Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Kontrol penemuan dan penggunaan AMIs di Amazon EC2 dengan Diizinkan AMIs

PDF
RSS
Mode fokus
Kontrol penemuan dan penggunaan AMIs di Amazon EC2 dengan Diizinkan AMIs - Amazon Elastic Compute Cloud
Cara AMIs kerja yang DiizinkanPraktik terbaik untuk menerapkan Diizinkan AMIsIzin IAM yang diperlukanAktifkan mode audit dan tentukan kriteriaAktifkan Diizinkan AMIsNonaktifkan Diizinkan AMIsPerbarui AMIs kriteria yang diizinkanIdentifikasi AMIs status dan kriteria yang diizinkanIdentifikasi AMIs yang memenuhi AMIs kriteria yang DiizinkanIdentifikasi apakah instance diluncurkan dengan AMIs yang tidak diizinkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk mengontrol penemuan dan penggunaan Amazon Machine Images (AMIs) oleh pengguna di Anda Akun AWS, Anda dapat menggunakan AMIs fitur Diizinkan. Fitur ini memungkinkan Anda untuk menentukan kriteria yang AMIs harus dipenuhi agar terlihat dan tersedia dalam akun Anda. Ketika kriteria diaktifkan, pengguna yang meluncurkan instance hanya akan melihat dan memiliki akses ke AMIs yang sesuai dengan kriteria yang ditentukan. Misalnya, Anda dapat menentukan daftar penyedia AMI tepercaya sebagai kriteria, dan hanya AMIs dari penyedia ini yang akan terlihat dan tersedia untuk digunakan.

Sebelum mengaktifkan AMIs pengaturan Diizinkan, Anda dapat mengaktifkan mode audit untuk melihat pratinjau yang AMIs akan atau tidak akan terlihat dan tersedia untuk digunakan. Ini memungkinkan Anda menyempurnakan kriteria yang diperlukan untuk memastikan bahwa hanya yang dimaksudkan AMIs yang terlihat dan tersedia bagi pengguna di akun Anda. Selain itu, Anda dapat menjalankan describe-instance-image-metadataperintah dan memfilter respons untuk mengidentifikasi setiap instance yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs

Anda menentukan AMIs pengaturan Diizinkan di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Pengaturan ini harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin mengontrol penemuan dan penggunaan AMIs. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah pengaturan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat Kebijakan deklaratif di AWS Organizations Panduan Pengguna.

catatan

AMIs Fitur yang Diizinkan hanya mengontrol penemuan dan penggunaan publik AMIs atau AMIs dibagikan dengan akun Anda. Itu tidak membatasi yang AMIs dimiliki oleh akun Anda. Terlepas dari kriteria yang Anda tetapkan, yang AMIs dibuat oleh akun Anda akan selalu dapat ditemukan dan dapat digunakan oleh pengguna di akun Anda.

Manfaat utama dari Diizinkan AMIs

  • Kepatuhan dan keamanan: Pengguna hanya dapat menemukan dan menggunakan AMIs yang memenuhi kriteria yang ditentukan, mengurangi risiko penggunaan AMI yang tidak sesuai.

  • Manajemen yang efisien: Dengan mengurangi jumlah yang diizinkan AMIs, mengelola yang tersisa menjadi lebih mudah dan lebih efisien.

  • Implementasi tingkat akun terpusat: Konfigurasikan AMIs pengaturan yang Diizinkan di tingkat akun, baik secara langsung di dalam akun atau melalui kebijakan deklaratif. Ini menyediakan cara terpusat dan efisien untuk mengontrol penggunaan AMI di seluruh akun.

Cara AMIs kerja yang Diizinkan

Anda menentukan kriteria yang secara otomatis memfilter dan menentukan mana yang AMIs dapat ditemukan dan digunakan di akun Anda. Anda menentukan kriteria dalam konfigurasi JSON, lalu mengaktifkan kriteria dengan menjalankan operasi enable API.

Konfigurasi JSON untuk kriteria yang Diizinkan AMIs

Konfigurasi inti untuk Allowed AMIs adalah konfigurasi JSON yang mendefinisikan kriteria untuk diizinkan. AMIs

Saat ini, satu-satunya kriteria yang didukung adalah penyedia AMI. Nilai yang valid adalah alias yang didefinisikan oleh AWS, dan Akun AWS IDs, sebagai berikut:

  • amazon— Alias yang mengidentifikasi dibuat AMIs oleh AWS

  • aws-marketplace— Alias yang mengidentifikasi AMIs dibuat oleh penyedia terverifikasi di AWS Marketplace

  • aws-backup-vault— Alias yang mengidentifikasi cadangan yang berada di akun AMIs brankas Backup yang memiliki lubang udara secara logis. AWS Jika Anda menggunakan fitur AWS Backup air-gapped vault secara logis, pastikan alias ini disertakan sebagai penyedia AMI.

  • Akun AWS IDs — Satu atau lebih 12 digit Akun AWS IDs

  • none— Menunjukkan bahwa hanya AMIs dibuat oleh akun Anda yang dapat ditemukan dan digunakan. Publik atau dibagikan tidak AMIs dapat ditemukan dan digunakan. Jika Anda menentukannone, Anda tidak dapat menentukan alias atau ID akun.

Kriteria AMI ditentukan dalam format JSON. Berikut adalah contoh yang menentukan dua alias dan tiga: Akun AWS IDs

{
    "ImageCriteria": [
        {
            "ImageProviders": [
                "amazon",
                "aws-marketplace",
                "123456789012",
                "112233445566",
                "009988776655"
            ]
        }
    ]
}
Batas untuk konfigurasi JSON

  • ImageCriteriaobjek: Maksimal 10 ImageCriteria objek dapat ditentukan dalam satu konfigurasi.

  • ImageProvidersnilai: Maksimum 200 nilai di semua ImageCriteria objek.

Contoh batas

Perhatikan contoh berikut untuk mengilustrasikan batas-batas ini, di mana ImageProviders daftar yang berbeda digunakan untuk mengelompokkan akun penyedia AMI: 

{
    "ImageCriteria": [
        {
            "ImageProviders": ["amazon", "aws-marketplace"]
        },
        {
            "ImageProviders": ["123456789012", "112233445566", "121232343454"]
        },
        {
            "ImageProviders": ["998877665555", "987654321098"]
        }
        // Up to 7 more ImageCriteria objects can be added
        // Up to 193 more ImageProviders values can be added
    ]
}

Dalam contoh ini:

  • Ada 3 imageCriteria objek (hingga 7 lebih dapat ditambahkan untuk mencapai batas 10).

  • Ada 7 imageProviders nilai total di semua objek (hingga 193 lebih dapat ditambahkan untuk mencapai batas 200).

Dalam contoh ini, AMIs diperbolehkan dari salah satu penyedia AMI yang ditentukan di semua ImageCriteria objek.

AMIs Operasi yang diizinkan

AMIs Fitur Diizinkan memiliki tiga mode operasional untuk mengelola kriteria gambar: mode diaktifkan, dinonaktifkan, dan audit. Ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan kriteria gambar, atau meninjaunya sesuai kebutuhan.

Diaktifkan

Saat Diizinkan AMIs diaktifkan:

  • Itu ImageCriteria diterapkan.

  • Hanya AMIs diperbolehkan yang dapat ditemukan di EC2 konsol dan dengan APIs itu menggunakan gambar (misalnya, yang menggambarkan, menyalin, menyimpan, atau melakukan tindakan lain yang menggunakan gambar).

  • Instans hanya dapat diluncurkan menggunakan diizinkan AMIs.

Nonaktif

Ketika Diizinkan AMIs dinonaktifkan:

  • Itu ImageCriteria tidak diterapkan.

  • Tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.

Modus audit

Dalam mode audit:

  • ImageCriteriaIni diterapkan, tetapi tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.

  • Di EC2 konsol, untuk setiap AMI, bidang gambar yang Diizinkan menampilkan Ya atau Tidak untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia untuk pengguna di akun saat Diizinkan AMIs diaktifkan.

  • Di baris perintah, respons untuk describe-image operasi mencakup "ImageAllowed": true atau "ImageAllowed": false untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia untuk pengguna di akun saat Diizinkan AMIs diaktifkan.

  • Di EC2 konsol, Katalog AMI menampilkan Tidak diizinkan di samping AMIs yang tidak dapat ditemukan atau tersedia bagi pengguna di akun saat Diizinkan AMIs diaktifkan.

Praktik terbaik untuk menerapkan Diizinkan AMIs

Saat menerapkan AMIs Allowed, pertimbangkan praktik terbaik ini untuk memastikan transisi yang lancar dan meminimalkan potensi gangguan pada AWS lingkungan Anda.

  1. Aktifkan mode audit

    Mulailah dengan mengaktifkan Diizinkan AMIs dalam mode audit. Mode ini memungkinkan Anda untuk melihat mana yang AMIs akan terpengaruh oleh kriteria Anda tanpa benar-benar membatasi akses, memberikan periode evaluasi bebas risiko.

  2. Tetapkan AMIs kriteria yang Diizinkan

    Tetapkan dengan cermat penyedia AMI mana yang selaras dengan kebijakan keamanan, persyaratan kepatuhan, dan kebutuhan operasional organisasi Anda.

    catatan

    Sebaiknya tentukan amazon alias untuk memungkinkan AMIs dibuat oleh AWS, memastikan bahwa layanan AWS terkelola yang Anda gunakan dapat terus meluncurkan EC2 instance di akun Anda.

  3. Periksa dampak pada proses bisnis yang diharapkan

    Anda dapat menggunakan konsol atau CLI untuk mengidentifikasi instance apa pun yang diluncurkan dengan yang tidak memenuhi kriteria AMIs yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs

    Konsol: Gunakan AWS Config aturan ec2- instance-launched-with-allowed -ami untuk memeriksa apakah instance yang sedang berjalan atau dihentikan diluncurkan dengan memenuhi kriteria AMIs Diizinkan Anda. AMIs Aturannya adalah NON_COMPLIANT jika AMI tidak memenuhi AMIs kriteria yang Diizinkan, dan COMPLIANT jika memang demikian. Aturan hanya beroperasi jika AMIs pengaturan Diizinkan disetel ke mode aktif atau audit.

    CLI: Jalankan describe-instance-image-metadataperintah dan filter respons untuk mengidentifikasi instance apa pun yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan.

    Untuk instruksi konsol dan CLI, lihat. Identifikasi apakah instance diluncurkan dengan AMIs yang tidak diizinkan

  4. Aktifkan Diizinkan AMIs

    Setelah Anda mengonfirmasi bahwa kriteria tidak akan mempengaruhi proses bisnis yang diharapkan, aktifkan Diizinkan AMIs.

  5. Monitor peluncuran instance

    Terus memantau peluncuran instans dari AMIs seluruh aplikasi dan layanan AWS terkelola yang Anda gunakan, seperti Amazon EMR, Amazon ECR, Amazon EKS, dan. AWS Elastic Beanstalk Periksa masalah yang tidak terduga dan lakukan penyesuaian yang diperlukan pada AMIs kriteria yang Diizinkan.

  6. Pilot baru AMIs

    Untuk menguji pihak ketiga AMIs yang tidak mematuhi AMIs pengaturan Diizinkan Anda saat ini, AWS rekomendasikan pendekatan berikut:

    • Gunakan yang terpisah Akun AWS: Buat akun tanpa akses ke sumber daya penting bisnis Anda. Pastikan AMIs pengaturan Diizinkan tidak diaktifkan di akun ini, atau yang ingin AMIs Anda uji diizinkan secara eksplisit, sehingga Anda dapat mengujinya.

    • Uji di tempat lain Wilayah AWS: Gunakan Wilayah tempat pihak ketiga AMIs tersedia, tetapi di mana Anda belum mengaktifkan AMIs pengaturan yang Diizinkan.

    Pendekatan ini membantu memastikan sumber daya penting bisnis Anda tetap aman saat Anda menguji yang baru. AMIs

Izin IAM yang diperlukan

Untuk menggunakan AMIs fitur Diizinkan, Anda memerlukan izin IAM berikut:

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

Aktifkan mode audit dan tentukan kriteria

Gunakan prosedur berikut untuk mengaktifkan mode audit untuk Diizinkan AMIs dan tentukan AMIs kriteria yang Diizinkan di akun Anda untuk Wilayah yang ditentukan.

Console
Untuk mengaktifkan mode audit dan menentukan kriteria untuk Diizinkan AMIs

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs Pengaturan yang Diizinkan, pilih mode Audit.

    3. Untuk kriteria AMI, tentukan kriteria dalam format JSON. Saat ini, hanya penyedia gambar yang dapat ditentukan sebagai kriteria.

      Untuk konfigurasi yang benar dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    4. Pilih Perbarui.

AWS CLI
Untuk mengaktifkan mode audit dan menentukan kriteria untuk Diizinkan AMIs

  1. Aktifkan mode audit

    Gunakan enable-allowed-images-settingsperintah dan tentukan audit-mode di Wilayah yang ditentukan.

    aws ec2 enable-allowed-images-settings \
    --region us-east-1 \
    --allowed-images-settings-state audit-mode

    Output yang diharapkan

    {
"AllowedImagesSettingsState": "audit-mode"
}

  2. Tentukan kriteria

    Gunakan allowed-images-settings perintah replace-image-criteria-in- dan referensi file JSON dengan kriteria gambar.

    Saat ini, hanya penyedia gambar yang didukung untuk kriteria gambar. Untuk konfigurasi yang benar dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    aws ec2 replace-image-criteria-in-allowed-images-settings \
    --region us-east-1 \
    --cli-input-json file://path/to/image-criteria.json
anchoranchor
Untuk mengaktifkan mode audit dan menentukan kriteria untuk Diizinkan AMIs

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs Pengaturan yang Diizinkan, pilih mode Audit.

    3. Untuk kriteria AMI, tentukan kriteria dalam format JSON. Saat ini, hanya penyedia gambar yang dapat ditentukan sebagai kriteria.

      Untuk konfigurasi yang benar dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    4. Pilih Perbarui.

Aktifkan Diizinkan AMIs

Gunakan prosedur berikut untuk mengaktifkan Diizinkan AMIs di akun Anda untuk Wilayah yang ditentukan.

Console
Untuk mengaktifkan Diizinkan AMIs

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs pengaturan Diizinkan, pilih Diaktifkan.

    3. Untuk kriteria AMI, tentukan kriteria dalam format JSON. Saat ini, hanya penyedia gambar yang dapat ditentukan sebagai kriteria.

      Untuk konfigurasi yang benar dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    4. Pilih Perbarui.

AWS CLI
Untuk mengaktifkan Diizinkan AMIs dan tentukan kriteria untuk Diizinkan AMIs

  1. Aktifkan Diizinkan AMIs

    Gunakan enable-allowed-images-settingsperintah dan tentukan enable di Wilayah yang ditentukan.

    aws ec2 enable-allowed-images-settings \
    --region us-east-1 \
    --allowed-images-settings-state enabled

    Output yang diharapkan

    {
"AllowedImagesSettingsState": "enabled"
}

  2. Tentukan kriteria

    Gunakan allowed-images-settings perintah replace-image-criteria-in- dan referensi file JSON dengan kriteria gambar.

    Saat ini, hanya penyedia gambar yang didukung untuk kriteria gambar. Untuk konfigurasi yang benar dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    aws ec2 replace-image-criteria-in-allowed-images-settings \
    --region us-east-1 \
    --cli-input-json file://path/to/image-criteria.json
anchoranchor
Untuk mengaktifkan Diizinkan AMIs

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs pengaturan Diizinkan, pilih Diaktifkan.

    3. Untuk kriteria AMI, tentukan kriteria dalam format JSON. Saat ini, hanya penyedia gambar yang dapat ditentukan sebagai kriteria.

      Untuk konfigurasi yang benar dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    4. Pilih Perbarui.

Nonaktifkan Diizinkan AMIs

Gunakan prosedur berikut untuk menonaktifkan Diizinkan AMIs di akun Anda untuk Wilayah yang ditentukan.

Console
Untuk menonaktifkan Diizinkan AMIs

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs Pengaturan yang Diizinkan, pilih Dinonaktifkan.

    3. Pilih Perbarui.

AWS CLI
Untuk menonaktifkan Diizinkan AMIs

Gunakan disable-allowed-images-settingsperintah untuk menonaktifkan Diizinkan AMIs di Wilayah yang ditentukan.

aws ec2 disable-allowed-images-settings \
    --region us-east-1

Output yang diharapkan

{
"AllowedImagesSettingsState": "disabled"
}
anchoranchor
Untuk menonaktifkan Diizinkan AMIs

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs Pengaturan yang Diizinkan, pilih Dinonaktifkan.

    3. Pilih Perbarui.

Perbarui AMIs kriteria yang diizinkan

Gunakan prosedur berikut untuk memperbarui AMIs kriteria yang Diizinkan di akun Anda untuk Wilayah yang ditentukan.

Console
Untuk memperbarui AMIs kriteria yang Diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs pengaturan Diizinkan, pilih mode Aktif atau Audit.

    3. Untuk kriteria AMI, tentukan kriteria dalam format JSON. Saat ini, hanya penyedia gambar yang dapat ditentukan sebagai kriteria.

      Untuk konfigurasi dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    4. Pilih Perbarui.

AWS CLI
Untuk memperbarui AMIs kriteria yang Diizinkan

Gunakan allowed-images-settings perintah replace-image-criteria-in- dan referensi file JSON dengan kriteria gambar. Saat ini, hanya penyedia gambar yang didukung untuk kriteria gambar. Untuk konfigurasi JSON dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

aws ec2 replace-image-criteria-in-allowed-images-settings \
    --region us-east-1 \
    --cli-input-json file://path/to/image-criteria.json
anchoranchor
Untuk memperbarui AMIs kriteria yang Diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs pengaturan Diizinkan, pilih mode Aktif atau Audit.

    3. Untuk kriteria AMI, tentukan kriteria dalam format JSON. Saat ini, hanya penyedia gambar yang dapat ditentukan sebagai kriteria.

      Untuk konfigurasi dan nilai yang valid, lihatKonfigurasi JSON untuk kriteria yang Diizinkan AMIs .

    4. Pilih Perbarui.

Identifikasi AMIs status dan kriteria yang diizinkan

Gunakan prosedur berikut untuk mengidentifikasi status saat ini dari AMIs pengaturan Diizinkan dan AMIs kriteria yang Diizinkan.

Console
Untuk mengidentifikasi AMIs status dan kriteria yang Diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs pengaturan Diizinkan, periksa pilihan saat ini. Ini adalah mode Diaktifkan, Dinonaktifkan, atau Audit.

    3. Untuk kriteria AMI, periksa kriteria dalam format JSON. Jika negara dinonaktifkan, kriteria tidak ditampilkan. Untuk menampilkan kriteria, pilih mode Diaktifkan atau Audit.

    4. Pilih Batal untuk menutup layar tanpa membuat perubahan apa pun.

AWS CLI
Untuk mengidentifikasi AMIs status dan kriteria yang Diizinkan

Gunakan get-allowed-images-settingsperintah untuk mendapatkan status saat ini dan daftar AMIs kriteria yang Diizinkan di Wilayah yang ditentukan.

aws ec2 get-allowed-images-settings \
    --region us-east-1

Dalam contoh keluaran berikut, statusnya adalah audit-mode dan daftar penyedia AMI menyertakan satu penyedia (amazon).

ManagedByBidang menunjukkan entitas yang mengkonfigurasi AMIs pengaturan Diizinkan. Dalam contoh ini, account menunjukkan bahwa pengaturan dikonfigurasi dalam akun itu sendiri. Nilai declarative-policy berarti pengaturan dikonfigurasi oleh kebijakan deklaratif. Untuk informasi selengkapnya, lihat Kebijakan deklaratif di Panduan AWS Organizations Pengguna.

{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "ImageProviders": [
                "amazon"
            ]
        }
    ],
    "ManagedBy": "account"
}
anchoranchor
Untuk mengidentifikasi AMIs status dan kriteria yang Diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Dasbor.

  3. Di bawah Atribut akun (kanan atas), pilih Diizinkan AMIs.

  4. Pada AMIs halaman Diizinkan, lakukan hal berikut:

    1. Pilih Kelola.

    2. Untuk AMIs pengaturan Diizinkan, periksa pilihan saat ini. Ini adalah mode Diaktifkan, Dinonaktifkan, atau Audit.

    3. Untuk kriteria AMI, periksa kriteria dalam format JSON. Jika negara dinonaktifkan, kriteria tidak ditampilkan. Untuk menampilkan kriteria, pilih mode Diaktifkan atau Audit.

    4. Pilih Batal untuk menutup layar tanpa membuat perubahan apa pun.

Identifikasi AMIs yang memenuhi AMIs kriteria yang Diizinkan

Gunakan prosedur berikut untuk mengidentifikasi AMIs yang diizinkan atau tidak diizinkan untuk akun.

catatan

Berikut ini hanya dapat dilakukan ketika AMIs Diizinkan dalam mode audit.

Console
Untuk mengidentifikasi AMIs yang memenuhi AMIs kriteria yang Diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih AMIs.

  3. Pilih AMI yang ingin Anda periksa.

  4. Pada tab Detail (jika Anda memilih kotak centang) atau di area ringkasan (jika Anda memilih ID AMI), cari bidang Gambar yang Diizinkan.

    • Nilai Ya menunjukkan AMI yang memenuhi AMIs kriteria Diizinkan. AMI ini akan terlihat dan tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.

    • Nilai No menunjukkan AMI yang tidak memenuhi AMIs kriteria Diizinkan. AMI ini tidak akan terlihat atau tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.

  5. Di panel navigasi, pilih Katalog AMI.

    AMI bertanda Tidak diizinkan menunjukkan AMI yang tidak memenuhi AMIs kriteria yang Diizinkan. AMI ini tidak akan terlihat atau tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.

AWS CLI
Untuk mengidentifikasi apakah AMI memenuhi AMIs kriteria yang Diizinkan

Gunakan perintah describe-images dan tentukan ID AMI.

aws ec2 describe-images \
    --region us-east-1 \
    --image-id ami-1234567890example

Output yang diharapkan - ImageAllowed adalah salah satu true atau false

{
    "Images": [{
        "Architecture": "x86_64",
        "CreationDate": "2022-09-21T17:11:12.000Z",
        "ImageId": "ami-1234567890example",
        "ImageLocation": "232700224022/ami_copy_test",
        "ImageType": "machine",
        "Public": false,
        "OwnerId": "111111111111",
        "PlatformDetails": "Linux/UNIX",
        "UsageOperation": "RunInstances",
        "State": "available",
        "BlockDeviceMappings": [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-1234567890example",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": false
            }
        }],
        "Description": "ami_copy_test",
        "EnaSupport": true,
        "Hypervisor": "xen",
        "Name": "ami_copy_test",
        "RootDeviceName": "/dev/xvda",
        "RootDeviceType": "ebs",
        "SriovNetSupport": "simple",
        "VirtualizationType": "hvm",
        "ImageAllowed": false
    }]
}
Untuk memfilter AMIs yang memenuhi AMIs kriteria yang Diizinkan

Gunakan perintah deskripsi-gambar dan tentukan image-allowed filter yang disetel ke. true

aws ec2 describe-images \
    --region us-east-1 \
    --filters "Name=image-allowed,Values=true" \
    --max-result 10
anchoranchor
Untuk mengidentifikasi AMIs yang memenuhi AMIs kriteria yang Diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih AMIs.

  3. Pilih AMI yang ingin Anda periksa.

  4. Pada tab Detail (jika Anda memilih kotak centang) atau di area ringkasan (jika Anda memilih ID AMI), cari bidang Gambar yang Diizinkan.

    • Nilai Ya menunjukkan AMI yang memenuhi AMIs kriteria Diizinkan. AMI ini akan terlihat dan tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.

    • Nilai No menunjukkan AMI yang tidak memenuhi AMIs kriteria Diizinkan. AMI ini tidak akan terlihat atau tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.

  5. Di panel navigasi, pilih Katalog AMI.

    AMI bertanda Tidak diizinkan menunjukkan AMI yang tidak memenuhi AMIs kriteria yang Diizinkan. AMI ini tidak akan terlihat atau tersedia bagi pengguna di akun Anda saat Diizinkan AMIs diaktifkan.

Identifikasi apakah instance diluncurkan dengan AMIs yang tidak diizinkan

Gunakan prosedur berikut untuk mengidentifikasi instans yang diluncurkan dengan AMI yang tidak memenuhi AMIs kriteria yang Diizinkan.

Console
Untuk mengidentifikasi apakah instance diluncurkan dengan AMI yang tidak diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih contoh yang ingin Anda periksa.

  4. Pada tab Detail, di bawah Detail instans, temukan bidang Gambar yang Diizinkan.

    • Nilai Ya menunjukkan AMI yang memenuhi AMIs kriteria Diizinkan.

    • Nilai No menunjukkan AMI yang tidak memenuhi AMIs kriteria Diizinkan.

AWS CLI
Untuk mengidentifikasi apakah instance diluncurkan dengan AMIs itu tidak diizinkan

Gunakan describe-instance-image-metadataperintah dengan set image-allowed filter false untuk mengidentifikasi instance yang diluncurkan dengan AMIs yang tidak diizinkan.

aws ec2 describe-instance-image-metadata \
    --region us-east-1 \
    --filters "Name=image-allowed,Values=false" \
    --max-result 10

Contoh Output

{
    "InstanceImageMetadata": [
    {
        "InstanceId": "i-1234567890example",
        "InstanceType": "t3.nano",
        "LaunchTime": "2024-10-10T15:55:37+00:00",
        "AvailabilityZone": "USMA62",
        "State": {
            "Code": 16,
            "Name": "running"
            },
        "OwnerId": "111111111111",,
        "ImageMetadata": {
            "ImageId": "ami-1234567890example",
            ...
            "ImageAllowed": false,
            "IsPublic": false
            }
        }
    ],
    "NextToken": "..."
}
AWS Config

Gunakan prosedur berikut untuk menambahkan AWS Config aturan ec2- instance-launched-with-allowed -ami, konfigurasikan untuk kebutuhan Anda, dan kemudian gunakan untuk mengevaluasi instance Anda.

Untuk mengidentifikasi apakah instance diluncurkan dengan AMIs itu tidak diizinkan

  1. Buka AWS Config konsol di https://console.aws.amazon.com/config/.

  2. Di panel navigasi, pilih Aturan.

  3. Pada halaman Aturan, pilih Tambahkan aturan.

  4. Pada halaman Tentukan tipe aturan, lakukan hal berikut:

    1. Di bawah Pilih jenis aturan, pilih Tambahkan aturan AWS terkelola.

    2. Di bawah Aturan AWS Terkelola, pilih ec2- instance-launched-with-allowed -ami. Anda dapat memfilter daftar dengan memasukkan beberapa huruf pertama dari aturan di bidang pencarian.

    3. Pilih Berikutnya.

  5. Pada halaman Konfigurasi aturan, lakukan hal berikut:

    1. Di bawah Detail, edit nama dan deskripsi untuk menjelaskan aturan yang Anda tambahkan.

    2. Dalam mode Evaluasi, untuk jenis Sumber Daya, pilih AWS EC2 contoh.

    3. Untuk Frekuensi, tentukan seberapa sering memeriksa instans Anda. Misalnya, pilih 1 jam untuk pemeriksaan per jam, atau 24 jam untuk pemeriksaan harian.

    4. Anda dapat memeriksa instance tertentu, semua instance yang berjalan, semua instance yang dihentikan, semua instance yang berjalan dan dihentikan, atau instance dengan tag tertentu.

      Untuk menentukan ruang lingkup evaluasi, lakukan salah satu hal berikut:

      • Contoh spesifik: Untuk pengenal Sumber Daya, tentukan ID instance.

      • Semua instance yang berjalan: Di bawah Parameter, untuk Kunci, tentukan InstanceStateNameList, dan untuk Nilai, masukkan berjalan.

      • Semua instance yang dihentikan: Di bawah Parameter, untuk Kunci, tentukan InstanceStateNameList, dan untuk Nilai, masukkan dihentikan.

      • Semua instance yang berjalan dan berhenti: Di bawah Parameter, untuk Kunci, tentukan InstanceStateNameList, dan untuk Nilai, masukkan berjalan, berhenti (dipisahkan koma). Atau, biarkan bidang Nilai kosong untuk menerapkannya secara default.

      • Contoh dengan tag tertentu: Di bawah Parameter, tentukan kunci dan nilai opsional untuk satu atau beberapa tag, dikombinasikan dengan status instance yang diinginkan (berjalan, berhenti, atau keduanya).

    5. Pilih Berikutnya.

  6. Pada halaman Tinjau dan buat, tinjau konfigurasi aturan Anda, lalu pilih Simpan.

  7. Untuk segera menguji aturan, pilih aturan untuk membuka halaman detailnya, lalu pilih Tindakan, Evaluasi ulang. Tindakan ini segera memulai evaluasi, terlepas dari frekuensi yang Anda konfigurasikan.

    Contoh yang dievaluasi muncul di bawah ruang lingkup Sumber Daya.

Untuk informasi selengkapnya, lihat Menambahkan AWS Config aturan dan ec2- instance-launched-with-allowed -ami di Panduan AWS Config Pengembang.

anchoranchoranchor
Untuk mengidentifikasi apakah instance diluncurkan dengan AMI yang tidak diizinkan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih contoh yang ingin Anda periksa.

  4. Pada tab Detail, di bawah Detail instans, temukan bidang Gambar yang Diizinkan.

    • Nilai Ya menunjukkan AMI yang memenuhi AMIs kriteria Diizinkan.

    • Nilai No menunjukkan AMI yang tidak memenuhi AMIs kriteria Diizinkan.

Di halaman ini

Related resources

Panduan Jenis EC2 Instans Amazon
Panduan Pengguna Amazon EBS
Panduan EC2 Pengembang Amazon

Related resources

Panduan Jenis EC2 Instans Amazon
Panduan Pengguna Amazon EBS
Panduan EC2 Pengembang Amazon
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.