta instans EC2 yang diluncurkan dari masing-masing. Saat Anda meluncurkan instans dari sebuah AMI, instans tersebut berada di Wilayah yang sama dengan AMI berada. Jika Anda membuat perubahan pada AMI sumber dan ingin perubahan tersebut tercermin AMIs di Wilayah target, Anda harus menyalin ulang AMI sumber ke Wilayah target.
![\[AMIs disalin di berbagai Wilayah\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami_copy.png)
Saat pertama kali menyalin AMI yang didukung Amazon S3 ke Wilayah, kami membuat bucket Amazon S3 untuk disalin ke Wilayah AMIs tersebut. Semua yang didukung Amazon S3 AMIs yang Anda salin ke Wilayah tersebut disimpan dalam bucket ini. Nama bucket memiliki format berikut: amis-for- *account* -in- -*region*. *hash* Sebagai contoh: `amis-for-123456789012-in-us-east-2-yhjmxvp6`.
**Prasyarat**
Sebelum menyalin AMI, Anda harus memastikan konten AMI sumber telah diperbarui agar dapat berjalan di Wilayah yang berbeda. Misalnya, Anda harus memperbarui setiap string koneksi basis data atau data konfigurasi aplikasi serupa untuk mengarah ke sumber daya yang sesuai. Jika tidak, instans yang diluncurkan dari AMI baru di Wilayah tujuan mungkin masih menggunakan sumber daya dari Wilayah sumber, yang dapat memengaruhi kinerja dan biaya.
**Batasan**
+ Wilayah Tujuan dibatasi hingga 300 operasi penyalinan AMI bersamaan. Ini juga berlaku untuk operasi penyalinan AMI berbasis waktu.
+ Anda tidak dapat menyalin AMI paravirtual (PV) ke Wilayah yang tidak mendukung PV. AMIs Untuk informasi selengkapnya, lihat [Tipe virtualisasi](ComponentsAMIs.md#virtualization_types).
## Penyalinan lintas akun
Jika AMI dari yang lain Akun AWS [dibagikan dengan Anda Akun AWS](sharingamis-explicit.md), Anda dapat menyalin AMI bersama. Ini dikenal sebagai penyalinan lintas akun. AMI yang dibagikan dengan Anda adalah sumber AMI. Saat Anda menyalin sumber AMI, Anda membuat AMI baru. AMI baru sering disebut sebagai target AMI.
**Biaya AMI**
+ Untuk AMI bersama, akun AMI bersama dikenakan biaya untuk penyimpanan di Wilayah.
+ Jika Anda menyalin AMI yang dibagikan dengan akun Anda, Anda adalah pemilik AMI target di akun Anda.
+ Pemilik sumber AMI dikenakan biaya transfer Amazon EBS atau Amazon S3 standar.
+ Anda dikenakan biaya untuk penyimpanan AMI target di Wilayah tujuan.
**Izin Sumber Daya**
Untuk menyalin AMI yang dibagikan dengan Anda dari akun lain, pemilik sumber AMI harus memberi Anda izin baca untuk penyimpanan yang mendukung AMI, bukan hanya untuk AMI itu sendiri. Penyimpanan adalah snapshot EBS terkait (untuk AMI yang didukung Amazon EBS-backed) atau bucket S3 terkait (untuk AMI yang didukung Amazon S3). Jika AMI bersama memiliki snapshot terenkripsi, pemilik harus membagikan kunci atau kunci dengan Anda. *Untuk informasi selengkapnya tentang pemberian izin sumber daya, untuk snapshot EBS, lihat Membagikan [snapshot Amazon EBS dengan yang lain di Akun AWS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) *Panduan Pengguna Amazon EBS*, dan untuk bucket S3, lihat [Manajemen identitas dan akses untuk Amazon S3 di Panduan Pengguna Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html).*
**catatan**
Tag yang dilampirkan ke sumber AMI tidak disalin di seluruh akun ke AMI target.
## Operasi penyalinan AMI berbasis waktu
Saat Anda memulai operasi penyalinan AMI berbasis waktu untuk AMI yang didukung EBS dengan satu snapshot terkait, ia berperilaku dengan cara yang sama seperti operasi **penyalinan snapshot berbasis waktu individual**, dan batasan throughput yang sama berlaku.
Saat Anda memulai operasi penyalinan AMI berbasis waktu untuk AMI yang didukung EBS dengan beberapa snapshot terkait, ia berperilaku dengan cara yang sama **seperti operasi penyalinan snapshot berbasis waktu bersamaan**, dan batasan throughput yang sama berlaku. Setiap snapshot terkait menghasilkan permintaan salinan snapshot terpisah, yang masing-masing berkontribusi pada kuota throughput salinan snapshot kumulatif Anda. Durasi penyelesaian yang Anda tentukan berlaku untuk setiap snapshot terkait.
Untuk informasi selengkapnya, lihat [Salinan berbasis waktu](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) di *Panduan Pengguna Amazon EBS*.
## Enkripsi dan penyalinan
Tabel berikut ini menunjukkan dukungan enkripsi untuk berbagai skenario penyalinan AMI. Meskipun Anda dapat menyalin snapshot yang tidak terenkripsi untuk menghasilkan snapshot yang terenkripsi, Anda tidak dapat menyalin snapshot yang terenkripsi untuk menghasilkan snapshot yang tidak terenkripsi.
| Skenario | Deskripsi | Didukung |
| --- | --- | --- |
| 1 | Tidak terenkripsi ke tidak terenkripsi | Ya |
| 2 | Dienkripsi untuk dienkripsi | Ya |
| 3 | Tidak terenkripsi untuk dienkripsi | Ya |
| 4 | Terenkripsi ke tidak terenkripsi | Tidak |
**catatan**
Enkripsi selama `CopyImage` tindakan hanya berlaku untuk Amazon EBS yang didukung. AMIs Karena AMI yang didukung Amazon S3 tidak menggunakan snapshot, Anda tidak dapat menggunakan penyalinan untuk mengubah status enkripsi.
Saat Anda menyalin AMI tanpa menentukan parameter enkripsi, snapshot dukungan disalin dengan status enkripsi aslinya secara default. Oleh karena itu, jika sumber AMI didukung oleh snapshot yang tidak terenkripsi, snapshot target yang dihasilkan juga akan tidak dienkripsi. Demikian pula, jika snapshot sumber AMI dienkripsi, snapshot target yang dihasilkan juga akan dienkripsi dengan kunci yang sama. AWS KMS Untuk AMIs didukung oleh beberapa snapshot, setiap snapshot target mempertahankan status enkripsi snapshot sumber yang sesuai.
Untuk mengubah status enkripsi snapshot dukungan target selama salinan AMI, Anda dapat menentukan parameter enkripsi. Contoh berikut menunjukkan kasus non-default, di mana parameter enkripsi ditentukan dengan `CopyImage` tindakan untuk mengubah status enkripsi AMI target.
**Menyalin AMI sumber yang tidak terenkripsi ke AMI target yang dienkripsi**
Dalam skenario ini, AMI yang didukung oleh snapshot root yang tidak dienkripsi disalin ke AMI dengan snapshot root yang dienkripsi. Tindakan `CopyImage` diinvokasi dengan dua parameter enkripsi, termasuk kunci yang dikelola konsumen. Hasilnya, status enkripsi root snapshot berubah sehingga AMI target didukung oleh snapshot root yang berisi data yang sama dengan snapshot sumber, tetapi dienkripsi menggunakan kunci yang ditentukan. Anda dikenakan biaya penyimpanan untuk snapshot di keduanyaAMIs, serta biaya untuk setiap instance yang Anda luncurkan dari AMI.
**catatan**
Mengaktifkan enkripsi secara default memiliki efek yang sama seperti mengatur `Encrypted` parameter `true` untuk semua snapshot di AMI.
![\[Menyalin AMI dan mengenkripsi snapshot sambil berjalan\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png)
Mengatur parameter `Encrypted` akan mengenkripsi snapshot tunggal untuk instans ini. Jika Anda tidak menentukan parameter `KmsKeyId`, kunci default yang dikelola konsumen akan digunakan untuk mengenkripsi salinan snapshot.
Untuk informasi selengkapnya tentang menyalin AMIs dengan snapshot terenkripsi, lihat. [Gunakan enkripsi dengan dukungan EBS AMIs](AMIEncryption.md)
# Simpan dan pulihkan AMI menggunakan S3
Anda dapat menyimpan Amazon Machine Image (AMI) dalam bucket Amazon S3, menyalin AMI ke bucket S3 lain, lalu memulihkannya dari bucket S3. Dengan menyimpan dan memulihkan AMI menggunakan bucket S3, Anda dapat menyalin AMIs dari satu AWS partisi ke partisi lainnya, misalnya, dari partisi komersial utama ke partisi. AWS GovCloud (US) Anda juga dapat membuat salinan arsip AMIs dengan menyimpannya di ember S3.
Yang didukung APIs untuk menyimpan dan memulihkan AMI menggunakan S3 adalah`CreateStoreImageTask`,`DescribeStoreImageTasks`, dan. `CreateRestoreImageTask`
`CopyImage`adalah API yang direkomendasikan untuk digunakan untuk menyalin AMIs *dalam* AWS partisi. Namun, `CopyImage` tidak dapat menyalin AMI ke partisi *lain*.
Untuk informasi tentang AWS partisi, lihat *partition* di halaman [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) di *Panduan Pengguna IAM*.
**Awas**
Pastikan Anda mematuhi semua hukum dan persyaratan bisnis yang berlaku saat memindahkan data antar AWS partisi atau AWS Wilayah, termasuk, namun tidak terbatas pada, peraturan pemerintah dan persyaratan residensi data yang berlaku.
**Topics**
+ [
## Kasus penggunaan
](#use-cases)
+ [
## Batasan
](#ami-store-restore-limitations)
+ [
## Biaya
](#store-restore-costs)
+ [
# Cara kerja penyimpanan dan pemulihan AMI
](store-restore-how-it-works.md)
+ [
# Buat tugas gambar toko
](work-with-ami-store-restore.md)
## Kasus penggunaan
**Topics**
+ [
### Salin AMI antar AWS partisi
](#copy-to-partition)
+ [
### Buat salinan arsip AMIs
](#archival-copies)
### Salin AMI antar AWS partisi
Dengan menyimpan dan memulihkan AMI menggunakan bucket S3, Anda dapat menyalin AMI dari satu AWS partisi ke partisi lainnya, atau dari satu AWS Wilayah ke wilayah lainnya. Dalam contoh berikut, Anda menyalin AMI dari partisi komersial utama ke AWS GovCloud (US) partisi, khususnya dari `us-east-2` Wilayah ke `us-gov-east-1` Wilayah.
Untuk menyalin AMI dari satu partisi ke partisi lain, ikuti langkah berikut:
+ Menyimpan AMI dalam bucket S3 di Wilayah saat ini dengan menggunakan `CreateStoreImageTask`. Dalam contoh ini, bucket S3 terletak di `us-east-2`.
+ Pantau kemajuan tugas penyimpanan dengan menggunakan `DescribeStoreImageTasks`. Objek akan terlihat dalam bucket S3 ketika tugas selesai.
+ Salin objek AMI yang tersimpan ke bucket S3 di partisi target menggunakan prosedur pilihan Anda. Dalam contoh ini, bucket S3 terletak di `us-gov-east-1`.
**catatan**
Karena Anda memerlukan AWS kredensi yang berbeda untuk setiap partisi, Anda tidak dapat menyalin objek S3 langsung dari satu partisi ke partisi lainnya. Proses untuk menyalin objek S3 di seluruh partisi berada di luar lingkup dokumentasi ini. Kami menyediakan proses penyalinan berikut sebagai contoh, namun Anda harus menggunakan proses penyalinan yang memenuhi persyaratan keamanan Anda.
Untuk menyalin satu AMI antar partisi, proses penyalinan dapat sesederhana berikut ini: [Unduh objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) dari bucket sumber ke host perantara (misalnya, instans EC2 atau laptop), lalu [unggah objek tersebut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html) dari host perantara ke bucket target. Untuk setiap tahap proses, gunakan AWS kredensil untuk partisi.
Untuk penggunaan yang lebih berkelanjutan, pertimbangkan untuk mengembangkan aplikasi yang mengelola salinan, yang berpotensi menggunakan [unduhan dan unggahan multipart](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) S3.
+ Pulihkan AMI dari S3 bucket di partisi target dengan menggunakan `CreateRestoreImageTask`. Dalam contoh ini, bucket S3 terletak di `us-gov-east-1`.
+ Pantau kemajuan tugas pemulihan dengan menggambarkan AMI untuk memeriksa kapan status menjadi tersedia. Anda juga dapat memantau persentase kemajuan dari snapshot yang membentuk AMI yang dipulihkan dengan menggambarkan snapshot.
### Buat salinan arsip AMIs
Anda dapat membuat salinan arsip AMIs dengan menyimpannya dalam ember S3. AMI dikemas ke dalam satu objek di S3, dan semua metadata AMI (tidak termasuk berbagi informasi) dipertahankan sebagai bagian dari AMI yang disimpan. Data AMI dikompresi sebagai bagian dari proses penyimpanan. AMIs yang berisi data yang dapat dengan mudah dikompresi akan menghasilkan objek yang lebih kecil di S3. Untuk mengurangi biaya, Anda dapat menggunakan kelas penyimpanan S3 yang lebih murah. Untuk informasi selengkapnya, lihat [Kelas Penyimpanan Amazon S3](https://aws.amazon.com/s3/storage-classes/) dan [Harga Amazon S3](https://aws.amazon.com/s3/pricing/)
## Batasan
+ Untuk menyimpan AMI, Anda Akun AWS harus memiliki AMI dan fotonya, atau AMI dan fotonya harus [dibagikan langsung dengan akun Anda](sharingamis-explicit.md). Anda tidak dapat menyimpan AMI jika AMI tersebut hanya [dibagikan secara publik](sharingamis-intro.md).
+ Hanya EBS yang didukung AMIs dapat disimpan menggunakan ini. APIs
+ Paravirtual (PV) AMIs tidak didukung.
+ Ukuran AMI (sebelum kompresi) yang dapat disimpan dibatasi hingga 5.000 GB.
+ Kuota permintaan gambar toko: 1.200 GB pekerjaan penyimpanan (data snapshot) sedang berlangsung.
+ Kuota untuk mengembalikan permintaan gambar: 600 GB pekerjaan pemulihan (data snapshot) sedang berlangsung.
+ Untuk durasi tugas penyimpanan, snapshot tidak boleh dihapus dan pengguna utama IAM yang melakukan penyimpanan harus memiliki akses ke snapshot, jika tidak maka proses penyimpanan akan gagal.
+ Anda tidak dapat membuat beberapa salinan AMI dalam bucket S3 yang sama.
+ AMI yang disimpan dalam bucket S3 tidak dapat dipulihkan dengan ID AMI asalnya. Anda dapat memitigasi hal ini dengan menggunakan [alias AMI](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html).
+ Saat ini penyimpanan dan pemulihan hanya APIs didukung dengan menggunakan AWS Command Line Interface, AWS SDK, dan Amazon EC2 API. Anda tidak dapat menyimpan dan memulihkan AMI menggunakan konsol Amazon EC2.
## Biaya
Ketika Anda menyimpan dan memulihkan AMIs menggunakan S3, Anda dikenakan biaya untuk layanan yang digunakan oleh toko dan memulihkan APIs, dan untuk transfer data. APIs Penggunaan S3 dan EBS Direct API (digunakan secara internal oleh ini APIs untuk mengakses data snapshot). Untuk informasi selengkapnya, lihat [harga Amazon S3](https://aws.amazon.com/s3/pricing/) dan [harga Amazon EBS](https://aws.amazon.com/ebs/pricing/).
# Cara kerja penyimpanan dan pemulihan AMI
Untuk menyimpan dan memulihkan AMI menggunakan S3, Anda menggunakan yang berikut ini: APIs
+ `CreateStoreImageTask` – Menyimpan AMI dalam bucket S3
+ `DescribeStoreImageTasks` – Menyediakan kemajuan tugas penyimpanan AMI
+ `CreateRestoreImageTask` – Memulihkan AMI dari bucket S3
**Topics**
+ [
## CreateStoreImageTask
](#CreateStoreImageTask)
+ [
## DescribeStoreImageTasks
](#DescribeStoreImageTasks)
+ [
## CreateRestoreImageTask
](#CreateRestoreImageTask)
+ [
## Jalur file
](#file-paths-in-s3)
## CreateStoreImageTask
`CreateStoreImageTask`API menyimpan AMI sebagai objek tunggal dalam bucket S3.
API menciptakan tugas yang membaca semua data dari AMI dan snapshot-nya, lalu menggunakan [Unggahan multipart S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) untuk menyimpan data dalam objek S3. API mengambil semua komponen AMI, termasuk sebagian besar metadata non-Region-specific AMI, dan semua snapshot EBS yang terdapat dalam AMI, dan mengemasnya menjadi satu objek di S3. Data dikompresi sebagai bagian dari proses unggahan untuk mengurangi jumlah ruang yang digunakan di S3, sehingga objek di S3 mungkin lebih kecil dari jumlah ukuran snapshot di AMI.
Jika terlihat ada tag AMI dan snapshot ke akun yang memanggil API ini, tag tersebut dipertahankan.
Objek di S3 memiliki ID yang sama dengan AMI, tetapi dengan ekstensi `.bin`. Data berikut ini juga disimpan sebagai tag metadata S3 pada objek S3: nama AMI, deskripsi AMI, tanggal pendaftaran AMI, akun pemilik AMI, dan stempel waktu untuk operasi penyimpanan.
Waktu yang diperlukan untuk menyelesaikan tugas tergantung pada ukuran AMI. Hal ini juga bergantung pada berapa banyak tugas lain yang berlangsung karena tugas diantrekan. Anda dapat melacak kemajuan tugas dengan memanggil `DescribeStoreImageTasks` API.
Jumlah ukuran semua yang sedang berlangsung dibatasi hingga 1.200 GB data snapshot EBS per akun. AMIs Penciptaan tugas lebih lanjut akan ditolak sampai tugas yang sedang berlangsung kurang dari batasan tersebut. Misalnya, jika AMI dengan data snapshot 200 GB dan AMI lain dengan data snapshot 400 GB saat ini sedang disimpan, permintaan lain akan diterima, karena total yang sedang berlangsung adalah 600 GB, yang kurang dari batas. Tetapi jika satu AMI dengan 1.200 GB data snapshot saat ini sedang disimpan, tugas lebih lanjut ditolak hingga tugas selesai.
## DescribeStoreImageTasks
`DescribeStoreImageTasks`API menjelaskan kemajuan tugas penyimpanan AMI. Anda dapat menjelaskan tugas untuk ditentukan AMIs. Jika Anda tidak menentukan AMIs, Anda mendapatkan daftar paginasi dari semua tugas gambar toko yang telah diproses dalam 31 hari terakhir.
Untuk setiap tugas AMI, respons menunjukkan jika tugas tersebut adalah `InProgress`, `Completed`, atau `Failed`. Untuk tugas `InProgress`, respons menunjukkan perkiraan kemajuan sebagai persentase.
Tugas tercantum dalam urutan kronologis terbalik.
Saat ini, hanya tugas dari bulan sebelumnya yang dapat dilihat.
## CreateRestoreImageTask
`CreateRestoreImageTask`API memulai tugas yang mengembalikan AMI dari objek S3 yang sebelumnya dibuat dengan menggunakan permintaan. `CreateStoreImageTask`
Tugas pemulihan dapat dilakukan di Wilayah yang sama atau berbeda dari tempat tugas penyimpanan dilakukan.
Bucket S3 tempat objek AMI akan dipulihkan harus berada di Wilayah yang sama dengan tempat tugas pemulihan diminta. AMI akan dipulihkan di Wilayah ini.
AMI dipulihkan dengan metadata-nya, seperti nama, deskripsi, dan pemetaan perangkat blok yang sesuai dengan nilai-nilai AMI yang tersimpan. Nama harus unik untuk AMIs di Wilayah untuk akun ini. Jika Anda tidak memberikan nama, AMI yang baru akan mendapat nama yang sama dengan AMI asal. AMI akan mendapat ID AMI baru yang dihasilkan pada saat proses pemulihan.
Waktu yang diperlukan untuk menyelesaikan tugas pemulihan AMI bergantung pada ukuran AMI. Hal ini juga bergantung pada berapa banyak tugas lain yang berlangsung karena tugas diantrekan. Anda dapat melihat kemajuan tugas dengan menggambarkan AMI ([describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)) atau snapshot EBS-nya ([describe-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html)). Jika tugas gagal, AMI dan snapshot akan dipindahkan ke status gagal.
Jumlah ukuran semua yang sedang berlangsung dibatasi hingga 600 GB (berdasarkan ukuran setelah pemulihan) data snapshot EBS per akun. AMIs Penciptaan tugas lebih lanjut akan ditolak sampai tugas yang sedang berlangsung kurang dari batasan tersebut.
## Jalur file
Anda dapat menggunakan jalur file saat menyimpan dan memulihkan AMIs, dengan cara berikut:
+ Saat menyimpan AMI di S3, jalur file dapat ditambahkan ke nama bucket. Secara internal, sistem memisahkan jalur dari nama bucket, lalu menambahkan jalur ke kunci objek yang dibuat untuk menyimpan AMI. Jalur objek lengkap ditampilkan dalam respons dari panggilan API.
+ Saat memulihkan AMI, karena parameter kunci objek tersedia, jalur dapat ditambahkan ke awal nilai kunci objek.
**Contoh: Nama bucket dengan path file yang ditambahkan**
Saat Anda menyimpan AMI, tentukan path file setelah nama bucket.
```
amzn-s3-demo-bucket/path1/path2
```
Berikut ini adalah kunci objek yang dihasilkan.
```
path1/path2/ami-0abcdef1234567890.bin
```
Saat memulihkan AMI, Anda menentukan nama bucket dan kunci objek. Sebagai contoh, lihat [Buat tugas gambar toko](work-with-ami-store-restore.md#create-store-image-task).
# Buat tugas gambar toko
Saat Anda menyimpan AMI di bucket S3, tugas gambar toko akan dibuat. Anda dapat menggunakan tugas gambar toko untuk memantau kemajuan dan hasil proses.
**Topics**
+ [
## Mengamankan AMIs
](#securing-amis)
+ [
## Izin untuk menyimpan dan memulihkan menggunakan S3 AMIs
](#ami-s3-permissions)
+ [
## Buat tugas gambar toko
](#create-store-image-task)
+ [
## Buat tugas mengembalikan gambar
](#create-restore-image-task)
## Mengamankan AMIs
Penting untuk memastikan bahwa bucket S3 dikonfigurasi dengan keamanan yang cukup untuk mengamankan konten AMI dan bahwa keamanan dipertahankan selama objek AMI berada di dalam bucket. Jika ini tidak dapat dilakukan, penggunaan ini tidak APIs dianjurkan. Pastikan bahwa akses publik ke bucket S3 tidak diperbolehkan. Sebaiknya aktifkan [enkripsi sisi Server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) untuk bucket S3 tempat Anda menyimpan AMIs, meskipun tidak diperlukan.
Untuk informasi tentang cara mengatur pengaturan keamanan yang sesuai untuk bucket S3 Anda, tinjau topik keamanan berikut:
+ [Memblokir akses publik ke penyimpanan Amazon S3 Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
+ [Mengatur perilaku enkripsi sisi server default untuk bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)
+ [Kebijakan bucket S3 apa yang dapat saya gunakan untuk mematuhi AWS Config aturan s3-? bucket-ssl-requests-only](https://repost.aws/knowledge-center/s3-bucket-policy-for-config-rule)
+ [Mengaktifkan logging akses server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)
Ketika snapshot AMI disalin ke objek S3, data kemudian disalin melalui koneksi TLS. Anda dapat menyimpan AMIs dengan snapshot terenkripsi, tetapi snapshot didekripsi sebagai bagian dari proses penyimpanan.
## Izin untuk menyimpan dan memulihkan menggunakan S3 AMIs
Jika kepala sekolah IAM Anda akan menyimpan atau memulihkan menggunakan Amazon AMIs S3, Anda harus memberi mereka izin yang diperlukan.
Contoh kebijakan berikut ini mencakup semua tindakan yang diperlukan untuk memungkinkan pengguna utama IAM melaksanakan tugas penyimpanan dan pemulihan.
Anda juga dapat membuat kebijakan IAM yang memberikan akses kepada pengguna utama hanya ke sumber daya tertentu. Untuk kebijakan contoh lainnya, lihat [Manajemen akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di *Panduan Pengguna IAM*.
**catatan**
Jika snapshot yang membentuk AMI dienkripsi, atau jika akun Anda diaktifkan untuk enkripsi secara default, pengguna utama IAM Anda harus memiliki izin untuk menggunakan kunci KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:PutObjectTagging",
"s3:AbortMultipartUpload",
"ebs:CompleteSnapshot",
"ebs:GetSnapshotBlock",
"ebs:ListChangedBlocks",
"ebs:ListSnapshotBlocks",
"ebs:PutSnapshotBlock",
"ebs:StartSnapshot",
"ec2:CreateStoreImageTask",
"ec2:DescribeStoreImageTasks",
"ec2:CreateRestoreImageTask",
"ec2:GetEbsEncryptionByDefault",
"ec2:DescribeTags",
"ec2:CreateTags"
],
"Resource": "*"
}
]
}
```
------
## Buat tugas gambar toko
Untuk menyimpan AMI di bucket S3, mulailah dengan membuat tugas gambar toko. Waktu yang diperlukan untuk menyelesaikan tugas tergantung pada ukuran AMI. Anda dapat melacak kemajuan tugas sampai berhasil atau gagal.
------
#### [ AWS CLI ]
**Untuk membuat tugas gambar toko**
Gunakan perintah [create-store-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-store-image-task.html).
```
aws ec2 create-store-image-task \
--image-id ami-0abcdef1234567890 \
--bucket amzn-s3-demo-bucket
```
Berikut ini adalah output contoh.
```
{
"ObjectKey": "ami-0abcdef1234567890.bin"
}
```
**Untuk menggambarkan kemajuan tugas gambar toko**
Gunakan perintah [describe-store-image-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-store-image-tasks.html).
```
aws ec2 describe-store-image-tasks \
--image-ids ami-0abcdef1234567890 \
--query StoreImageTaskResults[].StoreTaskState \
--output text
```
Berikut ini adalah output contoh.
```
InProgress
```
------
#### [ PowerShell ]
**Untuk membuat tugas gambar toko**
Gunakan [New-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2StoreImageTask.html)cmdlet.
```
New-EC2StoreImageTask `
-ImageId ami-0abcdef1234567890 `
-Bucket amzn-s3-demo-bucket
```
Berikut ini adalah output contoh.
```
ObjectKey : ami-0abcdef1234567890.bin
```
**Untuk menggambarkan kemajuan tugas gambar toko**
Gunakan [Get-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StoreImageTask.html)cmdlet.
```
(Get-EC2StoreImageTask -ImageId ami-0abcdef1234567890).StoreTaskState
```
Berikut ini adalah output contoh.
```
InProgress
```
------
## Buat tugas mengembalikan gambar
Anda harus menentukan nama untuk AMI yang dipulihkan. Nama harus unik untuk AMIs di Wilayah untuk akun ini. AMI yang dipulihkan akan mendapat ID AMI baru.
------
#### [ AWS CLI ]
**Untuk membuat tugas mengembalikan gambar**
Gunakan perintah [create-restore-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-restore-image-task.html).
```
aws ec2 create-restore-image-task \
--object-key ami-0abcdef1234567890.bin \
--bucket amzn-s3-demo-bucket \
--name "my-restored-ami"
```
Berikut ini adalah output contoh.
```
{
"ImageId": "ami-1234567890abcdef0"
}
```
------
#### [ PowerShell ]
**Untuk membuat tugas mengembalikan gambar**
Gunakan [New-EC2RestoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RestoreImageTask.html)cmdlet.
```
New-EC2RestoreImageTask `
-ObjectKey ami-0abcdef1234567890.bin `
-Bucket amzn-s3-demo-bucket `
-Name "my-restored-ami"
```
Berikut ini adalah output contoh.
```
ImageId : ami-1234567890abcdef0
```
------
# Gunakan keturunan AMI untuk melacak asal usul AMI
Leluhur AMI membantu Anda melacak asal usul AMI dengan mengembalikan IDs dan Wilayah dari semua leluhurnya. AMIs Saat Anda membuat atau menyalin AMI, AMI baru akan mempertahankan ID dan Wilayah AMI sumbernya (induk). Ini memungkinkan Anda untuk melacak rantai AMIs kembali ke root AMI.
**Manfaat utama**
Menggunakan keturunan AMI membantu Anda:
+ Lacak turunan AMI untuk memastikan kepatuhan terhadap kebijakan internal.
+ Identifikasi berpotensi rentan AMIs ketika masalah keamanan ditemukan pada AMI leluhur.
+ Pertahankan visibilitas asal AMI di beberapa Wilayah.
**Topics**
+ [
## Cara kerja leluhur AMI
](#how-ami-ancestry-works)
+ [
## Pertimbangan-pertimbangan
](#ami-ancestry-conditions)
+ [
## Lihat keturunan AMI
](#view-ami-ancestry)
+ [
## Identifikasi sumber AMI
](#identify-source-ami-used-to-create-new-ami)
## Cara kerja leluhur AMI
Leluhur AMI mengidentifikasi AMI induk yang digunakan untuk membuat AMI yang ditentukan, induk induk, dan sebagainya, hingga AMI root. Begini cara kerjanya:
+ Setiap AMI menampilkan ID dan Wilayah AMI sumbernya (induk).
+ Dimulai dengan AMI yang Anda pilih, daftar entri leluhur menampilkan setiap AMI induk secara berurutan.
+ Daftar entri leluhur ditelusuri kembali hingga mencapai root AMI. Akar AMI adalah salah satu dari yang berikut:
+ AMI publik dari [penyedia terverifikasi](sharing-amis.md#verified-ami-provider) (diidentifikasi oleh alias pemiliknya, yaitu salah satu `amazon` atau`aws-marketplace`).
+ AMI tanpa leluhur yang tercatat. Misalnya, saat menggunakan [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)untuk membuat AMI langsung dari sekumpulan snapshot, tidak ada sumber AMI untuk dilacak, tidak seperti saat membuat AMI dari sebuah instance.
+ AMI yang sumbernya AMI berasal dari [partisi](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition) yang berbeda.
+ AMI ke-50 dalam daftar. Jumlah maksimum AMIs dalam daftar leluhur adalah 50.
## Pertimbangan-pertimbangan
+ ID dan Wilayah AMI sumber hanya tersedia untuk AMIs dibuat menggunakan [CreateImage](creating-an-ami-ebs.md#how-to-create-ebs-ami), [CopyImage](CopyingAMIs.md#ami-copy-steps), atau [CreateRestoreImageTask](store-restore-how-it-works.md#CreateRestoreImageTask).
+ Untuk AMIs dibuat menggunakan [CreateImage](creating-an-ami-ebs.md#how-to-create-ebs-ami)(membuat AMI dari sebuah instance), ID AMI sumber adalah ID AMI yang digunakan untuk meluncurkan instance.
+ Sumber informasi AMI tidak tersedia untuk:
+ AMIs dibuat menggunakan [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)karena dibuat dari snapshot.
+ Untuk beberapa yang lebih tua AMIs.
+ Sumber informasi AMI disimpan ketika:
+ AMIs disalin di seluruh Wilayah.
+ Sumber AMIs dideregistrasi (dihapus).
+ Anda tidak memiliki akses ke sumbernya AMIs.
+ Setiap daftar leluhur dibatasi hingga 50. AMIs
## Lihat keturunan AMI
Anda dapat melihat leluhur AMI menggunakan metode berikut.
------
#### [ Console ]
**Untuk melihat nenek moyang AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI dan pilih tab **keturunan AMI**.
1. Tabel **entri leluhur AMI** mencantumkan semua yang ada AMIs dalam daftar leluhur.
+ **ID AMI** — Pengidentifikasi setiap AMI dalam daftar leluhur. Entri pertama dalam tabel adalah AMI yang dipilih, diikuti oleh leluhurnya.
+ **Sumber AMI ID** — ID AMI dari mana **AMI di kolom ID AMI** dibuat. Tanda hubung (**-**) menunjukkan akhir dari daftar keturunan AMI.
+ **Sumber AMI Region** — Wilayah AWS Tempat sumber AMI berada.
+ **Tingkat leluhur** — Posisi dalam daftar leluhur, di mana:
+ **0 (masukan AMI)** menunjukkan AMI yang dipilih yang nenek moyangnya ingin Anda ketahui.
+ Jumlah yang meningkat menunjukkan leluhur yang lebih tua.
+ ***n*(AMI asli)** menunjukkan AMI root, dengan nomor yang menunjukkan seberapa jauh daftar leluhur berjalan.
+ **Tanggal pembuatan** - Saat AMI dibuat, dalam format UTC.
+ **Alias pemilik** — Alias pemilik AMI (misalnya,`amazon`). Tanda hubung (**-**) menunjukkan bahwa AMI tidak memiliki alias pemilik.
------
#### [ AWS CLI ]
**Untuk melihat nenek moyang AMI**
Gunakan perintah [get-image-ancestry](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-ancestry.html) dan sebutkan ID AMI.
```
aws ec2 get-image-ancestry \
--image-id ami-1111111111EXAMPLE \
--region us-east-1
```
Berikut ini adalah output contoh. Daftar keluaran AMIs dalam urutan leluhur: entri pertama adalah AMI (input) yang ditentukan, diikuti oleh induknya, induk induk, dan sebagainya, dan diakhiri dengan root AMI.
```
{
"ImageAncestryEntries": [
{
"CreationDate": "2025-01-17T18:37:50.000Z",
"ImageId": "ami-1111111111EXAMPLE", // Input AMI
"SourceImageId": "ami-2222222222EXAMPLE",
"SourceImageRegion": "us-east-1"
},
{
"CreationDate": "2025-01-17T18:37:50.000Z",
"ImageId": "ami-2222222222EXAMPLE", // Parent AMI
"SourceImageId": "ami-3333333333EXAMPLE",
"SourceImageRegion": "us-east-1"
},
...
{
"CreationDate": "2025-01-17T18:37:50.000Z",
"ImageId": "ami-8888888888EXAMPLE", // Root AMI
"ImageOwnerAlias": "aws-marketplace",
"SourceImageId": "ami-9999999999EXAMPLE",
"SourceImageRegion": "us-east-2"
}
]
}
```
------
#### [ PowerShell ]
**Untuk melihat nenek moyang AMI**
Gunakan [Get-EC2ImageAncestry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAncestry.html)cmdlet.
```
Get-EC2ImageAncestry -ImageId ami-1111111111EXAMPLE
```
Berikut ini adalah output contoh. Daftar keluaran AMIs dalam urutan leluhur: entri pertama adalah AMI (input) yang ditentukan, diikuti oleh induknya, induk induk, dan sebagainya, dan diakhiri dengan root AMI.
```
ImageAncestryEntries : {
@{
CreationDate = "2025-01-17T18:37:50.000Z"
ImageId = "ami-1111111111EXAMPLE" # Input AMI
SourceImageId = "ami-2222222222EXAMPLE"
SourceImageRegion = "us-east-1"
},
@{
CreationDate = "2025-01-17T18:37:50.000Z"
ImageId = "ami-2222222222EXAMPLE" # Parent AMI
SourceImageId = "ami-3333333333EXAMPLE"
SourceImageRegion = "us-east-1"
},
...
@{
CreationDate = "2025-01-17T18:37:50.000Z"
ImageId = "ami-8888888888EXAMPLE" # Root AMI
ImageOwnerAlias = "aws-marketplace"
SourceImageId = "ami-9999999999EXAMPLE"
SourceImageRegion = "us-east-2"
}
}
```
------
## Identifikasi sumber AMI
Jika Anda hanya perlu mengidentifikasi induk langsung (sumber) AMI yang digunakan untuk membuat AMI, Anda dapat menggunakan metode berikut.
------
#### [ Console ]
**Untuk mengidentifikasi sumber AMI yang digunakan untuk membuat AMI yang dipilih**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI untuk melihat detailnya.
Informasi sumber AMI muncul di bidang berikut: **Sumber AMI ID** dan **Sumber AMI Region**
------
#### [ AWS CLI ]
**Untuk mengidentifikasi sumber AMI yang digunakan untuk membuat AMI yang ditentukan**
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--region us-east-1 \
--image-ids ami-0abcdef1234567890 \
--query "Images[].{ID:SourceImageId,Region:SourceImageRegion}"
```
Berikut ini adalah output contoh.
```
[
{
"ID": "ami-0abcdef1234567890",
"Region": "us-west-2"
}
}
```
------
#### [ PowerShell ]
**Untuk mengidentifikasi sumber AMI yang digunakan untuk membuat AMI yang ditentukan**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
Get-EC2Image -ImageId ami-0abcdef1234567890 | Select SourceImageId, SourceImageRegion
```
Berikut ini adalah output contoh.
```
SourceImageId SourceImageRegion
------------- -----------------
ami-0abcdef1234567890 us-west-2
```
------
# Kelola dan pantau penggunaan AMI
AWS menyediakan beberapa fitur untuk membantu Anda mengelola dan memantau penggunaan AMI Anda secara efektif. Anda dapat melacak akun mana yang menggunakan akun bersama Anda AMIs, mengidentifikasi kapan terakhir kali AMIs digunakan, dan menemukan sumber daya yang spesifik AMIs dalam referensi Anda Akun AWS .
Tabel berikut memberikan ikhtisar fitur untuk mengelola dan memantau penggunaan AMI:
| Fitur | Kasus penggunaan | Manfaat utama |
| --- | --- | --- |
| [Laporan penggunaan AMI](your-ec2-ami-usage.md) | Dapatkan visibilitas ke mana Akun AWS yang menggunakan Anda AMIs dan berapa banyak setiap AMI digunakan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/ec2-ami-usage.html) |
| [Pelacakan terakhir digunakan](ami-last-launched-time.md) | Periksa kapan AMI Anda terakhir digunakan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/ec2-ami-usage.html) |
| [Pemeriksaan referensi AMI](ec2-ami-references.md) | Pastikan AWS sumber daya Anda menggunakan kepatuhan AMIs terbaru. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/ec2-ami-usage.html) |
**Topics**
+ [
# Lihat penggunaan AMI Anda
](your-ec2-ami-usage.md)
+ [
# Periksa kapan Amazon EC2 AMI terakhir digunakan
](ami-last-launched-time.md)
+ [
# Identifikasi referensi sumber daya Anda yang ditentukan AMIs
](ec2-ami-references.md)
# Lihat penggunaan AMI Anda
Jika Anda membagikan Amazon Machine Images (AMIs) dengan yang Akun AWS lain—baik dengan organisasi Akun AWS, organisasi, unit organisasi (OUs), atau publik—Anda dapat melihat bagaimana ini AMIs digunakan dengan membuat laporan penggunaan AMI. Laporan memberikan visibilitas ke:
+ Akun AWS Yang menggunakan EC2 contoh Anda AMIs atau meluncurkan templat
+ Berapa banyak EC2 instance atau template peluncuran yang mereferensikan setiap AMI
Laporan penggunaan AMI membantu Anda mengelola secara AMIs lebih efektif dengan membantu Anda:
+ Identifikasi Akun AWS dan jenis sumber daya yang mereferensikan Anda AMIs sehingga Anda dapat membatalkan pendaftaran atau menonaktifkan dengan aman. AMIs
+ Identifikasi yang tidak digunakan AMIs untuk deregistrasi untuk mengurangi biaya penyimpanan.
+ Identifikasi yang paling sering Anda gunakan AMIs.
**Topics**
+ [
## Cara kerja laporan penggunaan AMI
](#how-ami-usage-reports-work)
+ [
## Membuat laporan penggunaan AMI
](#create-ami-usage-reports)
+ [
## Lihat laporan penggunaan AMI
](#view-ami-usage-reports)
+ [
## Menghapus laporan penggunaan AMI
](#delete-ami-usage-reports)
+ [
## Laporkan kuota
](#ami-usage-report-quotas)
## Cara kerja laporan penggunaan AMI
Saat membuat laporan penggunaan AMI, Anda menentukan:
+ AMI untuk melaporkannya.
+ Akun AWS Untuk memeriksa (akun tertentu atau semua akun).
+ Jenis sumber daya yang akan diperiksa (EC2 instance, template peluncuran, atau keduanya).
+ Untuk template peluncuran, jumlah versi yang akan diperiksa (default ke 20 versi terbaru).
Amazon EC2 membuat laporan terpisah untuk setiap AMI. Setiap laporan menyediakan:
+ Daftar Akun AWS menggunakan AMI.
+ Hitungan sumber daya yang mereferensikan AMI berdasarkan jenis sumber daya per akun. Perhatikan bahwa untuk template peluncuran, jika AMI direferensikan dalam beberapa versi template peluncuran, hitungannya hanya 1.
**penting**
Saat Anda membuat laporan penggunaan AMI, laporan tersebut mungkin tidak berisi aktivitas terbaru. Aktivitas instans dari 24 jam terakhir dan aktivitas peluncuran template dari beberapa hari terakhir mungkin tidak muncul dalam laporan.
Amazon EC2 secara otomatis menghapus laporan 30 hari setelah pembuatan. Anda dapat mengunduh laporan dari EC2 konsol untuk disimpan secara lokal.
## Membuat laporan penggunaan AMI
Untuk melihat bagaimana AMI Anda digunakan, Anda harus terlebih dahulu membuat laporan penggunaan AMI, menentukan akun dan jenis sumber daya yang akan dilaporkan. Setelah laporan dibuat, Anda dapat melihat isi laporan. Anda juga dapat mengunduh laporan dari EC2 konsol.
------
#### [ Console ]
**Untuk membuat laporan penggunaan AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI dan pilih **Tindakan**, **penggunaan AMI**, **Lihat penggunaan AMI saya**.
1. Pada halaman **Create my AMI usage report**, lakukan hal berikut:
1. Untuk **jenis Sumber Daya**, pilih satu atau beberapa jenis sumber daya yang akan dilaporkan.
1. Untuk **Akun IDs**, lakukan salah satu hal berikut:
+ Pilih **Tentukan akun IDs**, lalu pilih **Tambahkan ID akun** untuk setiap akun yang akan dilaporkan.
+ Pilih **Sertakan semua akun** untuk melaporkan semua akun.
1. Pilih **Buat laporan penggunaan AMI saya**.
1. Pada halaman AMI, pilih tab **Penggunaan AMI Saya**.
1. Pilih ID laporan untuk melihat detailnya.
------
#### [ AWS CLI ]
**Untuk membuat laporan penggunaan AMI untuk daftar akun**
Gunakan [create-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image-usage-report.html)perintah dengan parameter yang diperlukan berikut:
+ `--image-id`— ID AMI untuk melaporkan.
+ `--resource-types`— Jenis sumber daya untuk diperiksa. Dalam contoh berikut, jenis sumber daya yang akan diperiksa adalah EC2 instance dan template peluncuran. Selain itu, jumlah versi template peluncuran yang akan diperiksa juga ditentukan (`version-depth=100`).
Untuk melaporkan akun tertentu, gunakan `--account-ids` parameter untuk menentukan ID setiap akun yang akan dilaporkan.
```
aws ec2 create-image-usage-report \
--image-id ami-0abcdef1234567890 \
--account-ids 111122223333 444455556666 123456789012 \
--resource-types ResourceType=ec2:Instance \
'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]'
```
**Untuk membuat laporan penggunaan AMI dari semua akun**
Untuk melaporkan semua akun menggunakan AMI yang ditentukan, gunakan perintah yang sama tetapi hilangkan `--account-ids` parameternya.
```
aws ec2 create-image-usage-report \
--image-id ami-0abcdef1234567890 \
--resource-types ResourceType=ec2:Instance \
'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]'
```
Berikut ini adalah output contoh.
```
{
"ReportId": "amiur-00b877d192f6b02d0"
}
```
**Untuk memantau status pembuatan laporan**
Gunakan [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)perintah dan tentukan ID laporan.
```
aws ec2 describe-image-usage-reports --report-ids amiur-00b877d192f6b02d0
```
Berikut ini adalah output contoh. Nilai awal `State` bidang tersebut adalah`pending`. Untuk dapat melihat entri laporan, negara harus`available`.
```
{
"ImageUsageReports": [
{
"ImageId": "ami-0e9ae3dc21c2b3a64",
"ReportId": "amiur-abcae3dc21c2b3999",
"ResourceTypes": [
{"ResourceType": "ec2:Instance"}
],
"State": "pending",
"CreationTime": "2025-09-29T13:27:12.322000+00:00",
"ExpirationTime": "2025-10-28T13:27:12.322000+00:00"
}
]
}
```
------
#### [ PowerShell ]
**Untuk membuat laporan penggunaan AMI untuk daftar akun**
Gunakan [New-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2ImageUsageReport.html)cmdlet dengan parameter yang diperlukan berikut:
+ `-ImageId`— ID AMI untuk melaporkan.
+ `-ResourceType`— Jenis sumber daya untuk diperiksa. Dalam contoh berikut, jenis sumber daya yang akan diperiksa adalah EC2 instance dan template peluncuran. Selain itu, jumlah versi template peluncuran yang akan diperiksa juga ditentukan (`'version-depth' = 100`).
Untuk melaporkan akun tertentu, gunakan `-AccountId` parameter untuk menentukan ID setiap akun yang akan dilaporkan.
```
New-EC2ImageUsageReport `
-ImageId ami-0abcdef1234567890 `
-AccountId 111122223333 444455556666 123456789012 `
-ResourceType @(
@{ResourceType = 'ec2:Instance'},
@{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100}
})
```
**Untuk membuat laporan penggunaan AMI dari semua akun**
Untuk melaporkan semua akun menggunakan AMI yang ditentukan, gunakan perintah yang sama tetapi hilangkan `-AccountId` parameternya.
```
New-EC2ImageUsageReport `
-ImageId ami-0abcdef1234567890 `
-ResourceType @(
@{ResourceType = 'ec2:Instance'},
@{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100}
})
```
Berikut ini adalah output contoh.
```
ReportId
--------
amiur-00b877d192f6b02d0
```
**Untuk memantau status pembuatan laporan**
Gunakan [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)perintah dan tentukan ID laporan.
```
Get-EC2ImageUsageReport -ReportId amiur-00b877d192f6b02d0
```
Berikut ini adalah output contoh. Nilai awal `State` bidang tersebut adalah`pending`. Untuk dapat melihat entri laporan, negara harus`available`.
```
ImageUsageReports
-----------------
{@{ImageId=ami-0e9ae3dc21c2b3a64; ReportId=amiur-abcae3dc21c2b3999; ResourceTypes=System.Object[]; State=pending; CreationTime=2025-09-29; ExpirationTime=2025-10-28}}
```
------
## Lihat laporan penggunaan AMI
Anda dapat melihat semua laporan penggunaan yang Anda buat untuk AMI dalam 30 hari terakhir. Amazon EC2 secara otomatis menghapus laporan 30 hari setelah pembuatan.
Untuk setiap laporan, Anda dapat melihat Akun AWS yang menggunakan AMI, dan untuk setiap akun, hitungan sumber daya yang mereferensikan AMI berdasarkan jenis sumber daya. Anda juga dapat melihat kapan pembuatan laporan dimulai. Informasi ini hanya tersedia jika laporan berada dalam status **Lengkap** (konsol) atau `available` (AWS CLI).
**penting**
Saat Anda membuat laporan penggunaan AMI, laporan tersebut mungkin tidak berisi aktivitas terbaru. Aktivitas instans dari 24 jam terakhir dan aktivitas peluncuran template dari beberapa hari terakhir mungkin tidak muncul dalam laporan.
------
#### [ Console ]
**Untuk melihat laporan penggunaan AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI.
1. Pilih tab **Laporan penggunaan saya**.
Daftar laporan menunjukkan:
+ Semua laporan yang dihasilkan dalam 30 hari terakhir untuk AMI yang dipilih.
+ Untuk setiap laporan, kolom **waktu yang dimulai** Laporan menunjukkan tanggal laporan dibuat.
1. Pilih ID laporan untuk melihat isinya.
1. Untuk kembali ke tab **Laporan penggunaan saya** di halaman detail AMI, pilih **Lihat semua laporan untuk AMI ini**.
------
#### [ AWS CLI ]
**Untuk mencantumkan semua laporan penggunaan AMI untuk AMI yang ditentukan**
Gunakan [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)perintah dan tentukan ID AMI untuk mendapatkan daftar laporannya.
```
aws ec2 describe-image-usage-reports --image-ids ami-0abcdef1234567890
```
Berikut ini adalah output contoh. Setiap ID laporan dicantumkan bersama dengan jenis sumber daya yang dipindai dan pembuatan laporan serta tanggal kedaluwarsa. Anda dapat menggunakan informasi ini untuk mengidentifikasi laporan yang entrinya ingin Anda lihat.
```
{
"ImageUsageReports": [
{
"ImageId": "ami-0abcdef1234567890",
"ReportId": "amiur-1111111111111111",
"ResourceTypes": [
{
"ResourceType": "ec2:Instance"
}
],
"State": "available",
"CreationTime": "2025-09-29T13:27:12.322000+00:00",
"ExpirationTime": "2025-10-28T13:27:12.322000+00:00",
"Tags": []
},
{
"ImageId": "ami-0abcdef1234567890",
"ReportId": "amiur-22222222222222222",
"ResourceTypes": [
{
"ResourceType": "ec2:Instance"
},
{
"ResourceType": "ec2:LaunchTemplate"
}
],
"State": "available",
"CreationTime": "2025-10-01T13:27:12.322000+00:00",
"ExpirationTime": "2025-10-30T13:27:12.322000+00:00",
"Tags": []
}
],
"NextToken": "opaque"
}
```
**Untuk melihat isi laporan penggunaan AMI untuk AMI yang ditentukan**
Gunakan perintah [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) dan tentukan ID AMI. Respons mengembalikan semua laporan untuk AMI yang ditentukan, menunjukkan akun yang telah menggunakan AMI dan jumlah sumber dayanya.
```
aws ec2 describe-image-usage-report-entries --image-ids ami-0abcdef1234567890
```
Berikut ini adalah output contoh.
```
{
"ImageUsageReportEntries": [
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:Instance",
"AccountId": "123412341234",
"UsageCount": 15,
"ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
"ReportId": "amiur-1111111111111111"
},
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:Instance",
"AccountId": "123412341234",
"UsageCount": 2,
"ReportCreationTime": "2025-10-01T13:27:12.322000+00:00",
"ReportId": "amiur-22222222222222222"
},
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:Instance",
"AccountId": "001100110011",
"UsageCount": 39,
"ReportCreationTime": "2025-10-01T13:27:12.322000+00:00",
"ReportId": "amiur-22222222222222222"
}
],
"NextToken": "opaque"
}
```
**Untuk melihat isi laporan penggunaan AMI untuk laporan yang ditentukan**
Gunakan perintah [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) dan tentukan ID laporan. Respons menampilkan semua entri untuk laporan yang ditentukan, menampilkan akun yang telah menggunakan AMI dan jumlah sumber dayanya.
```
aws ec2 describe-image-usage-report-entries --report-ids amiur-11111111111111111
```
Berikut ini adalah output contoh.
```
{
"ImageUsageReportEntries": [
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:Instance",
"AccountId": "123412341234",
"UsageCount": 15,
"ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
"ReportId": "amiur-11111111111111111"
},
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:LaunchTemplate",
"AccountId": "123412341234",
"UsageCount": 4,
"ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
"ReportId": "amiur-11111111111111111"
},
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:LaunchTemplate",
"AccountId": "001100110011",
"UsageCount": 2,
"ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
"ReportId": "amiur-11111111111111111"
}
],
"NextToken": "opaque"
}
```
------
#### [ PowerShell ]
**Untuk mencantumkan semua laporan penggunaan AMI untuk AMI yang ditentukan**
Gunakan [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)cmdlet dan tentukan ID AMI untuk mendapatkan daftar laporannya.
```
Get-EC2ImageUsageReport -ImageId ami-0abcdef1234567890
```
Berikut ini adalah output contoh. Setiap ID laporan dicantumkan bersama dengan jenis sumber daya yang dipindai dan pembuatan laporan serta tanggal kedaluwarsa. Anda dapat menggunakan informasi ini untuk mengidentifikasi laporan yang entrinya ingin Anda lihat.
```
@{
ImageUsageReports = @(
@{
ImageId = "ami-0abcdef1234567890"
ReportId = "amiur-1111111111111111"
ResourceTypes = @(
@{
ResourceType = "ec2:Instance"
}
)
State = "available"
CreationTime = "2025-09-29T13:27:12.322000+00:00"
ExpirationTime = "2025-10-28T13:27:12.322000+00:00"
},
@{
ImageId = "ami-0abcdef1234567890"
ReportId = "amiur-22222222222222222"
ResourceTypes = @(
@{
ResourceType = "ec2:Instance"
}
)
State = "available"
CreationTime = "2025-09-30T13:27:12.322000+00:00"
ExpirationTime = "2025-10-29T13:27:12.322000+00:00"
},
@{
ImageId = "ami-0abcdef1234567890"
ReportId = "amiur-33333333333333333"
ResourceTypes = @(
@{
ResourceType = "ec2:Instance"
}
)
State = "available"
CreationTime = "2025-10-01T13:27:12.322000+00:00"
ExpirationTime = "2025-10-30T13:27:12.322000+00:00"
}
)
NextToken = "opaque"
}
```
**Untuk melihat isi laporan penggunaan AMI untuk AMI yang ditentukan**
Gunakan [Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)cmdlet dan tentukan ID AMI. Respons mengembalikan semua laporan untuk AMI yang ditentukan, menunjukkan akun yang telah menggunakan AMI dan jumlah sumber dayanya.
```
Get-EC2ImageUsageReportEntry -ImageId ami-0abcdef1234567890
```
Berikut ini adalah output contoh.
```
ImageUsageReportEntries : {@{
ImageId = "ami-0abcdef1234567890"
ResourceType = "ec2:Instance"
AccountId = "123412341234"
UsageCount = 15
ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
ReportId = "amiur-1111111111111111"
}, @{
ImageId = "ami-0abcdef1234567890"
ResourceType = "ec2:Instance"
AccountId = "123412341234"
UsageCount = 7
ReportCreationTime = "2025-09-30T13:27:12.322000+00:00"
ReportId = "amiur-22222222222222222"
}...}
NextToken : opaque
```
**Untuk melihat isi laporan penggunaan AMI untuk laporan yang ditentukan**
Gunakan [Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)cmdlet dan tentukan ID laporan. Respons menampilkan semua entri untuk laporan yang ditentukan, menampilkan akun yang telah menggunakan AMI dan jumlah sumber dayanya.
```
Get-EC2ImageUsageReportEntry -ReportId amiur-11111111111111111
```
Berikut ini adalah output contoh.
```
ImageUsageReportEntries : {@{
ImageId = "ami-0abcdef1234567890"
ResourceType = "ec2:Instance"
AccountId = "123412341234"
UsageCount = 15
ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
ReportId = "amiur-11111111111111111"
}, @{
ImageId = "ami-0abcdef1234567890"
ResourceType = "ec2:LaunchTemplate"
AccountId = "123412341234"
UsageCount = 4
ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
ReportId = "amiur-11111111111111111"
}, @{
ImageId = "ami-0abcdef1234567890"
ResourceType = "ec2:LaunchTemplate"
AccountId = "************"
UsageCount = 2
ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
ReportId = "amiur-11111111111111111"
}}
NextToken : opaque
```
------
## Menghapus laporan penggunaan AMI
Amazon EC2 secara otomatis menghapus laporan 30 hari setelah dibuat. Anda dapat menghapusnya secara manual sebelum waktu itu.
------
#### [ Console ]
**Untuk menghapus laporan penggunaan AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI.
1. Pilih tab **Penggunaan AMI Saya**.
1. Pilih tombol opsi di sebelah laporan yang akan dihapus, lalu pilih **Hapus**.
------
#### [ AWS CLI ]
**Untuk menghapus laporan penggunaan AMI**
Gunakan [delete-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-image-usage-report.html)perintah dan tentukan ID laporan.
```
aws ec2 delete-image-usage-report --report-id amiur-0123456789abcdefg
```
------
#### [ PowerShell ]
**Untuk menghapus laporan penggunaan AMI**
Gunakan [Remove-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2ImageUsageReport.html)cmdlet dan tentukan ID laporan.
```
Remove-EC2ImageUsageReport -ReportId amiur-0123456789abcdefg
```
------
## Laporkan kuota
Kuota berikut berlaku untuk membuat laporan penggunaan AMI. Kuota berlaku per Wilayah AWS.
| Deskripsi | Kuota |
| --- | --- |
| Laporan penggunaan AMI dalam proses (pending) per Akun AWS | 2.000 |
| Laporan penggunaan AMI dalam proses (pending) per AMI | 1 |
# Periksa kapan Amazon EC2 AMI terakhir digunakan
Amazon EC2 secara otomatis melacak tanggal dan waktu ketika AMI terakhir digunakan untuk meluncurkan instance. [Jika Anda memiliki AMI yang sudah lama tidak digunakan untuk meluncurkan instance, pertimbangkan apakah AMI adalah kandidat yang baik untuk [deregistrasi](deregister-ami.md) atau penghentian.](ami-deprecate.md)
**Pertimbangan-pertimbangan**
+ Ketika AMI digunakan untuk meluncurkan instans, ada penundaan 24 jam sebelum penggunaan tersebut dilaporkan.
+ Anda harus menjadi pemilik AMI untuk mendapatkan waktu peluncuran terakhir.
+ Data penggunaan AMI tersedia mulai April 2017.
------
#### [ Console ]
**Untuk melihat waktu peluncuran AMI terakhir**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya**.
1. Pilih kotak centang untuk AMI.
1. Pada tab **Detail**, temukan **Waktu peluncuran terakhir**.
------
#### [ AWS CLI ]
**Untuk melihat waktu peluncuran terakhir dengan menjelaskan AMI**
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Jika tidak `LastLaunchedTime` ada dalam output, verifikasi bahwa Anda memiliki AMI.
```
aws ec2 describe-images \
--image-id ami-0abcdef1234567890 \
--query Images[].LastLaunchedTime \
--output text
```
Berikut ini adalah output contoh.
```
2025-02-17T20:22:19Z
```
**Untuk melihat atribut waktu peluncuran terakhir dari AMI**
Gunakan perintah [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html). Anda harus menjadi pemilik AMI yang ditentukan.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute lastLaunchedTime \
--query LastLaunchedTime.Value \
--output text
```
Berikut ini adalah output contoh.
```
2025-02-17T20:22:19Z
```
------
#### [ PowerShell ]
**Untuk melihat waktu peluncuran terakhir dengan menjelaskan AMI**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet. Jika tidak `LastLaunchedTime` ada dalam output, verifikasi bahwa Anda memiliki AMI.
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).LastLaunchedTime
```
Berikut ini adalah output contoh.
```
2025-02-17T20:22:19Z
```
**Untuk melihat atribut waktu peluncuran terakhir dari AMI**
Gunakan [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)cmdlet. Anda harus menjadi pemilik AMI yang ditentukan.
```
(Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute LastLaunchedTime).LastLaunchedTime
```
Berikut ini adalah output contoh.
```
2025-02-17T20:22:19Z
```
------
# Identifikasi referensi sumber daya Anda yang ditentukan AMIs
Anda dapat mengidentifikasi AWS sumber daya yang mereferensikan Amazon Machine Images (AMIs) tertentu, terlepas dari AMIs apakah itu publik atau pribadi, atau siapa yang memilikinya. Visibilitas ini membantu Anda memastikan sumber daya Anda menggunakan kepatuhan AMIs terbaru.
**Manfaat utama**
Memeriksa referensi AMI membantu Anda:
+ Audit penggunaan AMIs di akun Anda.
+ Periksa di mana spesifik AMIs sedang direferensikan.
+ Pertahankan kepatuhan dengan memperbarui sumber daya Anda untuk referensi terbaruAMIs.
**Topics**
+ [
## Sumber daya yang didukung
](#ec2-ami-references-supported-resources)
+ [
## Cara kerja pemeriksaan referensi AMI
](#how-ami-references-works)
+ [
## Izin IAM yang diperlukan
](#ami-references-required-permissions)
+ [
## Langkah-langkah untuk memeriksa referensi AMI
](#ami-reference-procedures)
## Sumber daya yang didukung
Referensi AMI dapat diperiksa di:
+ Instans EC2
+ Templat peluncuran
+ Parameter SSM
+ Resep gambar Image Builder
+ Resep wadah Image Builder
## Cara kerja pemeriksaan referensi AMI
**Operasi dasar**
Saat Anda menjalankan pemeriksaan referensi AMI, Anda:
+ Tentukan mana yang AMIs harus diperiksa.
+ Pilih jenis sumber daya yang akan dipindai.
+ Terima daftar sumber daya Anda yang mereferensikan yang ditentukan AMIs.
**Pemilihan jenis sumber daya**
Di konsol, Anda memilih jenis sumber daya untuk dipindai.
Di CLI, Anda menentukan jenis sumber daya untuk dipindai menggunakan salah satu atau kedua parameter CLI berikut:
+ `IncludeAllResourceTypes`: Memindai semua jenis sumber daya yang didukung.
+ `ResourceTypes`: Memindai jenis sumber daya yang Anda tentukan.
**Pelingkupan respons**
Anda dapat mencakup respons untuk instans EC2 dan meluncurkan templat dengan menyesuaikan `ResourceTypeOptions` nilai menggunakan parameter. `ResourceTypes` Konsol dan `IncludeAllResourceTypes` parameter keduanya menggunakan nilai opsi default. Kapan `ResourceTypes` dan `IncludeAllResourceTypes` digunakan bersama-sama, nilai `ResourceTypes` opsi lebih diutamakan daripada default.
Berikut ini adalah nilai default:
| Tipe sumber daya | Opsi pelingkupan () `OptionName` | Tujuan | Nilai default untuk `OptionValue` dan konsol |
| --- | --- | --- | --- |
| Instans EC2 | state-name | Filter berdasarkan status instans | pending,running,shutting-down,terminated,stopping, stopped (semua negara bagian) |
| Templat peluncuran | version-depth | Tentukan jumlah versi template peluncuran yang akan diperiksa (mulai dari versi terbaru) | 10(versi terbaru) |
## Izin IAM yang diperlukan
Untuk menggunakan DescribeImageReferences API untuk mengidentifikasi sumber daya yang direferensikan ditentukan AMIs, Anda memerlukan izin IAM berikut untuk menjelaskan sumber daya:
+ `ec2:DescribeInstances`
+ `ec2:DescribeLaunchTemplates`
+ `ec2:DescribeLaunchTemplateVersions`
+ `ssm:DescribeParameters`
+ `ssm:GetParameters`
+ `imagebuilder:ListImageRecipes`
+ `imagebuilder:ListContainerRecipes`
+ `imagebuilder:GetContainerRecipe`
**Contoh kebijakan IAM untuk menggunakan API DescribeImageReferences**
Contoh kebijakan berikut memberi Anda izin untuk menggunakan DescribeImageReferences API, yang mencakup izin untuk mendeskripsikan instans EC2, template peluncuran, parameter Systems Manager, resep gambar Image Builder, dan resep wadah Image Builder.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeImageReferences",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ssm:DescribeParameters",
"ssm:GetParameters",
"imagebuilder:ListImageRecipes",
"imagebuilder:ListContainerRecipes",
"imagebuilder:GetContainerRecipe"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"ec2-images.amazonaws.com"
]
}
}
}
]
}
```
------
**penting**
Kami sangat menyarankan untuk menggunakan kebijakan AWS terkelola [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html)daripada membuat kebijakan sendiri. Membuat kebijakan IAM khusus yang hanya menyediakan izin yang diperlukan memerlukan waktu dan keahlian, dan akan memerlukan pembaruan saat jenis sumber daya baru tersedia.
Kebijakan `AmazonEC2ImageReferencesAccessPolicy` terkelola:
Memberikan semua izin yang diperlukan untuk menggunakan DescribeImageReferences API (ini termasuk izin untuk mendeskripsikan instans EC2, template peluncuran, parameter Systems Manager, dan wadah Image Builder dan resep gambar).
Secara otomatis mendukung jenis sumber daya baru saat tersedia (terutama penting saat menggunakan `IncludeAllResourceTypes` parameter).
Anda dapat melampirkan `AmazonEC2ImageReferencesAccessPolicy` kebijakan ke identitas IAM Anda (pengguna, grup, dan peran).
Untuk melihat izin yang disertakan dalam kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## Langkah-langkah untuk memeriksa referensi AMI
Gunakan prosedur berikut untuk mengidentifikasi AWS sumber daya mana yang Anda referensikan ditentukan AMIs.
------
#### [ Console ]
**Untuk mengidentifikasi referensi sumber daya yang ditentukan AMIs**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih satu atau lebih AMIs untuk memeriksa referensi.
1. Pilih **Tindakan**, **penggunaan AMI**, **Lihat sumber daya yang direferensikan**.
1. Pada **Lihat sumber daya yang merujuk AMIs halaman yang dipilih**:
1. Untuk **jenis Sumber Daya**, pilih satu atau beberapa jenis sumber daya.
1. Pilih **Lihat sumber daya**.
1. AMIsBagian **referensi Resources yang dipilih** akan muncul. Daftar ini menampilkan sumber daya yang mereferensikan yang ditentukan AMIs. Setiap baris memberikan informasi berikut:
+ **ID AMI** — ID AMI yang direferensikan.
+ **Jenis sumber daya — Jenis** sumber daya dari sumber daya yang mereferensikan AMI.
+ **Resource ID** — ID sumber daya yang mereferensikan AMI.
------
#### [ AWS CLI ]
**Untuk memeriksa referensi AMI untuk jenis sumber daya tertentu**
Gunakan [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html)perintah dengan `--resource-types` parameter. Contoh berikut memeriksa instans EC2 (pelingkupan berdasarkan status instans), templat peluncuran (pelingkupan ke 20 versi templat peluncuran terbaru), dan jenis sumber daya spesifik lainnya.
```
aws ec2 describe-image-references \
--image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
--resource-types \
'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
'ResourceType=ssm:Parameter' \
'ResourceType=imagebuilder:ImageRecipe' \
'ResourceType=imagebuilder:ContainerRecipe'
```
Berikut ini adalah output contoh.
```
{
"ImageReferences": [
{
"ImageId": "ami-0abcdef1234567890",
"ResourceType": "ec2:Instance",
"Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
},
{
"ImageId": "ami-1234567890abcdef0",
"ResourceType": "ec2:LaunchTemplate",
"Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
}
]
}
```
**Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung**
Gunakan [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html)perintah dengan `--include-all-resource-types` parameter.
```
aws ec2 describe-image-references \
--image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
--include-all-resource-types
```
**Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung dan opsi spesifik**
Gunakan [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html)perintah dengan parameter `--include-all-resource-types` dan `--resource-types` parameter. Contoh ini memeriksa semua jenis sumber daya sambil melingkupi respons untuk instans EC2 ke instance yang sedang berjalan atau tertunda.
```
aws ec2 describe-image-references \
--image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
--include-all-resource-types \
--resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
```
------
#### [ PowerShell ]
**Untuk memeriksa referensi AMI untuk jenis sumber daya tertentu**
Gunakan [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)cmdlet dengan parameter. `-ResourceType` Contoh berikut memeriksa instans EC2 (pelingkupan berdasarkan status instans), templat peluncuran (pelingkupan ke 20 versi templat peluncuran terbaru), dan jenis sumber daya spesifik lainnya.
```
Get-EC2ImageReference `
-ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
-ResourceType @(
@{
ResourceType = 'ec2:Instance'
ResourceTypeOptions = @(
@{
OptionName = 'state-name'
OptionValues = @('running', 'pending')
}
)
},
@{
ResourceType = 'ec2:LaunchTemplate'
ResourceTypeOptions = @(
@{
OptionName = 'version-depth'
OptionValues = @('20')
}
)
},
@{
ResourceType = 'ssm:Parameter'
},
@{
ResourceType = 'imagebuilder:ImageRecipe'
},
@{
ResourceType = 'imagebuilder:ContainerRecipe'
}
)
```
**Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung**
Gunakan [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)cmdlet dengan parameter. `-IncludeAllResourceTypes`
```
Get-EC2ImageReference `
-ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
-IncludeAllResourceTypes
```
**Untuk memeriksa referensi AMI untuk semua jenis sumber daya yang didukung dan opsi spesifik**
Gunakan [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)cmdlet dengan parameter `-IncludeAllResourceTypes` dan `-ResourceType` parameter. Contoh ini memeriksa semua jenis sumber daya sambil melingkupi respons untuk instans EC2 ke instance yang sedang berjalan atau tertunda.
```
Get-EC2ImageReference `
-ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
-IncludeAllResourceTypes `
-ResourceType @(
@{
ResourceType = 'ec2:Instance'
ResourceTypeOptions = @(
@{
OptionName = 'state-name'
OptionValues = @('running', 'pending')
}
)
}
)
```
------
# Menghentikan Amazon AMI EC2
Anda dapat mengusangkan AMI untuk menunjukkan bahwa AMI sudah kedaluwarsa dan tidak boleh digunakan. Anda juga dapat menentukan tanggal pengusangan di masa depan untuk AMI, yang menunjukkan kapan AMI akan kedaluwarsa. Misalnya, Anda mungkin mengusangkan AMI yang tidak lagi dipelihara secara aktif, atau Anda mungkin mengusangkan AMI yang telah digantikan oleh versi yang lebih baru. Secara default, usang AMIs tidak muncul di daftar AMI, mencegah pengguna baru menggunakan. out-of-date AMIs Namun, pengguna dan layanan peluncuran yang ada, seperti templat peluncuran dan grup Auto Scaling, dapat terus menggunakan AMI usang tersebut dengan menentukan ID-nya. Untuk menghapus AMI sehingga pengguna dan layanan tidak dapat menggunakannya, Anda harus [membatalkan pendaftaran](deregister-ami.md) AMI.
Setelah AMI sudah usang:
+ Untuk pengguna AMI, AMI yang tidak digunakan lagi tidak muncul [DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)dalam panggilan API kecuali Anda menentukan ID-nya atau menentukan bahwa yang tidak digunakan lagi harus muncul AMIs . Pemilik AMI terus melihat tidak digunakan lagi AMIs dalam [DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)panggilan API.
+ Untuk pengguna AMI, AMI yang tidak digunakan lagi tidak tersedia untuk dipilih melalui EC2 konsol. Sebagai contoh, AMI usang tidak muncul di katalog AMI dalam wizard peluncuran instans. Pemilik AMI terus melihat usang AMIs di konsol. EC2
+ Untuk pengguna AMI, jika Anda mengetahui ID AMI yang tidak digunakan lagi, Anda dapat terus meluncurkan instance menggunakan AMI yang tidak digunakan lagi dengan menggunakan API, CLI, atau file. SDKs
+ Layanan peluncuran, seperti templat peluncuran dan grup Auto Scaling, dapat melanjutkan referensi yang tidak digunakan lagi. AMIs
+ EC2 instance yang diluncurkan menggunakan AMI yang kemudian tidak digunakan lagi tidak terpengaruh, dan dapat dihentikan, dimulai, dan di-boot ulang.
Anda dapat menghentikan baik pribadi maupun publik. AMIs
**Topics**
+ [
## Biaya
](#ami-deprecate-costs)
+ [
## Pertimbangan-pertimbangan
](#ami-deprecate-limitations)
+ [
## Membuat usang sebuah AMI
](#deprecate-ami)
+ [
## Jelaskan usang AMIs
](#describe-deprecate-ami)
+ [
## Batalkan penghentian AMI
](#cancel-deprecate-ami)
## Biaya
Ketika Anda mengusangkan AMI, AMI tersebut tidak dihapus. Pemilik AMI terus membayar untuk snapshot AMI. Untuk berhenti membayar snapshot, pemilik AMI harus menghapus AMI dengan [membatalkan pendaftaran](deregister-ami.md) AMI tersebut.
## Pertimbangan-pertimbangan
+ Untuk mengusangkan AMI, Anda harus merupakan pemilik AMI tersebut.
+ AMIs yang belum digunakan baru-baru ini untuk meluncurkan instance mungkin merupakan kandidat yang baik untuk penghentian atau deregister. Untuk informasi selengkapnya, lihat [Periksa kapan Amazon EC2 AMI terakhir digunakan](ami-last-launched-time.md).
+ Anda dapat membuat kebijakan AMI yang didukung Amazon Data Lifecycle Manager EBS untuk mengotomatiskan penghentian EBS yang didukung. AMIs Untuk informasi selengkapnya, lihat [Membuat kebijakan siklus hidup AMI](https://docs.aws.amazon.com/ebs/latest/userguide/ami-policy.html).
+ Secara default, tanggal penghentian semua publik AMIs diatur ke dua tahun dari tanggal pembuatan AMI. Anda dapat mengatur tanggal pengusangan menjadi lebih awal dari dua tahun. Untuk membatalkan tanggal usang, atau memundurkan tanggal usang, Anda harus menjadikan AMI privat dengan [hanya membagikannya dengan akun AWS tertentu](sharingamis-explicit.md).
## Membuat usang sebuah AMI
Anda dapat mengusangkan AMI pada tanggal dan waktu tertentu. Anda harus menjadi pemilik AMI.
Batas atas untuk tanggal penghentian adalah 10 tahun dari sekarang, kecuali untuk publik AMIs, di mana batas atas adalah 2 tahun sejak tanggal pembuatan. Anda tidak dapat menentukan tanggal di masa lalu.
------
#### [ Console ]
**Untuk mengusangkan AMI pada tanggal tertentu**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di navigator kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya**.
1. Pilih AMI, lalu pilih **Tindakan**, **Kelola Pengusangan AMI**. Anda dapat memilih beberapa AMIs untuk mengatur tanggal penghentian yang sama dari beberapa AMIs sekaligus.
1. Pilih kotak centang **Aktifkan**, lalu masukkan tanggal dan waktu penghentian.
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk mengusangkan AMI pada tanggal tertentu**
Gunakan perintah [enable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deprecation.html). Jika Anda menentukan nilai untuk detik, Amazon EC2 membulatkan detik ke menit terdekat.
```
aws ec2 enable-image-deprecation \
--image-id ami-0abcdef1234567890 \
--deprecate-at "2025-04-15T13:17:12.000Z"
```
------
#### [ PowerShell ]
**Untuk mengusangkan AMI pada tanggal tertentu**
Gunakan [Enable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeprecation.html)cmdlet. Jika Anda menentukan nilai untuk detik, Amazon EC2 membulatkan detik ke menit terdekat.
```
Enable-EC2ImageDeprecation `
-ImageId ami-0abcdef1234567890 `
-DeprecateAt 2025-04-15T13:17:12.000Z
```
------
## Jelaskan usang AMIs
Anda dapat melihat tanggal dan waktu penghentian AMI, dan memfilter AMIs berdasarkan tanggal penghentian.
------
#### [ Console ]
**Untuk melihat tanggal pengusangan dari AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di navigator kiri, pilih **AMIs**, lalu pilih AMI.
1. **Centang bidang Waktu penghentian** **(jika Anda memilih kotak centang di sebelah AMI, itu terletak di tab Detail).** Kolom ini menunjukkan tanggal dan waktu pengusangan AMI. Jika bidang kosong, AMI tidak usang.
**Untuk memfilter AMIs berdasarkan tanggal penghentian**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di navigator kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya** atau **Gambar pribadi** (gambar pribadi termasuk AMIs yang dibagikan dengan Anda serta dimiliki oleh Anda).
1. Di bilah Pencarian, masukkan **Deprecation time** (saat Anda memasukkan huruf, akan muncul filter **Waktu pengusangan**), lalu pilih operator serta tanggal dan waktu.
------
#### [ AWS CLI ]
Ketika Anda menjelaskan semuanya AMIs, hasilnya tergantung pada apakah Anda pengguna AMI atau pemilik AMI.
+ **Pengguna AMI** - Secara default, ketika Anda menjelaskan semua AMIs, usang AMIs yang dibagikan dengan Anda tetapi tidak dimiliki oleh Anda dikecualikan. Untuk menyertakan usang AMIs dalam hasil, tentukan opsi. `--include-deprecated`
+ **Pemilik AMI** — Ketika Anda menjelaskan semua AMIs, semua AMIs yang Anda miliki, termasuk usang AMIs, disertakan. Anda tidak dapat mengecualikan usang AMIs yang Anda miliki dengan menggunakan opsi. `--no-include-deprecated`
**Untuk menyertakan usang AMIs saat menjelaskan semua untuk akun AMIs**
Gunakan [perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) berikut.
```
aws ec2 describe-images
--owners 123456789012 \
--include-deprecated
```
**Untuk mendeskripsikan akun Anda yang tidak digunakan lagi AMIs**
Gunakan [perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) berikut.
```
aws ec2 describe-images \
--owners self \
--query "Images[?DeprecationTime!=null].ImageId" \
--output text
```
Berikut ini adalah output contoh.
```
ami-0abcdef1234567890
```
**Untuk melihat tanggal pengusangan sebuah AMI**
Gunakan [perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) berikut. Jika tidak `DeprecationTime` ada dalam output, AMI tidak akan digunakan lagi atau disetel ke usang di masa mendatang.
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query Images[].DeprecationTime \
--output text
```
Berikut ini adalah output contoh.
```
2025-05-01T00:00:00.000Z
```
------
#### [ PowerShell ]
**Untuk mencantumkan akun Anda yang tidak digunakan lagi AMIs**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
(Get-EC2Image -Owner self | Where-Object {$_.DeprecationTime -ne $null}).ImageId
```
Berikut ini adalah output contoh.
```
ami-0abcdef1234567890
```
**Untuk melihat tanggal pengusangan sebuah AMI**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet. Jika tidak `DeprecationTime` ada dalam output, AMI tidak akan digunakan lagi atau disetel ke usang di masa mendatang.
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).DeprecationTime
```
Berikut ini adalah output contoh.
```
2025-05-01T00:00:00.000Z
```
------
## Batalkan penghentian AMI
Anda dapat membatalkan penghentian AMI, yang menghapus tanggal dan waktu penghentian. Anda harus merupakan pemilik AMI untuk melakukan prosedur ini.
------
#### [ Console ]
**Untuk membatalkan pengusangan AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di navigator kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya**.
1. Pilih AMI, lalu pilih **Tindakan**, **Kelola Pengusangan AMI**. Anda dapat memilih beberapa AMIs untuk membatalkan penghentian beberapa AMIs sekaligus.
1. Kosongkan kotak centang **Aktifkan**, lalu pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk membatalkan pengusangan AMI**
Gunakan perintah berikut [disable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deprecation.html).
```
aws ec2 disable-image-deprecation --image-id ami-0abcdef1234567890
```
------
#### [ PowerShell ]
**Untuk membatalkan pengusangan AMI**
Gunakan [Disable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeprecation.html)cmdlet.
```
Disable-EC2ImageDeprecation -ImageId ami-0abcdef1234567890
```
------
# Nonaktifkan Amazon EC2 AMI
Anda dapat menonaktifkan AMI untuk mencegahnya digunakan untuk peluncuran instans. Anda tidak dapat meluncurkan instans baru dari AMI yang dinonaktifkan. Anda dapat mengaktifkan kembali AMI yang dinonaktifkan sehingga dapat digunakan lagi untuk peluncuran instans.
Anda dapat menonaktifkan pribadi dan publik AMIs.
Untuk mengurangi biaya penyimpanan untuk dukungan EBS yang dinonaktifkan AMIs yang jarang digunakan, tetapi yang perlu dipertahankan dalam jangka panjang, Anda dapat mengarsipkan snapshot terkait mereka. Untuk informasi selengkapnya, lihat [Mengarsipkan snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) di Panduan Pengguna *Amazon EBS*.
**Topics**
+ [
## Cara kerja AMI disable
](#how-disable-ami-works)
+ [
## Biaya
](#ami-disable-costs)
+ [
## Prasyarat
](#ami-disable-prerequisites)
+ [
## Izin IAM yang diperlukan
](#ami-disable-iam-permissions)
+ [
## Menonaktifkan AMI
](#disable-ami)
+ [
## Jelaskan dinonaktifkan AMIs
](#describe-disabled-ami)
+ [
## Aktifkan kembali AMI yang dinonaktifkan
](#re-enable-a-disabled-ami)
## Cara kerja AMI disable
**Awas**
Menonaktifkan AMI akan menghapus semua izin peluncurannya.
**Saat AMI dinonaktifkan:**
+ Status AMI berubah menjadi `disabled`.
+ AMI yang dinonaktifkan tidak dapat dibagikan. Jika AMI bersifat publik atau sebelumnya dibagikan, AMI tersebut akan dijadikan privat. Jika AMI dibagikan dengan Akun AWS, organisasi, atau Unit Organisasi, mereka kehilangan akses ke AMI yang dinonaktifkan.
+ AMI yang dinonaktifkan tidak muncul dalam panggilan API [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html) secara default.
+ AMI yang dinonaktifkan tidak muncul di bawah filter konsol **Dimiliki oleh saya**. Untuk menemukan yang dinonaktifkan AMIs, gunakan filter konsol **gambar yang dinonaktifkan**.
+ AMI yang dinonaktifkan tidak tersedia untuk memilih misalnya peluncuran di EC2 konsol. Misalnya, AMI yang dinonaktifkan tidak muncul di katalog AMI di wizard peluncuran instans atau saat membuat templat peluncuran.
+ Layanan peluncuran, seperti template peluncuran dan grup Auto Scaling, dapat terus menonaktifkan referensi. AMIs Peluncuran instance berikutnya dari AMI yang dinonaktifkan akan gagal, jadi sebaiknya perbarui templat peluncuran dan grup Auto Scaling agar referensi AMIs hanya tersedia.
+ EC2 instance yang sebelumnya diluncurkan menggunakan AMI yang kemudian dinonaktifkan tidak terpengaruh, dan dapat dihentikan, dimulai, dan di-boot ulang.
+ Anda tidak dapat menghapus snapshot yang terkait dengan dinonaktifkan AMIs. Mencoba menghapus hasil snapshot terkait pada kesalahan `snapshot is currently in use`.
**Saat AMI diaktifkan kembali:**
+ Status AMI berubah menjadi `available`, dan dapat digunakan untuk meluncurkan instans.
+ AMI dapat dibagikan.
+ Akun AWS, organisasi, dan Unit Organisasi yang kehilangan akses ke AMI saat dinonaktifkan tidak akan otomatis mendapatkan kembali akses, tetapi AMI dapat dibagikan lagi dengan mereka.
## Biaya
Saat Anda menonaktifkan sebuah AMI, AMI tersebut tidak dihapus. Jika AMI adalah AMI yang didukung oleh EBS, Anda terus membayar snapshot EBS AMI. Jika Anda ingin menyimpan AMI, Anda mungkin dapat mengurangi biaya penyimpanan dengan mengarsipkan snapshot. Untuk informasi selengkapnya, lihat [Mengarsipkan snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) di Panduan Pengguna *Amazon EBS*. Jika Anda tidak ingin menyimpan AMI dan snapshot, Anda harus membatalkan pendaftaran AMI dan menghapus snapshot. Untuk informasi selengkapnya, lihat [Membatalkan pendaftaran AMI](deregister-ami.md).
## Prasyarat
Untuk menonaktifkan atau mengaktifkan kembali AMI, Anda harus menjadi pemilik AMI.
## Izin IAM yang diperlukan
Untuk menonaktifkan dan mengaktifkan kembali AMI, Anda harus memiliki izin IAM berikut:
+ `ec2:DisableImage`
+ `ec2:EnableImage`
## Menonaktifkan AMI
Anda dapat menonaktifkan AMI dengan menggunakan EC2 konsol atau AWS Command Line Interface (AWS CLI). Anda harus merupakan pemilik AMI untuk melakukan prosedur ini.
------
#### [ Console ]
**Untuk menonaktifkan AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya**.
1. Pilih AMI, lalu pilih **Tindakan**, **Nonaktifkan AMI**. Anda dapat memilih beberapa AMIs untuk menonaktifkan sekaligus.
1. Di jendela **Nonaktifkan AMI**, pilih **Nonaktifkan AMI**.
------
#### [ AWS CLI ]
**Untuk menonaktifkan AMI**
Gunakan perintah berikut [https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html).
```
aws ec2 disable-image --image-id ami-0abcdef1234567890
```
------
#### [ PowerShell ]
**Untuk menonaktifkan AMI**
Gunakan [Disable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2Image.html)cmdlet.
```
Disable-EC2Image -ImageId ami-0abcdef1234567890
```
------
## Jelaskan dinonaktifkan AMIs
Anda dapat melihat dinonaktifkan AMIs di EC2 konsol dan dengan menggunakan file AWS CLI.
Anda harus menjadi pemilik AMI untuk melihat dinonaktifkan AMIs. Karena dinonaktifkan AMIs dibuat pribadi, Anda tidak dapat melihat dinonaktifkan AMIs jika Anda bukan pemiliknya.
------
#### [ Console ]
**Untuk melihat dinonaktifkan AMIs**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Gambar yang dinonaktifkan**.
![\[Filter gambar Dinonaktifkan.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-filter-by-disabled-images.png)
------
#### [ AWS CLI ]
Secara default, ketika Anda menjelaskan semua AMIs, AMIs yang dinonaktifkan tidak termasuk dalam hasil. Untuk memasukkan dinonaktifkan AMIs dalam hasil, tentukan `--include-disabled` opsi. `State`Bidang untuk AMI adalah `disabled` jika AMI dinonaktifkan.
**Untuk menyertakan dinonaktifkan AMIs saat menjelaskan semua AMIs untuk akun**
Gunakan perintah berikut [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--owners 123456789012 \
--include-disabled
```
**Untuk daftar yang dinonaktifkan AMIs untuk akun Anda**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) berikut ini.
```
aws ec2 describe-images \
--owners self \
--include-disabled \
--filters Name=state,Values=disabled \
--query Images[].ImageId \
--output text
```
Berikut ini adalah output contoh.
```
ami-0abcdef1234567890
```
**Untuk menggambarkan status AMI**
Gunakan perintah berikut [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Jika tidak `DeprecationTime` ada dalam output, AMI tidak akan digunakan lagi atau disetel ke usang di masa mendatang.
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query Images[].State \
--output text
```
Berikut ini adalah output contoh.
```
disabled
```
------
#### [ PowerShell ]
Secara default, ketika Anda menjelaskan semua AMIs, AMIs yang dinonaktifkan tidak termasuk dalam hasil. Untuk memasukkan dinonaktifkan AMIs dalam hasil, tentukan `-IncludeDisabled` parameter. `State`Bidang untuk AMI adalah `disabled` jika AMI dinonaktifkan.
**Untuk daftar yang dinonaktifkan AMIs untuk akun Anda**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
(Get-EC2Image `
-Owner self `
-IncludeDisabled $true | Where-Object {$_.State -eq "disabled"}).ImageId
```
Berikut ini adalah output contoh.
```
ami-0abcdef1234567890
```
**Untuk menggambarkan status AMI**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).State.Value
```
Berikut ini adalah output contoh.
```
disabled
```
------
## Aktifkan kembali AMI yang dinonaktifkan
Anda dapat megaktifkan kembali AMI yang dinonaktifkan. Anda harus merupakan pemilik AMI untuk melakukan prosedur ini.
------
#### [ Console ]
**Untuk mengaktifkan kembali AMI yang dinonaktifkan**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi kiri, pilih **AMIs**.
1. Dari bilah filter, pilih **Gambar yang dinonaktifkan**.
1. Pilih AMI, lalu pilih **Tindakan**, **Nonaktifkan AMI**. Anda dapat memilih beberapa AMIs untuk mengaktifkan kembali beberapa AMIs sekaligus.
1. Di jendela **Aktifkan AMI**, pilih **Aktifkan**.
------
#### [ AWS CLI ]
**Untuk mengaktifkan kembali AMI yang dinonaktifkan**
Gunakan perintah berikut [https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html).
```
aws ec2 enable-image --image-id ami-0abcdef1234567890
```
------
#### [ PowerShell ]
**Untuk mengaktifkan kembali AMI yang dinonaktifkan**
Gunakan [Enable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2Image.html)cmdlet.
```
Enable-EC2Image -ImageId ami-0abcdef1234567890
```
------
# Membatalkan pendaftaran ke Amazon EC2 AMI
Saat Anda membatalkan pendaftaran AMI, Amazon EC2 menghapusnya secara permanen. Setelah Anda membatalkan pendaftaran AMI, maka Anda tidak dapat menggunakan AMI tersebut untuk meluncurkan instans baru. Anda dapat mempertimbangkan untuk membatalkan pendaftaran AMI setelah Anda selesai menggunakannya.
[Untuk melindungi dari deregistrasi AMI yang tidak disengaja atau berbahaya, Anda dapat mengaktifkan perlindungan deregistrasi.](ami-deregistration-protection.md) Jika Anda secara tidak sengaja membatalkan pendaftaran AMI yang didukung EBS, Anda dapat menggunakan [Recycle Bin](https://docs.aws.amazon.com/ebs/latest/userguide/recycle-bin.html) untuk memulihkannya hanya jika Anda memulihkannya dalam jangka waktu yang diizinkan sebelum dihapus secara permanen.
Saat membatalkan pendaftaran AMI, Anda dapat menghapus snapshot terkait secara opsional secara bersamaan. Namun, jika snapshot dikaitkan dengan beberapa AMIs, snapshot tidak akan dihapus meskipun ditentukan untuk penghapusan, meskipun AMI masih akan dideregistrasi. Setiap snapshot yang tidak dihapus akan terus menimbulkan biaya penyimpanan.
Membatalkan pendaftaran AMI tidak berpengaruh pada instans apa pun yang diluncurkan dari AMI. Anda dapat terus menggunakan contoh ini. Secara default, membatalkan pendaftaran AMI juga tidak berpengaruh pada snapshot apa pun yang dibuat selama proses pembuatan AMI. Anda akan terus mengeluarkan biaya penggunaan untuk instans ini dan biaya penyimpanan untuk snapshot. Oleh karena itu, untuk menghindari biaya yang tidak perlu, kami sarankan Anda menghentikan instance apa pun dan menghapus snapshot apa pun yang tidak Anda perlukan. Anda dapat menghapus snapshot baik secara otomatis selama deregistrasi atau secara manual setelah deregistrasi. Untuk informasi selengkapnya, lihat [Hindari biaya dari sumber daya yang tidak terpakai](#delete-unneeded-resources-to-avoid-unnecessary-costs).
Untuk contoh yang diluncurkan dari AMI yang kemudian dideregistrasi, Anda masih dapat melihat beberapa informasi tingkat tinggi tentang AMI dengan menggunakan perintah. `describe-instance-image-metadata` AWS CLI Untuk informasi selengkapnya, lihat [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html).
**Topics**
+ [
## Pertimbangan-pertimbangan
](#deregister-ami-considerations)
+ [
## Membatalkan pendaftaran AMI
](#deregister-an-ami)
+ [
## Hindari biaya dari sumber daya yang tidak terpakai
](#delete-unneeded-resources-to-avoid-unnecessary-costs)
+ [
# Lindungi Amazon EC2 AMI dari deregistrasi
](ami-deregistration-protection.md)
## Pertimbangan-pertimbangan
+ Anda tidak dapat membatalkan pendaftaran AMI yang tidak dimiliki oleh akun Anda.
+ Anda tidak dapat menggunakan Amazon EC2 untuk membatalkan pendaftaran AMI yang dikelola oleh layanan. AWS Backup Sebagai gantinya, gunakan AWS Backup untuk menghapus titik pemulihan yang sesuai di brankas cadangan. Untuk informasi selengkapnya, lihat [Menghapus cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html) di dalam *Panduan Developer AWS Backup *.
## Membatalkan pendaftaran AMI
Anda dapat membatalkan pendaftaran yang didukung EBS dan didukung Amazon S3 AMIs . AMIs Untuk EBS yang didukung AMIs, Anda dapat menghapus snapshot terkait secara opsional secara bersamaan. Namun, jika snapshot dikaitkan dengan yang lain AMIs, itu tidak akan dihapus bahkan jika ditentukan untuk penghapusan.
------
#### [ Console ]
**Untuk membatalkan pendaftaran AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya** untuk mencantumkan yang tersedia AMIs, atau pilih Gambar yang **dinonaktifkan untuk mencantumkan gambar** yang dinonaktifkan AMIs.
1. Pilih AMI untuk membatalkan pendaftaran.
1. Pilih **Tindakan**, **Batalkan pendaftaran AMI**.
1. **(Opsional) Untuk menghapus snapshot terkait selama deregistrasi, pilih kotak centang Hapus snapshot terkait.**
**catatan**
Jika snapshot dikaitkan dengan yang lain AMIs, itu tidak dihapus, bahkan jika kotak centang dipilih.
1. Pilih **Deregister AMI**.
Mungkin perlu waktu beberapa menit sebelum konsol menghapus AMI dari daftar. Pilih **Segarkan** untuk menyegarkan status.
------
#### [ AWS CLI ]
**Untuk membatalkan pendaftaran AMI**
Gunakan perintah [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html) berikut.
```
aws ec2 deregister-image --image-id ami-0abcdef1234567890
```
**Untuk membatalkan pendaftaran AMI dan menghapus snapshot yang terkait**
Gunakan perintah [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html) berikut dan tentukan parameternya. `--delete-associated-snapshots` Perhatikan bahwa jika snapshot dikaitkan dengan yang lain AMIs, itu tidak dihapus, bahkan jika Anda menentukan parameter ini.
```
aws ec2 deregister-image \
--image-id ami-0abcdef1234567890 \
--delete-associated-snapshots
```
------
#### [ PowerShell ]
**Untuk membatalkan pendaftaran AMI**
Gunakan [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html)cmdlet.
```
Unregister-EC2Image -ImageId ami-0abcdef1234567890
```
**Untuk membatalkan pendaftaran AMI dan menghapus snapshot yang terkait**
Gunakan [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html)cmdlet dan tentukan parameternya`-DeleteAssociatedSnapshots`. Perhatikan bahwa jika snapshot dikaitkan dengan yang lain AMIs, itu tidak dihapus, bahkan jika Anda menentukan parameter ini.
```
Unregister-EC2Image `
-ImageId ami-0abcdef1234567890 `
-DeleteAssociatedSnapshots
```
------
## Hindari biaya dari sumber daya yang tidak terpakai
Membatalkan pendaftaran AMI tidak, secara default, menghapus semua sumber daya yang terkait dengan AMI. Sumber daya ini termasuk snapshot untuk EBS yang didukung AMIs dan file di Amazon S3 untuk Amazon S3 yang didukung. AMIs Saat Anda membatalkan pendaftaran AMI, Anda juga tidak menghentikan atau menghentikan instans apa pun yang diluncurkan dari AMI.
Anda akan terus mengeluarkan biaya untuk menyimpan snapshot dan file, dan Anda akan dikenakan biaya untuk setiap instance yang berjalan.
Untuk menghindari timbulnya jenis biaya yang tidak perlu ini, kami sarankan untuk menghapus sumber daya apa pun yang tidak Anda perlukan.
**Didukung EBS AMIs**
+ Hapus snapshot terkait saat membatalkan pendaftaran AMI. Untuk informasi selengkapnya, lihat [Membatalkan pendaftaran AMI](#deregister-an-ami).
+ [Jika Anda membatalkan pendaftaran AMI tanpa menghapus snaphots terkait, Anda dapat menghapus snapshot secara manual.](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-deleting-snapshot.html#ebs-delete-snapshot) Cuplikan volume root instance yang dibuat selama pembuatan AMI memiliki format deskripsi berikut:
```
Created by CreateImage(i-1234567890abcdef0) for ami-0abcdef1234567890
```
+ Jika Anda tidak lagi membutuhkan instans yang diluncurkan dari AMI, Anda dapat [[menghentikan](terminating-instances.md#terminating-instances-console) atau menghentikannya](Stop_Start.md#starting-stopping-instances). Untuk membuat daftar instance, filter berdasarkan ID AMI.
**Didukung Amazon S3 AMIs**
+ Hapus bundel di Amazon S3 dengan menggunakan perintah ([ec2-delete-bundle](ami-tools-commands.md#ami-delete-bundle)AMI tools).
+ Jika bucket Amazon S3 kosong setelah Anda menghapus bundel, dan Anda tidak lagi menggunakan bucket tersebut, Anda dapat [menghapus bucket tersebut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html).
+ Jika Anda tidak lagi membutuhkan instans yang diluncurkan dari AMI, Anda dapat [menghentikannya.](terminating-instances.md#terminating-instances-console) Untuk membuat daftar instance, filter berdasarkan ID AMI.
# Lindungi Amazon EC2 AMI dari deregistrasi
Anda dapat mengaktifkan perlindungan *deregistrasi pada* AMI untuk mencegah penghapusan yang tidak disengaja atau berbahaya. Saat Anda mengaktifkan perlindungan deregistrasi, AMI tidak dapat dideregistrasi oleh pengguna mana pun, terlepas dari izin IAM mereka. Jika Anda ingin membatalkan pendaftaran AMI, Anda harus mematikan perlindungan deregistrasi terlebih dahulu.
Saat Anda mengaktifkan perlindungan deregistrasi pada AMI, Anda memiliki opsi untuk menyertakan periode cooldown 24 jam. Periode cooldown ini adalah waktu di mana perlindungan deregistrasi tetap berlaku setelah Anda mematikannya. Selama periode cooldown ini, AMI tidak dapat dideregistrasi. Ketika periode cooldown berakhir, AMI dapat dideregistrasi.
Perlindungan deregistrasi dimatikan secara default pada semua yang ada dan yang baru. AMIs
## Aktifkan perlindungan deregistrasi
Gunakan prosedur berikut untuk mengaktifkan perlindungan deregistrasi.
------
#### [ Console ]
**Untuk mengaktifkan perlindungan deregistrasi**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya** untuk mencantumkan yang tersedia AMIs, atau pilih Gambar yang **dinonaktifkan untuk mencantumkan gambar** yang dinonaktifkan AMIs.
1. Pilih AMI tempat Anda ingin mengaktifkan perlindungan deregistrasi, lalu pilih Tindakan**,** Kelola perlindungan deregistrasi **AMI**.
1. Di kotak dialog **Kelola perlindungan deregistrasi AMI, Anda dapat mengaktifkan perlindungan** deregistrasi dengan atau tanpa periode cooldown. Pilih salah satu opsi berikut:
+ **Aktifkan dengan periode cooldown 24 jam — Dengan periode** cooldown, AMI tidak dapat dideregistrasi selama 24 jam saat perlindungan deregistrasi dimatikan.
+ **Aktifkan tanpa cooldown** — Tanpa periode cooldown, AMI dapat segera dideregistrasi saat perlindungan deregistrasi dimatikan.
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk mengaktifkan perlindungan deregistrasi**
Gunakan perintah [enable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deregistration-protection.html). Untuk mengaktifkan periode cooldown opsional, sertakan `--with-cooldown` opsi.
```
aws ec2 enable-image-deregistration-protection \
--image-id ami-0abcdef1234567890 \
--with-cooldown
```
------
#### [ PowerShell ]
**Untuk mengaktifkan perlindungan deregistrasi**
Gunakan [Enable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeregistrationProtection.html)cmdlet. Untuk mengaktifkan periode cooldown opsional, atur `-WithCooldown` parameter ke`true`.
```
Enable-EC2ImageDeregistrationProtection `
-ImageId ami-0abcdef1234567890 `
-WithCooldown $true
```
------
## Matikan perlindungan deregistrasi
Gunakan prosedur berikut untuk mematikan perlindungan deregistrasi.
Jika Anda memilih untuk menyertakan periode cooldown 24 jam ketika Anda mengaktifkan perlindungan deregistrasi untuk AMI, maka, ketika Anda mematikan perlindungan deregistrasi, Anda tidak akan segera dapat membatalkan pendaftaran AMI. Periode cooldown adalah periode waktu 24 jam di mana perlindungan deregistrasi tetap berlaku bahkan setelah Anda mematikannya. Selama periode cooldown ini, AMI tidak dapat dideregistrasi. Setelah periode cooldown berakhir, AMI dapat dideregistrasi.
------
#### [ Console ]
**Untuk mematikan perlindungan deregistrasi**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Dari bilah filter, pilih **Dimiliki oleh saya** untuk mencantumkan yang tersedia AMIs, atau pilih Gambar yang **dinonaktifkan untuk mencantumkan gambar** yang dinonaktifkan AMIs.
1. Pilih AMI untuk mematikan perlindungan deregistrasi, lalu pilih Tindakan**,** Kelola perlindungan deregistrasi **AMI**.
1. **Di kotak dialog **Kelola perlindungan deregistrasi AMI**, pilih Nonaktifkan.**
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk mematikan perlindungan deregistrasi**
Gunakan perintah [disable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deregistration-protection.html).
```
aws ec2 disable-image-deregistration-protection --image-id ami-0abcdef1234567890
```
------
#### [ PowerShell ]
**Untuk mematikan perlindungan deregistrasi**
Gunakan [Disable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeregistrationProtection.html)cmdlet.
```
Disable-EC2ImageDeregistrationProtection -ImageId ami-0abcdef1234567890
```
------
# Perilaku peluncuran instans dengan mode boot Amazon EC2
Ketika komputer melakukan boot, perangkat lunak pertama yang berjalan bertanggung jawab untuk menginisialisasi platform dan menyediakan antarmuka bagi sistem operasi untuk melakukan operasi spesifik platform.
Di Amazon EC2, ada dua varian perangkat lunak mode boot yang didukung: Unified Extensible Firmware Interface (UEFI) dan Legacy BIOS.
**Parameter mode boot yang mungkin terjadi pada AMI**
AMI dapat memiliki salah satu nilai parameter mode boot berikut: `uefi`, `legacy-bios`, atau `uefi-preferred`. Parameter mode boot AMI bersifat opsional. Untuk AMIs tanpa parameter mode boot, instance yang diluncurkan dari ini AMIs menggunakan nilai mode boot default dari jenis instance.
**Tujuan parameter mode boot AMI**
Parameter mode boot AMI memberi tanda ke Amazon EC2 tentang mode boot mana yang digunakan saat meluncurkan instans. Saat parameter mode boot diatur ke `uefi`, EC2 mencoba untuk meluncurkan instans di UEFI. Jika sistem operasi tidak dikonfigurasi untuk mendukung UEFI, peluncuran instans tidak akan berhasil.
**Parameter mode boot UEFI yang disukai**
Anda dapat membuat AMIs yang mendukung UEFI dan Legacy BIOS dengan menggunakan parameter mode `uefi-preferred` boot. Saat parameter mode boot diatur ke `uefi-preferred`, dan jika tipe instans mendukung UEFI, instans akan diluncurkan di UEFI. Jika tipe instans tidak mendukung UEFI, instans akan diluncurkan di Legacy BIOS.
**Awas**
Beberapa fitur, seperti UEFI Secure Boot, hanya tersedia pada instans yang di-boot di UEFI. Saat Anda menggunakan parameter mode boot AMI `uefi-preferred` dengan tipe instans yang tidak mendukung UEFI, instans akan diluncurkan sebagai Legacy BIOS dan fitur yang bergantung pada UEFI akan dinonaktifkan. Jika Anda mengandalkan ketersediaan fitur yang bergantung pada UEFI, atur parameter mode boot AMI Anda ke `uefi`.
**Mode boot default sesuai tipe instans**
+ Tipe instans Graviton: UEFI
+ Tipe instans Intel dan AMD: Legacy BIOS
**Dukungan zona**
Boot UEFI tidak didukung di Wavelength Zones.
**Topics**
+ [
# Persyaratan untuk meluncurkan instans EC2 dalam mode boot UEFI
](launch-instance-boot-mode.md)
+ [
# Tentukan parameter mode boot dari Amazon EC2 AMI
](ami-boot-mode.md)
+ [
# Tentukan mode boot yang didukung dari jenis instans EC2
](instance-type-boot-mode.md)
+ [
# Tentukan mode boot dari instans EC2
](instance-boot-mode.md)
+ [
# Tentukan mode boot sistem operasi untuk instans EC2 Anda
](os-boot-mode.md)
+ [
# Mengatur mode boot Amazon EC2 AMI
](set-ami-boot-mode.md)
+ [
# Variabel UEFI untuk instans Amazon EC2
](uefi-variables.md)
+ [
# Boot Aman UEFI untuk instans Amazon EC2
](uefi-secure-boot.md)
# Persyaratan untuk meluncurkan instans EC2 dalam mode boot UEFI
Mode boot instance ditentukan oleh konfigurasi AMI, sistem operasi yang terkandung di dalamnya, dan jenis instance. Untuk meluncurkan instance dalam mode boot UEFI, Anda harus memenuhi persyaratan berikut.
**AMI**
AMI harus dikonfigurasi untuk UEFI sebagai berikut:
+ **Sistem operasi** – sistem operasi yang terdapat dalam AMI harus dikonfigurasi untuk menggunakan UEFI; jika tidak, peluncuran instans akan gagal. Untuk informasi selengkapnya, lihat [Tentukan mode boot sistem operasi untuk instans EC2 Anda](os-boot-mode.md).
+ **Parameter mode boot AMI** – Parameter mode boot AMI harus diatur ke `uefi` atau `uefi-preferred`. Untuk informasi selengkapnya, lihat [Tentukan parameter mode boot dari Amazon EC2 AMI](ami-boot-mode.md).
**Linux — Linux** berikut AMIs mendukung UEFI:
+ Amazon Linux 2023
+ Amazon Linux 2 (hanya jenis instans Graviton)
Untuk Linux lain AMIs, Anda harus [mengkonfigurasi AMI](set-ami-boot-mode.md), mengimpor AMI melalui [VM Import/Export, atau mengimpor](https://docs.aws.amazon.com/vm-import/latest/userguide/) AMI melalui. [CloudEndure](https://docs.cloudendure.com/)
**Windows — Windows** berikut AMIs mendukung UEFI:
+ Windows\$1Server-2025-\$1 (kecuali dengan awalan nama) AMIs `BIOS-`
+ TPM-Windows\$1Server-2022-English-Full-Base
+ TPM-Windows\$1Server-2022-English-Core-Base
+ TPM-Windows\$1Server-2019-English-Full-Base
+ TPM-Windows\$1Server-2019-English-Core-Base
+ TPM-Windows\$1Server-2016-English-Full-Base
+ TPM-Windows\$1Server-2016-English-Core-Base
**Tipe instans**
Semua instans yang dibangun di atas Sistem AWS Nitro mendukung UEFI dan Legacy BIOS, kecuali yang berikut: instans bare metal,, G4ad, P4, u-3tb1, u-6tb1, u-9tb1 DL1, u-12tb1, u-18tb1, u-24tb1, dan. VT1 Untuk informasi selengkapnya, lihat [Tentukan mode boot yang didukung dari jenis instans EC2](instance-type-boot-mode.md).
Tabel berikut menunjukkan bahwa mode boot suatu instans (ditunjukkan oleh kolom **Mode boot instans yang dihasilkan**) ditentukan oleh kombinasi parameter mode boot AMI (kolom 1), konfigurasi mode boot dari sistem operasi yang berada dalam AMI (kolom 2), dan dukungan mode boot dari tipe instans tersebut (kolom 3).
| Parameter mode boot AMI | Konfigurasi mode boot sistem operasi | Dukungan mode boot tipe instans | Mode boot instans yang dihasilkan |
| --- | --- | --- | --- |
| UEFI | UEFI | UEFI | UEFI |
| Legacy BIOS | Legacy BIOS | Legacy BIOS | Legacy BIOS |
| UEFI Diutamakan | UEFI | UEFI | UEFI |
| UEFI Diutamakan | UEFI | UEFI dan Legacy BIOS | UEFI |
| UEFI Diutamakan | Legacy BIOS | Legacy BIOS | Legacy BIOS |
| UEFI Diutamakan | Legacy BIOS | UEFI dan Legacy BIOS | Legacy BIOS |
| Tidak ada mode boot yang ditentukan - ARM | UEFI | UEFI | UEFI |
| Tidak ada mode boot yang ditentukan - x86 | Legacy BIOS | UEFI dan Legacy BIOS | Legacy BIOS |
# Tentukan parameter mode boot dari Amazon EC2 AMI
Parameter mode boot AMI bersifat opsional. AMI dapat memiliki salah satu nilai parameter mode boot berikut: `uefi`, `legacy-bios`, atau `uefi-preferred`.
Beberapa AMIs tidak memiliki parameter mode boot. Ketika AMI tidak memiliki parameter mode boot, instans yang diluncurkan dari AMI akan menggunakan nilai default dari tipe instans tersebut, yaitu `uefi` di Graviton, dan `legacy-bios` pada tipe instans Intel dan AMD.
------
#### [ Console ]
**Untuk menentukan parameter mode boot AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**, lalu pilih AMI.
1. Periksa bidang **Mode boot**.
+ Nilai **uefi** menunjukkan bahwa AMI mendukung UEFI.
+ Nilai **uefi-preferred** menunjukkan bahwa AMI mendukung UEFI dan Legacy BIOS.
+ Jika tidak ada nilai, instans yang diluncurkan dari AMI menggunakan nilai default dari tipe instans tersebut.
**Untuk menentukan parameter mode boot AMI saat meluncurkan instance**
Saat meluncurkan sebuah instans menggunakan wizard peluncuran instans, pada langkah untuk memilih AMI, periksa bidang **Mode boot**. Untuk informasi selengkapnya, lihat [Aplikasi dan Gambar OS (Gambar Mesin Amazon)](ec2-instance-launch-parameters.md#liw-ami).
------
#### [ AWS CLI ]
**Untuk menentukan parameter mode boot AMI**
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)perintah untuk menentukan mode boot AMI.
```
aws ec2 describe-images \
--region us-east-1 \
--image-id ami-0abcdef1234567890 \
--query Images[].BootMode \
--output text
```
Berikut ini adalah output contoh.
```
uefi
```
Dalam output, nilai `uefi` menunjukkan bahwa AMI mendukung UEFI. Nilai `uefi-preferred` menunjukkan bahwa AMI mendukung UEFI dan Legacy BIOS. Jika tidak ada nilai, instans yang diluncurkan dari AMI menggunakan nilai default dari tipe instans tersebut.
------
#### [ PowerShell ]
**Untuk menentukan parameter mode boot AMI**
Gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet untuk menentukan mode boot AMI.
```
Get-EC2Image -Region us-east-1 `
-ImageId ami-0abcdef1234567890 | Format-List Name, BootMode, TpmSupport
```
Berikut ini adalah output contoh.
```
Name : TPM-Windows_Server-2016-English-Full-Base-2023.05.10
BootMode : uefi
TpmSupport : v2.0
```
Dalam output, nilai `BootMode` menunjukkan mode boot AMI. Nilai `uefi` menunjukkan bahwa AMI mendukung UEFI. Nilai `uefi-preferred` menunjukkan bahwa AMI mendukung UEFI dan Legacy BIOS. Jika tidak ada nilai, instans yang diluncurkan dari AMI menggunakan nilai default dari tipe instans tersebut.
------
# Tentukan mode boot yang didukung dari jenis instans EC2
Anda dapat menentukan mode boot yang didukung dari jenis instance.
Konsol Amazon EC2 tidak menampilkan mode boot yang didukung dari jenis instans.
------
#### [ AWS CLI ]
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)perintah untuk menentukan mode boot yang didukung dari jenis instance. `--query`Parameter menyaring output untuk mengembalikan hanya mode boot yang didukung.
Contoh berikut menunjukkan bahwa jenis instance yang ditentukan mendukung mode boot UEFI dan Legacy BIOS.
```
aws ec2 describe-instance-types \
--instance-types m5.2xlarge \
--query "InstanceTypes[*].SupportedBootModes"
```
Berikut ini adalah output contoh.
```
[
[
"legacy-bios",
"uefi"
]
]
```
Contoh berikut menunjukkan bahwa `t2.xlarge` hanya mendukung Legacy BIOS.
```
aws ec2 describe-instance-types \
--instance-types t2.xlarge \
--query "InstanceTypes[*].SupportedBootModes"
```
Berikut ini adalah output contoh.
```
[
[
"legacy-bios"
]
]
```
------
#### [ PowerShell ]
Gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)cmdlet untuk menentukan mode boot yang didukung dari jenis instance.
Contoh berikut menunjukkan bahwa `m5.2xlarge` mendukung mode boot UEFI dan Legacy BIOS.
```
Get-EC2InstanceType -InstanceType m5.2xlarge | Format-List InstanceType, SupportedBootModes
```
Berikut ini adalah output contoh.
```
InstanceType : m5.2xlarge
SupportedBootModes : {legacy-bios, uefi}
```
Contoh berikut menunjukkan bahwa `t2.xlarge` hanya mendukung Legacy BIOS.
```
Get-EC2InstanceType -InstanceType t2.xlarge | Format-List InstanceType, SupportedBootModes
```
Berikut ini adalah output contoh.
```
InstanceType : t2.xlarge
SupportedBootModes : {legacy-bios}
```
------
**Untuk menentukan jenis instans yang mendukung UEFI**
Anda dapat menentukan jenis instans yang mendukung UEFI. Konsol Amazon EC2 tidak menampilkan dukungan UEFI dari jenis instans.
------
#### [ AWS CLI ]
Tipe instans yang tersedia berbeda-beda menurut Wilayah AWS. Untuk melihat jenis instance yang tersedia yang mendukung UEFI di Region, gunakan perintah. [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html) Sertakan parameter `--filters` untuk cakupan hasil ke tipe instans yang mendukung UEFI dan parameter `--query` untuk cakupan output ke nilai `InstanceType`.
```
aws ec2 describe-instance-types \
--filters Name=supported-boot-mode,Values=uefi \
--query "InstanceTypes[*].[InstanceType]" --output text | sort
```
------
#### [ PowerShell ]
Tipe instans yang tersedia berbeda-beda menurut Wilayah AWS. Untuk melihat jenis instans yang tersedia yang mendukung UEFI di Wilayah, gunakan cmdlet. [Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)
```
Get-EC2InstanceType | `
Where-Object {$_.SupportedBootModes -Contains "uefi"} | `
Sort-Object InstanceType | `
Format-Table InstanceType -GroupBy CurrentGeneration
```
------
**Untuk menentukan jenis instans yang mendukung UEFI Secure Boot dan mempertahankan variabel non-volatile**
Instans bare metal tidak mendukung UEFI Secure Boot dan variabel non-volatile, jadi contoh-contoh ini mengecualikan mereka dari output. Untuk informasi tentang UEFI Secure Boot, lihat [Boot Aman UEFI untuk instans Amazon EC2](uefi-secure-boot.md).
------
#### [ AWS CLI ]
Gunakan [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)perintah, dan kecualikan instance bare metal dari output.
```
aws ec2 describe-instance-types \
--filters Name=supported-boot-mode,Values=uefi Name=bare-metal,Values=false \
--query "InstanceTypes[*].[InstanceType]" \
--output text | sort
```
------
#### [ PowerShell ]
Gunakan [Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)cmdlet, dan kecualikan instance bare metal dari output.
```
Get-EC2InstanceType | `
Where-Object { `
$_.SupportedBootModes -Contains "uefi" -and `
$_.BareMetal -eq $False
} | `
Sort-Object InstanceType | `
Format-Table InstanceType, SupportedBootModes, BareMetal, `
@{Name="SupportedArchitectures"; Expression={$_.ProcessorInfo.SupportedArchitectures}}
```
------
# Tentukan mode boot dari instans EC2
Mode boot sebuah instans ditampilkan di bidang **Mode boot** di konsol Amazon EC2, dan oleh parameter `currentInstanceBootMode` di AWS CLI.
Apabila sebuah instans diluncurkan, nilai untuk parameter mode boot-nya ditentukan oleh nilai parameter mode boot AMI yang digunakan untuk meluncurkannya, seperti berikut:
+ AMI dengan parameter mode boot `uefi` menciptakan sebuah instans dengan parameter `currentInstanceBootMode` `uefi`.
+ AMI dengan parameter mode boot `legacy-bios` menciptakan sebuah instans dengan parameter `currentInstanceBootMode` ` legacy-bios`.
+ AMI dengan parameter mode boot `uefi-preferred` menciptakan instans dengan parameter `currentInstanceBootMode` `uefi` jika tipe instans mendukung UEFI; jika tidak, ia membuat instans dengan parameter `currentInstanceBootMode` `legacy-bios`.
+ AMI tanpa nilai parameter mode boot akan menciptakan instans dengan nilai parameter `currentInstanceBootMode` yang bergantung pada apakah arsitektur AMI adalah ARM atau x86 dan mode boot yang didukung tipe instans tersebut. Mode boot default adalah `uefi` pada tipe instans Graviton, dan `legacy-bios` pada tipe instans Intel dan AMD.
------
#### [ Console ]
**Untuk menentukan mode boot dari sebuah instance**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pada panel navigasi, pilih **Instans**, kemudian pilih instans Anda.
1. Di tab **Detail**, periksa bidang **Mode boot**.
------
#### [ AWS CLI ]
**Untuk menentukan mode boot dari sebuah instance**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) untuk menentukan mode boot sebuah instans. Anda juga dapat menentukan mode boot AMI yang digunakan untuk membuat instans.
```
aws ec2 describe-instances \
--region us-east-1 \
--instance-ids i-1234567890abcdef0 \
--query Reservations[].Instances[].BootMode \
--output text
```
Berikut ini adalah output contoh.
```
uefi
```
------
#### [ PowerShell ]
**Untuk menentukan mode boot dari sebuah instance**
Gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)cmdlet untuk menentukan mode boot sebuah instance. Anda juga dapat menentukan mode boot AMI yang digunakan untuk membuat instans.
```
(Get-EC2Instance `
-InstanceId i-1234567890abcdef0).Instances | Format-List BootMode, CurrentInstanceBootMode, InstanceType, ImageId
```
Berikut ini adalah output contoh.
```
BootMode : uefi
CurrentInstanceBootMode : uefi
InstanceType : c5a.large
ImageId : ami-0abcdef1234567890
```
------
# Tentukan mode boot sistem operasi untuk instans EC2 Anda
Mode boot AMI memandu Amazon EC2 tentang mode boot apa yang digunakan untuk melakukan boot instans. Untuk melihat apakah sistem operasi instans Anda dikonfigurasi untuk UEFI, Anda harus terhubung ke instans Anda menggunakan SSH (instance Linux) atau RDP (instance Windows).
Gunakan instruksi untuk sistem operasi instans Anda.
## Linux
**Untuk menentukan mode boot sistem operasi instans**
1. [Sambungkan ke instans Linux Anda menggunakan SSH](connect-linux-inst-ssh.md).
1. Untuk melihat mode boot sistem operasi, coba salah satu hal berikut ini:
+ Jalankan perintah berikut.
```
[ec2-user ~]$ sudo /usr/sbin/efibootmgr
```
Output yang diharapkan dari sebuah instans yang diboot dalam mode boot UEFI
```
BootCurrent: 0001
Timeout: 0 seconds
BootOrder: 0000,0001
Boot0000* UiApp
Boot0001* UEFI Amazon Elastic Block Store vol-xyz
```
+ Jalankan perintah berikut untuk memverifikasi keberadaan direktori `/sys/firmware/efi`. Direktori ini hanya ada jika instans boot menggunakan UEFI. Jika direktori ini tidak ada, perintah akan menampilkan `Legacy BIOS Boot Detected`.
```
[ec2-user ~]$ [ -d /sys/firmware/efi ] && echo "UEFI Boot Detected" || echo "Legacy BIOS Boot Detected"
```
Output yang diharapkan dari sebuah instans yang diboot dalam mode boot UEFI
```
UEFI Boot Detected
```
Output yang diharapkan dari instans yang boot dalam mode boot Legacy BIOS
```
Legacy BIOS Boot Detected
```
+ Jalankan perintah berikut untuk memverifikasi bahwa EFI muncul di output `dmesg`.
```
[ec2-user ~]$ dmesg | grep -i "EFI"
```
Output yang diharapkan dari sebuah instans yang diboot dalam mode boot UEFI
```
[ 0.000000] efi: Getting EFI parameters from FDT:
[ 0.000000] efi: EFI v2.70 by EDK II
```
## Windows
**Untuk menentukan mode boot sistem operasi instans**
1. [Sambungkan ke instans Windows Anda menggunakan RDP.](connecting_to_windows_instance.md)
1. Pergi ke **Informasi Sistem** dan periksa baris **Mode BIOS**.
![\[Jendela Informasi Sistem yang menampilkan baris Mode BIOS yang dipilih. Nilai untuk Mode BIOS adalah Legacy.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/BIOS-mode-win.png)
# Mengatur mode boot Amazon EC2 AMI
Secara default, AMI mewarisi mode boot instans EC2 yang digunakan untuk membuat AMI. Misalnya, jika Anda membuat AMI dari instans EC2 yang berjalan di Legacy BIOS, mode boot AMI baru adalah. `legacy-bios` Jika Anda membuat AMI dari instans EC2 dengan mode boot`uefi-preferred`, mode boot AMI baru adalah`uefi-preferred`.
Saat Anda mendaftarkan AMI, Anda dapat mengatur mode boot AMI ke`uefi`,`legacy-bios`, atau`uefi-preferred`.
Ketika mode boot AMI diatur ke `uefi-preferred`, instans akan melakukan boot sebagai berikut:
+ Untuk tipe instans yang mendukung UEFI dan Legacy BIOS (misalnya, `m5.large`), instans boot menggunakan UEFI.
+ Untuk tipe instans yang hanya mendukung Legacy BIOS (misalnya, `m4.large`), instans boot menggunakan Legacy BIOS.
Jika Anda mengatur mode boot AMI ke `uefi-preferred`, sistem operasi harus mendukung kemampuan untuk melakukan boot UEFI dan Legacy BIOS.
Untuk mengonversi instans berbasis BioS Legacy yang ada ke UEFI, atau instans berbasis UEFI yang ada ke Legacy BIOS, Anda harus terlebih dahulu memodifikasi volume dan sistem operasi instans untuk mendukung mode boot yang dipilih. Kemudian, buat snapshot volume. Terakhir, buat AMI dari snapshot.
**Pertimbangan-pertimbangan**
+ Menetapkan parameter mode boot AMI tidak secara otomatis mengonfigurasi sistem operasi untuk mode boot tersebut. Anda harus terlebih dahulu membuat modifikasi yang sesuai dengan volume instans dan sistem operasi untuk mendukung booting menggunakan mode boot yang dipilih. Jika tidak, AMI yang dihasilkan tidak dapat digunakan. Misalnya, jika Anda mengonversi instance Windows berbasis BioS Legacy ke UEFI, Anda dapat menggunakan [MBR2alat](https://learn.microsoft.com/en-us/windows/deployment/mbr-to-gpt) GPT dari Microsoft untuk mengonversi disk sistem dari MBR ke GPT. Perubahan yang diperlukan adalah perubahan khusus sistem operasi. Untuk informasi lebih lanjut, lihat manual untuk sistem operasi Anda.
+ Anda tidak dapat menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html)perintah atau [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet untuk membuat AMI yang mendukung [NitRotPM](nitrotpm.md) dan UEFI Preferred.
+ Beberapa fitur, seperti UEFI Secure Boot, hanya tersedia pada instans yang di-boot di UEFI. Saat Anda menggunakan parameter mode boot `uefi-preferred` AMI dengan tipe instans yang tidak mendukung UEFI, instance akan diluncurkan sebagai Legacy BIOS dan fitur yang bergantung pada UEFI dinonaktifkan. Jika Anda mengandalkan ketersediaan fitur yang bergantung pada UEFI, atur parameter mode boot AMI Anda ke `uefi`.
------
#### [ AWS CLI ]
**Untuk mengatur mode boot AMI**
1. Buat perubahan yang sesuai dengan volume instans dan sistem operasi untuk mendukung boot melalui mode boot yang dipilih. Perubahan yang diperlukan adalah perubahan khusus sistem operasi. Untuk informasi lebih lanjut, lihat manual untuk sistem operasi Anda.
**Awas**
Jika Anda tidak melakukan langkah ini, AMI tidak akan dapat digunakan.
1. Untuk menemukan ID volume instans, gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html). Anda akan membuat snapshot volume ini di langkah berikutnya.
```
aws ec2 describe-instances \
--instance-ids i-1234567890abcdef0 \
--query Reservations[].Instances[].BlockDeviceMappings
```
Berikut ini adalah output contoh.
```
[
[
{
"DeviceName": "/dev/xvda",
"Ebs": {
"AttachTime": "2024-07-11T01:05:51+00:00",
"DeleteOnTermination": true,
"Status": "attached",
"VolumeId": "vol-1234567890abcdef0"
}
}
]
]
```
1. Untuk membuat snapshot volume, gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html). Gunakan ID volume dari langkah sebelumnya.
```
aws ec2 create-snapshot \
--volume-id vol-01234567890abcdef \
--description "my snapshot"
```
Berikut ini adalah output contoh.
```
{
"Description": "my snapshot",
"Encrypted": false,
"OwnerId": "123456789012",
"Progress": "",
"SnapshotId": "snap-0abcdef1234567890",
"StartTime": "",
"State": "pending",
"VolumeId": "vol-01234567890abcdef",
"VolumeSize": 30,
"Tags": []
}
```
1. Tunggu sampai status snapshot `completed` sebelum Anda pergi ke langkah berikutnya. Untuk mendapatkan status snapshot, gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html)perintah dengan ID snapshot dari langkah sebelumnya.
```
aws ec2 describe-snapshots \
--snapshot-ids snap-0abcdef1234567890 \
--query Snapshots[].State \
--output text
```
Berikut ini adalah output contoh.
```
completed
```
1. Untuk membuat AMI baru, gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Gunakan nilai `SnapshotId` dari dari output**CreateSnapshot**.
+ Untuk mengatur mode boot ke UEFI, tambahkan `--boot-mode` parameter dengan nilai. `uefi`
```
aws ec2 register-image \
--description "my image" \
--name "my-image" \
--block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \
--root-device-name /dev/sda1 \
--virtualization-type hvm \
--ena-support \
--boot-mode uefi
```
+ Untuk mengatur mode boot ke`uefi-preferred`, atur nilai `--boot-mode` ke `uefi-preferred`
```
aws ec2 register-image \
--description "my description" \
--name "my-image" \
--block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \
--root-device-name /dev/sda1 \
--virtualization-type hvm \
--ena-support \
--boot-mode uefi-preferred
```
1. (Opsional) Untuk memverifikasi bahwa AMI yang baru dibuat memiliki mode boot yang Anda tentukan, gunakan perintah. [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)
```
aws ec2 describe-images \
--image-id ami-1234567890abcdef0 \
--query Images[].BootMode \
--output text
```
Berikut ini adalah output contoh.
```
uefi
```
------
#### [ PowerShell ]
**Untuk mengatur mode boot AMI**
1. Buat perubahan yang sesuai dengan volume instans dan sistem operasi untuk mendukung boot melalui mode boot yang dipilih. Perubahan yang diperlukan adalah perubahan khusus sistem operasi. Untuk informasi lebih lanjut, lihat manual untuk sistem operasi Anda.
**Awas**
Jika Anda tidak melakukan langkah ini, AMI tidak akan dapat digunakan.
1. Untuk menemukan ID volume instance, gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)cmdlet.
```
(Get-EC2Instance `
-InstanceId i-1234567890abcdef0).Instances.BlockDeviceMappings.Ebs
```
Berikut ini adalah output contoh.
```
AssociatedResource :
AttachTime : 7/11/2024 1:05:51 AM
DeleteOnTermination : True
Operator :
Status : attached
VolumeId : vol-01234567890abcdef
```
1. Untuk membuat snapshot volume, gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html)cmdlet. Gunakan ID volume dari langkah sebelumnya.
```
New-EC2Snapshot `
-VolumeId vol-01234567890abcdef `
-Description "my snapshot"
```
Berikut ini adalah output contoh.
```
AvailabilityZone :
Description : my snapshot
Encrypted : False
FullSnapshotSizeInBytes : 0
KmsKeyId :
OwnerId : 123456789012
RestoreExpiryTime :
SnapshotId : snap-0abcdef1234567890
SseType :
StartTime : 4/25/2025 6:08:59 PM
State : pending
StateMessage :
VolumeId : vol-01234567890abcdef
VolumeSize : 30
```
1. Tunggu sampai status snapshot `completed` sebelum Anda pergi ke langkah berikutnya. Untuk mendapatkan status snapshot, gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html)cmdlet dengan ID snapshot dari langkah sebelumnya.
```
(Get-EC2Snapshot `
-SnapshotId snap-0abcdef1234567890).State.Value
```
Berikut ini adalah output contoh.
```
completed
```
1. Untuk membuat AMI baru, gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet. Gunakan nilai `SnapshotId` dari dari output**New-EC2Snapshot**.
+ Untuk mengatur mode boot ke UEFI, tambahkan `-BootMode` parameter dengan nilai. `uefi`
```
$block = @{SnapshotId=snap-0abcdef1234567890}
Register-EC2Image `
-Description "my image" `
-Name "my-image" `
-BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
-RootDeviceName /dev/xvda `
-EnaSupport $true `
-BootMode uefi
```
+ Untuk mengatur mode boot ke`uefi-preferred`, atur nilai `-BootMode` ke `uefi-preferred`
```
$block = @{SnapshotId=snap-0abcdef1234567890}
Register-EC2Image `
-Description "my image" `
-Name "my-image" `
-BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
-RootDeviceName /dev/xvda `
-EnaSupport $true `
-BootMode uefi-preferred
```
1. (Opsional) Untuk memverifikasi bahwa AMI yang baru dibuat memiliki mode boot yang Anda tentukan, gunakan cmdlet. [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)
```
(Get-EC2Image `
-ImageId ami-1234567890abcdef0).BootMode.Value
```
Berikut ini adalah output contoh.
```
uefi
```
------
# Variabel UEFI untuk instans Amazon EC2
Saat Anda meluncurkan instans di mana mode boot diatur ke UEFI, penyimpanan nilai kunci untuk variabel akan dibuat. Penyimpanan dapat digunakan oleh UEFI dan sistem operasi instans untuk menyimpan variabel UEFI.
Variabel UEFI digunakan oleh boot loader dan sistem operasi untuk mengonfigurasi startup sistem awal. Variabel ini memungkinkan sistem operasi untuk mengelola pengaturan tertentu dari proses boot, seperti urutan boot, atau mengelola kunci untuk UEFI Secure Boot.
**Awas**
Siapa pun yang dapat terhubung ke instance (dan berpotensi perangkat lunak apa pun yang berjalan pada instance), atau siapa pun yang memiliki izin untuk menggunakan [GetInstanceUefiData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetInstanceUefiData.html)API pada instance dapat membaca variabel. Anda tidak boleh menyimpan data sensitif, seperti sandi atau informasi identitas pribadi, di penyimpanan variabel UEFI.
**Persistensi variabel UEFI**
+ Untuk instans yang diluncurkan pada atau sebelum 10 Mei 2022, variabel UEFI dihapus saat boot ulang atau berhenti.
+ Untuk instans yang diluncurkan pada atau setelah 11 Mei 2022, variabel UEFI yang ditandai sebagai non-volatile akan dipertahankan saat boot ulang dan berhenti/mulai.
+ Instans bare metal tidak mempertahankan variabel non-volatile UEFI di seluruh operasi berhenti/memulai instans.
# Boot Aman UEFI untuk instans Amazon EC2
UEFI Secure Boot dibangun di atas proses boot aman lama Amazon EC2, dan menyediakan tambahan yang membantu pelanggan mengamankan perangkat lunak dari ancaman defense-in-depth yang bertahan selama reboot. UEFI Secure Boot memastikan bahwa instans hanya melakukan boot perangkat lunak yang diberi tanda dengan kunci kriptografi. Kunci disimpan dalam basis data kunci di [penyimpanan variabel non-volatile UEFI](uefi-variables.md). UEFI Secure Boot mencegah modifikasi yang tidak sah dari aliran boot instans.
**Topics**
+ [
# Cara kerja Boot Aman UEFI dengan instans Amazon EC2
](how-uefi-secure-boot-works.md)
+ [
# Persyaratan untuk Boot Aman UEFI di Amazon EC2
](launch-instance-with-uefi-sb.md)
+ [
# Verifikasi apakah instans Amazon EC2 diaktifkan untuk Boot Aman UEFI
](verify-uefi-secure-boot.md)
+ [
# Buat AMI Linux dengan tombol Boot Aman UEFI kustom
](create-ami-with-uefi-secure-boot.md)
+ [
# Buat gumpalan AWS biner untuk UEFI Secure Boot
](aws-binary-blob-creation.md)
# Cara kerja Boot Aman UEFI dengan instans Amazon EC2
UEFI Secure Boot adalah fitur yang ditentukan dalam UEFI, yang menyediakan verifikasi tentang keadaan rantai boot. UEFI Secure Boot dirancang untuk memastikan bahwa hanya binari UEFI yang terverifikasi secara kriptografis yang akan dieksekusi setelah inisialisasi mandiri pada firmware. Binari ini termasuk driver UEFI dan bootloader utama, serta komponen yang dimuat rantai.
UEFI Secure Boot menetapkan empat basis data utama, yang digunakan dalam rantai kepercayaan. Basis data disimpan di penyimpanan variabel UEFI.
Rantai kepercayaan tersebut adalah sebagai berikut:
**Basis data kunci platform (PK)**
Basis data PK adalah root kepercayaan. Basis data ini berisi satu kunci PK publik yang digunakan dalam rantai kepercayaan untuk memperbarui basis data kunci untuk pertukaran kunci (KEK).
Untuk mengubah basis data PK, Anda harus memiliki kunci PK privat untuk menandatangani permintaan pembaruan. Ini termasuk menghapus basis data PK dengan menulis kunci PK kosong.
**Basis data kunci untuk pertukaran kunci (KEK)**
Basis data KEK adalah daftar kunci KEK publik yang digunakan dalam rantai kepercayaan untuk memperbarui basis data tanda tangan (db) dan denylist (dbx).
Untuk mengubah basis data KEK publik, Anda harus memiliki kunci PK privat untuk menandatangani permintaan pembaruan.
**Basis data tanda tangan (db)**
Basis data db adalah daftar kunci publik dan hash yang digunakan dalam rantai kepercayaan untuk memvalidasi semua binari boot UEFI.
Untuk mengubah basis data db, Anda harus memiliki kunci PK privat atau salah satu kunci KEK privat untuk menandatangani permintaan pembaruan.
**Basis data denylist tanda tangan (dbx)**
Basis data dbx adalah daftar kunci publik dan hash biner yang tidak tepercaya, dan digunakan dalam rantai kepercayaan sebagai file pencabutan.
Basis data dbx selalu diutamakan daripada semua basis data kunci lainnya.
Untuk mengubah basis data dbx, Anda harus memiliki kunci PK privat atau kunci KEK privat apa pun untuk menandatangani permintaan pembaruan.
Forum UEFI mengelola dbx yang tersedia untuk umum untuk banyak biner dan sertifikat yang diketahui buruk di [https://uefi.org/revocationlistfile](https://uefi.org/revocationlistfile).
**penting**
UEFI Secure Boot memberlakukan validasi tanda tangan pada binari UEFI apa pun. Untuk mengizinkan eksekusi biner UEFI di UEFI Secure Boot, Anda menandatanganinya dengan salah satu kunci db privat yang dijelaskan di atas.
Secara default, UEFI Secure Boot dinonaktifkan dan sistem ada pada `SetupMode`. Ketika sistem ada di `SetupMode`, semua variabel kunci dapat diperbarui tanpa tanda tangan kriptografis. Ketika PK diatur, UEFI Secure Boot diaktifkan dan keluar. SetupMode
# Persyaratan untuk Boot Aman UEFI di Amazon EC2
Saat Anda [meluncurkan instans Amazon EC2 dengan AMI yang didukung dan jenis instans](LaunchingAndUsingInstances.md) yang didukung, instans tersebut akan secara otomatis memvalidasi binari boot UEFI terhadap database Boot Aman UEFI. Tidak diperlukan konfigurasi tambahan. Anda juga dapat mengonfigurasi UEFI Secure Boot pada sebuah instans setelah diluncurkan.
**catatan**
UEFI Secure Boot melindungi instans Anda dan sistem operasinya dari perubahan aliran boot. Jika Anda membuat AMI baru dari sumber AMI yang mengaktifkan UEFI Secure Boot dan memodifikasi parameter tertentu selama proses penyalinan, seperti mengubah bagian `UefiData` dalam AMI, Anda dapat menonaktifkan Boot Aman UEFI.
**Topics**
+ [
## Didukung AMIs
](#uefi-amis)
+ [
## Tipe instans yang didukung
](#uefi-instance)
## Didukung AMIs
**Linux AMIs**
Untuk meluncurkan instance Linux, AMI Linux harus mengaktifkan UEFI Secure Boot.
Amazon Linux mendukung UEFI Secure Boot dimulai dengan AL2023 rilis 2023.1. Namun, Boot Aman UEFI tidak diaktifkan secara default. AMIs Untuk informasi selengkapnya, lihat [Boot Aman UEFI](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) di *AL2023 Panduan Pengguna*. Versi lama Amazon Linux AMIs tidak diaktifkan untuk UEFI Secure Boot. Agar dapat menggunakan AMI yang didukung, Anda harus melakukan sejumlah langkah konfigurasi pada Linux AMI Anda sendiri. Untuk informasi selengkapnya, lihat [Buat AMI Linux dengan tombol Boot Aman UEFI kustom](create-ami-with-uefi-secure-boot.md).
**Jendela AMIs**
Untuk meluncurkan instance Windows, AMI Windows harus mengaktifkan UEFI Secure Boot. *Untuk menemukan AMI AWS Windows yang telah dikonfigurasi sebelumnya untuk Boot Aman UEFI dengan kunci Microsoft, lihat [Temukan Windows Server yang AMIs dikonfigurasi dengan NitRotPM dan UEFI](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) Secure Boot di Referensi Windows.AWS AMIs *
[Saat ini, kami tidak mendukung mengimpor Windows dengan UEFI Secure Boot dengan menggunakan perintah import-image.](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-image.html)
## Tipe instans yang didukung
Semua jenis instans virtual yang mendukung UEFI juga mendukung UEFI Secure Boot. Untuk tipe instans yang mendukung UEFI Secure Boot, lihat [Persyaratan untuk mode boot UEFI](launch-instance-boot-mode.md).
**catatan**
Tipe instans bare metal tidak mendukung UEFI Secure Boot.
# Verifikasi apakah instans Amazon EC2 diaktifkan untuk Boot Aman UEFI
Anda dapat menggunakan prosedur berikut untuk menentukan apakah Amazon EC2 diaktifkan untuk Boot Aman UEFI.
## Instans Linux
Anda dapat menggunakan utilitas `mokutil` untuk memverifikasi apakah instans Linux diaktifkan untuk UEFI Secure Boot. Jika `mokutil` tidak diinstal pada instans Anda, Anda harus menginstalnya. Untuk petunjuk penginstalan Amazon Linux 2, lihat [Menemukan dan menginstal paket perangkat lunak pada instans Amazon Linux 2](https://docs.aws.amazon.com/linux/al2/ug/find-install-software.html). Untuk distribusi Linux lainnya, lihat dokumentasi spesifiknya.
**Untuk memverifikasi apakah sebuah instans Linux diaktifkan untuk UEFI Secure Boot**
Connect ke instance Anda dan jalankan perintah berikut seperti `root` pada jendela terminal.
```
mokutil --sb-state
```
Berikut ini adalah output contoh.
+ Jika UEFI Secure Boot diaktifkan, output berisi `SecureBoot enabled`.
+ Jika UEFI Secure Boot tidak diaktifkan, output berisi `SecureBoot disabled` atau `Failed to read SecureBoot`.
## Instans Windows
**Untuk memverifikasi apakah sebuah instans Windows diaktifkan untuk UEFI Secure Boot**
1. Terhubung ke instans Anda.
1. Buka alat msinfo32.
1. Periksa bidang **Kondisi Secure Boot**. Jika UEFI Secure Boot diaktifkan, nilainya **Didukung**, seperti yang ditunjukkan pada gambar berikut.
![\[Kondisi Secure Boot dalam Informasi Sistem.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/secure-boot-state-win.png)
Anda juga dapat menggunakan Windows PowerShell Cmdlet `Confirm-SecureBootUEFI` untuk memeriksa status Boot Aman. Untuk informasi selengkapnya tentang cmdlet, lihat [Konfirmasi- SecureBoot UEFI di](https://learn.microsoft.com/en-us/powershell/module/secureboot/confirm-securebootuefi) Dokumentasi Microsoft.
# Buat AMI Linux dengan tombol Boot Aman UEFI kustom
Petunjuk ini menunjukkan kepada Anda cara membuat AMI Linux dengan UEFI Secure Boot dan kunci pribadi yang dibuat khusus. Amazon Linux mendukung UEFI Secure Boot dimulai dengan AL2023 rilis 2023.1. Untuk informasi selengkapnya, lihat [Boot Aman UEFI aktif AL2023](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) di Panduan Pengguna *Amazon Linux 2023*.
**penting**
Prosedur berikut ditujukan untuk **pengguna tingkat lanjut saja**. Anda harus memiliki pengetahuan yang cukup tentang alur boot distribusi SSL dan Linux untuk menggunakan prosedur ini.
**Prasyarat**
+ Alat-alat berikut akan digunakan:
+ OpenSSL – [https://www.openssl.org/](https://www.openssl.org/)
+ [efivar — efivar https://github.com/rhboot/](https://github.com/rhboot/efivar)
+ [efitools - https://git.kernel. org/pub/scm/linux/kernel/git/jejb/efitools.git/](https://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git/)
+ Perintah [get-instance-uefi-data](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html)
+ Instans Linux Anda harus telah diluncurkan dengan AMI Linux yang mendukung mode boot UEFI, dan memiliki data non-volatile.
Instans yang baru dibuat tanpa kunci UEFI Secure Boot akan dibuat di `SetupMode`, yang memungkinkan Anda untuk mendaftarkan kunci Anda sendiri. Beberapa AMIs datang pra-konfigurasi dengan UEFI Secure Boot dan Anda tidak dapat mengubah kunci yang ada. Jika Anda ingin mengubah kunci, Anda harus membuat AMI baru berdasarkan AMI yang asli.
Anda memiliki dua cara untuk menyebarkan kunci di penyimpanan variabel, yang dijelaskan dalam Opsi A dan Opsi B di bawah ini. Opsi A menjelaskan bagaimana melakukan ini dari dalam instans, meniru aliran perangkat keras nyata. Opsi B menjelaskan cara membuat gumpalan biner, yang kemudian diteruskan sebagai file base64 saat Anda membuat AMI. Untuk kedua opsi, Anda harus terlebih dahulu membuat tiga pasang kunci, yang digunakan untuk rantai kepercayaan.
**Topics**
+ [
## Tugas 1: Buat pasangan kunci
](#uefi-secure-boot-create-three-key-pairs)
+ [
## Tugas 2 - Opsi A: Tambahkan kunci ke toko variabel dari dalam instance
](#uefi-secure-boot-optionA)
+ [
## Tugas 2 - Opsi B: Buat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya
](#uefi-secure-boot-optionB)
## Tugas 1: Buat pasangan kunci
UEFI Secure Boot didasarkan pada tiga basis data utama berikut, yang digunakan dalam rantai kepercayaan: kunci platform (PK), kunci untuk pertukaran kunci (KEK), dan basis data (db) tanda tangan.¹
Anda membuat setiap kunci pada instans. Untuk menyiapkan kunci publik dalam format yang valid untuk standar UEFI Secure Boot, Anda membuat sertifikat untuk setiap kunci. `DER` mendefinisikan format SSL (pengodean biner suatu format). Anda kemudian mengonversi setiap sertifikat menjadi daftar tanda tangan UEFI, yang merupakan format biner yang dipahami oleh UEFI Secure Boot. Terakhir, Anda menandatangani setiap sertifikat dengan kunci yang relevan.
**Topics**
+ [
### Bersiap untuk membuat pasangan kunci
](#uefisb-prepare-to-create-key-pairs)
+ [
### Pasangan kunci 1: Buat kunci platform (PK)
](#uefisb-create-key-pair-1)
+ [
### Pasangan kunci 2: Buat kunci untuk pertukaran kunci (KEK)
](#uefisb-create-key-pair-2)
+ [
### Pasangan kunci 3: Buat basis data (db) tanda tangan
](#uefisb-create-key-pair-3)
+ [
### Tanda tangani gambar boot (kernel) dengan kunci privat
](#uefi-secure-boot-sign-kernel)
### Bersiap untuk membuat pasangan kunci
Sebelum membuat pasangan kunci, buat pengidentifikasi unik global (GUID) untuk digunakan dalam pembuatan kunci.
1. [Hubungkan ke instans.](connect.md)
1. Jalankan perintah berikut di prompt shell.
```
uuidgen --random > GUID.txt
```
### Pasangan kunci 1: Buat kunci platform (PK)
PK adalah root kepercayaan untuk instans UEFI Secure Boot. PK privat digunakan untuk memperbarui KEK, yang nantinya dapat digunakan untuk menambahkan kunci resmi ke basis data (db) tanda tangan.
Standar X.509 digunakan untuk membuat pasangan kunci. Untuk informasi tentang standar yang digunakan, lihat [X.509](https://en.wikipedia.org/wiki/X.509) di *Wikipedia*.
**Untuk membuat PK**
1. Buat kunci. Anda harus memberi nama variabel `PK`.
```
openssl req -newkey rsa:4096 -nodes -keyout PK.key -new -x509 -sha256 -days 3650 -subj "/CN=Platform key/" -out PK.crt
```
Parameter berikut ditentukan:
+ `-keyout PK.key` – File kunci privat.
+ `-days 3650` – Jumlah hari sertifikat tersebut valid.
+ `-out PK.crt` – Sertifikat yang digunakan untuk membuat variabel UEFI.
+ `CN=Platform key` – Nama umum (CN) untuk kunci. Anda dapat memasukkan nama organisasi Anda sendiri alih-alih*Platform key*.
1. Buat sertifikat.
```
openssl x509 -outform DER -in PK.crt -out PK.cer
```
1. Konversi sertifikat menjadi daftar tanda tangan UEFI.
```
cert-to-efi-sig-list -g "$(< GUID.txt)" PK.crt PK.esl
```
1. Tanda tangani daftar tanda tangan UEFI dengan PK privat (yang ditandatangani sendiri).
```
sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt PK PK.esl PK.auth
```
### Pasangan kunci 2: Buat kunci untuk pertukaran kunci (KEK)
KEK privat digunakan untuk menambahkan kunci ke db, yang merupakan daftar tanda tangan resmi untuk boot pada sistem.
**Untuk membuat PK**
1. Buat kunci.
```
openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=Key Exchange Key/" -out KEK.crt
```
1. Buat sertifikat.
```
openssl x509 -outform DER -in KEK.crt -out KEK.cer
```
1. Konversi sertifikat menjadi daftar tanda tangan UEFI.
```
cert-to-efi-sig-list -g "$(< GUID.txt)" KEK.crt KEK.esl
```
1. Tanda tangani daftar tanda tangan dengan PK privat.
```
sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt KEK KEK.esl KEK.auth
```
### Pasangan kunci 3: Buat basis data (db) tanda tangan
Daftar db berisi kunci resmi yang diizinkan untuk di-boot pada sistem. Untuk memodifikasi daftar ini, diperlukan KEK privat. Gambar boot akan ditandatangani dengan kunci privat yang dibuat pada langkah ini.
**Untuk membuat PK**
1. Buat kunci.
```
openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=Signature Database key/" -out db.crt
```
1. Buat sertifikat.
```
openssl x509 -outform DER -in db.crt -out db.cer
```
1. Konversi sertifikat menjadi daftar tanda tangan UEFI.
```
cert-to-efi-sig-list -g "$(< GUID.txt)" db.crt db.esl
```
1. Tanda tangani daftar tanda tangan dengan KEK privat.
```
sign-efi-sig-list -g "$(< GUID.txt)" -k KEK.key -c KEK.crt db db.esl db.auth
```
### Tanda tangani gambar boot (kernel) dengan kunci privat
Untuk Ubuntu 22.04, gambar berikut memerlukan tanda tangan.
```
/boot/efi/EFI/ubuntu/shimx64.efi
/boot/efi/EFI/ubuntu/mmx64.efi
/boot/efi/EFI/ubuntu/grubx64.efi
/boot/vmlinuz
```
**Untuk menandatangani gambar**
Gunakan sintaksis berikut untuk menandatangani gambar.
```
sbsign --key db.key --cert db.crt --output /boot/vmlinuz /boot/vmlinuz
```
**catatan**
Anda harus menandatangani semua kernel baru. *`/boot/vmlinuz`* biasanya akan symlink ke kernel yang terakhir diinstal.
Lihat dokumentasi distribusi Anda untuk menemukan rantai boot dan gambar yang diperlukan.
¹ Terima kasih kepada ArchWiki komunitas untuk semua pekerjaan yang telah mereka lakukan. Perintah untuk membuat PK, membuat KEK, membuat DB, dan menandatangani gambar berasal dari [Creating keys](https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot#Creating_keys), yang ditulis oleh Tim ArchWiki and/or Pemeliharaan kontributor. ArchWiki
## Tugas 2 - Opsi A: Tambahkan kunci ke toko variabel dari dalam instance
Setelah Anda membuat [tiga pasang kunci](#uefi-secure-boot-create-three-key-pairs), Anda dapat terhubung ke instans Anda dan menambahkan kunci ke penyimpanan variabel dari dalam instans dengan menyelesaikan langkah-langkah berikut. Atau, selesaikan langkah-langkahnya[Tugas 2 - Opsi B: Buat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya](#uefi-secure-boot-optionB).
**Topics**
+ [
### Langkah 1: Luncurkan instans yang akan mendukung UEFI Secure Boot
](#step1-launch-uefi-sb)
+ [
### Langkah 2: Konfigurasikan instans untuk mendukung UEFI Secure Boot
](#step2-launch-uefi-sb)
+ [
### Langkah 3: Buat AMI dari instans
](#step3-launch-uefi-sb)
### Langkah 1: Luncurkan instans yang akan mendukung UEFI Secure Boot
Ketika Anda [meluncurkan sebuah instans](LaunchingAndUsingInstances.md) dengan prasyarat berikut, instans kemudian akan siap untuk dikonfigurasi untuk mendukung UEFI Secure Boot. Anda hanya dapat mengaktifkan dukungan untuk UEFI Secure Boot pada instans saat peluncuran; Anda tidak dapat mengaktifkannya nanti.
**Prasyarat**
+ **AMI** – AMI Linux harus mendukung mode boot UEFI. Untuk memverifikasi bahwa AMI mendukung mode boot UEFI, parameter mode boot AMI harus **uefi**. Untuk informasi selengkapnya, lihat [Tentukan parameter mode boot dari Amazon EC2 AMI](ami-boot-mode.md).
Perhatikan bahwa AWS hanya menyediakan Linux yang AMIs dikonfigurasi untuk mendukung UEFI untuk jenis instans berbasis Graviton. AWS saat ini tidak menyediakan x86\$164 Linux AMIs yang mendukung mode boot UEFI. Anda dapat mengonfigurasi AMI Anda sendiri untuk mendukung mode boot UEFI untuk semua arsitektur. Untuk mengonfigurasi AMI Anda sendiri untuk mendukung mode boot UEFI, Anda harus melakukan sejumlah langkah konfigurasi pada AMI Anda sendiri. Untuk informasi selengkapnya, lihat [Mengatur mode boot Amazon EC2 AMI](set-ami-boot-mode.md).
+ **Tipe instans** – Semua tipe instans virtual yang mendukung UEFI juga mendukung UEFI Secure Boot. Tipe instans bare metal tidak mendukung UEFI Secure Boot. Untuk tipe instans yang mendukung UEFI Secure Boot, lihat [Persyaratan untuk mode boot UEFI](launch-instance-boot-mode.md).
+ Luncurkan instans Anda setelah rilis UEFI Secure Boot. Hanya instans yang diluncurkan setelah 10 Mei 2022 (saat UEFI Secure Boot dirilis) yang dapat mendukung UEFI Secure Boot.
Setelah Anda meluncurkan instans Anda, Anda dapat memverifikasi bahwa instans siap dikonfigurasi untuk mendukung UEFI Secure Boot (dengan kata lain, Anda dapat melanjutkan ke [Langkah 2](#step2-launch-uefi-sb)) dengan memeriksa apakah tersedia data UEFI. Keberadaan data UEFI menunjukkan bahwa data non-volatile tetap ada.
**Untuk memverifikasi apakah instans Anda siap untuk Langkah 2**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) dan tentukan ID instans.
```
aws ec2 get-instance-uefi-data --instance-id i-1234567890abcdef0
```
Instans siap untuk Langkah 2 jika data UEFI sudah tersedia dalam output. Jika output kosong, instans tidak dapat dikonfigurasi untuk mendukung UEFI Secure Boot. Hal ini dapat terjadi jika instans Anda diluncurkan sebelum dukungan UEFI Secure Boot tersedia. Luncurkan instans baru dan coba lagi.
### Langkah 2: Konfigurasikan instans untuk mendukung UEFI Secure Boot
#### Daftarkan pasangan kunci di penyimpanan variabel UEFI Anda pada instans
**Awas**
Anda harus menandatangani gambar boot Anda *setelah* Anda mendaftarkan kunci, jika tidak, Anda tidak akan dapat melakukan boot instans Anda.
Setelah Anda membuat daftar tanda tangan UEFI yang ditandatangani (`PK`, `KEK`, dan `db`), tanda tangan tersebut harus terdaftar ke firmware UEFI.
Penulisan ke variabel `PK` hanya dapat dilakukan jika:
+ Belum ada PK yang terdaftar, yang ditunjukkan jika variabel `SetupMode` nya `1`. Periksa ini dengan menggunakan perintah berikut. Outputnya adalah `1` atau `0`.
```
efivar -d -n 8be4df61-93ca-11d2-aa0d-00e098032b8c-SetupMode
```
+ PK yang baru ditandatangani oleh kunci privat dari PK yang ada.
**Untuk mendaftarkan kunci di penyimpanan variabel UEFI Anda**
Perintah berikut harus dijalankan pada instans.
Jika SetupMode diaktifkan (nilainya`1`), kunci dapat didaftarkan dengan menjalankan perintah berikut pada instance:
```
[ec2-user ~]$ efi-updatevar -f db.auth db
```
```
[ec2-user ~]$ efi-updatevar -f KEK.auth KEK
```
```
[ec2-user ~]$ efi-updatevar -f PK.auth PK
```
**Untuk memverifikasi bahwa UEFI Secure Boot diaktifkan**
Untuk memverifikasi bahwa UEFI Secure Boot diaktifkan, ikuti langkah-langkah di [Verifikasi apakah instans Amazon EC2 diaktifkan untuk Boot Aman UEFI](verify-uefi-secure-boot.md).
Anda sekarang dapat mengekspor penyimpanan variabel UEFI Anda dengan perintah CLI [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html), atau Anda melanjutkan ke langkah berikutnya dan menandatangani gambar boot Anda untuk boot ulang ke instans dengan UEFI Secure Boot diaktifkan.
### Langkah 3: Buat AMI dari instans
Untuk membuat AMI dari instance, Anda dapat menggunakan konsol atau `CreateImage` API, CLI, atau. SDKs Untuk instruksi konsol, lihat [Buat AMI yang didukung Amazon EBS-Backed](creating-an-ami-ebs.md). Untuk petunjuk API, lihat [CreateImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateImage.html).
**catatan**
API `CreateImage` secara otomatis menyalin penyimpanan variabel UEFI dari instans ke AMI. Konsol menggunakan API `CreateImage`. Setelah Anda meluncurkan instans menggunakan AMI ini, instans akan memiliki penyimpanan variabel UEFI yang sama.
## Tugas 2 - Opsi B: Buat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya
Setelah Anda membuat [tiga pasangan kunci](#uefi-secure-boot-create-three-key-pairs), Anda dapat membuat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya yang berisi kunci UEFI Secure Boot. Atau, selesaikan langkah-langkahnya[Tugas 2 - Opsi A: Tambahkan kunci ke toko variabel dari dalam instance](#uefi-secure-boot-optionA).
**Awas**
Anda harus menandatangani gambar boot Anda *sebelum* mendaftarkan kunci, jika tidak, Anda tidak akan dapat melakukan boot instans Anda.
**Topics**
+ [
### Langkah 1: Buat penyimpanan variabel baru atau perbarui yang sudah ada
](#uefi-secure-boot-create-or-update-variable)
+ [
### Langkah 2: Unggah gumpalan biner pada pembuatan AMI
](#uefi-secure-boot-upload-binary-blob-on-ami-creation)
### Langkah 1: Buat penyimpanan variabel baru atau perbarui yang sudah ada
Anda dapat membuat penyimpanan variabel *offline* tanpa instans yang berjalan dengan menggunakan python-uefivars. Alat ini dapat membuat penyimpanan variabel baru dari kunci Anda. Skrip saat ini mendukung EDK2 format, AWS format, dan representasi JSON yang lebih mudah diedit dengan perkakas tingkat yang lebih tinggi.
**Untuk membuat penyimpanan variabel offline tanpa instans yang berjalan**
1. Unduh alat di tautan berikut.
```
https://github.com/awslabs/python-uefivars
```
1. Buat penyimpanan variabel baru dari kunci Anda dengan menjalankan perintah berikut. Ini akan membuat gumpalan biner berenkode base64 di.bin. *your\$1binary\$1blob* Alat ini juga mendukung pembaruan gumpalan biner melalui parameter `-I`.
```
./uefivars.py -i none -o aws -O your_binary_blob.bin -P PK.esl -K KEK.esl --db db.esl --dbx dbx.esl
```
### Langkah 2: Unggah gumpalan biner pada pembuatan AMI
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) untuk meneruskan data penyimpanan variabel UEFI Anda. Untuk parameter `--uefi-data`, tentukan gumpalan biner Anda, dan untuk parameter `--boot-mode`, tentukan `uefi`.
```
aws ec2 register-image \
--name uefi_sb_tpm_register_image_test \
--uefi-data $(cat your_binary_blob.bin) \
--block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId=snap-0123456789example,DeleteOnTermination=true}" \
--architecture x86_64 \
--root-device-name /dev/sda1 \
--virtualization-type hvm \
--ena-support \
--boot-mode uefi
```
# Buat gumpalan AWS biner untuk UEFI Secure Boot
Anda dapat menggunakan langkah-langkah berikut untuk mengkustomisasi variabel UEFI Secure Boot selama pembuatan AMI. KEK yang digunakan dalam langkah-langkah ini berlaku per September 2021. Jika Microsoft memperbarui KEK, Anda harus menggunakan KEK terbaru.
**Untuk membuat gumpalan AWS biner**
1. Buat daftar tanda tangan PK kosong.
```
touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl
```
1. Unduh sertifikat KEK.
```
https://go.microsoft.com/fwlink/?LinkId=321185
```
1. Bungkus sertifikat KEK dalam daftar tanda tangan UEFI (`siglist`).
```
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt
```
1. Unduh sertifikat db Microsoft.
```
https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt
```
1. Hasilkan daftar tanda tangan db.
```
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl
```
1. Unified Extensible Firmware Interface Forum tidak lagi menyediakan file DBX. Mereka sekarang disediakan oleh Microsoft di GitHub. [Unduh pembaruan DBX terbaru dari repositori pembaruan Microsoft Secure Boot di secureboot\$1objects. https://github.com/microsoft/](https://github.com/microsoft/secureboot_objects)
1. Buka paket biner pembaruan yang ditandatangani.
Buat `SplitDbxContent.ps1` dengan konten skrip di bawah ini. Atau, Anda dapat menginstal skrip dari [PowerShell Galeri](https://www.powershellgallery.com/packages/SplitDbxContent/1.0) menggunakan`Install-Script -Name SplitDbxContent`.
```
<#PSScriptInfo
.VERSION 1.0
.GUID ec45a3fc-5e87-4d90-b55e-bdea083f732d
.AUTHOR Microsoft Secure Boot Team
.COMPANYNAME Microsoft
.COPYRIGHT Microsoft
.TAGS Windows Security
.LICENSEURI
.PROJECTURI
.ICONURI
.EXTERNALMODULEDEPENDENCIES
.REQUIREDSCRIPTS
.EXTERNALSCRIPTDEPENDENCIES
.RELEASENOTES
Version 1.0: Original published version.
#>
<#
.DESCRIPTION
Splits a DBX update package into the new DBX variable contents and the signature authorizing the change.
To apply an update using the output files of this script, try:
Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite'
.EXAMPLE
.\SplitDbxAuthInfo.ps1 DbxUpdate_x64.bin
#>
# Get file from script input
$file = Get-Content -Encoding Byte $args[0]
# Identify file signature
$chop = $file[40..($file.Length - 1)]
if (($chop[0] -ne 0x30) -or ($chop[1] -ne 0x82 )) {
Write-Error "Cannot find signature"
exit 1
}
# Signature is known to be ASN size plus header of 4 bytes
$sig_length = ($chop[2] * 256) + $chop[3] + 4
$sig = $chop[0..($sig_length - 1)]
if ($sig_length -gt ($file.Length + 40)) {
Write-Error "Signature longer than file size!"
exit 1
}
# Content is everything else
$content = $file[0..39] + $chop[$sig_length..($chop.Length - 1)]
# Write signature and content to files
Set-Content -Encoding Byte signature.p7 $sig
Set-Content -Encoding Byte content.bin $content
```
Gunakan skrip untuk membongkar file DBX yang ditandatangani.
```
PS C:\Windows\system32> SplitDbxContent.ps1 .\dbx.bin
```
Ini menghasilkan dua file — `signature.p7` dan`content.bin`. Gunakan `content.bin` pada langkah berikutnya.
1. Buat penyimpanan variabel UEFI menggunakan skrip `uefivars.py`.
```
./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl --dbx ~/content.bin
```
1. Periksa gumpalan biner dan penyimpanan variabel UEFI.
```
./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less
```
1. Anda dapat memperbarui gumpalan dengan meneruskannya ke alat yang sama lagi.
```
./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl --dbx ~/content.bin
```
Keluaran yang diharapkan
```
Replacing PK
Replacing KEK
Replacing db
Replacing dbx
```
# Gunakan enkripsi dengan dukungan EBS AMIs
AMIs yang didukung oleh snapshot Amazon EBS dapat memanfaatkan enkripsi Amazon EBS. Snapshot data dan volume root dapat dienkripsi dan dilampirkan ke AMI. Anda dapat meluncurkan instans dan menyalin gambar dengan disertai dukungan enkripsi EBS lengkap. Parameter enkripsi untuk operasi ini didukung di semua Wilayah AWS KMS jika tersedia.
Instans EC2 dengan volume EBS terenkripsi diluncurkan dengan cara yang sama seperti instans lainnya. AMIs Selain itu, saat Anda meluncurkan instans dari AMI yang didukung oleh snapshot EBS yang tidak dienkripsi, Anda dapat mengenkripsi beberapa atau semua volume saat peluncuran.
Seperti volume EBS, snapshot di AMIs dapat dienkripsi baik oleh default Anda AWS KMS key, atau ke kunci terkelola pelanggan yang Anda tentukan. Anda harus selalu memiliki izin untuk menggunakan kunci KMS yang dipilih.
AMIs dengan snapshot terenkripsi dapat dibagikan di seluruh akun. AWS Untuk informasi selengkapnya, lihat [Memahami penggunaan AMI bersama di Amazon EC2](sharing-amis.md).
**Topics**
+ [
## Skenario peluncuran instans
](#AMI-encryption-launch)
+ [
## Skenario penyalinan gambar
](#AMI-encryption-copy)
## Skenario peluncuran instans
Instans Amazon EC2 diluncurkan dari AMIs penggunaan `RunInstances` tindakan dengan parameter yang disediakan melalui pemetaan perangkat blok, baik melalui Konsol Manajemen AWS atau langsung menggunakan Amazon EC2 API atau CLI. Untuk informasi selengkapnya, lihat [Blokir pemetaan perangkat untuk volume di instans Amazon EC2](block-device-mapping-concepts.md). Untuk contoh mengontrol pemetaan blok perangkat dari AWS CLI, lihat [Meluncurkan, Membuat Daftar, dan Mengakhiri Instans EC2](https://docs.aws.amazon.com/cli/latest/userguide/cli-services-ec2-instances.html).
Secara default, tanpa parameter enkripsi yang eksplisit, tindakan `RunInstances` mempertahankan status enkripsi snapshot sumber AMI sambil memulihkan volume EBS darinya. Jika enkripsi secara default diaktifkan, semua volume yang dibuat dari AMI (baik dari snapshot terenkripsi atau tidak terenkripsi) dienkripsi. Jika enkripsi secara default tidak diaktifkan, instance mempertahankan status enkripsi AMI.
Anda juga dapat meluncurkan instans dan sekaligus menerapkan status enkripsi baru ke volume yang dihasilkan dengan menyediakan parameter enkripsi. Sebagai hasil, perilaku berikut akan muncul:
**Meluncurkan tanpa parameter enkripsi**
+ Snapshot yang tidak terenkripsi dipulihkan ke volume yang tidak dienkripsi, kecuali jika enkripsi secara default diaktifkan, dalam hal ini semua volume yang baru dibuat akan dienkripsi.
+ Snapshot terenkripsi yang Anda miliki dipulihkan ke volume yang dienkripsi ke kunci KMS yang sama.
+ Snapshot terenkripsi yang tidak Anda miliki (misalnya, AMI dibagikan dengan Anda) dikembalikan ke volume yang dienkripsi oleh kunci KMS default AWS akun Anda.
Perilaku default ini dapat ditimpa dengan menyediakan parameter enkripsi. Parameter yang tersedia adalah `Encrypted` dan `KmsKeyId`. Menetapkan hanya Hasil parameter `Encrypted` dalam:
**Perilaku peluncuran instans dengan `Encrypted` ditetapkan, tetapi tidak ada `KmsKeyId` yang ditentukan**
+ Snapshot yang tidak dienkripsi dipulihkan ke volume EBS yang dienkripsi oleh kunci KMS default akun AWS Anda.
+ Snapshot terenkripsi yang Anda miliki dipulihkan ke volume yang dienkripsi ke kunci KMS yang sama. (Dengan kata lain, parameter `Encrypted` tidak memiliki efek.)
+ Snapshot terenkripsi yang tidak Anda miliki (yaitu, AMI dibagikan dengan Anda) dikembalikan ke volume yang dienkripsi oleh kunci KMS default AWS akun Anda. (Dengan kata lain, parameter `Encrypted` tidak memiliki efek.)
Mengatur parameter `Encrypted` dan `KmsKeyId` memungkinkan Anda menentukan kunci KMS non-default untuk operasi enkripsi. Perilaku berikut menghasilkan:
**Instans dengan `Encrypted` dan `KmsKeyId` ditetapkan**
+ Snapshot yang tidak dienkripsi dipulihkan ke volume EBS yang dienkripsi oleh kunci KMS yang ditentukan.
+ Snapshot terenkripsi dipulihkan ke volume EBS yang dienkripsi bukan ke kunci KMS awal, melainkan ke kunci KMS yang ditentukan.
Mengirim `KmsKeyId` tanpa mengatur parameter `Encrypted` akan mengakibatkan kesalahan.
Bagian berikut memberikan contoh peluncuran instance dari AMIs menggunakan parameter enkripsi non-default. Dalam setiap skenario ini, parameter yang diberikan ke tindakan `RunInstances` akan menghasilkan perubahan status enkripsi selama pemulihan volume dari snapshot.
Untuk informasi selengkapnya tentang meluncurkan instans dari AMI, lihat [Luncurkan instans Amazon EC2](LaunchingAndUsingInstances.md).
### Mengenkripsi volume saat peluncuran
Dalam contoh ini, AMI yang didukung oleh snapshot tidak terenkripsi digunakan untuk meluncurkan instans EC2 dengan volume EBS terenkripsi.
![\[Meluncurkan instans dan mengenkripsi volume sambil berjalan.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-launch-convert.png)
Parameter `Encrypted` saja menyebabkan volume untuk instans ini dienkripsi. Memberikan parameter `KmsKeyId` bersifat opsional. Jika tidak ada ID kunci KMS yang ditentukan, kunci KMS default AWS akun digunakan untuk mengenkripsi volume. Untuk mengenkripsi volume ke kunci KMS berbeda yang Anda miliki, sediakan parameter `KmsKeyId`.
### Mengenkripsi ulang volume saat peluncuran
Dalam contoh ini, AMI yang didukung oleh snapshot terenkripsi digunakan untuk meluncurkan instans EC2 dengan volume EBS yang dienkripsi oleh kunci KMS baru.
![\[Meluncurkan instans dan mengenkripsi ulang volume sambil berjalan.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-launch-encrypted.png)
Jika Anda memiliki AMI dan tidak menyediakan parameter enkripsi, instans yang dihasilkan memiliki volume yang dienkripsi oleh kunci KMS yang sama dengan snapshot. Jika AMI adalah AMI bersama, bukan milik Anda, dan Anda tidak menyediakan parameter enkripsi, volume dienkripsi oleh kunci KMS default Anda. Dengan parameter enkripsi yang disediakan seperti yang ditunjukkan, volume dienkripsi oleh kunci KMS tertentu.
### Mengubah status enkripsi beberapa volume saat peluncuran
Dalam contoh yang lebih kompleks ini, AMI yang didukung oleh beberapa snapshot (masing-masing menggunakan status enkripsi tersendiri) digunakan untuk meluncurkan instans EC2 dengan volume yang baru dienkripsi dan volume yang dienkripsi ulang.
![\[Mengenkripsi dan mengenkripsi ulang beberapa volume saat peluncuran.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-launch-mixed.png)
Dalam skenario ini, tindakan `RunInstances` diberi parameter enkripsi untuk setiap snapshot sumber. Ketika semua kemungkinan parameter enkripsi ditentukan, instans yang dihasilkan adalah sama terlepas dari apakah AMI merupakan milik Anda.
## Skenario penyalinan gambar
Amazon EC2 AMIs disalin menggunakan `CopyImage` tindakan, baik melalui atau langsung menggunakan Amazon EC2 API Konsol Manajemen AWS atau CLI.
Secara default, tanpa parameter enkripsi yang eksplisit, tindakan `CopyImage` mempertahankan status enkripsi snapshot sumber AMI selama penyalinan. Anda juga dapat menyalin AMI dan sekaligus menerapkan status enkripsi baru ke snapshot EBS terkait dengan menyediakan parameter enkripsi. Sebagai hasil, perilaku berikut akan muncul:
**Menyalin tanpa parameter enkripsi**
+ Snapshot yang tidak terenkripsi dipulihkan ke snapshot lain yang tidak terenkripsi, kecuali jika enkripsi secara default diaktifkan, dalam hal ini semua volume yang baru dibuat akan dienkripsi.
+ Snapshot terenkripsi yang Anda miliki disalin ke snapshot yang dienkripsi dengan kunci KMS yang sama.
+ Snapshot terenkripsi yang tidak Anda miliki (yaitu, AMI dibagikan dengan Anda) disalin ke snapshot yang dienkripsi oleh kunci KMS default akun Anda. AWS
Perilaku default ini dapat ditimpa dengan menyediakan parameter enkripsi. Parameter yang tersedia adalah `Encrypted` dan `KmsKeyId`. Jika hanya menetapkan parameter `Encrypted`, hal berikut terjadi:
**Perilaku copy-image dengan `Encrypted` diatur, tetapi tidak ada `KmsKeyId` yang ditentukan**
+ Snapshot yang tidak dienkripsi disalin ke snapshot yang dienkripsi oleh kunci KMS default akun AWS .
+ Snapshot terenkripsi disalin ke snapshot yang dienkripsi oleh kunci KMS yang sama. (Dengan kata lain, parameter `Encrypted` tidak memiliki efek.)
+ Snapshot terenkripsi yang tidak Anda miliki (yaitu, AMI dibagikan dengan Anda) disalin ke volume yang dienkripsi oleh kunci KMS default akun Anda AWS . (Dengan kata lain, parameter `Encrypted` tidak memiliki efek.)
Mengatur parameter `Encrypted` dan `KmsKeyId` memungkinkan Anda menentukan kunci KMS yang dikelola pelanggan untuk operasi enkripsi. Perilaku berikut menghasilkan:
**Perilaku copy-image dengan `Encrypted` dan `KmsKeyId` diatur**
+ Snapshot yang tidak dienkripsi disalin ke snapshot yang dienkripsi oleh kunci KMS yang ditentukan.
+ Snapshot terenkripsi disalin ke snapshot terenkripsi bukan ke kunci KMS awal, melainkan ke kunci KMS yang ditentukan.
Mengirim `KmsKeyId` tanpa turut mengatur parameter `Encrypted` akan mengakibatkan kesalahan.
Bagian berikut ini memberikan contoh penyalinan AMI menggunakan parameter enkripsi non-default, yang menghasilkan perubahan status enkripsi.
Untuk petunjuk detail menggunakan konsol, lihat [Salin Amazon EC2 AMI](CopyingAMIs.md).
### Mengenkripsikan gambar yang tidak dienkripsi selama penyalinan
Dalam skenario ini, AMI yang didukung oleh snapshot root yang tidak dienkripsi disalin ke AMI dengan snapshot root yang dienkripsi. Tindakan `CopyImage` diinvokasi dengan dua parameter enkripsi, termasuk kunci yang dikelola konsumen. Hasilnya, status enkripsi root snapshot berubah sehingga AMI target didukung oleh snapshot root yang berisi data yang sama dengan snapshot sumber, tetapi dienkripsi menggunakan kunci yang ditentukan. Anda dikenakan biaya penyimpanan untuk snapshot di keduanyaAMIs, serta biaya untuk setiap instance yang Anda luncurkan dari AMI.
**catatan**
Mengaktifkan enkripsi secara default memiliki efek yang sama seperti mengatur `Encrypted` parameter `true` untuk semua snapshot di AMI.
![\[Menyalin AMI dan mengenkripsi snapshot sambil berjalan\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png)
Mengatur parameter `Encrypted` akan mengenkripsi snapshot tunggal untuk instans ini. Jika Anda tidak menentukan parameter `KmsKeyId`, kunci default yang dikelola konsumen akan digunakan untuk mengenkripsi salinan snapshot.
**catatan**
Anda juga dapat menyalin gambar dengan beberapa snapshot dan mengonfigurasi status enkripsi masing-masing gambar secara terpisah.
# Memahami penggunaan AMI bersama di Amazon EC2
*AMI bersama* adalah AMI yang dibuat oleh developer dan disediakan untuk digunakan oleh orang lain. Salah satu cara termudah untuk memulai Amazon EC2 adalah menggunakan AMI bersama yang memiliki komponen yang Anda butuhkan, lalu menambahkan konten kustom. Anda juga dapat membuat AMIs dan membagikannya kepada yang lain.
Anda menggunakan AMI bersama dengan risiko Anda sendiri. Amazon tidak dapat menjamin integritas atau keamanan AMI yang dibagikan oleh pengguna Amazon EC2 lainnya. Oleh karena itu, Anda harus memperlakukan shared AMIs seperti halnya kode asing yang mungkin Anda pertimbangkan untuk diterapkan di pusat data Anda sendiri, dan melakukan uji tuntas yang sesuai. Kami menyarankan Anda mendapatkan AMI dari sumber tepercaya, seperti penyedia yang terverifikasi.
## Penyedia AMI terverifikasi
Di konsol Amazon EC2, publik AMIs yang dimiliki oleh Amazon atau mitra Amazon **terverifikasi ditandai Penyedia terverifikasi**.
Anda juga dapat menggunakan [AWS CLI perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) untuk mengidentifikasi publik AMIs yang berasal dari penyedia terverifikasi. Gambar publik yang dimiliki oleh Amazon atau mitra terverifikasi memiliki pemilik alias, yaitu `amazon``aws-backup-vault`, atau`aws-marketplace`. Dalam output CLI, nilai-nilai ini muncul untuk `ImageOwnerAlias`. Pengguna lain tidak dapat membuat alias AMIs. Ini memungkinkan Anda untuk dengan mudah menemukan AMIs dari Amazon atau mitra terverifikasi.
Untuk menjadi penyedia terverifikasi, Anda harus mendaftar sebagai penjual di AWS Marketplace. Setelah terdaftar, Anda dapat mendaftarkan AMI Anda di AWS Marketplace. Untuk informasi selengkapnya, lihat [Memulai sebagai penjual](https://docs.aws.amazon.com/marketplace/latest/userguide/user-guide-for-sellers.html) dan [produk berbasis AMI](https://docs.aws.amazon.com/marketplace/latest/userguide/ami-products.html) di *Panduan Penjual AWS Marketplace *.
**Topics**
+ [
## Penyedia AMI terverifikasi
](#verified-ami-provider)
+ [
# Temukan AMI bersama untuk digunakan untuk instans Amazon EC2
](usingsharedamis-finding.md)
+ [
# Bersiaplah untuk menggunakan shared AMIs untuk Linux
](usingsharedamis-confirm.md)
+ [
# Kontrol penemuan dan penggunaan AMI di Amazon EC2 dengan Diizinkan AMIs
](ec2-allowed-amis.md)
+ [
# Jadikan AMI Anda tersedia untuk umum untuk digunakan di Amazon EC2
](sharingamis-intro.md)
+ [
# Memahami memblokir akses publik untuk AMIs
](block-public-access-to-amis.md)
+ [
# Bagikan AMI dengan organisasi dan unit organisasi
](share-amis-with-organizations-and-OUs.md)
+ [
# Bagikan AMI dengan AWS akun tertentu
](sharingamis-explicit.md)
+ [
# Batalkan memiliki AMI yang dibagikan dengan Anda Akun AWS
](cancel-sharing-an-AMI.md)
+ [
# Rekomendasi untuk membuat Linux bersama AMIs
](building-shared-amis.md)
**Jika Anda mencari informasi tentang topik lain**
+ Untuk informasi tentang membuat AMI, lihat [Buat AMI yang didukung Amazon S3](creating-an-ami-instance-store.md) atau[Buat AMI yang didukung Amazon EBS-Backed](creating-an-ami-ebs.md).
+ Untuk informasi tentang membangun, mengirim, dan memelihara aplikasi Anda di AWS Marketplace, lihat [Dokumentasi AWS Marketplace](https://docs.aws.amazon.com/marketplace/).
# Temukan AMI bersama untuk digunakan untuk instans Amazon EC2
Anda dapat menggunakan konsol Amazon EC2 atau baris perintah untuk menemukan AMI bersama publik atau pribadi untuk digunakan dengan instans Amazon EC2 Anda.
AMIs adalah sumber daya regional. Saat Anda mencari AMI bersama (publik atau privat), Anda harus mencarinya dari Wilayah di mana AMI tersebut dibagikan. Agar AMI tersedia di Wilayah yang berbeda, salin AMI ke Wilayah, lalu bagikan. Untuk informasi selengkapnya, lihat [Salin Amazon EC2 AMI](CopyingAMIs.md).
------
#### [ Console ]
Konsol menyediakan bidang filter AMI. Anda juga dapat membuat cakupan pencarian menggunakan filter yang disediakan di kolom **Pencarian**.
**Untuk menemukan bersama atau AMI**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Di filter pertama, pilih salah satu opsi berikut:
+ **Gambar pribadi** - Daftar semua AMIs yang dibagikan dengan Anda.
+ **Gambar publik** - Daftar semua publik AMIs.
1. (Opsional) Untuk hanya menampilkan gambar publik dari Amazon, pilih bidang **Pencarian** dan kemudian, dari opsi menu, pilih **alias Pemilik**, lalu **=**, dan kemudian **amazon**.
1. (Opsional) Tambahkan filter untuk cakupan pencarian Anda AMIs yang memenuhi persyaratan Anda.
**Untuk menemukan AMI publik bersama dari [penyedia terverifikasi](sharing-amis.md#verified-ami-provider)**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Katalog AMI**.
1. Pilih **Komunitas AMIs**.
1. Di panel **Perbaiki hasil**, pilih Penyedia **terverifikasi**. Label **penyedia terverifikasi** menunjukkan bahwa itu AMIs berasal dari Amazon atau mitra terverifikasi.
------
#### [ AWS CLI ]
Gunakan [perintah deskripsi-gambar](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) untuk daftar. AMIs Anda dapat membuat cakupan daftar ke jenis AMIs yang Anda minati, seperti yang ditunjukkan pada contoh berikut.
**Untuk daftar semua publik AMIs**
Perintah berikut mencantumkan semua publik AMIs, termasuk publik AMIs yang Anda miliki.
```
aws ec2 describe-images --executable-users all
```
**Untuk daftar AMIs dengan izin peluncuran eksplisit**
Perintah berikut mencantumkan izin peluncuran eksplisit yang Anda miliki. AMIs Daftar ini tidak termasuk AMIs yang Anda miliki.
```
aws ec2 describe-images --executable-users self
```
**Untuk daftar yang AMIs dimiliki oleh penyedia terverifikasi**
Perintah berikut mencantumkan yang AMIs dimiliki oleh [penyedia terverifikasi](sharing-amis.md#verified-ami-provider). Publik yang AMIs dimiliki oleh penyedia terverifikasi (baik Amazon atau mitra terverifikasi) memiliki pemilik alias, yang muncul sebagai `amazon``aws-backup-vault`,, atau `aws-marketplace` di bidang akun. Ini membantu Anda menemukan dengan mudah AMIs dari penyedia terverifikasi. Pengguna lain tidak dapat membuat alias AMIs.
```
aws ec2 describe-images \
--owners amazon aws-marketplace \
--query 'Images[*].[ImageId]' \
--output text
```
**Untuk daftar AMIs yang dimiliki oleh akun**
Perintah berikut mencantumkan yang AMIs dimiliki oleh yang ditentukan Akun AWS.
```
aws ec2 describe-images --owners 123456789012
```
**Untuk cakupan AMIs menggunakan filter**
Untuk mengurangi jumlah yang ditampilkan AMIs, gunakan filter untuk mencantumkan hanya jenis AMIs yang menarik bagi Anda. Misalnya, gunakan filter berikut untuk menampilkan hanya didukung EBS AMIs.
```
--filters "Name=root-device-type,Values=ebs"
```
------
#### [ PowerShell ]
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet (Alat untuk Windows PowerShell) untuk daftar. AMIs Anda dapat membuat cakupan daftar ke jenis AMIs yang Anda minati, seperti yang ditunjukkan pada contoh berikut.
**Untuk daftar semua publik AMIs**
Perintah berikut mencantumkan semua publik AMIs, termasuk publik AMIs yang Anda miliki.
```
Get-EC2Image -ExecutableUser all
```
**Untuk daftar AMIs dengan izin peluncuran eksplisit**
Perintah berikut mencantumkan izin peluncuran eksplisit yang Anda miliki. AMIs Daftar ini tidak termasuk AMIs yang Anda miliki.
```
Get-EC2Image -ExecutableUser self
```
**Untuk daftar yang AMIs dimiliki oleh penyedia terverifikasi**
Perintah berikut mencantumkan yang AMIs dimiliki oleh [penyedia terverifikasi](sharing-amis.md#verified-ami-provider). Publik yang AMIs dimiliki oleh penyedia terverifikasi (baik Amazon atau mitra terverifikasi) memiliki pemilik alias, yang muncul sebagai `amazon``aws-backup-vault`,, atau `aws-marketplace` di bidang akun. Ini membantu Anda menemukan dengan mudah AMIs dari penyedia terverifikasi. Pengguna lain tidak dapat membuat alias AMIs.
```
Get-EC2Image -Owner amazon aws-marketplace
```
**Untuk daftar AMIs yang dimiliki oleh akun**
Perintah berikut mencantumkan yang AMIs dimiliki oleh yang ditentukan Akun AWS.
```
Get-EC2Image -Owner 123456789012
```
**Untuk cakupan AMIs menggunakan filter**
Untuk mengurangi jumlah yang ditampilkan AMIs, gunakan filter untuk mencantumkan hanya jenis AMIs yang menarik bagi Anda. Misalnya, gunakan filter berikut untuk menampilkan hanya didukung EBS AMIs.
```
-Filter @{Name="root-device-type"; Values="ebs"}
```
------
# Bersiaplah untuk menggunakan shared AMIs untuk Linux
Sebelum Anda menggunakan AMI bersama untuk Linux, lakukan langkah-langkah berikut untuk mengonfirmasi bahwa tidak ada kredensil pra-instal yang memungkinkan akses yang tidak diinginkan ke instans Anda oleh pihak ketiga dan tidak ada pencatatan jarak jauh yang telah dikonfigurasi sebelumnya yang dapat mengirimkan data sensitif ke pihak ketiga. Periksa dokumentasi untuk distribusi Linux yang digunakan oleh AMI untuk informasi tentang meningkatkan keamanan sistem.
Untuk memastikan Anda tidak kehilangan akses ke instans Anda tanpa sengaja, kami sarankan Anda memulai dua sesi SSH dan membuka sesi kedua hingga Anda menghapus kredensial yang tidak Anda kenali dan mengonfirmasi bahwa Anda masih dapat masuk ke aplikasi menggunakan SSH.
1. Mengidentifikasi dan menonaktifkan kunci SSH publik yang tidak sah. Satu-satunya kunci dalam file harus menjadi kunci yang Anda gunakan untuk meluncurkan AMI. Perintah berikut mencari file `authorized_keys`:
```
[ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \;
```
1. Menonaktifkan autentikasi berbasis kata sandi untuk pengguna root. Buka file `sshd_config` dan ubah baris `PermitRootLogin` sebagai berikut:
```
PermitRootLogin without-password
```
Atau, Anda dapat menonaktifkan kemampuan untuk masuk ke instans sebagai pengguna root:
```
PermitRootLogin No
```
Memulai ulang layanan sshd.
1. Periksa apakah ada pengguna lain yang dapat masuk ke instans Anda. Pengguna dengan hak istimewa superuser sangat berbahaya. Hapus atau kunci kata sandi akun yang tidak dikenal.
1. Periksa port terbuka yang tidak Anda gunakan dan layanan jaringan yang mendengarkan koneksi masuk.
1. Untuk mencegah logging jarak jauh terkonfigurasi, Anda harus menghapus file konfigurasi yang ada dan memulai ulang layanan `rsyslog`. Sebagai contoh:
```
[ec2-user ~]$ sudo rm /etc/rsyslog.conf
[ec2-user ~]$ sudo service rsyslog restart
```
1. Pastikan bahwa semua pekerjaan cron sah.
Jika Anda menemukan AMI publik yang Anda rasa menimbulkan risiko keamanan, kontak tim keamanan AWS . Untuk informasi selengkapnya, lihat [Pusat Keamanan AWS](https://aws.amazon.com/security/).
# Kontrol penemuan dan penggunaan AMI di Amazon EC2 dengan Diizinkan AMIs
Untuk mengontrol penemuan dan penggunaan Amazon Machine Images (AMIs) oleh pengguna di Anda Akun AWS, Anda dapat menggunakan AMIs fitur *Diizinkan*. Anda menentukan kriteria yang AMIs harus dipenuhi agar terlihat dan tersedia dalam akun Anda. Ketika kriteria diaktifkan, pengguna yang meluncurkan instance hanya akan melihat dan memiliki akses ke AMIs yang sesuai dengan kriteria yang ditentukan. Misalnya, Anda dapat menentukan daftar penyedia AMI tepercaya sebagai kriteria, dan hanya AMIs dari penyedia ini yang akan terlihat dan tersedia untuk digunakan.
Sebelum mengaktifkan AMIs pengaturan Diizinkan, Anda dapat mengaktifkan *mode audit* untuk melihat pratinjau yang AMIs akan atau tidak akan terlihat dan tersedia untuk digunakan. Ini memungkinkan Anda menyempurnakan kriteria yang diperlukan untuk memastikan bahwa hanya yang dimaksudkan AMIs yang terlihat dan tersedia bagi pengguna di akun Anda. Selain itu, gunakan [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)perintah untuk menemukan instance yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs
Anda menentukan AMIs pengaturan Diizinkan di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Pengaturan ini harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin mengontrol penggunaan AMI. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah pengaturan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *AWS Organizations Panduan Pengguna*.
**catatan**
AMIs Fitur yang Diizinkan hanya mengontrol penemuan dan penggunaan publik AMIs atau AMIs dibagikan dengan akun Anda. Itu tidak membatasi yang AMIs dimiliki oleh akun Anda. Terlepas dari kriteria yang Anda tetapkan, yang AMIs dibuat oleh akun Anda selalu dapat ditemukan dan dapat digunakan oleh pengguna di akun Anda.
**Manfaat utama dari Diizinkan AMIs**
+ **Kepatuhan dan keamanan**: Pengguna hanya dapat menemukan dan menggunakan AMIs yang memenuhi kriteria yang ditentukan, sehingga mengurangi risiko penggunaan AMI yang tidak sesuai.
+ **Manajemen yang efisien**: Dengan mengurangi jumlah yang diizinkan AMIs, mengelola yang tersisa menjadi lebih mudah dan lebih efisien.
+ **Implementasi tingkat akun terpusat**: Konfigurasikan AMIs pengaturan yang Diizinkan di tingkat akun, baik secara langsung di dalam akun atau melalui kebijakan deklaratif. Ini memberikan cara terpusat dan efisien untuk mengontrol penggunaan AMI di seluruh akun.
**Topics**
+ [
## Cara AMIs kerja yang Diizinkan
](#how-allowed-amis-works)
+ [
## Praktik terbaik untuk menerapkan Diizinkan AMIs
](#best-practice-for-implementing-allowed-amis)
+ [
## Izin IAM yang diperlukan
](#iam-permissions-for-allowed-amis)
+ [
# Mengelola pengaturan untuk Diizinkan AMIs
](manage-settings-allowed-amis.md)
## Cara AMIs kerja yang Diizinkan
Untuk mengontrol mana yang AMIs dapat ditemukan dan digunakan di akun Anda, Anda menentukan serangkaian kriteria yang digunakan untuk mengevaluasi akun Anda AMIs. Kriteria terdiri dari satu atau lebih `ImageCriterion` seperti yang ditunjukkan pada diagram berikut. Penjelasan mengikuti diagram.
![\[Hierarki AMIs ImageCriteria konfigurasi yang Diizinkan.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)
Konfigurasi memiliki tiga level:
+ **1** — Nilai parameter
+ Parameter multi-nilai:
+ `ImageProviders`
+ `ImageNames`
+ `MarketplaceProductCodes`
AMI dapat mencocokkan nilai *apa pun* dalam parameter yang akan diizinkan.
Contoh: `ImageProviders` = `amazon` **ATAU** akun `111122223333` **ATAU** akun `444455556666` (Logika evaluasi untuk nilai parameter tidak ditampilkan dalam diagram.)
+ Parameter nilai tunggal:
+ `CreationDateCondition`
+ `DeprecationTimeCondition`
+ **2** — `ImageCriterion`
+ Kelompokkan beberapa parameter dengan logika **AND**.
+ AMI harus cocok dengan *semua* parameter dalam a `ImageCriterion` untuk diizinkan.
+ Contoh: `ImageProviders` = `amazon` **AND** `CreationDateCondition` = 300 hari atau kurang
+ **3** — `ImageCriteria`
+ Kelompokkan beberapa `ImageCriterion` dengan logika **OR**.
+ AMI dapat mencocokkan *`ImageCriterion`apa pun* yang diizinkan.
+ Membentuk konfigurasi lengkap yang AMIs dievaluasi.
**Topics**
+ [
### AMIs Parameter yang diizinkan
](#allowed-amis-criteria)
+ [
### AMIs Konfigurasi yang diizinkan
](#allowed-amis-json-configuration)
+ [
### Bagaimana kriteria dievaluasi
](#how-allowed-amis-criteria-are-evaluated)
+ [
### Batas
](#allowed-amis-json-configuration-limits)
+ [
### AMIs Operasi yang diizinkan
](#allowed-amis-operations)
### AMIs Parameter yang diizinkan
Parameter berikut dapat dikonfigurasi untuk membuat`ImageCriterion`:
`ImageProviders`
Penyedia AMI AMIs yang diizinkan.
Nilai yang valid adalah alias yang didefinisikan oleh AWS, dan Akun AWS IDs, sebagai berikut:
+ `amazon`— Alias yang mengidentifikasi AMIs dibuat oleh Amazon atau penyedia terverifikasi
+ `aws-marketplace`— Alias yang mengidentifikasi AMIs dibuat oleh penyedia terverifikasi di AWS Marketplace
+ `aws-backup-vault`— Alias yang mengidentifikasi cadangan yang berada di akun AMIs brankas Backup yang memiliki celah udara secara logis. AWS Jika Anda menggunakan fitur AWS Backup air-gapped vault secara logis, pastikan alias ini disertakan sebagai penyedia AMI.
+ Akun AWS IDs — Satu atau lebih 12 digit Akun AWS IDs
+ `none`— Menunjukkan bahwa hanya AMIs dibuat oleh akun Anda yang dapat ditemukan dan digunakan. Publik atau dibagikan tidak AMIs dapat ditemukan dan digunakan. Ketika ditentukan, tidak ada kriteria lain yang dapat ditentukan.
`ImageNames`
Nama-nama yang diizinkan AMIs, menggunakan kecocokan persis atau wildcard (`?`atau`*`).
`MarketplaceProductCodes`
Kode AWS Marketplace produk untuk diizinkan AMIs.
`CreationDateCondition`
Usia maksimum untuk diizinkan AMIs.
`DeprecationTimeCondition`
Periode maksimum sejak penghentian untuk diizinkan. AMIs
*Untuk nilai dan batasan yang valid untuk setiap kriteria, lihat di Referensi API [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)Amazon EC2.*
### AMIs Konfigurasi yang diizinkan
Konfigurasi inti untuk Diizinkan AMIs adalah `ImageCriteria` konfigurasi yang mendefinisikan kriteria untuk diizinkan AMIs. Struktur JSON berikut menunjukkan parameter yang dapat ditentukan:
```
{
"State": "enabled" | "disabled" | "audit-mode",
"ImageCriteria" : [
{
"ImageProviders": ["string",...],
"MarketplaceProductCodes": ["string",...],
"ImageNames":["string",...],
"CreationDateCondition" : {
"MaximumDaysSinceCreated": integer
},
"DeprecationTimeCondition" : {
"MaximumDaysSinceDeprecated": integer
}
},
...
}
```
#### ImageCriteria contoh
`ImageCriteria`Contoh berikut mengkonfigurasi empat`ImageCriterion`. AMI diperbolehkan jika cocok dengan salah satu dari ini`ImageCriterion`. Untuk informasi tentang bagaimana kriteria dievaluasi, lihat[Bagaimana kriteria dievaluasi](#how-allowed-amis-criteria-are-evaluated).
```
{
"ImageCriteria": [
// ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
// ImageCriterion 2: Allow AMIs from providers whose accounts are
// "123456789012" OR "123456789013" AND AMI age is less than 300 days
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
// ImageCriterion 3: Allow AMIs from provider whose account is "123456789014"
// AND with names following the pattern "golden-ami-*"
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
// ImageCriterion 4: Allow AMIs from Amazon or verified providers
// AND which aren't deprecated
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
]
}
```
### Bagaimana kriteria dievaluasi
Tabel berikut menjelaskan aturan evaluasi yang menentukan apakah AMI diizinkan, yang menunjukkan bagaimana `OR` operator `AND` atau diterapkan di setiap tingkat:
| Tingkat evaluasi | Operator | Persyaratan untuk menjadi AMI yang Diizinkan |
| --- | --- | --- |
| Nilai parameter untukImageProviders,ImageNames, dan MarketplaceProductCodes | OR | AMI harus mencocokkan setidaknya satu nilai di setiap daftar parameter |
| ImageCriterion | AND | AMI harus mencocokkan semua parameter di masing-masing ImageCriterion |
| ImageCriteria | OR | AMI harus cocok dengan salah satu ImageCriterion |
Dengan menggunakan aturan evaluasi sebelumnya, mari kita lihat bagaimana menerapkannya pada: [ImageCriteria contoh](#allowed-amis-json-configuration-example)
+ `ImageCriterion`1: Memungkinkan AMIs yang memiliki kode AWS Marketplace produk `abcdefg1234567890`
`OR`
+ `ImageCriterion`2: Memungkinkan AMIs yang memenuhi kedua kriteria ini:
+ Dimiliki oleh salah satu akun `123456789012` `OR` `123456789013`
+ `AND`
+ Dibuat dalam 300 hari terakhir
`OR`
+ `ImageCriterion`3: Memungkinkan AMIs yang memenuhi kedua kriteria ini:
+ Dimiliki oleh akun `123456789014`
+ `AND`
+ Dinamakan dengan pola `golden-ami-*`
`OR`
+ `ImageCriterion`4: Memungkinkan AMIs yang memenuhi kedua kriteria ini:
+ Diterbitkan oleh Amazon atau penyedia terverifikasi (ditentukan oleh `amazon` alias)
+ `AND`
+ Tidak usang (hari maksimum sejak penghentian) `0`
### Batas
`ImageCriteria`Dapat mencakup hingga:
+ 10 `ImageCriterion`
Masing-masing `ImageCriterion` dapat mencakup hingga:
+ 200 nilai untuk `ImageProviders`
+ 50 nilai untuk `ImageNames`
+ 50 nilai untuk `MarketplaceProductCodes`
**Contoh batas**
Menggunakan yang sebelumnya[ImageCriteria contoh](#allowed-amis-json-configuration-example):
+ Ada 4`ImageCriterion`. Hingga 6 lagi dapat ditambahkan ke permintaan untuk mencapai batas 10.
+ Yang pertama`ImageCriterion`, ada 1 nilai untuk`MarketplaceProductCodes`. Hingga 49 lebih dapat ditambahkan ke ini `ImageCriterion` untuk mencapai batas 50.
+ Yang kedua`ImageCriterion`, ada 2 nilai untuk`ImageProviders`. Hingga 198 lebih dapat ditambahkan ke ini `ImageCriterion` untuk mencapai batas 200.
+ Yang ketiga`ImageCriterion`, ada 1 nilai untuk`ImageNames`. Hingga 49 lebih dapat ditambahkan ke ini `ImageCriterion` untuk mencapai batas 50.
### AMIs Operasi yang diizinkan
AMIs Fitur Diizinkan memiliki tiga status operasional untuk mengelola kriteria gambar: **mode **diaktifkan**, **dinonaktifkan**, dan audit**. Ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan kriteria gambar, atau meninjaunya sesuai kebutuhan.
**Diaktifkan**
Saat Diizinkan AMIs diaktifkan:
+ Itu `ImageCriteria` diterapkan.
+ Hanya AMI yang diizinkan yang dapat ditemukan di konsol EC2 dan dengan APIs itu menggunakan gambar (misalnya, yang menggambarkan, menyalin, menyimpan, atau melakukan tindakan lain yang menggunakan gambar).
+ Instans hanya dapat diluncurkan menggunakan diizinkan AMIs.
**Nonaktif**
Ketika Diizinkan AMIs dinonaktifkan:
+ Itu `ImageCriteria` tidak diterapkan.
+ Tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.
**Modus audit**
Dalam mode audit:
+ `ImageCriteria`Ini diterapkan, tetapi tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.
+ Di konsol EC2, untuk setiap AMI, bidang **gambar yang Diizinkan** menampilkan **Ya** atau **Tidak** untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia bagi pengguna di akun saat Diizinkan AMIs diaktifkan.
+ Di baris perintah, respons untuk `describe-image` operasi mencakup `"ImageAllowed": true` atau `"ImageAllowed": false` untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia untuk pengguna di akun saat Diizinkan AMIs diaktifkan.
+ Di konsol EC2, Katalog AMI menampilkan **Tidak diizinkan** di samping AMIs yang tidak dapat ditemukan atau tersedia bagi pengguna di akun saat Diizinkan AMIs diaktifkan.
## Praktik terbaik untuk menerapkan Diizinkan AMIs
Saat menerapkan AMIs Allowed, pertimbangkan praktik terbaik ini untuk memastikan transisi yang lancar dan meminimalkan potensi gangguan pada AWS lingkungan Anda.
1. **Aktifkan mode audit**
Mulailah dengan mengaktifkan Diizinkan AMIs dalam mode audit. Status ini memungkinkan Anda untuk melihat mana yang AMIs akan terpengaruh oleh kriteria Anda tanpa benar-benar membatasi akses, memberikan periode evaluasi bebas risiko.
1. **Tetapkan AMIs kriteria yang Diizinkan**
Tetapkan dengan cermat penyedia AMI mana yang selaras dengan kebijakan keamanan, persyaratan kepatuhan, dan kebutuhan operasional organisasi Anda.
**catatan**
Saat menggunakan layanan AWS terkelola, seperti Amazon ECS, Amazon EKS, atau Instans Terkelola AWS Lambda, sebaiknya tentukan alias yang akan diizinkan dibuat `amazon` oleh. AMIs AWS Layanan ini bergantung pada Amazon yang diterbitkan AMIs untuk meluncurkan instance.
Berhati-hatilah saat menetapkan `CreationDateCondition` batasan untuk apa pun AMIs. Menyetel kondisi tanggal yang terlalu ketat (misalnya, AMIs harus berusia kurang dari 5 hari) dapat menyebabkan kegagalan peluncuran instance jika AMIs, baik dari AWS atau penyedia lain, tidak diperbarui dalam jangka waktu yang Anda tentukan.
Kami merekomendasikan pemasangan `ImageNames` dengan `ImageProviders` untuk kontrol dan spesifisitas yang lebih baik. Menggunakan `ImageNames` sendiri mungkin tidak secara unik mengidentifikasi AMI.
1. **Periksa dampak pada proses bisnis yang diharapkan**
Anda dapat menggunakan konsol atau CLI untuk mengidentifikasi instance apa pun yang diluncurkan dengan yang tidak memenuhi kriteria AMIs yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs
Konsol: Gunakan AWS Config aturan [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) untuk memeriksa apakah instance yang sedang berjalan atau dihentikan diluncurkan dengan AMIs yang memenuhi kriteria Diizinkan Anda. AMIs Aturannya adalah **NON\$1COMPLIANT** jika AMI tidak memenuhi AMIs kriteria yang Diizinkan, dan **COMPLIANT** jika memang demikian. Aturan hanya beroperasi jika AMIs setelan Diizinkan disetel ke **mode **aktif** atau audit**.
CLI: Jalankan [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)perintah dan filter respons untuk mengidentifikasi instance apa pun yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan.
Untuk instruksi konsol dan CLI, lihat. [Temukan instance yang diluncurkan dari AMIs yang tidak diizinkan](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs)
1. **Aktifkan Diizinkan AMIs**
Setelah Anda mengonfirmasi bahwa kriteria tidak akan mempengaruhi proses bisnis yang diharapkan, aktifkan Diizinkan AMIs.
1. **Monitor peluncuran instance**
Terus memantau peluncuran instans dari AMIs seluruh aplikasi dan layanan AWS terkelola yang Anda gunakan, seperti Amazon EMR, Amazon ECR, Amazon EKS, dan. AWS Elastic Beanstalk Periksa masalah yang tidak terduga dan lakukan penyesuaian yang diperlukan pada AMIs kriteria yang Diizinkan.
1. **Pilot baru AMIs**
Untuk menguji pihak ketiga AMIs yang tidak mematuhi AMIs pengaturan Diizinkan Anda saat ini, AWS rekomendasikan pendekatan berikut:
+ Gunakan yang terpisah Akun AWS: Buat akun tanpa akses ke sumber daya penting bisnis Anda. Pastikan AMIs pengaturan Diizinkan tidak diaktifkan di akun ini, atau yang ingin AMIs Anda uji diizinkan secara eksplisit, sehingga Anda dapat mengujinya.
+ Uji di tempat lain Wilayah AWS: Gunakan Wilayah tempat pihak ketiga AMIs tersedia, tetapi di mana Anda belum mengaktifkan AMIs pengaturan yang Diizinkan.
Pendekatan ini membantu memastikan sumber daya penting bisnis Anda tetap aman saat Anda menguji yang baru. AMIs
## Izin IAM yang diperlukan
Untuk menggunakan AMIs fitur Diizinkan, Anda memerlukan izin IAM berikut:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
# Mengelola pengaturan untuk Diizinkan AMIs
Anda dapat mengelola pengaturan untuk Diizinkan AMIs. Pengaturan ini adalah per Wilayah per akun.
**Topics**
+ [
## Aktifkan Diizinkan AMIs
](#enable-allowed-amis-criteria)
+ [
## Tetapkan AMIs kriteria yang Diizinkan
](#update-allowed-amis-criteria)
+ [
## Nonaktifkan Diizinkan AMIs
](#disable-allowed-amis-criteria)
+ [
## Dapatkan AMIs kriteria yang Diizinkan
](#identify-allowed-amis-state-and-criteria)
+ [
## Temukan AMIs yang diizinkan
](#identify-amis-that-meet-allowed-amis-criteria)
+ [
## Temukan instance yang diluncurkan dari AMIs yang tidak diizinkan
](#identify-instances-with-allowed-AMIs)
## Aktifkan Diizinkan AMIs
Anda dapat mengaktifkan Diizinkan AMIs dan tentukan AMIs Kriteria yang diizinkan. Kami menyarankan Anda memulai dalam mode audit, yang menunjukkan kepada Anda mana yang AMIs akan terpengaruh oleh kriteria tanpa benar-benar membatasi akses.
------
#### [ Console ]
**Untuk mengaktifkan Diizinkan AMIs**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Diizinkan AMIs**.
1. Pada AMIs tab **Diizinkan**, pilih **Kelola**.
1. Untuk ** AMIs Pengaturan yang Diizinkan**, pilih **Mode audit** atau **Diaktifkan**. Kami menyarankan Anda memulai dalam mode audit, menguji kriteria, dan kemudian kembali ke langkah ini untuk mengaktifkan Diizinkan AMIs.
1. (Opsional) Untuk **kriteria AMI**, masukkan kriteria dalam format JSON.
1. Pilih **Perbarui**.
------
#### [ AWS CLI ]
**Untuk mengaktifkan Diizinkan AMIs**
Gunakan perintah [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```
Untuk mengaktifkan mode audit sebagai gantinya, tentukan `audit-mode` sebagai gantinya`enabled`.
```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```
------
#### [ PowerShell ]
**Untuk mengaktifkan Diizinkan AMIs**
Gunakan [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html)cmdlet.
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```
Untuk mengaktifkan mode audit sebagai gantinya, tentukan `audit-mode` sebagai gantinya`enabled`.
```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```
------
## Tetapkan AMIs kriteria yang Diizinkan
Setelah mengaktifkan Diizinkan AMIs, Anda dapat mengatur atau mengganti AMIs kriteria yang Diizinkan.
Untuk konfigurasi yang benar dan nilai yang valid, lihat [AMIs Konfigurasi yang diizinkan](ec2-allowed-amis.md#allowed-amis-json-configuration) dan[AMIs Parameter yang diizinkan](ec2-allowed-amis.md#allowed-amis-criteria).
------
#### [ Console ]
**Untuk menetapkan AMIs kriteria yang Diizinkan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Diizinkan AMIs**.
1. Pada AMIs tab **Diizinkan**, pilih **Kelola**.
1. Untuk **kriteria AMI**, masukkan kriteria dalam format JSON.
1. Pilih **Perbarui**.
------
#### [ AWS CLI ]
**Untuk menetapkan AMIs kriteria yang Diizinkan**
Gunakan allowed-images-settings perintah [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) dan tentukan file JSON yang berisi AMIs kriteria Diizinkan.
```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```
------
#### [ PowerShell ]
**Untuk menetapkan AMIs kriteria yang Diizinkan**
Gunakan [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)cmdlet dan tentukan file JSON yang berisi kriteria Diizinkan. AMIs
```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```
------
## Nonaktifkan Diizinkan AMIs
Anda dapat menonaktifkan Diizinkan AMIs sebagai berikut.
------
#### [ Console ]
**Untuk menonaktifkan Diizinkan AMIs**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Diizinkan AMIs**.
1. Pada AMIs tab **Diizinkan**, pilih **Kelola**.
1. Untuk ** AMIs Pengaturan yang Diizinkan**, pilih **Dinonaktifkan**.
1. Pilih **Perbarui**.
------
#### [ AWS CLI ]
**Untuk menonaktifkan Diizinkan AMIs**
Gunakan perintah [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).
```
aws ec2 disable-allowed-images-settings
```
------
#### [ PowerShell ]
**Untuk menonaktifkan Diizinkan AMIs**
Gunakan [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html)cmdlet.
```
Disable-EC2AllowedImagesSetting
```
------
## Dapatkan AMIs kriteria yang Diizinkan
Anda bisa mendapatkan status saat ini dari AMIs pengaturan Diizinkan dan AMIs kriteria Diizinkan.
------
#### [ Console ]
**Untuk mendapatkan AMIs status dan kriteria yang Diizinkan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Diizinkan AMIs**.
1. Pada AMIs tab **Diizinkan**, ** AMIs Pengaturan yang diizinkan** diatur ke **mode **Diaktifkan**, **Dinonaktifkan**, atau Audit**.
1. Jika status Diizinkan AMIs adalah **mode **Diaktifkan** atau Audit**, **kriteria AMI**, menampilkan kriteria AMI dalam format JSON.
------
#### [ AWS CLI ]
**Untuk mendapatkan AMIs status dan kriteria yang Diizinkan**
Gunakan perintah [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).
```
aws ec2 get-allowed-images-settings
```
Dalam contoh output berikut, keadaan `audit-mode` dan kriteria gambar ditetapkan dalam akun.
```
{
"State": "audit-mode",
"ImageCriteria": [
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
],
"ManagedBy": "account"
}
```
------
#### [ PowerShell ]
**Untuk mendapatkan AMIs status dan kriteria yang Diizinkan**
Gunakan [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html)cmdlet.
```
Get-EC2AllowedImagesSetting | Select-Object `
State, `
ManagedBy, `
@{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
@{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
@{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
@{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
@{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```
Dalam contoh output berikut, keadaan `audit-mode` dan kriteria gambar ditetapkan dalam akun.
```
State : audit-mode
ManagedBy : account
ImageProviders : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes : {abcdefg1234567890}
ImageNames : {golden-ami-*}
MaximumDaysSinceCreated : 300
MaximumDaysSinceDeprecated: 0
```
------
## Temukan AMIs yang diizinkan
Anda dapat menemukan AMIs yang diizinkan atau tidak diizinkan oleh AMIs kriteria Diizinkan saat ini.
**catatan**
Diizinkan AMIs harus dalam mode audit.
------
#### [ Console ]
**Untuk memeriksa apakah AMI memenuhi AMIs kriteria yang Diizinkan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI.
1. Pada tab **Detail** (jika Anda memilih kotak centang) atau di area ringkasan (jika Anda memilih ID AMI), cari bidang **Gambar yang Diizinkan**.
+ **Ya** - AMI memenuhi AMIs kriteria yang Diizinkan. AMI ini akan tersedia untuk pengguna di akun Anda setelah Anda mengaktifkan DiizinkanAMIs.
+ **Tidak** - AMI tidak memenuhi AMIs kriteria yang Diizinkan.
1. Di panel navigasi, pilih **Katalog AMI**.
AMI bertanda **Tidak diizinkan** menunjukkan AMI yang tidak memenuhi AMIs kriteria yang Diizinkan. AMI ini tidak akan terlihat atau tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.
------
#### [ AWS CLI ]
**Untuk memeriksa apakah AMI memenuhi AMIs kriteria yang Diizinkan**
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--image-id ami-0abcdef1234567890 \
--query Images[].ImageAllowed \
--output text
```
Berikut ini adalah output contoh.
```
True
```
**Untuk menemukan AMIs yang memenuhi AMIs kriteria yang Diizinkan**
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--filters "Name=image-allowed,Values=true" \
--max-items 10 \
--query Images[].ImageId
```
Berikut ini adalah output contoh.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
#### [ PowerShell ]
**Untuk memeriksa apakah AMI memenuhi AMIs kriteria yang Diizinkan**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```
Berikut ini adalah output contoh.
```
True
```
**Untuk menemukan AMIs yang memenuhi AMIs kriteria yang Diizinkan**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
Get-EC2Image `
-Filter @{Name="image-allows";Values="true"} `
-MaxResult 10 | `
Select ImageId
```
Berikut ini adalah output contoh.
```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```
------
## Temukan instance yang diluncurkan dari AMIs yang tidak diizinkan
Anda dapat mengidentifikasi instans yang diluncurkan menggunakan AMI yang tidak memenuhi AMIs kriteria Diizinkan.
------
#### [ Console ]
**Untuk memeriksa apakah instance diluncurkan menggunakan AMI yang tidak diizinkan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Instans**.
1. Pilih instans.
1. Pada tab **Detail**, di bawah **Detail instans**, temukan **gambar yang Diizinkan**.
+ **Ya** - AMI memenuhi AMIs kriteria yang Diizinkan.
+ **Tidak** - AMI tidak memenuhi AMIs kriteria yang Diizinkan.
------
#### [ AWS CLI ]
**Untuk menemukan instance yang diluncurkan menggunakan AMIs yang tidak diizinkan**
Gunakan [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)perintah dengan `image-allowed` filter.
```
aws ec2 describe-instance-image-metadata \
--filters "Name=image-allowed,Values=false" \
--query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
--output table
```
Berikut ini adalah output contoh.
```
--------------------------------------------------
| DescribeInstanceImageMetadata |
+----------------------+-------------------------+
| i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 |
| i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f |
| i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 |
| i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 |
| i-0781e91cfeca3179d | ami-00c257e12d6828491 |
| i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 |
+----------------------+-------------------------+
```
------
#### [ PowerShell ]
**Untuk menemukan instance yang diluncurkan menggunakan AMIs yang tidak diizinkan**
Gunakan [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html)cmdlet.
```
Get-EC2InstanceImageMetadata `
-Filter @{Name="image-allowed";Values="false"} | `
Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```
Berikut ini adalah output contoh.
```
InstanceId ImageId
---------- -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```
------
#### [ AWS Config ]
Anda dapat menambahkan AWS Config aturan **ec2- instance-launched-with-allowed -ami**, mengonfigurasinya untuk kebutuhan Anda, dan kemudian menggunakannya untuk mengevaluasi instance Anda.
Untuk informasi selengkapnya, lihat [Menambahkan AWS Config aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) dan [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) di Panduan *AWS Config Pengembang*.
------
# Jadikan AMI Anda tersedia untuk umum untuk digunakan di Amazon EC2
Anda dapat membuat AMI Anda tersedia untuk umum dengan membagikannya kepada semua Akun AWS.
Jika Anda ingin mencegah berbagi publik AMIs, Anda dapat mengaktifkan *blokir akses publik untuk AMIs*. Hal ini memblokir setiap upaya untuk membuat AMI publik, membantu mencegah akses tidak sah dan potensi penyalahgunaan data AMI. Perhatikan bahwa mengaktifkan blokir akses publik tidak memengaruhi akses Anda AMIs yang sudah tersedia untuk umum; mereka tetap tersedia untuk umum. Untuk informasi selengkapnya, lihat [Memahami memblokir akses publik untuk AMIs](block-public-access-to-amis.md).
Untuk mengizinkan hanya akun tertentu yang menggunakan AMI Anda untuk meluncurkan instans, lihat [Bagikan AMI dengan AWS akun tertentu](sharingamis-explicit.md).
**Topics**
+ [
## Pertimbangan-pertimbangan
](#considerations-for-sharing-public-AMIs)
+ [
## Bagikan AMI dengan semua AWS akun (bagikan secara publik)
](#share-an-ami-publicly)
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut sebelum menjadikan AMI publik.
+ **Kepemilikan** — Untuk membuat AMI publik, Anda Akun AWS harus memiliki AMI.
+ **Wilayah** — AMIs adalah sumber daya Regional. Saat Anda membagikan AMI, AMI hanya tersedia di Wilayah tempat Anda membagikannya. Agar AMI tersedia di Wilayah yang berbeda, salin AMI ke Wilayah, lalu bagikan. Untuk informasi selengkapnya, lihat [Salin Amazon EC2 AMI](CopyingAMIs.md).
+ **Blokir akses publik** — Untuk berbagi AMI secara publik, [blokir akses publik untuk AMIs](block-public-access-to-amis.md) harus dinonaktifkan di setiap Wilayah di mana AMI akan dibagikan secara publik. Setelah membagikan AMI secara publik, Anda dapat mengaktifkan kembali blokir akses publik AMIs untuk mencegah pembagian publik lebih lanjut dari AMI Anda. AMIs
+ **Beberapa tidak AMIs dapat dipublikasikan** - Jika AMI Anda menyertakan salah satu komponen berikut, Anda tidak dapat mempublikasikannya (tetapi Anda dapat [membagikan AMI dengan spesifik Akun AWS](sharingamis-explicit.md)):
+ Volume terenkripsi
+ Snapshot volume terenkripsi
+ Kode produk
+ **Hindari pemaparan data sensitif** – Untuk menghindari pemaparan data sensitif saat Anda membagikan AMI, baca pertimbangan keamanan di [Rekomendasi untuk membuat Linux bersama AMIs](building-shared-amis.md) dan ikuti tindakan yang direkomendasikan.
+ **Penggunaan** – Saat Anda membagikan AMI, pengguna hanya dapat meluncurkan instans dari AMI tersebut. Mereka tidak dapat menghapus, berbagi, atau memodifikasinya. Namun, setelah mereka meluncurkan instans menggunakan AMI Anda, mereka dapat membuat AMI dari instans yang mereka luncurkan.
+ **Pengakhiran otomatis** — Secara default, tanggal penghentian semua publik AMIs diatur ke dua tahun dari tanggal pembuatan AMI. Anda dapat mengatur tanggal pengusangan menjadi lebih awal dari dua tahun. [Untuk membatalkan tanggal penghentian, atau untuk memindahkan penghentian ke tanggal berikutnya, Anda harus menjadikan AMI pribadi dengan hanya membagikannya dengan spesifik. Akun AWS](sharingamis-explicit.md)
+ **Hapus usang AMIs** — Setelah AMI publik mencapai tanggal penghentian, jika tidak ada instans baru yang diluncurkan dari AMI selama enam bulan atau lebih, AWS akhirnya menghapus properti berbagi publik sehingga usang AMIs tidak muncul di daftar AMI publik.
+ **Penagihan** — Anda tidak ditagih ketika AMI Anda digunakan oleh orang lain Akun AWS untuk meluncurkan instans. Akun yang meluncurkan instans menggunakan AMI akan dikenai biaya untuk instans yang diluncurkan.
## Bagikan AMI dengan semua AWS akun (bagikan secara publik)
Setelah Anda membuat AMI publik, AMI tersedia di **Komunitas AMIs** di konsol, yang dapat Anda akses dari **Katalog AMI** di navigator kiri di konsol EC2 atau saat meluncurkan instance menggunakan konsol. Harap diperhatikan bahwa diperlukan waktu hingga AMI muncul di **AMIs Komunitas** setelah Anda membuatnya publik.
------
#### [ Console ]
**Untuk menjadikan AMI publik**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI Anda dari daftar, lalu pilih **Tindakan**, **Ubah izin AMI**.
1. Di bawah **Ketersediaan AMI**, pilih **Publik**.
1. Pilih **Simpan perubahan**.
------
#### [ AWS CLI ]
Setiap AMI memiliki `launchPermission` properti yang mengontrol yang Akun AWS, selain pemilik, diizinkan untuk menggunakan AMI itu untuk meluncurkan instance. Dengan memodifikasi `launchPermission` properti AMI, Anda dapat membuat AMI menjadi publik (yang memberikan izin peluncuran ke semua Akun AWS), atau membagikannya hanya dengan Akun AWS yang Anda tentukan.
Anda dapat menambah atau menghapus akun IDs dari daftar akun yang memiliki izin peluncuran untuk AMI. Untuk menjadikan AMI publik, tentukan kelompok `all`. Anda dapat menentukan izin peluncuran publik dan eksplisit.
**Untuk menjadikan AMI publik**
1. Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) sebagai berikut untuk menambahkan grup `all` ke daftar `launchPermission` untuk AMI tertentu.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{Group=all}]"
```
1. Untuk memverifikasi izin peluncuran AMI, gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html).
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
1. (Opsional) Untuk menjadikan AMI kembali privat, hapus grup `all` dari izin peluncurannya. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{Group=all}]"
```
------
#### [ PowerShell ]
Setiap AMI memiliki `launchPermission` properti yang mengontrol yang Akun AWS, selain pemilik, diizinkan untuk menggunakan AMI itu untuk meluncurkan instance. Dengan memodifikasi `launchPermission` properti AMI, Anda dapat membuat AMI menjadi publik (yang memberikan izin peluncuran ke semua Akun AWS), atau membagikannya hanya dengan Akun AWS yang Anda tentukan.
Anda dapat menambah atau menghapus akun IDs dari daftar akun yang memiliki izin peluncuran untuk AMI. Untuk menjadikan AMI publik, tentukan kelompok `all`. Anda dapat menentukan izin peluncuran publik dan eksplisit.
**Untuk menjadikan AMI publik**
1. Gunakan perintah [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) sebagai berikut untuk menambahkan grup `all` ke daftar `launchPermission` untuk AMI tertentu.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-UserGroup all
```
1. Untuk memverifikasi izin peluncuran AMI, gunakan perintah [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html) berikut.
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
1. (Opsional) Untuk menjadikan AMI kembali privat, hapus grup `all` dari izin peluncurannya. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-UserGroup all
```
------
# Memahami memblokir akses publik untuk AMIs
Untuk mencegah berbagi publik Anda AMIs, Anda dapat mengaktifkan *blokir akses publik AMIs* di tingkat akun.
Ketika mengaktifkan memblokir akses publik, setiap upaya untuk menjadikan AMI publik secara otomatis diblokir. Namun, jika Anda sudah memiliki publik AMIs, mereka tetap tersedia untuk umum.
Untuk berbagi secara publik AMIs, Anda harus menonaktifkan blokir akses publik. Setelah selesai berbagi, praktik terbaik adalah mengaktifkan kembali blokir akses publik untuk mencegah berbagi publik yang tidak diinginkan dari Anda. AMIs
**catatan**
Pengaturan ini dikonfigurasi di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Itu harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin mencegah berbagi publik Anda AMIs. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah setelan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *AWS Organizations Panduan Pengguna*.
Anda dapat membatasi izin IAM untuk pengguna administrator sehingga hanya mereka yang dapat mengaktifkan atau menonaktifkan blokir akses publik. AMIs
**Topics**
+ [
## Pengaturan default
](#block-public-access-to-amis-default-settings)
+ [
# Mengelola setelan blokir akses publik untuk AMIs
](manage-block-public-access-for-amis.md)
## Pengaturan default
**Blokir akses publik untuk AMIs** pengaturan diaktifkan atau dinonaktifkan secara default tergantung pada apakah akun Anda baru atau sudah ada, dan apakah Anda memiliki publik AMIs. Tabel berikut menjelaskan pengaturan default:
| AWS akun | Memblokir akses publik untuk pengaturan AMIs default |
| --- | --- |
| Akun baru | Diaktifkan |
| Akun yang ada tanpa publik AMIs ¹ | Diaktifkan |
| Akun yang ada dengan satu atau lebih publik AMIs | Nonaktif |
¹ Jika akun Anda memiliki satu atau lebih publik AMIs pada atau setelah 15 Juli 2023, **Blokir akses publik untuk AMIs** dinonaktifkan secara default untuk akun Anda, bahkan jika Anda kemudian membuat semua AMIs pribadi.
# Mengelola setelan blokir akses publik untuk AMIs
Anda dapat mengelola pengaturan blokir akses publik untuk AMI Anda untuk mengontrol apakah mereka dapat dibagikan secara publik. Anda dapat mengaktifkan, menonaktifkan, atau melihat status akses publik blokir saat ini untuk AMI Anda menggunakan konsol Amazon EC2 atau. AWS CLI
## Lihat status blokir akses publik untuk AMIs
Untuk melihat apakah pembagian publik Anda AMIs diblokir di akun Anda, Anda dapat melihat status untuk memblokir akses publik AMIs. Anda harus melihat status Wilayah AWS di masing-masing tempat Anda ingin melihat apakah berbagi publik Anda AMIs diblokir.
**Izin yang diperlukan**
Untuk mendapatkan pengaturan akses publik blok saat ini AMIs, Anda harus memiliki izin `GetImageBlockPublicAccessState` IAM.
------
#### [ Console ]
**Untuk melihat status blokir akses publik AMIs di Wilayah yang ditentukan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dari bilah navigasi (di bagian atas layar), pilih Wilayah tempat untuk melihat status akses publik blok AMIs.
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Perlindungan dan keamanan data**.
1. Di bawah **Blokir akses publik untuk AMIs**, periksa bidang **Akses publik**. Nilainya adalah **Berbagi publik baru diblokir** atau **Berbagi publik baru diizinkan**.
------
#### [ AWS CLI ]
**Untuk mendapatkan status akses publik blok untuk AMIs**
Gunakan perintah [get-image-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-block-public-access-state.html). Nilainya adalah `block-new-sharing` atau `unblocked`.
**Contoh: Untuk Wilayah tertentu**
```
aws ec2 get-image-block-public-access-state --region us-east-1
```
`ManagedBy`Bidang menunjukkan entitas yang mengkonfigurasi pengaturan. Dalam contoh ini, `account` menunjukkan bahwa pengaturan dikonfigurasi langsung di akun. Nilai `declarative-policy` berarti pengaturan dikonfigurasi oleh kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *Panduan AWS Organizations Pengguna*.
```
{
"ImageBlockPublicAccessState": "block-new-sharing",
"ManagedBy": "account"
}
```
**Contoh: Untuk semua Wilayah di akun Anda**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 get-image-block-public-access-state \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Berikut ini adalah output contoh.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 unblocked
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Untuk mendapatkan status akses publik blok untuk AMIs**
Gunakan [Get-EC2ImageBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageBlockPublicAccessState.html)cmdlet. Nilainya adalah `block-new-sharing` atau `unblocked`.
**Contoh: Untuk Wilayah tertentu**
```
Get-EC2ImageBlockPublicAccessState -Region us-east-1
```
Berikut ini adalah output contoh.
```
block-new-sharing
```
**Contoh: Untuk semua Wilayah di akun Anda**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Get-EC2ImageBlockPublicAccessState -Region $_)
}
} | `
Format-Table -AutoSize
```
Berikut ini adalah output contoh.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
## Aktifkan blokir akses publik untuk AMIs
Untuk mencegah pembagian publik Anda AMIs, aktifkan blokir akses publik AMIs di tingkat akun. Anda harus mengaktifkan blokir akses publik untuk masing-masing AMIs Wilayah AWS di mana Anda ingin mencegah berbagi publik Anda AMIs. Jika Anda sudah memiliki publik AMIs, mereka akan tetap tersedia untuk umum.
**Izin yang diperlukan**
Untuk mengaktifkan pengaturan blokir akses publik AMIs, Anda harus memiliki izin `EnableImageBlockPublicAccess` IAM.
**Pertimbangan-pertimbangan**
+ Diperlukan waktu hingga 10 menit untuk mengonfigurasi pengaturan ini. Selama waktu ini, jika Anda menggambarkan status akses publik, responsnya adalah`unblocked`. Ketika konfigurasi selesai, responsnya adalah`block-new-sharing`.
------
#### [ Console ]
**Untuk mengaktifkan blokir akses publik AMIs di Wilayah yang ditentukan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dari bilah navigasi (di bagian atas layar), pilih Wilayah tempat mengaktifkan blokir akses publik AMIs.
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Perlindungan dan keamanan data**.
1. Di bawah **Blokir akses publik untuk AMIs**, pilih **Kelola**.
1. Pilih kotak centang **Blokir berbagi publik baru**, lalu pilih **Perbarui**.
------
#### [ AWS CLI ]
**Untuk mengaktifkan blokir akses publik untuk AMIs**
Gunakan perintah [enable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-block-public-access.html).
**Contoh: Untuk Wilayah tertentu**
```
aws ec2 enable-image-block-public-access \
--region us-east-1 \
--image-block-public-access-state block-new-sharing
```
Berikut ini adalah output contoh.
```
{
"ImageBlockPublicAccessState": "block-new-sharing"
}
```
**Contoh: Untuk semua Wilayah di akun Anda**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 enable-image-block-public-access \
--region $region \
--image-block-public-access-state block-new-sharing \
--output text)
echo -e "$region \t $output"
);
done
```
Berikut ini adalah output contoh.
```
Region Public Access State
-------------- ----------------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
#### [ PowerShell ]
**Untuk mengaktifkan blokir akses publik untuk AMIs**
Gunakan perintah [Enable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageBlockPublicAccess.html).
**Contoh: Untuk Wilayah tertentu**
```
Enable-EC2ImageBlockPublicAccess `
-Region us-east-1 `
-ImageBlockPublicAccessState block-new-sharing
```
Berikut ini adalah output contoh.
```
Value
-----
block-new-sharing
```
**Contoh: Untuk semua Wilayah di akun Anda**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (
Enable-EC2ImageBlockPublicAccess `
-Region $_ `
-ImageBlockPublicAccessState block-new-sharing)
}
} | `
Format-Table -AutoSize
```
Berikut ini adalah output contoh.
```
Region PublicAccessState
------ -----------------
ap-south-1 block-new-sharing
eu-north-1 block-new-sharing
eu-west-3 block-new-sharing
...
```
------
## Nonaktifkan blokir akses publik untuk AMIs
Untuk memungkinkan pengguna di akun Anda berbagi secara publik AMIs, nonaktifkan blokir akses publik di tingkat akun. Anda harus menonaktifkan blokir akses publik untuk masing-masing AMIs Wilayah AWS di mana Anda ingin mengizinkan berbagi publik AndaAMIs.
**Izin yang diperlukan**
Untuk menonaktifkan pengaturan blokir akses publik AMIs, Anda harus memiliki izin `DisableImageBlockPublicAccess` IAM.
**Pertimbangan-pertimbangan**
+ Diperlukan waktu hingga 10 menit untuk mengonfigurasi pengaturan ini. Selama waktu ini, jika Anda menggambarkan status akses publik, responsnya adalah`block-new-sharing`. Ketika konfigurasi selesai, responsnya adalah`unblocked`.
------
#### [ Console ]
**Untuk menonaktifkan blokir akses publik untuk AMIs di Wilayah yang ditentukan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Dari bilah navigasi (di bagian atas layar), pilih Wilayah tempat menonaktifkan blokir akses publik AMIs.
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Perlindungan dan keamanan data**.
1. Di bawah **Blokir akses publik untuk AMIs**, pilih **Kelola**.
1. Kosongkan kotak centang **Blokir berbagi publik baru**, lalu pilih **Perbarui**.
1. Masukkan **confirm** saat diminta konfirmasi, lalu pilih **Izinkan berbagi publik**.
------
#### [ AWS CLI ]
**Untuk menonaktifkan blokir akses publik untuk AMIs**
Gunakan perintah [disable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-block-public-access.html).
**Contoh: Untuk Wilayah tertentu**
```
aws ec2 disable-image-block-public-access --region us-east-1
```
Berikut ini adalah output contoh.
```
{
"ImageBlockPublicAccessState": "unblocked"
}
```
**Contoh: Untuk semua Wilayah di akun Anda**
```
echo -e "Region \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
aws ec2 describe-regions \
--region us-east-1 \
--query "Regions[*].[RegionName]" \
--output text
);
do (output=$(
aws ec2 disable-image-block-public-access \
--region $region \
--output text)
echo -e "$region \t $output"
);
done
```
Berikut ini adalah output contoh.
```
Region Public Access State
-------------- ----------------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
#### [ PowerShell ]
**Untuk menonaktifkan blokir akses publik untuk AMIs**
Gunakan [Disable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageBlockPublicAccess.html)cmdlet.
**Contoh: Untuk Wilayah tertentu**
```
Disable-EC2ImageBlockPublicAccess -Region us-east-1
```
Berikut ini adalah output contoh.
```
Value
-----
unblocked
```
**Contoh: Untuk semua Wilayah di akun Anda**
```
(Get-EC2Region).RegionName | `
ForEach-Object {
[PSCustomObject]@{
Region = $_
PublicAccessState = (Disable-EC2ImageBlockPublicAccess -Region $_)
}
} | `
Format-Table -AutoSize
```
Berikut ini adalah output contoh.
```
Region PublicAccessState
------ -----------------
ap-south-1 unblocked
eu-north-1 unblocked
eu-west-3 unblocked
...
```
------
# Bagikan AMI dengan organisasi dan unit organisasi
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)adalah layanan manajemen akun yang memungkinkan Anda untuk mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Anda dapat berbagi AMI dengan organisasi atau unit organisasi (OU) yang telah Anda buat, selain [membagikannya dengan akun tertentu](sharingamis-explicit.md).
Organisasi adalah entitas yang Anda buat untuk mengkonsolidasikan dan mengelola Akun AWS Anda secara terpusat. Anda dapat mengorganisasi akun dalam struktur hierarkis seperti pohon, dengan [root](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) di bagian atas dan [unit-unit organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) bersarang di bawah root organisasi. Setiap akun dapat ditambahkan langsung ke root, atau ditempatkan di salah satu OUs dalam hierarki. Untuk informasi selengkapnya, lihat [Terminologi dan konsep organisasi AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) di *Panduan Pengguna AWS Organizations *.
Saat Anda berbagi AMI dengan organisasi atau OU, semua akun turunan mendapatkan akses ke AMI. Misalnya, dalam diagram berikut, AMI dibagikan dengan OU tingkat atas (ditunjukkan oleh panah pada angka **1**). Semua OUs dan akun yang bersarang di bawah OU tingkat atas itu (ditunjukkan oleh garis putus-putus di nomor **2**) juga memiliki akses ke AMI. Akun di organisasi dan OU di luar garis putus-putus (ditunjukkan oleh angka **3**) tidak memiliki akses ke AMI karena mereka bukan turunan dari OU yang dibagikan AMI.
![\[AMI dibagikan dengan OU, dan semua anak OUs dan akun mendapatkan akses ke AMI.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png)
**Topics**
+ [
## Pertimbangan-pertimbangan
](#considerations-org-ou)
+ [
# Dapatkan ARN dari organisasi atau unit organisasi
](get-org-ou-ARN.md)
+ [
# Izinkan organisasi dan OUs menggunakan kunci KMS
](allow-org-ou-to-use-key.md)
+ [
# Kelola berbagi AMI dengan organisasi atau OU
](share-amis-org-ou-manage.md)
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat berbagi AMIs dengan organisasi atau unit organisasi tertentu.
+ **Kepemilikan** – Untuk berbagi AMI, Akun AWS Anda harus merupakan pemilik AMI.
+ **Batas berbagi** — Pemilik AMI dapat berbagi AMI dengan organisasi atau OU mana pun, termasuk organisasi dan OUs bahwa mereka bukan anggotanya.
Untuk jumlah maksimum entitas yang dapat dibagikan AMI dalam satu Wilayah, lihat [Kuota layanan Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tag** – Anda tidak dapat membagikan tag buatan pengguna (tag yang Anda lampirkan ke AMI). Saat Anda membagikan AMI, tag yang ditentukan pengguna tidak tersedia untuk organisasi atau OU mana pun Akun AWS yang dengannya AMI dibagikan.
+ **Format ARN** – Saat Anda menentukan organisasi atau OU dalam sebuah perintah, pastikan menggunakan format ARN yang benar. Anda akan mendapatkan kesalahan jika Anda hanya menentukan ID, misalnya, jika Anda hanya menentukan `o-123example` atau `ou-1234-5example`.
Format ARN yang benar:
+ ARN Organisasi: `arn:aws:organizations::111122223333:organization/organization-id`
+ ARN OU: `arn:aws:organizations::111122223333:ou/organization-id/ou-id`
Di mana:
+ *`111122223333`*adalah contoh ID akun 12 digit untuk akun manajemen. Jika Anda tidak tahu nomor akun manajemen, Anda dapat menjelaskan organisasi atau unit organisasi untuk mendapatkan ARN, yang mencakup nomor akun manajemen. Untuk informasi selengkapnya, lihat [Dapatkan ARN dari organisasi atau unit organisasi](get-org-ou-ARN.md).
+ *`organization-id`* adalah ID organisasi, misalnya, `o-123example`.
+ *`ou-id`* adalah ID unit organisasi, misalnya, `ou-1234-5example`.
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) di *Panduan Pengguna IAM*.
+ **Enkripsi dan kunci** — Anda dapat berbagi AMIs yang didukung oleh snapshot yang tidak terenkripsi dan terenkripsi.
+ Snapshot terenkripsi harus dienkripsi dengan kunci yang dikelola pelanggan. Anda tidak dapat berbagi AMIs yang didukung oleh snapshot yang dienkripsi dengan kunci terkelola default AWS .
+ Jika Anda membagikan AMI yang didukung oleh snapshot terenkripsi, Anda harus mengizinkan organisasi atau OUs menggunakan kunci terkelola pelanggan yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat [Izinkan organisasi dan OUs menggunakan kunci KMS](allow-org-ou-to-use-key.md).
+ **Wilayah** — AMIs adalah sumber daya Regional. Saat Anda membagikan AMI, AMI hanya tersedia di Wilayah tempat Anda membagikannya. Agar AMI tersedia di Wilayah yang berbeda, salin AMI ke Wilayah, lalu bagikan. Untuk informasi selengkapnya, lihat [Salin Amazon EC2 AMI](CopyingAMIs.md).
+ **Penggunaan** – Saat Anda membagikan AMI, pengguna hanya dapat meluncurkan instans dari AMI tersebut. Mereka tidak dapat menghapus, berbagi, atau memodifikasinya. Namun, setelah mereka meluncurkan instans menggunakan AMI Anda, mereka dapat membuat AMI dari instans yang mereka luncurkan.
+ **Penagihan** — Anda tidak ditagih ketika AMI Anda digunakan oleh orang lain Akun AWS untuk meluncurkan instans. Akun yang meluncurkan instans menggunakan AMI akan dikenai biaya untuk instans yang diluncurkan.
# Dapatkan ARN dari organisasi atau unit organisasi
Organisasi dan unit organisasi ARNs berisi nomor akun manajemen 12 digit. Jika Anda tidak tahu nomor akun manajemen, Anda dapat menjelaskan organisasi atau unit organisasi untuk mendapatkan ARN untuk keduanya. Dalam contoh berikut, `123456789012` adalah ID akun dari akun manajemen.
**Izin yang diperlukan**
Sebelum Anda bisa mendapatkan ARNs, Anda harus memiliki izin untuk menggambarkan organisasi dan unit organisasi. Kebijakan berikut ini memberikan izin yang diperlukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:Describe*"
],
"Resource": "*"
}
]
}
```
------
------
#### [ AWS CLI ]
**Untuk mendapatkan ARN suatu organisasi**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Tambahkan `--query` opsi untuk mengembalikan hanya ARN organisasi.
```
aws organizations describe-organization --query 'Organization.Arn'
```
Berikut ini adalah output contoh.
```
"arn:aws:organizations::123456789012:organization/o-1234567abc"
```
**Untuk mendapatkan ARN unit organisasi**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Gunakan `--query` parameter untuk mengembalikan hanya unit organisasi ARN.
```
aws organizations describe-organizational-unit \
--organizational-unit-id ou-a123-b4567890 \
--query 'OrganizationalUnit.Arn'
```
Berikut ini adalah output contoh.
```
"arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890"
```
------
#### [ PowerShell ]
**Untuk mendapatkan ARN suatu organisasi**
Gunakan [Get- ORGOrganization](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html) cmdlet.
```
(Get-ORGOrganization).Arn
```
Berikut ini adalah output contoh.
```
arn:aws:organizations::123456789012:organization/o-1234567abc
```
**Untuk mendapatkan ARN unit organisasi**
Gunakan cmdlet [Get- ORGOrganizational Unit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html).
```
(Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn
```
Berikut ini adalah output contoh.
```
arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890
```
------
# Izinkan organisasi dan OUs menggunakan kunci KMS
Jika Anda berbagi AMI yang didukung oleh snapshot terenkripsi, Anda juga harus mengizinkan organisasi atau unit organisasi (OUs) untuk menggunakan kunci KMS yang digunakan untuk mengenkripsi snapshot.
**catatan**
*Snapshot terenkripsi harus dienkripsi dengan kunci yang dikelola pelanggan.* Anda tidak dapat berbagi AMIs yang didukung oleh snapshot yang dienkripsi dengan kunci terkelola default AWS .
Untuk mengontrol akses ke kunci KMS, dalam [kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Anda dapat menggunakan kunci [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid)dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths)kondisi untuk mengizinkan hanya izin prinsipal tertentu untuk tindakan yang ditentukan. Prinsipal dapat berupa pengguna, peran IAM, pengguna federasi, atau pengguna Akun AWS root.
Kunci kondisi digunakan sebagai berikut:
+ `aws:PrincipalOrgID`— Memungkinkan setiap prinsipal milik organisasi yang diwakili oleh ID yang ditentukan.
+ `aws:PrincipalOrgPaths`— Memungkinkan setiap prinsipal milik yang OUs diwakili oleh jalur yang ditentukan.
Untuk memberikan izin kepada organisasi (termasuk OUs dan akun miliknya) untuk menggunakan kunci KMS, tambahkan pernyataan berikut ke kebijakan kunci.
```
{
"Sid": "Allow access for organization root",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
}
}
}
```
Untuk memberikan izin khusus OUs (dan akun miliknya) untuk menggunakan kunci KMS, Anda dapat menggunakan kebijakan yang mirip dengan contoh berikut.
```
{
"Sid": "Allow access for specific OUs and their descendants",
"Effect": "Allow",
"Principal": "*",
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123example"
},
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-123example/r-ab12/ou-ab12-33333333/*",
"o-123example/r-ab12/ou-ab12-22222222/*"
]
}
}
}
```
Untuk contoh pernyataan kondisi lainnya, lihat [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) di *Panduan Pengguna IAM*.
Untuk informasi tentang akses lintas akun, lihat [Mengizinkan pengguna di akun lain menggunakan kunci KMS di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) *Pengembang*.
# Kelola berbagi AMI dengan organisasi atau OU
Anda dapat mengelola berbagi AMI dengan organisasi dan unit organisasi (OU) untuk mengontrol apakah mereka dapat meluncurkan instans Amazon EC2.
## Lihat organisasi dan OUs dengan mana AMI dibagikan
Anda dapat menemukan organisasi dan OUs dengan mana Anda telah berbagi AMI Anda.
------
#### [ Console ]
**Untuk memeriksa dengan organisasi mana dan OUs Anda telah membagikan AMI Anda**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI Anda dalam daftar, pilih tab **Izin**, dan gulir ke bawah ke **Organisasi OUs bersama/**.
Untuk menemukan AMIs yang dibagikan dengan Anda, lihat[Temukan AMI bersama untuk digunakan untuk instans Amazon EC2](usingsharedamis-finding.md).
------
#### [ AWS CLI ]
**Untuk memeriksa dengan organisasi mana dan OUs Anda telah membagikan AMI Anda**
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html)perintah dengan `launchPermission` atribut.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
Berikut ini adalah contoh respons.
```
{
"ImageId": "ami-0abcdef1234567890",
"LaunchPermissions": [
{
"OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
}
]
}
```
------
#### [ PowerShell ]
**Untuk memeriksa dengan organisasi mana dan OUs Anda telah membagikan AMI Anda**
Gunakan [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)cmdlet.
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
## Berbagi AMI dengan organisasi atau OU
Anda dapat berbagi AMI dengan organisasi atau OU.
**catatan**
Anda tidak perlu membagikan snapshot Amazon EBS yang dirujuk oleh AMI untuk membagikan AMI. Hanya AMI itu sendiri yang perlu dibagikan, dan sistem secara otomatis menyediakan instance dengan akses ke snapshot EBS yang direferensikan untuk peluncuran. Namun, Anda perlu berbagi kunci KMS yang digunakan untuk mengenkripsi snapshot yang ditunjuk oleh AMI. Untuk informasi selengkapnya, lihat [Izinkan organisasi dan OUs menggunakan kunci KMS](allow-org-ou-to-use-key.md).
------
#### [ Console ]
**Untuk berbagi AMI dengan organisasi atau OU**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI Anda dalam daftar, lalu pilih **Tindakan**, **Ubah izin AMI**.
1. Di bawah **Ketersediaan AMI**, pilih **Privat**.
1. **Di samping **Organisasi bersama/OUs**, pilih Tambahkan ARN. organization/OU **
1. Untuk **ARN Organisasi/OU**, masukkan ARN organisasi atau ARN OU di mana Anda ingin berbagi AMI, lalu pilih **Bagikan AMI**. Perhatikan bahwa Anda harus menentukan ARN lengkap, bukan hanya ID-nya.
Untuk berbagi AMI ini dengan beberapa organisasi atau OUs, ulangi langkah ini sampai Anda telah menambahkan semua organisasi yang diperlukan atau OUs.
1. Setelah selesai, pilih **Simpan perubahan**.
1. (Opsional) Untuk melihat organisasi atau OUs yang telah Anda bagikan AMI, pilih AMI dalam daftar, pilih tab **Izin**, dan gulir ke bawah ke **Organisasi OUs bersama/**. Untuk menemukan AMIs yang dibagikan dengan Anda, lihat[Temukan AMI bersama untuk digunakan untuk instans Amazon EC2](usingsharedamis-finding.md).
------
#### [ AWS CLI ]
**Untuk berbagi AMI dengan organisasi**
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)perintah untuk memberikan izin peluncuran untuk AMI yang ditentukan ke organisasi yang ditentukan.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```
**Untuk berbagi AMI dengan OU**
[modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)Perintah memberikan izin peluncuran untuk AMI yang ditentukan ke OU yang ditentukan. Perhatikan bahwa Anda harus menentukan ARN lengkap, bukan hanya ID-nya.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
```
------
#### [ PowerShell ]
Gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)perintah (Alat untuk Windows PowerShell) untuk berbagi AMI seperti yang ditunjukkan pada contoh berikut.
**Untuk berbagi AMI dengan organisasi atau OU**
Perintah berikut memberikan izin peluncuran untuk AMI yang ditentukan ke organisasi tertentu.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Untuk berhenti berbagi AMI dengan organisasi atau OU**
Perintah berikut menghapus izin peluncuran untuk AMI yang ditentukan dari organisasi tertentu:
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Untuk berhenti berbagi AMI dengan semua organisasi, OUs, dan Akun AWS**
Perintah berikut ini menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
## Berhenti berbagi AMI dengan organisasi atau OU
Anda dapat berhenti berbagi AMI dengan organisasi atau OU.
**catatan**
Anda tidak dapat berhenti berbagi AMI dengan akun tertentu jika akun tersebut berada di organisasi atau OU yang dengannya AMI dibagikan. Jika Anda mencoba untuk berhenti berbagi AMI dengan menghapus izin peluncuran untuk akun tersebut, Amazon EC2 akan menampilkan pesan sukses. Namun, AMI terus dibagikan dengan akun tersebut.
------
#### [ Console ]
**Untuk berhenti berbagi AMI dengan organisasi atau OU**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI Anda dalam daftar, lalu pilih **Tindakan**, **Ubah izin AMI**.
1. **Di bawah **Organisasi bersama/ OUs**, pilih organisasi atau OUs yang ingin Anda hentikan berbagi AMI, lalu pilih Hapus yang dipilih.**
1. Setelah selesai, pilih **Simpan perubahan**.
1. (Opsional) Untuk mengonfirmasi bahwa Anda telah berhenti membagikan AMI dengan organisasi atauOUs, pilih AMI dalam daftar, pilih tab **Izin**, dan gulir ke bawah ke **Organisasi OUs bersama/**.
------
#### [ AWS CLI ]
**Untuk berhenti berbagi AMI dengan organisasi atau OU**
Gunakan perintah [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). Contoh ini menghapus izin peluncuran untuk AMI yang ditentukan dari organisasi yang ditentukan.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```
**Untuk berhenti berbagi AMI dengan semua organisasi, OUs, dan Akun AWS**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). Contoh ini menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
------
#### [ PowerShell ]
**Untuk berhenti berbagi AMI dengan organisasi atau OU**
Gunakan [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)cmdlet. Contoh ini menghapus izin peluncuran untuk AMI yang ditentukan dari organisasi yang ditentukan.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType remove `
-OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```
**Untuk berhenti berbagi AMI dengan semua organisasi, OUs, dan Akun AWS**
Gunakan [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html)cmdlet. Contoh ini menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute LaunchPermission
```
------
# Bagikan AMI dengan AWS akun tertentu
Anda dapat berbagi AMI dengan spesifik Akun AWS tanpa membuat AMI publik. Yang Anda butuhkan adalah Akun AWS IDs.
Akun AWS ID adalah angka 12 digit, seperti`012345678901`, yang secara unik mengidentifikasi sebuah. Akun AWS Untuk informasi selengkapnya, lihat [Melihat Akun AWS pengenal](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) di *Panduan AWS Account Management Referensi*.
## Pertimbangan-pertimbangan
Pertimbangkan hal berikut saat berbagi AMIs dengan spesifik Akun AWS.
+ **Kepemilikan** – Untuk berbagi AMI, Akun AWS Anda harus merupakan pemilik AMI.
+ **Batas berbagi** – Untuk jumlah maksimum entitas yang dapat digunakan bersama AMI dalam suatu Wilayah, lihat [kuota layanan Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tag** – Anda tidak dapat membagikan tag buatan pengguna (tag yang Anda lampirkan ke AMI). Saat Anda membagikan AMI, tag yang ditentukan pengguna tidak tersedia untuk semua Akun AWS yang digunakan bersama AMI.
+ **Snapshots** — Anda tidak perlu membagikan snapshot Amazon EBS yang direferensikan AMI untuk membagikan AMI. Anda hanya dapat membagikan AMI itu sendiri; sistem menyediakan akses instans ke snapshot EBS yang direferensikan untuk peluncuran. Namun, Anda harus membagikan kunci KMS apa pun yang digunakan untuk mengenkripsi snapshot yang direferensikan AMI. Untuk informasi selengkapnya, lihat [Membagikan snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) di Panduan Pengguna *Amazon EBS*.
+ **Enkripsi dan kunci** — Anda dapat berbagi AMIs yang didukung oleh snapshot yang tidak terenkripsi dan terenkripsi.
+ Snapshot terenkripsi harus dienkripsi dengan kunci KMS. Anda tidak dapat berbagi AMIs yang didukung oleh snapshot yang dienkripsi dengan kunci terkelola default AWS .
+ Jika Anda berbagi AMI yang didukung oleh snapshot terenkripsi, Anda harus mengizinkan Akun AWS untuk menggunakan kunci KMS yang digunakan untuk mengenkripsi snapshot. Untuk informasi selengkapnya, lihat [Izinkan organisasi dan OUs menggunakan kunci KMS](allow-org-ou-to-use-key.md). Untuk menyiapkan kebijakan utama yang Anda perlukan untuk meluncurkan instans Auto Scaling saat menggunakan kunci terkelola pelanggan untuk enkripsi, lihat [AWS KMS key Kebijakan yang diperlukan untuk digunakan dengan volume terenkripsi](https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html) di Panduan Pengguna Amazon EC2 Auto *Scaling*.
+ **Wilayah** — AMIs adalah sumber daya Regional. Saat Anda membagikan AMI, AMI hanya tersedia di Wilayah tersebut. Agar AMI tersedia di Wilayah yang berbeda, salin AMI ke Wilayah, lalu bagikan. Untuk informasi selengkapnya, lihat [Salin Amazon EC2 AMI](CopyingAMIs.md).
+ **Penggunaan** – Saat Anda membagikan AMI, pengguna hanya dapat meluncurkan instans dari AMI tersebut. Mereka tidak dapat menghapus, berbagi, atau memodifikasinya. Namun, setelah mereka meluncurkan instans menggunakan AMI Anda, mereka akan dapat membuat AMI dari instans mereka.
+ **Menyalin bersama AMIs** — Jika pengguna di akun lain ingin menyalin AMI bersama, Anda harus memberi mereka izin baca untuk penyimpanan yang mendukung AMI. Untuk informasi selengkapnya, lihat [Penyalinan lintas akun](how-ami-copy-works.md#copy-ami-across-accounts).
+ **Penagihan** — Anda tidak ditagih ketika AMI Anda digunakan oleh orang lain Akun AWS untuk meluncurkan instans. Akun yang meluncurkan instans menggunakan AMI akan dikenai biaya untuk instans yang diluncurkan.
------
#### [ Console ]
**Untuk memberikan izin peluncuran eksplisit**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI Anda dalam daftar, lalu pilih **Tindakan**, **Ubah izin AMI**.
1. Pilih **Privat**.
1. Di bawah **Akun bersama**, pilih **Tambahkan ID akun**.
1. Untuk **Akun AWS ID**, masukkan Akun AWS ID yang ingin Anda bagikan AMI, lalu pilih **Bagikan AMI**.
Untuk membagikan AMI ini dengan beberapa akun, ulangi Langkah 5 dan 6 hingga Anda telah menambahkan semua akun yang diperlukan IDs.
1. Setelah selesai, pilih **Simpan perubahan**.
1. (Opsional) Untuk melihat AMI yang telah Anda bagikan, pilih AMI dalam daftar, dan pilih tab **Izin**. Akun AWS IDs Untuk menemukan AMIs yang dibagikan dengan Anda, lihat[Temukan AMI bersama untuk digunakan untuk instans Amazon EC2](usingsharedamis-finding.md).
------
#### [ AWS CLI ]
Gunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)perintah untuk berbagi AMI seperti yang ditunjukkan pada contoh berikut.
**Untuk memberikan izin peluncuran eksplisit**
Contoh berikut memberikan izin peluncuran untuk AMI yang ditentukan ke yang ditentukan. Akun AWS
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{UserId=123456789012}]"
```
**Untuk menghapus izin peluncuran bagi sebuah akun**
Contoh berikut menghapus izin peluncuran untuk AMI yang ditentukan dari yang ditentukan Akun AWS.
```
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{UserId=123456789012}]"
```
**Untuk menghapus semua izin peluncuran**
Contoh berikut menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
```
------
#### [ PowerShell ]
Gunakan [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)perintah (Alat untuk Windows PowerShell) untuk berbagi AMI seperti yang ditunjukkan pada contoh berikut.
**Untuk memberikan izin peluncuran eksplisit**
Contoh berikut memberikan izin peluncuran untuk AMI yang ditentukan ke yang ditentukan. Akun AWS
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission `
-OperationType add `
-UserId "123456789012"
```
**Untuk menghapus izin peluncuran bagi sebuah akun**
Contoh berikut menghapus izin peluncuran untuk AMI yang ditentukan dari yang ditentukan Akun AWS.
```
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission -OperationType remove `
-UserId "123456789012"
```
**Untuk menghapus semua izin peluncuran**
Exaple berikut menghapus semua izin peluncuran publik dan eksplisit dari AMI yang ditentukan. Perhatikan bahwa pemilik AMI selalu memiliki izin peluncuran sehingga tidak terpengaruh oleh perintah ini.
```
Reset-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute launchPermission
```
------
# Batalkan memiliki AMI yang dibagikan dengan Anda Akun AWS
Amazon Machine Image (AMI) dapat [dibagikan dengan Akun AWS spesifik](sharingamis-explicit.md) dengan menambahkan akun ke izin peluncuran AMI. Jika AMI telah dibagikan dengan Anda Akun AWS dan Anda tidak ingin lagi dibagikan dengan akun Anda, Anda dapat menghapus akun Anda dari izin peluncuran AMI. Anda melakukan ini dengan menjalankan `cancel-image-launch-permission` AWS CLI perintah. Saat menjalankan perintah ini, Anda akan Akun AWS dihapus dari izin peluncuran untuk AMI yang ditentukan. Untuk menemukan AMIs yang dibagikan dengan Anda Akun AWS, lihat[Temukan AMI bersama untuk digunakan untuk instans Amazon EC2](usingsharedamis-finding.md).
Anda dapat membatalkan AMI dibagikan dengan akun Anda, misalnya, untuk mengurangi kemungkinan peluncuran instans dengan AMI yang tidak digunakan atau sudah usang yang dibagikan kepada Anda. Saat Anda membatalkan AMI yang dibagikan dengan akun Anda, AMI tidak lagi muncul di daftar AMI apa pun di konsol EC2 atau output [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
**Topics**
+ [
## Batasan
](#cancel-sharing-an-AMI-limitations)
+ [
## Membatalkan berbagi AMI dengan akun Anda
](#cancel-image-launch-permission)
## Batasan
+ Anda dapat menghapus akun Anda dari izin peluncuran AMI yang dibagikan Akun AWS hanya dengan Anda. Anda tidak dapat menggunakan `cancel-image-launch-permission` untuk menghapus akun Anda dari izin peluncuran [AMI yang dibagikan dengan organisasi atau unit organisasi (OU)](share-amis-with-organizations-and-OUs.md) atau untuk menghapus akses ke publik AMIs.
+ Anda tidak dapat menghapus akun secara permanen dari izin peluncuran AMI. Pemilik AMI dapat membagikan AMI kepada akun Anda lagi.
+ AMIs adalah sumber daya regional. Saat menjalankan `cancel-image-launch-permission`, Anda harus menentukan Wilayah tempat AMI berada. Entah menentukan Region dalam perintah, atau menggunakan [variabel AWS\$1DEFAULT\$1REGION lingkungan](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).
+ Hanya SDK AWS CLI dan SDK yang mendukung penghapusan akun Anda dari izin peluncuran AMI. Konsol EC2 sekarang tidak mendukung tindakan ini.
## Membatalkan berbagi AMI dengan akun Anda
**catatan**
Setelah membatalkan AMI yang dibagikan dengan akun Anda, Anda tidak dapat mengembalikannya. Untuk mendapatkan kembali akses ke AMI, pemilik AMI harus membagikannya dengan akun Anda.
------
#### [ AWS CLI ]
**Untuk membatalkan AMI yang dibagikan dengan akun Anda**
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html).
```
aws ec2 cancel-image-launch-permission \
--image-id ami-0abcdef1234567890 \
--region us-east-1
```
------
#### [ PowerShell ]
**Untuk membatalkan AMI yang dibagikan dengan akun Anda**
Gunakan [https://docs.aws.amazon.com/powershell/latest/reference/index.html](https://docs.aws.amazon.com/powershell/latest/reference/index.html)cmdlet.
```
Stop-EC2ImageLaunchPermission `
-ImageId ami-0abcdef1234567890 `
-Region us-east-1
```
------
# Rekomendasi untuk membuat Linux bersama AMIs
Gunakan panduan berikut untuk mengurangi permukaan serangan dan meningkatkan keandalan yang AMIs Anda buat.
**penting**
Tidak ada daftar pedoman keamanan yang lengkap. Bangun AMIs bersama Anda dengan cermat dan luangkan waktu untuk mempertimbangkan di mana Anda data sensitif Anda terekspos.
**Topics**
+ [
## Nonaktifkan login jarak jauh berbasis kata sandi untuk pengguna root
](#public-amis-disable-password-logins-for-root)
+ [
## Nonaktifkan akses root lokal
](#restrict-root-access)
+ [
## Hapus pasangan kunci host SSH
](#remove-ssh-host-key-pairs)
+ [
## Instal kredensial kunci publik
](#public-amis-install-credentials)
+ [
## Nonaktifkan pemeriksaan DNS sshd (opsional)
](#public-amis-disable-ssh-dns-lookups)
+ [
## Hapus data sensitif
](#public-amis-protect-yourself)
Jika Anda membangun AMIs AWS Marketplace, lihat [Praktik terbaik untuk membangun AMIs](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html) di *Panduan AWS Marketplace Penjual* untuk pedoman, kebijakan, dan praktik terbaik.
## Nonaktifkan login jarak jauh berbasis kata sandi untuk pengguna root
Menggunakan kata sandi root tetap untuk AMI publik adalah risiko keamanan yang segera diketahui. Bahkan mengandalkan pengguna untuk mengubah kata sandi setelah masuk pertama membuka jendela kesempatan kecil potensi penyalahgunaan.
Untuk mengatasi masalah ini, nonaktifkan masuk jarak jauh berbasis kata sandi untuk pengguna root.
**Untuk menonaktifkan login jarak jauh berbasis kata sandi untuk pengguna root**
1. Buka file `/etc/ssh/sshd_config` dengan teks editor dan temukan baris berikut:
```
#PermitRootLogin yes
```
1. Ubah baris menjadi:
```
PermitRootLogin without-password
```
Lokasi file konfigurasi ini mungkin berbeda untuk distribusi Anda, atau jika Anda tidak menjalankan OpenSSH. Jika demikian, berkonsultasilah dengan dokumentasi yang relevan.
## Nonaktifkan akses root lokal
Saat Anda bekerja dengan shared AMIs, praktik terbaik adalah menonaktifkan login root langsung. Caranya, masuk ke instans yang sedang berjalan dan keluarkan perintah berikut:
```
[ec2-user ~]$ sudo passwd -l root
```
**catatan**
Perintah ini tidak memengaruhi penggunaan `sudo`.
## Hapus pasangan kunci host SSH
Jika Anda berencana untuk berbagi AMI yang berasal dari AMI publik, hapus pasangan kunci host SSH yang ada terletak di `/etc/ssh`. Ini memaksa SSH untuk menghasilkan pasangan kunci SSH unik baru ketika seseorang meluncurkan instance menggunakan AMI Anda, meningkatkan keamanan dan mengurangi kemungkinan "" man-in-the-middle serangan.
Hapus semua file kunci berikut yang ada di sistem Anda.
+ ssh\$1host\$1dsa\$1key
+ ssh\$1host\$1dsa\$1key.pub
+ ssh\$1host\$1key
+ ssh\$1host\$1key.pub
+ ssh\$1host\$1rsa\$1key
+ ssh\$1host\$1rsa\$1key.pub
+ ssh\$1host\$1ecdsa\$1key
+ ssh\$1host\$1ecdsa\$1key.pub
+ ssh\$1host\$1ed25519\$1key
+ ssh\$1host\$1ed25519\$1key.pub
Anda dapat menghapus semua file ini dengan aman dengan perintah berikut.
```
[ec2-user ~]$ sudo shred -u /etc/ssh/*_key /etc/ssh/*_key.pub
```
**Awas**
Utilitas penghapusan aman seperti **shred** mungkin tidak menghapus semua salinan file dari media penyimpanan Anda. Salinan file tersembunyi dapat dibuat dengan penjurnalan sistem file (termasuk Amazon Linux default ext4), snapshot, pencadangan, RAID, dan cache sementara. Untuk informasi lebih lanjut, lihat [dokumentasi yang rusak](https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html).
**penting**
Jika Anda lupa menghapus pasangan kunci host SSH yang ada dari AMI publik, proses audit rutin kami memberi tahu Anda dan semua pelanggan yang menjalankan instans AMI Anda tentang potensi risiko keamanan. Setelah masa tenggang singkat, kami menandai AMI sebagai privat.
## Instal kredensial kunci publik
Setelah mengonfigurasi AMI untuk mencegah masuk menggunakan kata sandi, Anda harus memastikan pengguna dapat masuk menggunakan mekanisme lain.
Amazon EC2 memungkinkan pengguna untuk menentukan nama pasangan kunci publik-privat saat meluncurkan sebuah instans. Saat nama pasangan kunci yang valid diberikan ke panggilan API `RunInstances` (atau melalui alat API baris perintah), kunci publik (bagian dari pasangan kunci yang dimiliki Amazon EC2 di server setelah panggilan `CreateKeyPair` atau `ImportKeyPair`) tersedia untuk instans melalui kueri HTTP terhadap metadata instans.
Untuk masuk melalui SSH, AMI Anda harus mengambil nilai kunci saat boot dan menambahkannya ke `/root/.ssh/authorized_keys` (atau setara untuk akun pengguna lain di AMI). Pengguna dapat meluncurkan instans AMI Anda dengan pasangan kunci dan masuk tanpa yang memerlukan kata sandi root.
Banyak distribusi, termasuk Amazon Linux dan Ubuntu, menggunakan paket `cloud-init` untuk menginjeksikan kredensial kunci publik untuk pengguna yang telah dikonfigurasi. Jika distribusi Anda tidak mendukung `cloud-init`, Anda dapat menambahkan kode berikut ke skrip penyalaan sistem (seperti `/etc/rc.local`) untuk menarik kunci publik yang Anda tentukan pada saat peluncuran untuk pengguna root.
**catatan**
Dalam contoh berikut, alamat IP http://169.254.169.254/ adalah alamat tautan lokal dan hanya valid dari instans.
------
#### [ IMDSv2 ]
```
if [ ! -d /root/.ssh ] ; then
mkdir -p /root/.ssh
chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
cat /tmp/my-key >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh/authorized_keys
rm /tmp/my-key
fi
```
------
#### [ IMDSv1 ]
```
if [ ! -d /root/.ssh ] ; then
mkdir -p /root/.ssh
chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
cat /tmp/my-key >> /root/.ssh/authorized_keys
chmod 700 /root/.ssh/authorized_keys
rm /tmp/my-key
fi
```
------
Hal ini dapat diterapkan ke pengguna; Anda tidak perlu membatasinya ke pengguna `root`.
**catatan**
Pemaketan ulang instans berdasarkan AMI ini mencakup kunci yang digunakan untuk meluncurkan. Untuk mencegah inklusi kunci, Anda harus membersihkan (atau menghapus) file `authorized_keys` atau mengecualikan file ini dari pemaketan ulang.
## Nonaktifkan pemeriksaan DNS sshd (opsional)
Menonaktifkan pemeriksaan DNS sshd akan sedikit melemahkan keamanan sshd. Namun, jika resolusi DNS gagal, login SSH masih berfungsi. Jika Anda tidak menonaktifkan pemeriksaan sshd, kegagalan resolusi DNS akan mencegah semua login.
**Untuk menonaktifkan pemeriksaan DNS sshd**
1. Buka file `/etc/ssh/sshd_config` dengan editor teks dan cari baris berikut:
```
#UseDNS yes
```
1. Ubah baris menjadi:
```
UseDNS no
```
**catatan**
Lokasi file konfigurasi ini mungkin berbeda untuk distribusi Anda, atau jika Anda tidak menjalankan OpenSSH. Jika demikian, berkonsultasilah dengan dokumentasi yang relevan.
## Hapus data sensitif
Kami tidak sarankan Anda menyimpan data atau perangkat lunak sensitif di AMI apa pun yang Anda bagikan. Pengguna yang meluncurkan AMI bersama mungkin dapat memaketkannya kembali dan mendaftarkannya sebagai milik mereka sendiri. Ikuti panduan ini untuk membantu Anda menghindari beberapa risiko keamanan yang mudah diabaikan:
+ Kami menyarankan penggunaan opsi `--exclude directory` pada `ec2-bundle-vol` untuk melewati direktori dan subdirektori yang berisi informasi rahasia yang tidak ingin Anda sertakan dalam paketan Anda. Secara khusus, kecualikan semua pasangan public/private kunci SSH milik pengguna dan `authorized_keys` file SSH saat menggabungkan gambar. Publik Amazon AMIs menyimpan ini `/root/.ssh` untuk pengguna root, dan `/home/user_name/.ssh/` untuk pengguna biasa. Untuk informasi selengkapnya, lihat [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol).
+ Selalu hapus riwayat shell sebelum pembuatan paketan. Jika Anda mencoba lebih dari satu unggahan paketan di AMI yang sama, riwayat shell berisi kunci akses Anda. Contoh berikut harus menjadi perintah terakhir yang Anda jalankan sebelum memaketkan dari dalam instans.
```
[ec2-user ~]$ shred -u ~/.*history
```
**Awas**
Batasan **shred** yang dijelaskan dalam peringatan di atas berlaku juga di sini.
Perhatikan bahwa bash mencatat riwayat sesi saat ini ke disk saat keluar. Jika Anda keluar dari instans setelah menghapus `~/.bash_history`, lalu masuk kembali, Anda akan menemukan `~/.bash_history` telah dibuat ulang dan berisi semua perintah yang dijalankan selama sesi Anda sebelumnya.
Program lain selain bash juga menulis riwayat ke disk, berhati-hatilah dan hapus atau kecualikan dot-file dan dot-directories yang tidak perlu.
+ Membuat paketan dari instans berjalan memerlukan kunci privat dan sertifikat X.509 Anda. Simpan kredensial ini dan kredensial lainnya di lokasi yang tidak dipaketkan (misalnya penyimpanan instans).
# Pantau peristiwa AMI menggunakan Amazon EventBridge
Ketika status Amazon Machine Image (AMI) berubah, Amazon EC2 menghasilkan peristiwa yang dikirim ke Amazon EventBridge (sebelumnya dikenal sebagai Amazon CloudWatch Events). Acara dikirim ke bus EventBridge acara default dalam format JSON. Anda dapat menggunakan Amazon EventBridge untuk mendeteksi dan bereaksi terhadap peristiwa ini. Anda melakukan ini dengan membuat aturan EventBridge yang memicu tindakan sebagai respons terhadap suatu peristiwa. Misalnya, Anda dapat membuat EventBridge aturan yang mendeteksi kapan proses pembuatan AMI telah selesai dan kemudian memanggil topik Amazon SNS untuk mengirim pemberitahuan email kepada Anda.
Amazon EC2 menghasilkan `EC2 AMI State Change` peristiwa ketika AMI memasuki salah satu status berikut:
+ `available`
+ `failed`
+ `deregistered`
+ `disabled`
Peristiwa dihasilkan atas dasar upaya terbaik.
Tabel berikut ini mencantumkan operasi dan status AMI yang dapat dimasuki oleh AMI. Dalam tabel, **Ya** menunjukkan status yang dapat dimasuki AMI ketika operasi yang sesuai berjalan.
| Operasi AMI | available | failed | deregistered | disabled |
| --- | --- | --- | --- | --- |
| CopyImage | Ya | Ya | | |
| CreateImage | Ya | Ya | | |
| CreateRestoreImageTask | Ya | Ya | | |
| DeregisterImage | | | Ya | |
| DisableImage | | | | Ya |
| EnableImage | Ya | | | |
| RegisterImage | Ya | Ya | | |
**Peristiwa EC2 AMI State Change**
+ [
## Detail peristiwa
](#ami-events)
+ [
## Peristiwa available
](#ami-event-available)
+ [
## Peristiwa failed
](#ami-event-failed)
+ [
## Peristiwa deregistered
](#ami-event-deregistered)
+ [
## Peristiwa disabled
](#ami-event-disabled)
## Detail peristiwa
Anda dapat menggunakan bidang berikut dalam acara untuk membuat aturan yang memicu tindakan:
`"source": "aws.ec2"`
Mengidentifikasi bahwa acara tersebut berasal dari Amazon EC2.
`"detail-type": "EC2 AMI State Change"`
Mengidentifikasi nama peristiwa.
`"detail": { "ImageId": "ami-0abcdef1234567890", "State": "available", }`
Menyediakan ID AMI dan status AMI (`available`,`failed`,`deregistered`, atau`disabled`).
Untuk informasi selengkapnya, lihat berikut ini di *Panduan EventBridge Pengguna Amazon*:
+ [ EventBridge Acara Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)
+ [Pola EventBridge acara Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)
+ [ EventBridge Aturan Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)
*Untuk tutorial tentang cara membuat fungsi Lambda dan EventBridge aturan yang menjalankan fungsi Lambda, lihat [Tutorial: Log status EC2 instance Amazon menggunakan EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-log-ec2-instance-state.html) dalam Panduan Pengembang.AWS Lambda *
## Peristiwa available
Berikut ini adalah contoh peristiwa yang EC2 dihasilkan Amazon ketika AMI memasuki `available` status setelah berhasil`CreateImage`,,`CopyImage`, `RegisterImage``CreateRestoreImageTask`, atau `EnableImage` operasi.
`"State": "available"` menunjukkan bahwa operasi berhasil.
```
{
"version": "0",
"id": "example-9f07-51db-246b-d8b8441bcdf0",
"detail-type": "EC2 AMI State Change",
"source": "aws.ec2",
"account": "012345678901",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
"detail": {
"RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
"ImageId": "ami-0abcdef1234567890",
"State": "available",
"ErrorMessage": ""
}
}
```
## Peristiwa failed
Berikut ini adalah contoh peristiwa yang EC2 dihasilkan Amazon saat AMI memasuki `failed` status setelah gagal`CreateImage`, `CopyImage``RegisterImage`, atau `CreateRestoreImageTask` operasi.
Bidang berikut memberikan informasi terkait:
+ `"State": "failed"` – Menunjukkan bahwa operasi gagal.
+ `"ErrorMessage": ""` – Memberikan alasan kegagalan operasi.
```
{
"version": "0",
"id": "example-9f07-51db-246b-d8b8441bcdf0",
"detail-type": "EC2 AMI State Change",
"source": "aws.ec2",
"account": "012345678901",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
"detail": {
"RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
"ImageId": "ami-0abcdef1234567890",
"State": "failed",
"ErrorMessage": "Description of failure"
}
}
```
## Peristiwa deregistered
Berikut ini adalah contoh peristiwa yang EC2 dihasilkan Amazon ketika AMI memasuki `deregistered` status setelah `DeregisterImage` operasi berhasil. Jika operasi gagal, tidak ada peristiwa yang dihasilkan. Kegagalan diketahui segera karena `DeregisterImage` merupakan operasi tersinkron.
`"State": "deregistered"` menunjukkan bahwa operasi `DeregisterImage` berhasil.
```
{
"version": "0",
"id": "example-9f07-51db-246b-d8b8441bcdf0",
"detail-type": "EC2 AMI State Change",
"source": "aws.ec2",
"account": "012345678901",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
"detail": {
"RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
"ImageId": "ami-0abcdef1234567890",
"State": "deregistered",
"ErrorMessage": ""
}
}
```
## Peristiwa disabled
Berikut ini adalah contoh peristiwa yang EC2 dihasilkan Amazon ketika AMI memasuki `disabled` status setelah `DisableImage` operasi berhasil. Jika operasi gagal, tidak ada peristiwa yang dihasilkan. Kegagalan diketahui segera karena `DisableImage` merupakan operasi tersinkron.
`"State": "disabled"` menunjukkan bahwa operasi `DisableImage` berhasil.
```
{
"version": "0",
"id": "example-9f07-51db-246b-d8b8441bcdf0",
"detail-type": "EC2 AMI State Change",
"source": "aws.ec2",
"account": "012345678901",
"time": "yyyy-mm-ddThh:mm:ssZ",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
"detail": {
"RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
"ImageId": "ami-0abcdef1234567890",
"State": "disabled",
"ErrorMessage": ""
}
}
```
# Memahami informasi penagihan AMI
Ada banyak Amazon Machine Images (AMIs) untuk dipilih saat meluncurkan instans Anda, dan mereka mendukung berbagai platform dan fitur sistem operasi. Untuk memahami bagaimana AMI yang Anda pilih saat meluncurkan instans memengaruhi garis bawah AWS tagihan Anda, Anda dapat meneliti platform sistem operasi terkait dan informasi penagihan. Lakukan ini sebelum Anda meluncurkan instans On-Demand atau Instans Spot, atau membeli Instans Cadangan.
Berikut adalah dua contoh bagaimana meneliti AMI Anda sebelumnya dapat membantu Anda memilih AMI yang paling sesuai dengan kebutuhan Anda:
+ Untuk Instans Spot, Anda dapat menggunakan **Detail platform** AMI untuk mengonfirmasi bahwa AMI didukung untuk Instans Spot.
+ Saat membeli Instans Cadangan, Anda dapat memastikan bahwa, Anda memilih platform sistem operasi (**Platform**), yang memetakan **Detail platform** pada AMI.
Untuk informasi selengkapnya tentang harga instans, lihat [ EC2 harga Amazon](https://aws.amazon.com/ec2/pricing/).
**Topics**
+ [
# Bidang informasi penagihan AMI
](billing-info-fields.md)
+ [
# Mencari detail penagihan dan penggunaan AMI
](view-billing-info.md)
+ [
# Memverifikasi biaya AMI pada tagihan Anda
](verify-ami-charges.md)
# Bidang informasi penagihan AMI
Bidang berikut menyediakan informasi penagihan yang terkait dengan AMI:
Detail platform AMI
Detail platform yang terkait akan dengan kode penagihan AMI. Sebagai contoh, `Red Hat Enterprise Linux`.
Operasi penggunaan
Pengoperasian EC2 instans Amazon dan kode penagihan yang terkait dengan AMI. Misalnya, `RunInstances:0010`. **Operasi penggunaan** [sesuai dengan kolom [LineItem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation) pada Laporan AWS Biaya dan Penggunaan (CUR) Anda dan di API Daftar Harga.AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/price-changes.html)
Anda dapat melihat bidang ini di **Instans** atau **AMIs**halaman di EC2 konsol Amazon, atau dalam respons yang ditampilkan oleh [gambar-deskripsi atau perintah](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)
## Contoh data: operasi penggunaan berdasarkan platform
Tabel berikut mencantumkan beberapa detail platform dan nilai operasi penggunaan yang dapat ditampilkan di **Instans** atau **AMIs**halaman di EC2 konsol Amazon, atau dalam respons yang ditampilkan oleh [gambar-gambar atau perintah](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)
| Detail platform | Operasi penggunaan 2 |
| --- | --- |
| Linux/UNIX | RunInstances |
| Red Hat BYOL Linux | RunInstances:00g03 |
| Red Hat Enterprise Linux | RunInstances:0010 |
| Red Hat Enterprise Linux with HA | RunInstances:1010 |
| Red Hat Enterprise Linux with SQL Server Standard and HA | RunInstances:1014 |
| Red Hat Enterprise Linux with SQL Server Enterprise and HA | RunInstances:1110 |
| Red Hat Enterprise Linux with SQL Server Standard | RunInstances:0014 |
| Red Hat Enterprise Linux with SQL Server Web | RunInstances:0210 |
| Red Hat Enterprise Linux with SQL Server Enterprise | RunInstances:0110 |
| SQL Server Enterprise | RunInstances:0100 |
| SQL Server Standard | RunInstances:0004 |
| SQL Server Web | RunInstances:0200 |
| SUSE Linux | RunInstances:000g |
| Ubuntu Pro | RunInstances:0g00 |
| Windows | RunInstances:0002 |
| Windows BYOL | RunInstances:0800 |
| Windows with SQL Server Enterprise1 | RunInstances:0102 |
| Windows with SQL Server Standard1 | RunInstances:0006 |
| Windows with SQL Server Web1 | RunInstances:0202 |
1 Jika dua lisensi perangkat lunak dikaitkan dengan AMI, bidang **detail Platform** menunjukkan keduanya.
2 Jika Anda menjalankan Instans Spot, [https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)pada Laporan AWS Biaya dan Penggunaan Anda mungkin berbeda dari nilai **operasi Penggunaan** yang tercantum di sini. Misalnya, jika `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)` ditampilkan`RunInstances:0010:SV006`, itu berarti Amazon EC2 menjalankan Red Hat Enterprise Linux Spot Instance-hour di US East (Virginia N.) di Zona 6.
3 Ini muncul seperti RunInstances (Linux/UNIX) dalam laporan penggunaan Anda.
# Mencari detail penagihan dan penggunaan AMI
Properti berikut dapat membantu Anda memverifikasi biaya AMI pada tagihan Anda:
+ **Detail platform**
+ **Operasi penggunaan**
+ **ID AMI**
------
#### [ Console ]
**Untuk menemukan informasi penagihan AMI untuk AMI**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi, pilih **AMIs**.
1. Pilih AMI.
1. Pada tab **Detail**, temukan **Detail platform** dan **operasi Penggunaan**.
**Untuk menemukan informasi penagihan AMI untuk sebuah instans**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di panel navigasi, pilih **Instans**.
1. Pilih instans.
1. Pada tab **Detail**, perluas **detail Instans** dan temukan **detail Platform** dan **operasi Penggunaan**.
------
#### [ AWS CLI ]
**Untuk menemukan informasi penagihan AMI untuk AMI**
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query "Images[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}"
```
Berikut ini adalah contoh output untuk AMI Linux.
```
[
{
"PlatformDetails": "Linux/UNIX",
"UsageOperation": "RunInstances"
}
]
```
**Untuk menemukan informasi penagihan AMI untuk sebuah instans**
Gunakan perintah [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html).
```
aws ec2 describe-instances \
--instance-ids i-1234567890abcdef0 \
--query "Reservations[].Instances[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}"
```
Berikut ini adalah contoh output untuk instance Windows.
```
[
{
"PlatformDetails": "Windows",
"UsageOperation": "RunInstances:0002"
}
]
```
------
#### [ PowerShell ]
**Untuk menemukan informasi penagihan AMI untuk AMI**
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.
```
Get-EC2Image `
-ImageId ami-0abcdef1234567890 | `
Format-List PlatformDetails, UsageOperation
```
Berikut ini adalah contoh output untuk AMI Linux.
```
PlatformDetails : Linux/UNIX
UsageOperation : RunInstances
```
**Untuk menemukan informasi penagihan AMI untuk sebuah instans**
Gunakan [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)cmdlet.
```
(Get-EC2Instance `
-InstanceId i-1234567890abcdef0).Instances | `
Format-List PlatformDetails, UsageOperation
```
Berikut ini adalah contoh output untuk instance Windows.
```
PlatformDetails : Windows
UsageOperation : RunInstances:0002
```
------
# Memverifikasi biaya AMI pada tagihan Anda
Untuk memastikan bahwa Anda tidak menimbulkan biaya yang tidak direncanakan, Anda dapat memverifikasi bahwa informasi penagihan untuk instans dalam Laporan AWS Biaya dan Penggunaan (CUR) cocok dengan informasi penagihan yang terkait dengan AMI yang Anda gunakan untuk meluncurkan instans.
Untuk memverifikasi informasi penagihan, temukan ID instans di CUR Anda dan periksa nilai yang sesuai di kolom `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. Nilai harus sesuai dengan nilai untuk **Operasi penggunaan** yang berkaitan dengan AMI.
Sebagai contoh, `ami-0123456789EXAMPLE` AMI memiliki informasi penagihan berikut:
+ **Detail platform** = `Red Hat Enterprise Linux`
+ **Operasi penggunaan** = `RunInstances:0010`
Jika Anda meluncurkan instans menggunakan AMI ini, Anda dapat mencari ID instans di CUR dan memeriksa nilai yang sesuai di kolom `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. Dalam contoh ini, nilainya harus berupa `RunInstances:0010`.
# Kuota AMI di Amazon EC2
Kuota berikut berlaku untuk membuat dan berbagi AMIs. Kuota berlaku per Wilayah AWS.
****
| Nama kuota | Deskripsi | Kuota default per Wilayah |
| --- | --- | --- |
| AMIs | Jumlah maksimum publik dan swasta yang AMIs diizinkan per Wilayah. Ini termasuk tersedia, tertunda, dan dinonaktifkan AMIs, dan AMIs di Recycle Bin. | 50.000 |
| Publik AMIs | Jumlah maksimum publik AMIs, termasuk publik AMIs di Recycle Bin, diperbolehkan per Wilayah. | 5 |
| Berbagi AMI | Jumlah maksimum entitas (organisasi, unit organisasi (OUs), dan akun) yang dapat dibagikan AMI di Wilayah. Perhatikan bahwa jika Anda berbagi AMI dengan organisasi atau OU, jumlah akun dalam organisasi atau OU tidak dihitung dalam kuota. | 1.000 |
Jika Anda melebihi kuota dan ingin membuat atau berbagi lebih banyak AMIs, Anda dapat melakukan hal berikut:
+ Jika Anda melebihi total AMIs atau AMIs kuota publik, pertimbangkan untuk membatalkan pendaftaran gambar yang tidak digunakan.
+ Jika Anda melebihi AMIs kuota publik Anda, pertimbangkan untuk membuat satu atau lebih publik AMIs pribadi.
+ Jika Anda melebihi kuota berbagi AMI, pertimbangkan untuk berbagi AMIs dengan organisasi atau OU, bukan akun terpisah.
+ Minta kenaikan kuota untuk AMIs.
## Minta kenaikan kuota untuk AMIs
Jika Anda membutuhkan lebih dari kuota default AMIs, Anda dapat meminta kenaikan kuota.
**Untuk meminta kenaikan kuota untuk AMIs**
1. Buka konsol Service Quotas di [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/).
1. Di panel navigasi, pilih **Layanan AWS **.
1. Pilih **Amazon Elastic Compute Cloud (Amazon EC2)** dari daftar, atau ketik nama layanan di kotak pencarian.
1. Pilih kuota AMI untuk meminta kenaikan. Kuota AMI yang dapat Anda pilih adalah:
+ AMIs
+ Publik AMIs
+ Berbagi AMI
1. Pilih **Ajukan peningkatan kuota**.
1. Untuk **Mengubah nilai kuota**, masukkan nilai kuota yang baru, lalu pilih **Ajukan**.
Untuk melihat permintaan yang tertunda atau baru diselesaikan, pilih **Dasbor** dari panel navigasi. Untuk permintaan yang tertunda, pilih status permintaan untuk membuka penerimaan permintaan. Status awal dari permintaan adalah **Tertunda**. Setelah status berubah menjadi **Kuota yang diminta**, Anda akan melihat nomor kasus di bagian **Nomor kasus Pusat Dukungan**. Pilih nomor kasus untuk membuka tiket untuk permintaan Anda.
Setelah permintaan diselesaikan, **Nilai kuota yang diterapkan** untuk kuota tersebut diatur ke nilai baru.
Untuk informasi lebih lanjut, lihat [Panduan Pengguna Kuota Layanan](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).