Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol penemuan dan penggunaan AMI di Amazon EC2 dengan Diizinkan AMIs
Untuk mengontrol penemuan dan penggunaan Amazon Machine Images (AMIs) oleh pengguna di Anda Akun AWS, Anda dapat menggunakan AMIs fitur *Diizinkan*. Anda menentukan kriteria yang AMIs harus dipenuhi agar terlihat dan tersedia dalam akun Anda. Ketika kriteria diaktifkan, pengguna yang meluncurkan instance hanya akan melihat dan memiliki akses ke AMIs yang sesuai dengan kriteria yang ditentukan. Misalnya, Anda dapat menentukan daftar penyedia AMI tepercaya sebagai kriteria, dan hanya AMIs dari penyedia ini yang akan terlihat dan tersedia untuk digunakan.
Sebelum mengaktifkan AMIs pengaturan Diizinkan, Anda dapat mengaktifkan *mode audit* untuk melihat pratinjau yang AMIs akan atau tidak akan terlihat dan tersedia untuk digunakan. Ini memungkinkan Anda menyempurnakan kriteria yang diperlukan untuk memastikan bahwa hanya yang dimaksudkan AMIs yang terlihat dan tersedia bagi pengguna di akun Anda. Selain itu, gunakan [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)perintah untuk menemukan instance yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs
Anda menentukan AMIs pengaturan Diizinkan di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Pengaturan ini harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin mengontrol penggunaan AMI. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah pengaturan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *AWS Organizations Panduan Pengguna*.
**catatan**
AMIs Fitur yang Diizinkan hanya mengontrol penemuan dan penggunaan publik AMIs atau AMIs dibagikan dengan akun Anda. Itu tidak membatasi yang AMIs dimiliki oleh akun Anda. Terlepas dari kriteria yang Anda tetapkan, yang AMIs dibuat oleh akun Anda selalu dapat ditemukan dan dapat digunakan oleh pengguna di akun Anda.
**Manfaat utama dari Diizinkan AMIs**
+ **Kepatuhan dan keamanan**: Pengguna hanya dapat menemukan dan menggunakan AMIs yang memenuhi kriteria yang ditentukan, sehingga mengurangi risiko penggunaan AMI yang tidak sesuai.
+ **Manajemen yang efisien**: Dengan mengurangi jumlah yang diizinkan AMIs, mengelola yang tersisa menjadi lebih mudah dan lebih efisien.
+ **Implementasi tingkat akun terpusat**: Konfigurasikan AMIs pengaturan yang Diizinkan di tingkat akun, baik secara langsung di dalam akun atau melalui kebijakan deklaratif. Ini memberikan cara terpusat dan efisien untuk mengontrol penggunaan AMI di seluruh akun.
**Topics**
+ [Cara AMIs kerja yang Diizinkan](#how-allowed-amis-works)
+ [Praktik terbaik untuk menerapkan Diizinkan AMIs](#best-practice-for-implementing-allowed-amis)
+ [Izin IAM yang diperlukan](#iam-permissions-for-allowed-amis)
+ [Mengelola pengaturan untuk Diizinkan AMIs](manage-settings-allowed-amis.md)
## Cara AMIs kerja yang Diizinkan
Untuk mengontrol mana yang AMIs dapat ditemukan dan digunakan di akun Anda, Anda menentukan serangkaian kriteria yang digunakan untuk mengevaluasi akun Anda AMIs. Kriteria terdiri dari satu atau lebih `ImageCriterion` seperti yang ditunjukkan pada diagram berikut. Penjelasan mengikuti diagram.
![\[Hierarki AMIs ImageCriteria konfigurasi yang Diizinkan.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)
Konfigurasi memiliki tiga level:
+ **1** — Nilai parameter
+ Parameter multi-nilai:
+ `ImageProviders`
+ `ImageNames`
+ `MarketplaceProductCodes`
AMI dapat mencocokkan nilai *apa pun* dalam parameter yang akan diizinkan.
Contoh: `ImageProviders` = `amazon` **ATAU** akun `111122223333` **ATAU** akun `444455556666` (Logika evaluasi untuk nilai parameter tidak ditampilkan dalam diagram.)
+ Parameter nilai tunggal:
+ `CreationDateCondition`
+ `DeprecationTimeCondition`
+ **2** — `ImageCriterion`
+ Kelompokkan beberapa parameter dengan logika **AND**.
+ AMI harus cocok dengan *semua* parameter dalam a `ImageCriterion` untuk diizinkan.
+ Contoh: `ImageProviders` = `amazon` **AND** `CreationDateCondition` = 300 hari atau kurang
+ **3** — `ImageCriteria`
+ Kelompokkan beberapa `ImageCriterion` dengan logika **OR**.
+ AMI dapat mencocokkan *`ImageCriterion`apa pun* yang diizinkan.
+ Membentuk konfigurasi lengkap yang AMIs dievaluasi.
**Topics**
+ [AMIs Parameter yang diizinkan](#allowed-amis-criteria)
+ [AMIs Konfigurasi yang diizinkan](#allowed-amis-json-configuration)
+ [Bagaimana kriteria dievaluasi](#how-allowed-amis-criteria-are-evaluated)
+ [Batas](#allowed-amis-json-configuration-limits)
+ [AMIs Operasi yang diizinkan](#allowed-amis-operations)
### AMIs Parameter yang diizinkan
Parameter berikut dapat dikonfigurasi untuk membuat`ImageCriterion`:
`ImageProviders`
Penyedia AMI AMIs yang diizinkan.
Nilai yang valid adalah alias yang didefinisikan oleh AWS, dan Akun AWS IDs, sebagai berikut:
+ `amazon`— Alias yang mengidentifikasi AMIs dibuat oleh Amazon atau penyedia terverifikasi
+ `aws-marketplace`— Alias yang mengidentifikasi AMIs dibuat oleh penyedia terverifikasi di AWS Marketplace
+ `aws-backup-vault`— Alias yang mengidentifikasi cadangan yang berada di akun AMIs brankas Backup yang memiliki celah udara secara logis. AWS Jika Anda menggunakan fitur AWS Backup air-gapped vault secara logis, pastikan alias ini disertakan sebagai penyedia AMI.
+ Akun AWS IDs — Satu atau lebih 12 digit Akun AWS IDs
+ `none`— Menunjukkan bahwa hanya AMIs dibuat oleh akun Anda yang dapat ditemukan dan digunakan. Publik atau dibagikan tidak AMIs dapat ditemukan dan digunakan. Ketika ditentukan, tidak ada kriteria lain yang dapat ditentukan.
`ImageNames`
Nama-nama yang diizinkan AMIs, menggunakan kecocokan persis atau wildcard (`?`atau`*`).
`MarketplaceProductCodes`
Kode AWS Marketplace produk untuk diizinkan AMIs.
`CreationDateCondition`
Usia maksimum untuk diizinkan AMIs.
`DeprecationTimeCondition`
Periode maksimum sejak penghentian untuk diizinkan. AMIs
*Untuk nilai dan batasan yang valid untuk setiap kriteria, lihat di Referensi API [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)Amazon EC2.*
### AMIs Konfigurasi yang diizinkan
Konfigurasi inti untuk Diizinkan AMIs adalah `ImageCriteria` konfigurasi yang mendefinisikan kriteria untuk diizinkan AMIs. Struktur JSON berikut menunjukkan parameter yang dapat ditentukan:
```
{
"State": "enabled" | "disabled" | "audit-mode",
"ImageCriteria" : [
{
"ImageProviders": ["string",...],
"MarketplaceProductCodes": ["string",...],
"ImageNames":["string",...],
"CreationDateCondition" : {
"MaximumDaysSinceCreated": integer
},
"DeprecationTimeCondition" : {
"MaximumDaysSinceDeprecated": integer
}
},
...
}
```
#### ImageCriteria contoh
`ImageCriteria`Contoh berikut mengkonfigurasi empat`ImageCriterion`. AMI diperbolehkan jika cocok dengan salah satu dari ini`ImageCriterion`. Untuk informasi tentang bagaimana kriteria dievaluasi, lihat[Bagaimana kriteria dievaluasi](#how-allowed-amis-criteria-are-evaluated).
```
{
"ImageCriteria": [
// ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
{
"MarketplaceProductCodes": [
"abcdefg1234567890"
]
},
// ImageCriterion 2: Allow AMIs from providers whose accounts are
// "123456789012" OR "123456789013" AND AMI age is less than 300 days
{
"ImageProviders": [
"123456789012",
"123456789013"
],
"CreationDateCondition": {
"MaximumDaysSinceCreated": 300
}
},
// ImageCriterion 3: Allow AMIs from provider whose account is "123456789014"
// AND with names following the pattern "golden-ami-*"
{
"ImageProviders": [
"123456789014"
],
"ImageNames": [
"golden-ami-*"
]
},
// ImageCriterion 4: Allow AMIs from Amazon or verified providers
// AND which aren't deprecated
{
"ImageProviders": [
"amazon"
],
"DeprecationTimeCondition": {
"MaximumDaysSinceDeprecated": 0
}
}
]
}
```
### Bagaimana kriteria dievaluasi
Tabel berikut menjelaskan aturan evaluasi yang menentukan apakah AMI diizinkan, yang menunjukkan bagaimana `OR` operator `AND` atau diterapkan di setiap tingkat:
| Tingkat evaluasi | Operator | Persyaratan untuk menjadi AMI yang Diizinkan |
| --- | --- | --- |
| Nilai parameter untukImageProviders,ImageNames, dan MarketplaceProductCodes | OR | AMI harus mencocokkan setidaknya satu nilai di setiap daftar parameter |
| ImageCriterion | AND | AMI harus mencocokkan semua parameter di masing-masing ImageCriterion |
| ImageCriteria | OR | AMI harus cocok dengan salah satu ImageCriterion |
Dengan menggunakan aturan evaluasi sebelumnya, mari kita lihat bagaimana menerapkannya pada: [ImageCriteria contoh](#allowed-amis-json-configuration-example)
+ `ImageCriterion`1: Memungkinkan AMIs yang memiliki kode AWS Marketplace produk `abcdefg1234567890`
`OR`
+ `ImageCriterion`2: Memungkinkan AMIs yang memenuhi kedua kriteria ini:
+ Dimiliki oleh salah satu akun `123456789012` `OR` `123456789013`
+ `AND`
+ Dibuat dalam 300 hari terakhir
`OR`
+ `ImageCriterion`3: Memungkinkan AMIs yang memenuhi kedua kriteria ini:
+ Dimiliki oleh akun `123456789014`
+ `AND`
+ Dinamakan dengan pola `golden-ami-*`
`OR`
+ `ImageCriterion`4: Memungkinkan AMIs yang memenuhi kedua kriteria ini:
+ Diterbitkan oleh Amazon atau penyedia terverifikasi (ditentukan oleh `amazon` alias)
+ `AND`
+ Tidak usang (hari maksimum sejak penghentian) `0`
### Batas
`ImageCriteria`Dapat mencakup hingga:
+ 10 `ImageCriterion`
Masing-masing `ImageCriterion` dapat mencakup hingga:
+ 200 nilai untuk `ImageProviders`
+ 50 nilai untuk `ImageNames`
+ 50 nilai untuk `MarketplaceProductCodes`
**Contoh batas**
Menggunakan yang sebelumnya[ImageCriteria contoh](#allowed-amis-json-configuration-example):
+ Ada 4`ImageCriterion`. Hingga 6 lagi dapat ditambahkan ke permintaan untuk mencapai batas 10.
+ Yang pertama`ImageCriterion`, ada 1 nilai untuk`MarketplaceProductCodes`. Hingga 49 lebih dapat ditambahkan ke ini `ImageCriterion` untuk mencapai batas 50.
+ Yang kedua`ImageCriterion`, ada 2 nilai untuk`ImageProviders`. Hingga 198 lebih dapat ditambahkan ke ini `ImageCriterion` untuk mencapai batas 200.
+ Yang ketiga`ImageCriterion`, ada 1 nilai untuk`ImageNames`. Hingga 49 lebih dapat ditambahkan ke ini `ImageCriterion` untuk mencapai batas 50.
### AMIs Operasi yang diizinkan
AMIs Fitur Diizinkan memiliki tiga status operasional untuk mengelola kriteria gambar: **mode **diaktifkan**, **dinonaktifkan**, dan audit**. Ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan kriteria gambar, atau meninjaunya sesuai kebutuhan.
**Diaktifkan**
Saat Diizinkan AMIs diaktifkan:
+ Itu `ImageCriteria` diterapkan.
+ Hanya AMI yang diizinkan yang dapat ditemukan di konsol EC2 dan dengan APIs itu menggunakan gambar (misalnya, yang menggambarkan, menyalin, menyimpan, atau melakukan tindakan lain yang menggunakan gambar).
+ Instans hanya dapat diluncurkan menggunakan diizinkan AMIs.
**Nonaktif**
Ketika Diizinkan AMIs dinonaktifkan:
+ Itu `ImageCriteria` tidak diterapkan.
+ Tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.
**Modus audit**
Dalam mode audit:
+ `ImageCriteria`Ini diterapkan, tetapi tidak ada batasan yang ditempatkan pada kemampuan penemuan atau penggunaan AMI.
+ Di konsol EC2, untuk setiap AMI, bidang **gambar yang Diizinkan** menampilkan **Ya** atau **Tidak** untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia bagi pengguna di akun saat Diizinkan AMIs diaktifkan.
+ Di baris perintah, respons untuk `describe-image` operasi mencakup `"ImageAllowed": true` atau `"ImageAllowed": false` untuk menunjukkan apakah AMI akan dapat ditemukan dan tersedia untuk pengguna di akun saat Diizinkan AMIs diaktifkan.
+ Di konsol EC2, Katalog AMI menampilkan **Tidak diizinkan** di samping AMIs yang tidak dapat ditemukan atau tersedia bagi pengguna di akun saat Diizinkan AMIs diaktifkan.
## Praktik terbaik untuk menerapkan Diizinkan AMIs
Saat menerapkan AMIs Allowed, pertimbangkan praktik terbaik ini untuk memastikan transisi yang lancar dan meminimalkan potensi gangguan pada AWS lingkungan Anda.
1. **Aktifkan mode audit**
Mulailah dengan mengaktifkan Diizinkan AMIs dalam mode audit. Status ini memungkinkan Anda untuk melihat mana yang AMIs akan terpengaruh oleh kriteria Anda tanpa benar-benar membatasi akses, memberikan periode evaluasi bebas risiko.
1. **Tetapkan AMIs kriteria yang Diizinkan**
Tetapkan dengan cermat penyedia AMI mana yang selaras dengan kebijakan keamanan, persyaratan kepatuhan, dan kebutuhan operasional organisasi Anda.
**catatan**
Saat menggunakan layanan AWS terkelola, seperti Amazon ECS, Amazon EKS, atau Instans Terkelola AWS Lambda, sebaiknya tentukan alias yang akan diizinkan dibuat `amazon` oleh. AMIs AWS Layanan ini bergantung pada Amazon yang diterbitkan AMIs untuk meluncurkan instance.
Berhati-hatilah saat menetapkan `CreationDateCondition` batasan untuk apa pun AMIs. Menyetel kondisi tanggal yang terlalu ketat (misalnya, AMIs harus berusia kurang dari 5 hari) dapat menyebabkan kegagalan peluncuran instance jika AMIs, baik dari AWS atau penyedia lain, tidak diperbarui dalam jangka waktu yang Anda tentukan.
Kami merekomendasikan pemasangan `ImageNames` dengan `ImageProviders` untuk kontrol dan spesifisitas yang lebih baik. Menggunakan `ImageNames` sendiri mungkin tidak secara unik mengidentifikasi AMI.
1. **Periksa dampak pada proses bisnis yang diharapkan**
Anda dapat menggunakan konsol atau CLI untuk mengidentifikasi instance apa pun yang diluncurkan dengan yang tidak memenuhi kriteria AMIs yang ditentukan. Informasi ini dapat memandu keputusan Anda untuk memperbarui konfigurasi peluncuran agar sesuai dengan penggunaan AMIs (misalnya, menentukan AMI yang berbeda dalam templat peluncuran) atau menyesuaikan kriteria Anda untuk mengizinkannya. AMIs
Konsol: Gunakan AWS Config aturan [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) untuk memeriksa apakah instance yang sedang berjalan atau dihentikan diluncurkan dengan AMIs yang memenuhi kriteria Diizinkan Anda. AMIs Aturannya adalah **NON\$1COMPLIANT** jika AMI tidak memenuhi AMIs kriteria yang Diizinkan, dan **COMPLIANT** jika memang demikian. Aturan hanya beroperasi jika AMIs setelan Diizinkan disetel ke **mode **aktif** atau audit**.
CLI: Jalankan [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)perintah dan filter respons untuk mengidentifikasi instance apa pun yang diluncurkan dengan AMIs yang tidak memenuhi kriteria yang ditentukan.
Untuk instruksi konsol dan CLI, lihat. [Temukan instance yang diluncurkan dari AMIs yang tidak diizinkan](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs)
1. **Aktifkan Diizinkan AMIs**
Setelah Anda mengonfirmasi bahwa kriteria tidak akan mempengaruhi proses bisnis yang diharapkan, aktifkan Diizinkan AMIs.
1. **Monitor peluncuran instance**
Terus memantau peluncuran instans dari AMIs seluruh aplikasi dan layanan AWS terkelola yang Anda gunakan, seperti Amazon EMR, Amazon ECR, Amazon EKS, dan. AWS Elastic Beanstalk Periksa masalah yang tidak terduga dan lakukan penyesuaian yang diperlukan pada AMIs kriteria yang Diizinkan.
1. **Pilot baru AMIs**
Untuk menguji pihak ketiga AMIs yang tidak mematuhi AMIs pengaturan Diizinkan Anda saat ini, AWS rekomendasikan pendekatan berikut:
+ Gunakan yang terpisah Akun AWS: Buat akun tanpa akses ke sumber daya penting bisnis Anda. Pastikan AMIs pengaturan Diizinkan tidak diaktifkan di akun ini, atau yang ingin AMIs Anda uji diizinkan secara eksplisit, sehingga Anda dapat mengujinya.
+ Uji di tempat lain Wilayah AWS: Gunakan Wilayah tempat pihak ketiga AMIs tersedia, tetapi di mana Anda belum mengaktifkan AMIs pengaturan yang Diizinkan.
Pendekatan ini membantu memastikan sumber daya penting bisnis Anda tetap aman saat Anda menguji yang baru. AMIs
## Izin IAM yang diperlukan
Untuk menggunakan AMIs fitur Diizinkan, Anda memerlukan izin IAM berikut:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`