Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Amazon Machine Image in Amazon EC2
<a name="AMIs"></a>

Un'Amazon Machine Image (AMI) è un'immagine che fornisce il software richiesto per impostare e avviare un'istanza Amazon EC2. Ogni AMI contiene anche una mappatura dei dispositivi a blocchi che specifica i dispositivi a blocchi da collegare alle istanze che vengono lanciate. Devi specificare un'AMI quando avvii un'istanza. Il tipo di istanza deve essere compatibile con il tipo di istanza scelto per la tua istanza. Puoi utilizzare un'AMI fornita da AWS, un'AMI pubblica, un'AMI che qualcun altro ha condiviso con te o un'AMI che hai acquistato da Marketplace AWS.

Un'AMI è specifica per quanto segue:
+ Region
+ Sistema operativo
+ Architettura del processore
+ Tipo di volume root
+ Tipo di virtualizzazione

Puoi avviare più istanze da un'unica AMI quando devi disporre di più istanze con la stessa configurazione. È possibile utilizzare istanze diverse AMIs per avviare istanze con configurazioni diverse, come illustrato nel diagramma seguente.

![\[Avvia più istanze da un'AMI.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/launch-from-ami.png)


Puoi creare un'AMI dalle tue istanze Amazon EC2 e poi usarla per avviare istanze con la stessa configurazione. Puoi copiare un AMI in un'altra AWS regione e utilizzarlo per avviare istanze in quella regione. Puoi anche condividere un'AMI che hai creato con altri account in modo tale che possano avviare istanze con la stessa configurazione. Puoi vendere la tua AMI utilizzando il Marketplace AWS.

**Topics**
+ [Caratteristiche di AMI](ComponentsAMIs.md)
+ [Trovare una AMI](finding-an-ami.md)
+ [Pagato in AMIs Marketplace AWS](paid-amis.md)
+ [Ciclo di vita di un'AMI](ami-lifecycle.md)
+ [Modalità di avvio](ami-boot.md)
+ [Crittografia AMI](AMIEncryption.md)
+ [Condiviso AMIs](sharing-amis.md)
+ [Monitoraggio degli eventi](monitor-ami-events.md)
+ [Comprendere la fatturazione AMI](ami-billing-info.md)
+ [Quote delle AMI](ami-quotas.md)

# Tipi di AMI e caratteristiche in Amazon EC2
<a name="ComponentsAMIs"></a>

Quando si avvia un'istanza, l'AMI scelta deve essere compatibile con il tipo di istanza scelta. Puoi selezionare un'AMI da utilizzare in base alle seguenti caratteristiche:
+ [Region](using-regions-availability-zones.md)
+ Sistema operativo
+ Architettura del processore
+ [Permessi di avvio](#launch-permissions)
+ [Tipo di volume root](#storage-for-the-root-device)
+ [Tipi di virtualizzazione](#virtualization_types)

## Permessi di avvio
<a name="launch-permissions"></a>

Le autorizzazioni di avvio determinano chi può utilizzare un’AMI per avviare le istanze. Puoi considerare le autorizzazioni di avvio come la [condivisione di un’AMI](sharing-amis.md): quando concedi le autorizzazioni di avvio, condividi l’AMI con altri utenti. Solo il proprietario di un’AMI può determinarne la disponibilità specificando le autorizzazioni di avvio. I permessi di avvio sono suddivisi nelle seguenti categorie.


| Permesso di avvio | Descrizione | 
| --- | --- | 
| pubblico | Il proprietario concede le autorizzazioni di avvio a tutti gli AWS account. | 
| esplicito | Il proprietario concede le autorizzazioni di avvio a AWS account, organizzazioni o unità organizzative specifici (). OUs | 
| implicito | Il proprietario concede permessi di avvio impliciti per un'AMI. | 

Amazon e la community di Amazon EC2 offrono un'ampia selezione di pubblico. AMIs Per ulteriori informazioni, consulta [Informazioni sull'utilizzo delle AMI condivise in Amazon EC2](sharing-amis.md). Gli sviluppatori possono addebitare i propri. AMIs Per ulteriori informazioni, consulta [AMIs Pagato Marketplace AWS per le istanze Amazon EC2](paid-amis.md).

## Tipo di volume root
<a name="storage-for-the-root-device"></a>

Tutti AMIs sono classificati come *supportati da Amazon EBS* o *supportati da Amazon S3*.
+ AMI supportate da Amazon EBS: il volume root per un’istanza avviata dall’AMI è un volume Amazon Elastic Block Store (Amazon EBS) creato da uno snapshot (Amazon EBS). Supportato sia per Linux che per Windows. AMIs
+ AMI supportata da Amazon S3: il volume root per un’istanza avviata dall’AMI è un volume di archivio istanza creato da un modello archiviato in Amazon S3. Supportato AMIs solo per Linux. Windows AMIs non supporta l'instance store per il volume root.

Per ulteriori informazioni, consulta [Volumi root per le tue istanze Amazon EC2](RootDeviceStorage.md).

**Nota**  
I sistemi basati su Amazon S3 AMIs sono considerati fuori produzione e non sono consigliati per nuovi utilizzi. Sono supportate solo sui seguenti tipi di istanze meno recenti: C1, C3, D2, I2, M1, M2, M3, R3 e X1.

La tabella seguente riassume le differenze importanti nell'utilizzo dei due tipi di. AMIs


| Caratteristica | AMI Amazon EBS-backed | AMI supportata da Amazon S3 | 
| --- | --- | --- | 
| Volume root | Volume EBS | Volume di instance store | 
| Tempo di avvio di un'istanza | In genere meno di 1 minuto | In genere meno di 5 minuti | 
| Persistenza dei dati  |  Per impostazione predefinita, il volume root viene eliminato quando viene terminata l'istanza.\$1 I dati su qualsiasi altro volume EBS sono persistenti dopo l'interruzione dell'istanza per impostazione predefinita.  |  I dati in qualsiasi volume instance store sono persistenti solo durante il ciclo di vita dell'istanza.  | 
| Stato arrestato |  Può essere in uno stato di arresto. Anche quando l’istanza viene arrestata e non in è esecuzione, il volume root viene mantenuto in Amazon EBS.  |  Non possono essere in stato arrestate; le istanze sono in esecuzione o terminate.  | 
| Modifiche |  Il tipo di istanza, il kernel, il disco RAM e i dati utente possono essere modificati mentre l'istanza è arrestata.  |  Gli attributi di istanza sono fissi per la durata di un'istanza.  | 
| Costi |  Ti vengono addebitati i costi per l'utilizzo dell'istanza, l'utilizzo del volume EBS e l'archiviazione dell'AMI come snapshot EBS.  |  Ti vengono addebitati i costi per l'utilizzo dell'istanza e l'archiviazione dell'AMI in Amazon S3.  | 
| Creazione/raggruppamento delle AMI | Utilizza un unico comando/chiamata | Richiede l'installazione e l'utilizzo degli strumenti AMI | 

\$1 Per impostazione predefinita, i volumi root EBS hanno il flag `DeleteOnTermination` impostato su `true`. Per informazioni su come modificare questo flag in modo che il volume sia persistente dopo l'interruzione, consulta [Conservazione di un volume root Amazon EBS dopo aver terminato un'istanza Amazon EC2](configure-root-volume-delete-on-termination.md).

\$1\$1 Supportato solo con `io2` EBS Block Express. Per ulteriori informazioni, consulta i [volumi SSD Block Express con capacità di IOPS allocata](https://docs.aws.amazon.com/ebs/latest/userguide/provisioned-iops.html#io2-block-express) nella *Guida per l'utente di Amazon EBS*.

# Individua il tipo di volume root determinato dalla tua AMI
<a name="display-ami-root-device-type"></a>

L'AMI utilizzata per avviare l'istanza EC2 determina il tipo di volume root. Il volume root di un'istanza EC2 è un volume EBS o un volume di archivio dell'istanza.

[Le istanze basate su Nitro](instance-types.md#instance-hypervisor-type) supportano solo i volumi root EBS. I seguenti tipi di istanza della generazione precedente sono gli unici tipi che supportano i volumi root dell’archivio dell’istanza: C1, C3, D2, I2, M1, M2, M3, R3 e X1.

------
#### [ Console ]

**Per individuare il tipo di volume principale determinato da un’AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione **AMIs**, scegli e seleziona l'AMI.

1. Nella scheda **Details (Dettagli)**, controllare il valore di **Root device type (Tipo di dispositivo root)** come riportato di seguito:
   + `ebs`: le istanze avviate da questa AMI riceveranno un volume root EBS
   + `instance store`: le istanze avviate da questa AMI riceveranno un volume root dell’archivio dell’istanza.

------
#### [ AWS CLI ]

**Per individuare il tipo di volume principale determinato da un’AMI**  
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[].RootDeviceType
```

Di seguito è riportato un output di esempio.

```
ebs
```

------
#### [ PowerShell ]

**Per individuare il tipo di volume principale determinato da un’AMI**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image `
    -ImageId ami-0abcdef1234567890).RootDeviceType.Value
```

Di seguito è riportato un output di esempio.

```
ebs
```

------

## Tipi di virtualizzazione
<a name="virtualization_types"></a>

Le Amazon Machine Image utilizzano uno dei due tipi di virtualizzazione disponibili: paravirtuale (PV) o hardware virtual machine (HVM). Le principali differenze tra PV e HVM AMIs sono il modo in cui si avviano e la possibilità di sfruttare estensioni hardware speciali (CPU, rete e storage) per prestazioni migliori. Le finestre AMIs sono HVM. AMIs

La tabella seguente mette a confronto HVM e PV. AMIs


| Caratteristica | HVM | PV | 
| --- | --- | --- | 
| Descrizione | Le AMI HVM sono caratterizzate da un set completamente virtualizzato di hardware e configurazione di avvio mediante l'esecuzione della partizione Master Boot Record (MBR) del dispositivo a blocchi root dell'immagine. Questo tipo di virtualizzazione ti permette di eseguire un sistema operativo direttamente su una macchina virtuale senza la necessità di alcuna modifica, come se venisse eseguito su hardware Bare Metal. Il sistema host Amazon EC2 emula parte o tutto l'hardware sottostante presentato al sistema guest. | PV AMIs boot con uno speciale boot loader chiamato PV-GRUB, che avvia il ciclo di avvio e poi carica a catena il kernel specificato nel file sull'immagine. menu.lst I guest paravirtuali possono essere eseguiti su hardware host che non dispone di supporto esplicito per la virtualizzazione. Per ulteriori informazioni su PV-GRUB e sul suo utilizzo in Amazon EC2, consulta [Kernel forniti dall'utente](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html). | 
| Tipi di istanze supportati | Tutti i tipi di istanze dell'attuale generazione supportano HVM. AMIs | I seguenti tipi di istanze della generazione precedente supportano PV AMIs: C1, C3, M1, M3, M2 e T1. I tipi di istanza della generazione attuale non supportano PV. AMIs | 
| Supporto per estensioni hardware | I sistemi guest HVM possono sfruttare le estensioni hardware che forniscono un accesso rapido all'hardware sottostante sul sistema host. Sono tenuti a utilizzare le reti avanzate e l'elaborazione della GPU. Per garantire il passaggio delle istruzioni ai dispositivi di rete specializzati e ai dispositivi GPU, il sistema operativo deve accedere alla piattaforma hardware nativa e ciò è garantito dalla virtualizzazione HVM. Per ulteriori informazioni, consulta [Rete avanzata su EC2 istanze Amazon](enhanced-networking.md). | No, non possono usufruire di estensioni hardware speciali come reti avanzate o elaborazione GPU. | 
| [Come trovare](finding-an-ami.md) | Verifica che il tipo di virtualizzazione dell'AMI sia impostato su hvm, utilizzando la console o il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | Verifica che il tipo di virtualizzazione dell'AMI sia impostato su paravirtual, utilizzando la console o il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). | 

**PV su HVM**  
I guest paravirtuali tradizionalmente hanno ottenuto risultati migliori nelle operazioni di storage e rete rispetto ai guest HVM, perché potevano sfruttare driver speciali per I/O evitare il sovraccarico dovuto all'emulazione dell'hardware di rete e del disco, mentre gli ospiti HVM dovevano tradurre queste istruzioni in hardware emulato. Ora i driver PV sono disponibili per gli ospiti HVM, quindi i sistemi operativi che non possono essere trasferiti per l'esecuzione in un ambiente paravirtualizzato possono comunque ottenere vantaggi prestazionali in termini di storage e rete utilizzandoli. I/O Grazie a questi driver PV su HVM, i sistemi guest HVM possono essere caratterizzati dallo stesso livello di prestazioni dei sistemi guest PV.

# Trova un'AMI che soddisfi i requisiti per la tua EC2 istanza
<a name="finding-an-ami"></a>

Una AMI include i componenti e le applicazioni, come il sistema operativo e il tipo di volume root, necessari per avviare un’istanza. Per avviare un’istanza, devi trovare un’AMI che soddisfi le tue esigenze.

Quando selezioni un’AMI, tieni in considerazione i requisiti seguenti per le istanze da avviare:
+ La AWS regione dell'AMI come AMI IDs è unica per ogni regione.
+ Il sistema operativo (ad esempio Linux o Windows).
+ L’architettura (ad esempio, 32-bit, 64-bit, o 64-bit ARM).
+ Il tipo di volume root (ad esempio, Amazon EBS o archivio dell’istanza).
+ Il fornitore (ad esempio Amazon Web Services).
+ Software aggiuntivo (ad esempio SQL Server).

------
#### [ Console ]

Puoi selezionare dall'elenco AMIs quando utilizzare la procedura guidata di avvio dell'istanza oppure puoi cercare tutte le opzioni disponibili AMIs utilizzando la pagina **Immagini**.

**Per individuare un’AMI di avvio rapido tramite la procedura guidata di avvio dell’istanza**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione selezionare la regione in cui avviare le istanze. È possibile selezionare qualsiasi regione disponibile, indipendentemente dalla posizione. IDs Le AMI sono uniche per ogni AWS regione.

1. Dal pannello di controllo della console, scegliere **Launch Instance (Avvia istanza)**.

1. In **Immagini dell'applicazione e del sistema operativo (Amazon Machine Image)**, scegli **Quick Start**, scegli il sistema operativo (OS) per la tua istanza, quindi, da **Amazon Machine Image (AMI)**, seleziona uno dei più usati AMIs nell'elenco. Se non vedi l'AMI che desideri utilizzare, scegli **Sfoglia altro AMIs per sfogliare** il catalogo completo degli AMI. Per ulteriori informazioni, consulta [Immagini di applicazioni e sistema operativo (Amazon Machine Image)](ec2-instance-launch-parameters.md#liw-ami).

**Per trovare un AMI utilizzando la AMIs pagina**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione selezionare la regione in cui avviare le istanze. È possibile selezionare qualsiasi regione disponibile, indipendentemente dalla posizione. IDs Le AMI sono uniche per ogni AWS regione.

1. Nel pannello di navigazione, scegli **AMIs**.

1. (Facoltativo) Utilizza le opzioni di filtro e ricerca per definire l'elenco delle opzioni visualizzate e AMIs visualizzare solo quelle AMIs che corrispondono ai tuoi criteri.

   Ad esempio, per elencare tutti i AMIs contenuti forniti da AWS, scegli **Immagini pubbliche**. Quindi utilizzate le opzioni di ricerca per definire ulteriormente l'elenco delle immagini visualizzate AMIs. Scegli la barra **Search** (Ricerca) e scegli **Owner alias** (Alias proprietario) dal menu, quindi seleziona l’operatore **=** e infine il valore **amazon**. Per trovare AMIs ciò che corrisponde a una piattaforma specifica, ad esempio Linux o Windows, scegli nuovamente la barra di **ricerca** per scegliere **Piattaforma**, quindi l'operatore **=** e quindi il sistema operativo dall'elenco fornito.

1. (Facoltativo) Scegli l’icona **Mostra/Nascondi colonne** per selezionare gli attributi immagine da visualizzare, come il tipo di volume root. In alternativa, selezione un’AMI dall’elenco e visualizzarne le proprietà nella scheda **Details (Dettagli)**.

1. Prima di selezionare un’AMI, è necessario controllare se è supportata da instance store o da Amazon EBS e conoscere gli effetti di questa differenza. Per ulteriori informazioni, consulta [Tipo di volume root](ComponentsAMIs.md#storage-for-the-root-device).

1. Per avviare un’istanza da questa AMI, selezionala e scegli **Avvia istanza**. Per informazioni sull’utilizzo della console per avviare un’istanza, consulta [Avviare un'istanza EC2 tramite la procedura guidata di avvio dell'istanza nella console](ec2-launch-instance-wizard.md). Se non si è ancora pronti per avviare l’istanza, annotare l’ID dell’AMI per un utilizzo successivo.

------
#### [ AWS CLI ]

Utilizza il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) per trovare un’AMI che soddisfi i tuoi requisiti. Per impostazione predefinita, questo comando restituisce tutto AMIs ciò che è pubblico, di tua proprietà e che è condiviso con te.

**Per individuare un’AMI di proprietà di Amazon**  
Utilizza il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) con l’opzione `--owners`.

```
aws ec2 describe-images --owners amazon
```

**Per individuare un’AMI Windows**  
Aggiungi il seguente filtro per visualizzare solo Windows AMIs.

```
--filters "Name=platform,Values=windows"
```

**Per individuare un’AMI supportata da EBS**  
Aggiungi il seguente filtro per visualizzare solo se AMIs supportato da Amazon EBS.

```
--filters "Name=root-device-type,Values=ebs"
```

------
#### [ PowerShell ]

Utilizza il [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet per trovare un AMI che soddisfi i tuoi requisiti. Per impostazione predefinita, questo cmdlet restituisce tutto ciò AMIs che è pubblico, di proprietà dell'utente o condiviso con l'utente.

**Per individuare un’AMI di proprietà di Amazon**  
Usa il comando [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html) con il parametro `-Owner`.

```
Get-EC2Image -Owner amazon
```

**Per individuare un’AMI Windows**  
Aggiungi il seguente filtro per visualizzare solo Windows. AMIs

```
-Filter @{Name="platform"; Values="windows"}
```

Per altri esempi, consulta [Find an Amazon Machine Image Using Windows PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-ec2-get-amis.html) nella *AWS Strumenti per PowerShell User Guide*.

------

**Risorse correlate**

Per ulteriori informazioni su AMIs un sistema operativo specifico, consulta quanto segue:
+ Amazon Linux 2023 — [AL2023 su Amazon EC2 nella Guida](https://docs.aws.amazon.com/linux/al2023/ug/ec2.html) per l'*utente di Amazon Linux 2023*
+ Ubuntu — [Amazon EC2 AMI Locator sul sito](https://cloud-images.ubuntu.com/locator/ec2/) Web *Canonical* Ubuntu
+ RHEL – [Immagini Red Hat Enterprise Linux (AMI) disponibili su Amazon Web Services (AWS)](https://access.redhat.com/solutions/15356) sul sito web di Red Hat
+ Windows Server: [Riferimento di AWS Windows AMI](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/windows-amis.html)

Per informazioni a AMIs riguardo puoi iscriverti sul sito. Marketplace AWS [AMIs Pagato Marketplace AWS per le istanze Amazon EC2](paid-amis.md)

Per informazioni sull’utilizzo di Systems Manager per aiutare gli utenti a trovare l’AMI più recente da utilizzare all’avvio di un’istanza, consulta le risorse seguenti:
+ [Riferimento AMIs utilizzando i parametri di Systems Manager](using-systems-manager-parameter-to-find-AMI.md)
+ [Consultate le ultime novità relative all' AMIs utilizzo dei parametri pubblici di Systems Manager](finding-an-ami-parameter-store.md)

# Riferimento AMIs utilizzando i parametri di Systems Manager
<a name="using-systems-manager-parameter-to-find-AMI"></a>

Quando avvii un'istanza utilizzando la procedura guidata di EC2 avvio dell'istanza nella EC2 console Amazon, puoi selezionare un AMI dall'elenco oppure puoi selezionare un AWS Systems Manager parametro che punti a un ID AMI (descritto in questa sezione). Se utilizzi codice di automazione per avviare le istanze, puoi specificare il parametro Systems Manager anziché l'ID AMI.

Un parametro Systems Manager è una coppia chiave-valore definita dal cliente che puoi creare nell’archivio parametri Systems Manager. Archivio parametri fornisce uno store centralizzato per esternalizzare i valori di configurazione dell’applicazione. Per ulteriori informazioni, consulta [Archivio parametri AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) nella *Guida per l’utente di AWS Systems Manager Systems Manager*.

Quando crei un parametro che punta ad un ID AMI, assicurati di specificare il tipo di dati come `aws:ec2:image`. Specificare questo tipo di dati garantisce che quando il parametro viene creato o modificato, il valore del parametro viene convalidato come un ID AMI. Per ulteriori informazioni, consulta [Supporto dei parametri nativi per Amazon Machine Image IDs](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html) nella *Guida per l'AWS Systems Manager utente*.

**Topics**
+ [Casi d’uso](#systems-manager-parameter-use-case)
+ [Permissions](#systems-manager-permissions)
+ [Limitazioni](#AMI-systems-manager-parameter-limitations)
+ [Avviare un’istanza utilizzando un parametro Systems Manager](#systems-manager-parameter-launch-instance)

## Casi d’uso
<a name="systems-manager-parameter-use-case"></a>

Quando si utilizzano i parametri di Systems Manager per puntare all'AMI IDs, è più facile per gli utenti selezionare l'AMI corretta all'avvio delle istanze. I parametri di Systems Manager possono inoltre semplificare la manutenzione del codice di automazione.

**Più facile per gli utenti**

Se è richiesto che le istanze vengano avviate utilizzando un’AMI specifica e se tale AMI viene aggiornata regolarmente, si consiglia di richiedere agli utenti di selezionare un parametro Systems Manager per trovare l’AMI. Richiedendo agli utenti di selezionare un parametro Systems Manager, puoi assicurarti che l’AMI più recente venga utilizzata per avviare le istanze.

Ad esempio, ogni mese nell’organizzazione è possibile creare una nuova versione dell’AMI con le patch del sistema operativo e delle applicazioni più recenti. Puoi inoltre richiedere che gli utenti avviino istanze utilizzando l’ultima versione dell’AMI. Per assicurarti che gli utenti utilizzino la versione più recente, puoi creare un parametro Systems Manager (ad esempio, `golden-ami`) che punta all’ID AMI corretto. Ogni volta che viene creata una nuova versione dell’AMI, il valore dell’ID AMI nel parametro viene aggiornato in modo che punti sempre all’AMI più recente. Non occorre che gli utenti conoscano gli aggiornamenti periodici all’AMI, perché continuano ogni volta a selezionare lo stesso parametro Systems Manager. Utilizzando un parametro Systems Manager per l’AMI facilita la selezione dell’AMI corretta per l’avvio di un’istanza agli utenti.

**Semplificazione della manutenzione del codice di automazione**

Se utilizzi codice di automazione per avviare le istanze, puoi specificare il parametro Systems Manager anziché l’ID AMI. Se viene creata una nuova versione dell’AMI, è possibile modificare il valore dell’ID AMI nel parametro in modo che punti all’AMI più recente. Il codice di automazione che fa riferimento al parametro non deve essere modificato ogni volta che viene creata una nuova versione dell’AMI. Ciò semplifica la manutenzione dell’automazione e contribuisce a ridurre i costi di implementazione.

**Nota**  
Le istanze in esecuzione non sono interessate quando si modifica l’ID AMI a cui punta il parametro Systems Manager.

## Permissions
<a name="systems-manager-permissions"></a>

Se utilizzi parametri di Systems Manager che puntano all'AMI IDs nella procedura guidata di avvio dell'istanza, devi aggiungere le seguenti autorizzazioni alla tua policy IAM:
+ `ssm:DescribeParameters` – Concede l’autorizzazione per visualizzare e selezionare i parametri Systems Manager.
+ `ssm:GetParameters` – Concede l’autorizzazione per recuperare i valori dei parametri di Systems Manager. 

Puoi inoltre limitare l’accesso a parametri Systems Manager specifici. Per ulteriori informazioni e policy IAM di esempio, consulta [Esempio: utilizzo della procedura guidata per l'avvio dell'istanza EC2](iam-policies-ec2-console.md#ex-launch-wizard).

## Limitazioni
<a name="AMI-systems-manager-parameter-limitations"></a>

AMIs e i parametri di Systems Manager sono specifici della regione. Per utilizzare lo stesso nome di parametro Systems Manager tra regioni, crea un parametro Systems Manager in ogni ragione con lo stesso nome (ad esempio, `golden-ami`). In ogni regione, il parametro Systems Manager deve puntare a un’AMI in tale regione.

I nomi dei parametri fanno distinzione tra maiuscole e minuscole. Le barre rovesciate per il nome del parametro sono necessarie solo quando il parametro fa parte di una gerarchia, ad esempi, `/amis/production/golden-ami`. È possibile omettere la barra rovesciata se il parametro non fa parte di una gerarchia.

## Avviare un’istanza utilizzando un parametro Systems Manager
<a name="systems-manager-parameter-launch-instance"></a>

Quando avvii un’istanza, anziché specificare un ID AMI, puoi specificare un parametro Systems Manager che punta a un ID AMI.

Per specificare il parametro in modo programmatico, utilizza la sintassi seguente, dove `resolve:ssm` è il prefisso standard e `parameter-name` è il nome del parametro univoco.

```
resolve:ssm:parameter-name
```

I parametri Systems Manager dispongono del supporto della versione. A ogni iterazione di un parametro viene assegnato un numero di versione univoco. Puoi fare riferimento alla versione del parametro come indicato di seguito, in cui `version` è il numero di versione univoco. Per impostazione predefinita, la versione più recente del parametro viene utilizzata quando non è specificata alcuna versione.

```
resolve:ssm:parameter-name:version
```

Per avviare un'istanza utilizzando un parametro pubblico fornito da AWS, vedere[Consultate le ultime novità relative all' AMIs utilizzo dei parametri pubblici di Systems Manager](finding-an-ami-parameter-store.md).

------
#### [ Console ]

**Per individuare un’AMI mediante un parametro Systems Manager**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione selezionare la regione in cui avviare le istanze. È possibile selezionare qualsiasi regione disponibile, indipendentemente dalla posizione.

1. Dal pannello di controllo della console, scegliere **Launch Instance (Avvia istanza)**.

1. In **Immagini dell'applicazione e del sistema operativo (Amazon Machine Image)**, scegli **Sfoglia altro AMIs**.

1. Scegli il pulsante freccia a destra della barra delle ricerche, quindi scegli **Cerca per parametro Systems Manager**.

1. Per **Systems Manager parameter (Parametro Systems Manager)**, selezionare un parametro. L’ID AMI corrispondente viene visualizzato sotto **Attualmente si risolve in**.

1. Selezionare **Search (Cerca)**. Nell'elenco vengono visualizzati gli ID AMIs che corrispondono all'AMI ID.

1. Selezionare l’AMI dall’elenco e scegliere **Select (Seleziona)**.

Per ulteriori informazioni sull’avvio di un’istanza tramite la procedura guidata di avvio dell’istanza, consulta [Avviare un'istanza EC2 tramite la procedura guidata di avvio dell'istanza nella console](ec2-launch-instance-wizard.md).

------
#### [ AWS CLI ]

**Per avviare un’istanza utilizzando un parametro Systems Manager**  
Utilizza il comando [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) con l’opzione `--image-id`. Questo esempio utilizza un parametro Systems Manager denominato **golden-ami**, che specifica un ID AMI.

```
--image-id resolve:ssm:/golden-ami
```

Puoi creare versioni di un parametro Systems Manager. L’esempio seguente specifica la versione 2 del parametro **golden-ami**.

```
--image-id resolve:ssm:/golden-ami:2
```

------
#### [ PowerShell ]

**Per avviare un’istanza utilizzando un parametro Systems Manager**  
Utilizzare il [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet con il `-ImageId` parametro. Questo esempio utilizza un parametro Systems Manager denominato **golden-ami**, che specifica un ID AMI.

```
-ImageId "resolve:ssm:/golden-ami"
```

Puoi creare versioni di un parametro Systems Manager. L’esempio seguente specifica la versione 2 del parametro **golden-ami**.

```
-ImageId "resolve:ssm:/golden-ami:2"
```

------

# Consultate le ultime novità relative all' AMIs utilizzo dei parametri pubblici di Systems Manager
<a name="finding-an-ami-parameter-store"></a>

AWS Systems Manager fornisce parametri pubblici per il pubblico AMIs gestito da AWS. Puoi utilizzare i parametri pubblici all'avvio delle istanze per assicurarti di utilizzare le più recenti. AMIs Ad esempio, il parametro pubblico `/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-arm64` è disponibile in tutte le regioni e punta sempre alla versione più recente dell’AMI Amazon Linux 2023 per l’architettura arm64 in una determinata regione.

I parametri pubblici sono disponibili nei percorsi seguenti:
+ **Linux** – `/aws/service/ami-amazon-linux-latest`
+ **Windows** – `/aws/service/ami-windows-latest`

Per ulteriori informazioni, consulta la pagina [Utilizzo dei parametri pubblici](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-public-parameters.html) nella *Guida per l’utente di AWS Systems Manager *.

## Elenca Amazon Linux AMIs
<a name="list-ami-amazon-linux-latest"></a>

------
#### [ AWS CLI ]

**Per elencare i Linux AMIs nella AWS regione corrente**  
Utilizza il seguente comando [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html). Il valore del `--path` parametro è specifico di Linux AMIs.

```
aws ssm get-parameters-by-path \
    --path /aws/service/ami-amazon-linux-latest \
    --query "Parameters[].Name"
```

------
#### [ PowerShell ]

**Per elencare Linux AMIs nella AWS regione corrente**  
Utilizzare il SSMParameters ByPath cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html).

```
Get-SSMParametersByPath `
    -Path "/aws/service/ami-amazon-linux-latest" | `
    Sort-Object Name | Format-Table Name
```

------

## Elenca le finestre AMIs
<a name="list-ami-windows-latest"></a>

------
#### [ AWS CLI ]

**Per elencare le finestre AMIs nella AWS regione corrente**  
Utilizza il seguente comando [get-parameters-by-path](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameters-by-path.html). Il valore del `--path` parametro è specifico di Windows AMIs.

```
aws ssm get-parameters-by-path \
    --path /aws/service/ami-windows-latest \
    --query "Parameters[].Name"
```

------
#### [ PowerShell ]

**Per elencare le finestre AMIs nella AWS regione corrente**  
Utilizzare il SSMParameters ByPath cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMParametersByPath.html).

```
Get-SSMParametersByPath `
    -Path "/aws/service/ami-windows-latest" | `
    Sort-Object Name | Format-Table Name
```

------

## Avvia un’istanza mediante un parametro pubblico
<a name="launch-instance-public-parameter"></a>

Per specificare il parametro pubblico quando si lancia un’istanza, utilizza la sintassi seguente: `resolve:ssm:public-parameter`, dove `resolve:ssm` è il prefisso standard e `public-parameter` è il percorso e il nome del parametro pubblico.

------
#### [ AWS CLI ]

**Per avviare un’istanza mediante un parametro pubblico**  
Utilizza il comando [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) con l’opzione `--image-id`. Questo esempio specifica il parametro pubblico Systems Manager per l’ID dell’immagine per avviare un’istanza mediante l’AMI Amazon Linux 2023 più recente

```
--image-id resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64
```

------
#### [ PowerShell ]

**Per avviare un’istanza mediante un parametro pubblico**  
Utilizzare il [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet con il parametro. `-ImageId` Questo esempio specifica il parametro pubblico Systems Manager per l’ID dell’immagine per avviare un’istanza mediante l’AMI più recente per Windows Server 2022.

```
-ImageId "resolve:ssm:/aws/service/ami-windows-latest/Windows_Server-2022-English-Full-Base"
```

------

Per altri esempi che utilizzano i parametri di Systems Manager, consulta [Query per l'ultima AMI Amazon Linux IDs con AWS Systems Manager Parameter Store](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/) e [Query per l'ultima AMI Windows che utilizza AWS Systems Manager Parameter Store](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/).

# AMIs Pagato Marketplace AWS per le istanze Amazon EC2
<a name="paid-amis"></a>

Un'*AMI a pagamento* è un'AMI elencata in vendita in Marketplace AWS. Marketplace AWS È un negozio online in cui è possibile acquistare software funzionante AWS, comprese le AMI che è possibile utilizzare per avviare l'istanza EC2. Marketplace AWS AMIs Sono organizzati in categorie, ad esempio Strumenti per sviluppatori, per consentirti di trovare prodotti adatti alle tue esigenze. Per ulteriori informazioni in merito Marketplace AWS, consulta il [Marketplace AWS](https://aws.amazon.com/marketplace)sito Web.

È possibile effettuare l'acquisto AMIs Marketplace AWS presso terzi, compresi AMIs quelli forniti con contratti di assistenza stipulati da organizzazioni come Red Hat. Puoi anche creare un'AMI e venderla Marketplace AWS ad altri utenti di Amazon EC2. La creazione di un'AMI sicura, protetta e utilizzabile per l'uso pubblico è un processo molto semplice se segui alcune semplici linee guida. Per informazioni su come creare e utilizzare la condivisione AMIs, consulta[Informazioni sull'utilizzo delle AMI condivise in Amazon EC2](sharing-amis.md).

L'avvio di un'istanza da un'AMI a pagamento è analogo all'avvio di un'istanza da qualsiasi altra AMI. Non sono necessari altri parametri. Per l'istanza vengono addebitate le tariffe impostate dal proprietario dell'AMI, assieme ai costi di utilizzo standard per i servizi Web correlati, ad esempio la tariffa oraria per l'esecuzione di un tipo di istanza m5.small in Amazon EC2. Potrebbero essere applicate anche tasse aggiuntive. Il proprietario dell'AMI a pagamento può confermare se un'istanza specifica è stata avviata utilizzato l'AMI a pagamento indicata. 

**Importante**  
Amazon DevPay non accetta più nuovi venditori o prodotti. Marketplace AWS è ora l'unica piattaforma di e-commerce unificata per la vendita di software e servizi tramite. AWS Per informazioni su come distribuire e vendere software da Marketplace AWS, consulta [Selling in AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). Marketplace AWS supporti AMIs supportati da Amazon EBS.

**Topics**
+ [Vendi il tuo AMI nel Marketplace AWS](#selling-your-ami)
+ [Trovare un'AMI a pagamento](using-paid-amis-finding-paid-ami.md)
+ [Acquista un AMI a pagamento nel Marketplace AWS](using-paid-amis-purchasing-paid-ami.md)
+ [Recupera il codice del Marketplace AWS prodotto dalla tua istanza](get-product-code.md)
+ [Utilizza l'assistenza a pagamento per le offerte supportate Marketplace AWS](using-paid-amis-support.md)
+ [Fatture pagate e supportate AMIs](#using-paid-amis-bills)
+ [Gestisci i tuoi abbonamenti Marketplace AWS](marketplace-manage-subscriptions.md)

## Vendi il tuo AMI nel Marketplace AWS
<a name="selling-your-ami"></a>

Puoi vendere la tua AMI utilizzando Marketplace AWS. Marketplace AWS offre un'esperienza di acquisto organizzata. Inoltre, supporta Marketplace AWS anche AWS funzionalità come istanze supportate da Amazon EBS AMIs, istanze riservate e istanze Spot.

Per informazioni su come vendere la tua AMI su Marketplace AWS, consulta [Selling in AWS Marketplace](https://aws.amazon.com/marketplace/partners/management-tour). 

# Trovare un'AMI a pagamento
<a name="using-paid-amis-finding-paid-ami"></a>

Un’AMI a pagamento è un’Amazon Machine Image (AMI) che è disponibile per l’acquisto. Le AMI a pagamento hanno anche un codice prodotto. Puoi scoprire AMIs che sono disponibili per l'acquisto in Marketplace AWS.

------
#### [ Console ]

**Per trovare un’AMI a pagamento**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**. 

1. Nel primo filtro scegliere **Public images (Immagini pubbliche)**.

1. Esegui una delle seguenti operazioni:
   + Se conosci il codice prodotto, seleziona **Product code** (codice prodotto), **=** e digita il codice.
   + Se non conosci il codice del prodotto, nella barra di ricerca specifica questo filtro: **Owner alias=aws-marketplace**. Specifica filtri aggiuntivi in base alle esigenze.

1. Salva l’ID dell’AMI.

------
#### [ AWS CLI ]

**Per trovare un’AMI a pagamento**  
Usa il seguente comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images --owners aws-marketplace
```

L’output include un numero elevato di immagini. Puoi specificare dei filtri per determinare meglio l’AMI di cui hai bisogno. Dopo aver trovato un’AMI, specifica il suo ID nel seguente comando per ottenere il codice prodotto.

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[*].ProductCodes[].ProductCodeId
```

Di seguito è riportato un output di esempio.

```
[
    "cdef1234abc567def8EXAMPLE"
]
```

Se si conosce il codice prodotto, è possibile filtrare i risultati in base a quel codice. L'esempio seguente restituisce l'AMI più recente con il codice prodotto specificato.

```
aws ec2 describe-images \
    --filters "Name=product-code,Values=cdef1234abc567def8EXAMPLE" \
    --query "sort_by(Images, &CreationDate)[-1].[ImageId]"
```

------
#### [ PowerShell ]

**Per trovare un’AMI a pagamento**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image -Owner aws-marketplace
```

L’output include un numero elevato di immagini. Puoi specificare dei filtri per determinare meglio l’AMI di cui hai bisogno. Dopo aver trovato un’AMI, specifica il suo ID nel seguente comando per ottenere il codice prodotto.

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ProductCodes
```

Di seguito è riportato un output di esempio.

```
ProductCodeId             ProductCodeType
-------------             ---------------
cdef1234abc567def8EXAMPLE marketplace
```

Se si conosce il codice prodotto, è possibile filtrare i risultati in base a quel codice. L'esempio seguente restituisce l'AMI più recente con il codice prodotto specificato.

```
(Get-EC2Image -Owner aws-marketplace -Filter @{"Name"="product-code";"Value"="cdef1234abc567def8EXAMPLE"} | sort CreationDate -Descending | Select-Object -First 1).ImageId
```

------

# Acquista un AMI a pagamento nel Marketplace AWS
<a name="using-paid-amis-purchasing-paid-ami"></a>

Devi registrarti per acquistare un'AMI a pagamento prima di poter avviare un'istanza Amazon EC2 utilizzando l'AMI.

In genere, il rivenditore di un'AMI a pagamento ti invia le informazioni sull'AMI, compresi il relativo prezzo e un collegamento associato alla pagina in cui puoi effettuare l'acquisto. Quando fai clic sul link, ti viene prima chiesto di accedere AWS e poi puoi acquistare l'AMI.

## Acquistare un'AMI a pagamento con la console
<a name="purchase-paid-ami-console"></a>

Puoi acquistare un'AMI a pagamento utilizzando la procedura guidata di avvio di Amazon EC2. Per ulteriori informazioni, consulta [Avvia un'istanza Amazon EC2 da un'AMI Marketplace AWS](launch-marketplace-console.md).

## Abbonati a un prodotto utilizzando Marketplace AWS
<a name="subscribe-to-paid-ami"></a>

Per utilizzare il Marketplace AWS, devi avere un Account AWS. Per avviare istanze dai Marketplace AWS prodotti, devi essere registrato per utilizzare il servizio Amazon EC2 e devi essere abbonato al prodotto da cui avviare l'istanza. Puoi utilizzare uno dei seguenti metodi per la sottoscrizione ai prodotti in Marketplace AWS:
+ **Marketplace AWS sito web**: Puoi avviare rapidamente il software preconfigurato con la funzione di distribuzione 1-Click. Per ulteriori informazioni, consulta [Prodotti basati su AMI in](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-server-products.html). Marketplace AWS
+ **Procedura guidata di avvio di Amazon EC2**: puoi cercare un'AMI e avviare un'istanza direttamente dalla procedura guidata. Per ulteriori informazioni, consulta [Avvia un'istanza Amazon EC2 da un'AMI Marketplace AWS](launch-marketplace-console.md).

# Recupera il codice del Marketplace AWS prodotto dalla tua istanza
<a name="get-product-code"></a>

Puoi recuperare il codice Marketplace AWS prodotto dell'istanza utilizzando i metadati dell'istanza. Se l'istanza dispone di un codice prodotto, Amazon EC2 restituisce tale valore. Per ulteriori informazioni sul recupero dei metadati, consulta [Accesso ai metadati dell'istanza per un'istanza EC2](instancedata-data-retrieval.md).

------
#### [ IMDSv2 ]

**Linux**  
Esegui il seguente comando dall’istanza Linux.

```
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
    && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes
```

**Windows**  
Esegui i seguenti cmdlet dall’istanza Windows.

```
[string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} `
    -Method PUT -Uri http://169.254.169.254/latest/api/token
```

```
Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} `
    -Method GET -Uri http://169.254.169.254/latest/meta-data/product-codes
```

------
#### [ IMDSv1 ]

**Linux**  
Esegui il seguente comando dall’istanza Linux.

```
curl http://169.254.169.254/latest/meta-data/product-codes
```

**Windows**  
Esegui il seguente comando dall’istanza Windows.

```
Invoke-RestMethod -Uri http://169.254.169.254/latest/meta-data/product-codes
```

------

# Utilizza l'assistenza a pagamento per le offerte supportate Marketplace AWS
<a name="using-paid-amis-support"></a>

Amazon EC2 consente inoltre agli sviluppatori di offrire supporto per software (o derivati AMIs). Gli sviluppatori possono creare prodotti di supporto per il cui utilizzo è prevista la registrazione. Durante il processo di registrazione per un prodotto di supporto, lo sviluppatore ti invia un codice prodotto, che dovrai quindi associare all'AMI in tuo possesso. Ciò consente allo sviluppatore di verificare che la tua istanza ha diritto al supporto. Garantisce inoltre che quando esegui le istanze del prodotto ti vengano addebitati i costi corretti in base alle condizioni specificate per il prodotto dallo sviluppatore. 

**Limitazioni**
+ Dopo aver impostato l’attributo relativo al codice prodotto, non puoi più modificarlo o rimuoverlo.
+ Non puoi utilizzare un prodotto di supporto con le Istanze riservate. Ti verrà sempre addebitato il prezzo specificato dal rivenditore del prodotto di supporto.

------
#### [ AWS CLI ]

**Per associare un codice prodotto alla tua AMI**  
Utilizza il comando [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html).

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --product-codes "cdef1234abc567def8EXAMPLE"
```

------
#### [ PowerShell ]

**Per associare un codice prodotto alla tua AMI**  
Utilizza il cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html).

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ProductCode "cdef1234abc567def8EXAMPLE"
```

------

## Fatture pagate e supportate AMIs
<a name="using-paid-amis-bills"></a>

Alla fine di ogni mese riceverai un messaggio e-mail contenente l'importo addebitato sulla tua carta di credito per l'utilizzo di qualsiasi AMI a pagamento o supportata durante il mese appena trascorso. Questa fattura è distinta rispetto alla normale fattura di Amazon EC2. Per ulteriori informazioni, consulta [Pagamento dei prodotti](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-paying-for-products.html) nella *Marketplace AWS Guida per gli acquirenti *.

# Gestisci i tuoi abbonamenti Marketplace AWS
<a name="marketplace-manage-subscriptions"></a>

Sul Marketplace AWS sito Web, puoi controllare i dettagli dell'abbonamento, visualizzare le istruzioni di utilizzo del fornitore, gestire gli abbonamenti e altro ancora.

## Controlla i dettagli della sottoscrizione a
<a name="check-sub-details"></a>

**Per controllare i dettagli della sottoscrizione**

1.  Accedi al [Marketplace AWS](https://aws.amazon.com/marketplace).

1. Scegliere **Your Marketplace Account (Account Marketplace personale)**.

1. Scegliere **Manage your software subscriptions (Gestisci sottoscrizioni software)**. 

1. Vengono elencate tutte le sottoscrizioni correnti. Scegliere **Istruzioni di utilizzo** per visualizzare istruzioni specifiche relative all'utilizzo del prodotto, ad esempio un nome utente per la connessione all'istanza in esecuzione.

## Annulla abbonamento
<a name="cancel-sub"></a>

**Nota**  
Annullare un abbonamento non comporta la terminazione delle istanze avviate con quell’AMI. Continueremo ad addebitarti le istanze in esecuzione fino alla loro terminazione. Devi terminare tutte le istanze avviate con l’AMI per interrompere la fatturazione dell’abbonamento.
Dopo aver annullato la sottoscrizione, non sara più in possibile avviare istanze dall'AMI specifica. Per utilizzare nuovamente quell'AMI, devi abbonarti nuovamente, sul Marketplace AWS sito Web o tramite la procedura guidata di avvio nella console Amazon EC2.

**Per annullare un abbonamento Marketplace AWS**

1. Per interrompere la fatturazione dell’abbonamento, assicurati di aver terminato tutte le istanze in esecuzione dall’abbonamento.
**avvertimento**  
**La terminazione di un’istanza è permanente e irreversibile.**  
Dopo aver terminato un’istanza, non puoi più connetterti a essa e non puoi ripristinarla. Inoltre, tutti i volumi Amazon EBS collegati e configurati per essere eliminati in caso di terminazione vengono eliminati in modo definitivo e non possono essere recuperati. Tutti i dati archiviati nei volumi di archivio dell’istanza vengono persi in modo definitivo. Per ulteriori informazioni, consulta [Come funziona la terminazione delle istanze](how-ec2-instance-termination-works.md).  
Prima di terminare un’istanza, assicurati di aver eseguito il backup di tutti i dati che devi mantenere dopo la terminazione sull’archivio persistente.

   1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

   1. Seleziona l'istanza e scegli **Stato istanza**, **Termina (elimina) istanza**.

   1. Quando viene richiesta la conferma, scegli **Termina (elimina)**.

1. Accedere al [Marketplace AWS](https://aws.amazon.com/marketplace) e scegliere **Account Marketplace personale**, quindi **Gestisci sottoscrizioni software**.

1. Scegliere **Cancel subscription (Annulla sottoscrizione)**. Verrà richiesto di confermare l'annullamento. 

# Ciclo di vita dell'AMI di Amazon EC2
<a name="ami-lifecycle"></a>

Un’immagine Amazon Machine Image (AMI) contiene la configurazione software necessaria per impostare e avviare un’istanza. Devi specificare un'AMI quando avvii un'istanza. Puoi utilizzare quello AMIs fornito da Amazon oppure puoi crearne uno tuo AMIs. L'AMI deve trovarsi nell'area Regione AWS in cui desideri avviare l'istanza.

Il ciclo di vita di un’AMI comprende la creazione, la copia, l’obsolescenza, la disabilitazione e l’eliminazione (annullamento della registrazione) dell’AMI.

**Crea AMIs.** Amazon prevede AMIs che tu possa utilizzare le istanze per avviare le tue istanze, ma puoi crearne di AMIs personalizzate in base alle tue esigenze. Per creare un’AMI personalizzata, avvia un’istanza da un’AMI esistente, personalizzala (ad esempio, installando il software e configurando le impostazioni del sistema operativo) e poi crea un’AMI dall’istanza. Tutte le personalizzazioni delle istanze vengono salvate nella nuova AMI, in modo che le istanze avviate dalla nuova AMI includano tali personalizzazioni.

**Attestabile AMIs.** Per creare un’AMI che supporti l’attestazione delle istanze EC2, consulta [Attestabile AMIs](attestable-ami.md).

**Copia AMIs.** È possibile utilizzare un'AMI per avviare un'istanza solo nel luogo Regione AWS in cui si trova l'AMI. Se hai bisogno di avviare istanze con la stessa configurazione in più regioni, copia l’AMI nelle altre regioni.

**Deprecato AMIs.** Per contrassegnare un’AMI come sostituita o come obsoleta, puoi impostare una data di obsolescenza immediata o futura. Le versioni obsolete AMIs sono nascoste negli elenchi AMI, ma gli utenti e i servizi possono continuare a utilizzare le versioni obsolete se AMIs conoscono l'ID AMI.

** AMIsDisabilita.** Per impedire temporaneamente l’uso di un’AMI, puoi disabilitarla. Quando un’AMI è disabilitata, non può essere utilizzata per avviare nuove istanze. Se però l’AMI viene riattivata, puoi utilizzarla per avviare nuovamente le istanze. Nota che la disabilitazione di un’AMI non influisce sulle istanze esistenti che sono già state avviate da essa.

**Annullare la registrazione (eliminare). AMIs** Quando un’AMI non è più necessaria, puoi annullarne la registrazione, impedendo che venga utilizzata per avviare nuove istanze. Se l’AMI soddisfa una regola di conservazione, viene spostata nel Cestino, dove può essere ripristinata prima della scadenza del periodo di conservazione, dopo il quale viene eliminata definitivamente. Se non soddisfa una regola di conservazione, viene subito eliminata definitivamente. Nota che l’annullamento della registrazione di un’AMI non influisce sulle istanze esistenti che erano state avviate dall’AMI.

**Automatizza i cicli di vita dell’AMI.** Puoi utilizzare Amazon Data Lifecycle Manager per creare, conservare, copiare, rendere obsolete ed eliminare automaticamente le AMI Amazon EBS-backed e i relativi snapshot di supporto. Puoi anche utilizzare EC2 Image Builder per automatizzare la creazione, la gestione e l'implementazione di contenuti personalizzati. AMIs Per ulteriori informazioni, consulta [Automate backups with Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html) nella *Guida per l’utente di Amazon EBS* e nella [Guida per l’utente di EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html).

**Topics**
+ [Creare un'AMI](creating-an-ami-ebs.md)
+ [Creare un’AMI supportata da Amazon S3](creating-an-ami-instance-store.md)
+ [Creare un'AMI utilizzando Windows Sysprep](ami-create-win-sysprep.md)
+ [Copiare un'AMI](CopyingAMIs.md)
+ [Archiviazione e ripristino di un'AMI](ami-store-restore.md)
+ [Antenati AMI](ami-ancestry.md)
+ [Uso delle AMI](ec2-ami-usage.md)
+ [Dichiarazione di un’AMI come obsoleta](ami-deprecate.md)
+ [Disabilitazione di un’AMI](disable-an-ami.md)
+ [Annullare la registrazione di un'AMI](deregister-ami.md)

# Creare un'AMI supportata da Amazon EBS
<a name="creating-an-ami-ebs"></a>

Puoi creare la tua AMI supportata da Amazon EBS da un’istanza Amazon EC2 o da uno snapshot del volume root di un’istanza Amazon EC2.

Per creare un'AMI supportata da Amazon EBS da un'istanza, inizia avviando un'istanza con un'AMI supportata da Amazon EBS esistente. Questo AMI può essere ottenuto da Marketplace AWS, creato utilizzando [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html), o qualsiasi altro AMI a cui puoi accedere. Dopo aver personalizzato l'istanza per soddisfare i tuoi requisiti specifici, crea e registra una nuova AMI. Poi, puoi usare la nuova AMI per avviare nuove istanze con le tue personalizzazioni.

**Nota**  
Per creare un’AMI che supporti l’attestazione delle istanze EC2, consulta [Attestabile AMIs](attestable-ami.md).

Le procedure descritte di seguito sono valide per le istanze di Amazon EC2 supportate dai volumi Amazon Elastic Block Store (Amazon EBS) (incluso il volume root) e per i volumi non crittografati.

Il processo di creazione di AMI è diverso per Amazon S3 AMIs. Per ulteriori informazioni, consulta [Creare un’AMI supportata da Amazon S3](creating-an-ami-instance-store.md).

**Topics**
+ [Panoramica della creazione di AMI da un'istanza](#process-creating-an-ami-ebs)
+ [Creare un'AMI da un'istanza](#how-to-create-ebs-ami)
+ [Creazione di un'AMI da uno snapshot](#creating-launching-ami-from-snapshot)

## Panoramica della creazione di AMI da un'istanza
<a name="process-creating-an-ami-ebs"></a>

Il diagramma seguente riepiloga il processo di creazione di un'AMI Amazon EBS-backed da un'istanza EC2 in esecuzione: si inizia con un'AMI esistente, si avvia un'istanza, la si personalizza, si crea una nuova AMI da essa e infine si avvia un'istanza della nuova AMI. I numeri nel diagramma corrispondono ai numeri nella descrizione che segue.

![\[Flusso di lavoro per la creazione di un'AMI da un'istanza\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/running-instance.png)


**1 — AMI \$11: si inizia con un'AMI esistente**  
Individua un'AMI esistente simile all'AMI che si desidera creare. Può trattarsi di un AMI ottenuto da Marketplace AWS, di un AMI creato utilizzando [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/what-is-vmimport.html) o di qualsiasi altro AMI a cui è possibile accedere. Si personalizzerà questa AMI in base alle proprie esigenze.  
Nel diagramma, lo **snapshot del volume root EBS \$11** indica che l'AMI è un'AMI Amazon EBS-backed e che le informazioni sul volume root sono memorizzate in questo snapshot.

**2 — Si avvia l'istanza dall'AMI esistente**  
Il modo per configurare un'AMI consiste nel lanciare un'istanza dall'AMI su cui si desidera basare la nuova AMI, quindi personalizzare l'istanza (indicata all'indirizzo **3** nel diagramma). Quindi si creerà una nuova AMI che include le personalizzazioni (indicate all'indirizzo **4** nel diagramma).

**3 — Istanza EC2 \$11: si personalizza l'istanza**  
Connettersi all'istanza e personalizzarla in base alla proprie esigenze. La nuova AMI includerà queste personalizzazioni.  
È possibile effettuare una delle operazioni seguenti sull'istanza per personalizzarla in base alle proprie esigenze:  
+ Installazione di software e applicazioni
+ Copia dei dati
+ Riduzione del tempo di avvio tramite l'eliminazione dei file temporanei e la deframmentazione del disco rigido
+ Collegamento di volumi EBS aggiuntivi

**4 — Si crea un'immagine**  
Quando un'AMI viene creata da un'istanza, Amazon EC2 spegne l'istanza prima di creare l'AMI per garantire che tutto ciò che è presente sull'istanza sia arrestato e mantenuto in uno stato coerente durante la procedura di creazione. Se sei sicuro che l'istanza sia in uno stato coerente, appropriato per la creazione dell'AMI, puoi indicare ad Amazon EC2 di non spegnere e riavviare l'istanza. Alcuni file system, come XFS, possono bloccare e sbloccare l'attività, consentendo la creazione sicura dell'immagine senza il riavvio dell'istanza.  
Durante il processo di creazione dell'AMI, Amazon EC2 crea degli snapshot del volume root dell'istanza e di altri volumi EBS collegati alla tua istanza. Ti verrà addebitato il costo degli snapshot finché non [annullerai la registrazione dell'AMI](deregister-ami.md) e non eliminerai gli snapshot. Se i volumi collegati all'istanza sono crittografati, la nuova AMI viene avviata correttamente solo sulle istanze che supportano la crittografia Amazon EBS.  
A seconda della dimensione dei volumi, potrebbero essere necessari diversi istanti per il completamento del processo di creazione dell'AMI (a volte fino a 24 ore). Si potrebbe ritenere più efficiente creare snapshot dei volumi prima della creazione dell'AMI. In questo modo, in seguito alla creazione dell'AMI, dovrai creare soltanto snapshot incrementali e di piccole dimensioni, e il processo verrà completato più rapidamente (il tempo totale per la creazione della snapshot rimane invariato).

**5 — AMI \$12: Una nuova AMI**  
Al termine del processo, si disporrà di una nuova AMI e di uno snapshot (**snapshot \$12**) creati dal volume root dell'istanza. Se hai aggiunto volumi di archivio dell’istanza o volumi EBS all’istanza, oltre al volume root, la mappatura dei dispositivi a blocchi per la nuova AMI conterrà informazioni su tali volumi.  
Amazon EC2 registra automaticamente l'AMI

**6 — Si avvia un'istanza da una nuova AMI.**  
È possibile utilizzare la nuova AMI per avviare un'istanza.

**7 — Istanza EC2 \$12: una nuova istanza**  
Quando si avvia un'istanza con la nuova AMI, Amazon EC2 crea un nuovo volume EBS per il relativo volume root tramite lo snapshot. Se hai aggiunto volumi di archivio dell’istanza o volumi EBS quando hai personalizzato l’istanza, la mappatura dei dispositivi a blocchi per la nuova AMI conterrà informazioni su tali volumi e le mappature dei dispositivi a blocchi per le istanze avviate dalla nuova AMI includeranno automaticamente le informazioni relative a tali volumi. I volumi instance store specificati nella mappatura dei dispositivi a blocchi per la nuova istanza sono nuovi e non contengono nessun dato sui volumi instance store dell'istanza utilizzata per creare l'AMI. I dati sui volumi EBS vengono conservati. Per ulteriori informazioni, consulta [Mappature dei dispositivi a blocchi per i volumi sulle istanze Amazon EC2](block-device-mapping-concepts.md).  
Quando una nuova istanza da un'AMI EBS-backed viene creata, occorre inizializzare il relativo volume root e l'archiviazione EBS aggiuntiva prima di inserirla in produzione. Per ulteriori informazioni, consulta [Inizializzazione dei volumi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-initialize.html) nella *Guida per l'utente di Amazon EBS*.

## Creare un'AMI da un'istanza
<a name="how-to-create-ebs-ami"></a>

Se disponi di un'istanza esistente, puoi creare un'AMI da questa istanza.

------
#### [ Console ]

**Per creare un'AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Seleziona l'istanza dalla quale creare l'AMI, quindi scegli **Actions** (Operazioni), **Image and templates** (Immagine e modelli), **Create image** (Crea immagine).
**Suggerimento**  
Se questa opzione è disabilitata, l'istanza non è un'istanza supportata da Amazon EBS.

1. Nella pagina **Create image** (Crea immagine), specifica le seguenti informazioni:

   1. In **Image name** (Nome immagine), inserisci un nome univoco per l'immagine lungo al massimo 127 caratteri.

   1. In **Image description** (Descrizione immagine), inserisci una descrizione facoltativa dell'immagine lunga al massimo 255 caratteri.

   1. Per **Riavvia istanza**, lascia selezionata la casella di spunta Abilita, che è l'impostazione predefinita, oppure deselezionala.
      + Se la funzione **Riavvia istanza** è selezionata, quando Amazon EC2 crea la nuova AMI, riavvia l'istanza in modo da poter acquisire snapshot dei volumi collegati mentre i dati sono a riposo, al fine di garantire uno stato coerente.
      + Se l'opzione **Riavvia istanza** non è selezionata, quando Amazon EC2 crea la nuova AMI, non chiude e non riavvia l'istanza.
**avvertimento**  
Se si deseleziona l'opzione **Riavvia istanza**, non possiamo garantire l'integrità del file system dell'immagine creata.

   1. **Volumi istanza**: puoi modificare il volume root e aggiungere altri volumi Amazon EBS e di archivio dell'istanza, come segue:

      1. Il volume root è definito nella prima riga.
         + Per modificare la dimensione del volume root, in **Dimensione** immetti il valore richiesto.
         + Se selezioni **Delete on Termination (Elimina al termine)**, quando termini l'istanza creata da questa AMI, il volume EBS viene eliminato. Se deselezioni **Delete on Termination (Elimina al termine)**, quando termini l'istanza, il volume EBS non viene eliminato. Per ulteriori informazioni, consulta [Conservare i dati quando un'istanza viene terminata](preserving-volumes-on-termination.md).

      1. Per aggiungere un volume EBS, seleziona **Add New Volume (Aggiungi nuovo volume)**, che comporta l'aggiunta di una nuova riga. Per **Tipo di archiviazione**, scegli **EBS**e compilai campi nella riga. Quando avvii un'istanza dalla nuova AMI, questi volumi aggiuntivi vengono collegati automaticamente all'istanza. È necessario formattare e montare i volumi vuoti. È necessario montare i volumi basati su snapshot.

      1. Per aggiungere un volume instance store, consulta [Aggiunta di volumi di archivio dell'istanza a un'AMI Amazon EC2](adding-instance-storage-ami.md). Quando avvii un'istanza dalla nuova AMI, i volumi aggiuntivi vengono inizializzati e installati automaticamente. Questi volumi non contengono i dati dai volumi instance store dell'istanza in esecuzione sulla quale hai basato l'AMI.

   1. **Destinazione degli snapshot**: se i volumi delle istanze si trovano in una zona locale che supporta gli snapshot locali EBS, scegli dove creare gli snapshot dell’AMI:
      + **Regione AWS**: crea snapshot nella regione principale della zona locale dei tuoi volumi.
      + **AWS Zona locale**: crea istantanee nella stessa zona locale dei tuoi volumi.
**Nota**  
Questa opzione è disponibile solo nelle zone locali che supportano gli snapshot locali EBS e solo se l’istanza è stata creata in una Zona locale. Se il volume si trova in un’area, questa opzione non viene visualizzata e lo snapshot viene creato automaticamente nella stessa regione del volume. Per ulteriori informazioni, consulta [Local snapshots in Local Zones](https://docs.aws.amazon.com/ebs/latest/userguide/snapshots-localzones.html) nella *Guida per l’utente di Amazon EBS*.
**Importante**  
Tutti gli snapshot dei volumi dell’istanza devono trovarsi nella stessa posizione. Verifica la posizione degli snapshot esistenti. Se gli snapshot esistenti si trovano in una posizione diversa dalla destinazione selezionata, la creazione dell’AMI avrà esito negativo.

   1. **Tags (Tag)** - È possibile contrassegnare l'AMI e gli snapshot con gli stessi tag, oppure contrassegnarli con tag diversi.
      + Per taggare l'AMI e gli snapshot con gli *stessi* tag, scegli **Tag image and snapshots together**. All'AMI e a ogni snapshot creato vengono applicati gli stessi tag.
      + Per contrassegnare l'AMI e gli snapshot con tag *diversi*, scegli **Tag image and snapshots separately**. All'AMI e a ogni snapshot creato vengono applicati tag diversi. Tuttavia, tutti gli snapshot ricevono gli stessi tag; non è possibile contrassegnare ogni snapshot con un tag diverso.

      Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore per il tag. Ripetere per ogni tag.

   1. Quando è tutto pronto per creare l'AMI, scegli **Create image** (Crea immagine). 

1. Per visualizzare lo stato dell'AMI durante la creazione:

   1. Nel pannello di navigazione, scegli **AMIs**.

   1. Imposta il filtro su **Owned by me** (Di mia proprietà) e seleziona l'AMI dall'elenco.

      Inizialmente lo stato è `pending`, ma dovrebbe cambiare in `available` dopo pochi minuti.

1. (Facoltativo) Per visualizzare lo snapshot creato per la nuova AMI:

   1. Annota l'ID dell'AMI individuata nel passaggio precedente.

   1. Nel pannello di navigazione, selezionare **Snapshots (Snapshot)**.

   1. Imposta il filtro su **Owned by me** (Di mia proprietà), quindi trova lo snapshot con il nuovo ID AMI nella colonna **Description** (Descrizione).

      Quando avvii un’istanza da questa AMI, Amazon EC2 utilizza questo snapshot per creare il volume root dell’istanza.

------
#### [ AWS CLI ]

**Per creare un'AMI**  
Utilizza il comando [create-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image.html).

```
aws ec2 create-image \
    --instance-id i-1234567890abcdef0 \
    --name "my-web-server" \
    --description "My web server image" \
    --no-reboot
```

------
#### [ PowerShell ]

**Per creare un'AMI**  
Utilizza il cmdlet [New-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Image.html).

```
New-EC2Image `
    -InstanceId i-1234567890abcdef0 ` 
    -Name "my-web-server" `
    -Description "My web server image" `
    -NoReboot $true
```

------

## Creazione di un'AMI da uno snapshot
<a name="creating-launching-ami-from-snapshot"></a>

Se disponi di uno snapshot del volume root di un’istanza, puoi creare un’AMI da tale snapshot.

**Nota**  
Nella maggior parte dei casi, AMIs per Windows, Red Hat, SUSE e SQL Server richiedono che le informazioni di licenza corrette siano presenti sull'AMI. Per ulteriori informazioni, consulta [Comprendere le informazioni di fatturazione AMI](ami-billing-info.md). Quando si crea un'AMI da uno snapshot, l'operazione `RegisterImage` ricava le informazioni di fatturazione corrette dai metadati dello snapshot, ma ciò richiede la presenza dei metadati appropriati. Per verificare se sono state applicate le informazioni di fatturazione corrette, controlla il campo **Dettagli della piattaforma** sulla nuova AMI. Se il campo è vuoto o non corrisponde al codice del sistema operativo previsto (ad esempio, Windows, Red Hat, SUSE o SQL), la creazione dell’AMI ha avuto esito negativo e dovresti eliminare l’AMI e seguire le istruzioni in [Creare un'AMI da un'istanza](#how-to-create-ebs-ami).

------
#### [ Console ]

**Per creare un'AMI da uno snapshot**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, selezionare **Snapshots (Snapshot)**.

1. Seleziona lo snapshot dal quale creare l'AMI e scegli **Actions** (Operazioni), **Create image from snapshot** (Crea un'immagine dallo snapshot).

1. Nella pagina **Crea immagine da uno snapshot**, specifica le seguenti informazioni:

   1. In **Image name (Nome immagine)**, inserire un nome descrittivo per l'immagine.

   1. In **Description (Descrizione)** inserire una breve descrizione dell'immagine.

   1. In **Architecture (Architettura)**, scegliere l'architettura dell'immagine. Scegli **i386** per sistemi a 32 bit, **x86\$164** per sistemi a 64 bit, **arm64** per ARM a 64 bit o **x86\$164** per macOS a 64 bit.

   1. In **Nome dispositivo root**, inserisci il nome del dispositivo da utilizzare per il volume root. Per ulteriori informazioni, consulta [Nomi dei dispositivi per i volumi sulle EC2 istanze Amazon](device_naming.md).

   1. Per **Virtualization type (Tipo di virtualizzazione)**, scegliere il tipo di virtualizzazione da utilizzare dalle istanze avviate da questa AMI. Per ulteriori informazioni, consulta [Tipi di virtualizzazione](ComponentsAMIs.md#virtualization_types).

   1. (Solo per la virtualizzazione paravirtuale) Per **Kernel ID (ID kernel)**, selezionare il kernel del sistema operativo per l'immagine. Se si utilizza uno snapshot del volume root di un’istanza, selezionare lo stesso ID kernel dell’istanza originale. Se non si è sicuri, utilizzare il kernel di default.

   1. (Solo per la virtualizzazione paravirtuale) Per **RAM disk ID (ID disco RAM)**, selezionare il disco RAM per l'immagine. Se è stato selezionato un kernel specifico, potrebbe essere necessario selezionare un disco RAM specifico con i driver che lo supportano.

   1. Per la **Modalità di avvio**, scegli la modalità di avvio per l'immagine o scegli **Usa default** in modo tale che quando un'istanza viene avviata con questa AMI, venga avviata con la modalità di avvio supportata dal tipo di istanza. Per ulteriori informazioni, consulta [Impostare la modalità di avvio di un'AMI Amazon EC2](set-ami-boot-mode.md).

   1. (Facoltativo) Nella sezione **Mappatura dei dispositivi a blocchi**, personalizza il volume root e aggiungi volumi di dati aggiuntivi. 

      Per ogni volume, si possono specificare le dimensioni, il tipo, le caratteristiche delle prestazioni, il comportamento dell'eliminazione alla terminazione e lo stato di crittografia. Per il volume root, la dimensione non può essere inferiore alla dimensione dello snapshot. Per il tipo di volume, SSD a uso generale `gp3` è la selezione predefinita.

   1. (Facoltativo) Nella sezione **Tag**, puoi aggiungere uno o più tag alla nuova AMI. Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore per il tag. Ripetere per ogni tag.

   1. Quando è tutto pronto per creare l'AMI, scegli **Create image** (Crea immagine).

1. (Solo Windows, Red Hat, SUSE e SQL Server) Per verificare se sono state applicate le informazioni di fatturazione corrette, controlla il campo **Dettagli della piattaforma** sulla nuova AMI. Se il campo è vuoto o non corrisponde al codice del sistema operativo previsto (ad esempio, **Windows** o **Red Hat**), la creazione dell’AMI ha avuto esito negativo e dovresti eliminare l’AMI e seguire le istruzioni in [Creare un'AMI da un'istanza](#how-to-create-ebs-ami).

------
#### [ AWS CLI ]

**Per creare un AMI da un'istantanea utilizzando AWS CLI**  
Utilizza il comando [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html).

```
aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0db2cf683925d191f}
```

------
#### [ PowerShell ]

**Per creare un AMI da un'istantanea utilizzando PowerShell**  
Utilizza il cmdlet [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html).

```
$block = @{SnapshotId=snap-0db2cf683925d191f}
Register-EC2Image `
    -Name my-image `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block}
```

------

# Creare un’AMI supportata da Amazon S3
<a name="creating-an-ami-instance-store"></a>

L’AMI specificata quando avvii l’istanza determina il tipo di volume root.

Per creare un’AMI Linux supportata da Amazon S3, devi iniziare da un’istanza già avviata da un’AMI Linux supportata da Amazon S3. Dopo avere personalizzato l'istanza in base alle tue esigenze, è necessario creare un bundle del volume e registrare una nuova AMI, che puoi utilizzare per avviare nuove istanze con queste personalizzazioni.

Non puoi creare un'AMI Windows supportata da Amazon S3 perché Windows AMIs non supporta l'instance store per il volume root.

**Importante**  
Solo i seguenti tipi di istanza supportano un volume di archivio dell’istanza come volume root e richiedono un’AMI supportata da Amazon S3: C1, C3, D2, I2, M1, M2, M3, R3 e X1.

Il processo di creazione di AMI è diverso per Amazon EBS AMIs. Per ulteriori informazioni, consulta [Creare un'AMI supportata da Amazon EBS](creating-an-ami-ebs.md).

**Topics**
+ [Panoramica della creazione delle AMI](#process-creating-an-ami-instance-store)
+ [Prerequisiti](#bundle-ami-prerequisites)
+ [Creare un'AMI da un'istanza Amazon Linux](#amazon_linux_instructions)
+ [Configurazione degli strumenti dell'AMI Amazon EC2](set-up-ami-tools.md)
+ [Riferimento agli strumenti Amazon EC2 AMI](ami-tools-commands.md)
+ [Converti la tua AMI supportata da Amazon S3 in una AMI supportata da EBS](Using_ConvertingS3toEBS.md)

## Panoramica della creazione delle AMI
<a name="process-creating-an-ami-instance-store"></a>

Il diagramma seguente riepiloga le operazioni necessarie per la creazione di un’AMI a partire da un’istanza con un volume root di archivio dell’istanza.

![\[Creare un’AMI supportata da Amazon S3.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami_create_instance_store.png)


Innanzitutto, avvia un'istanza da un'AMI che sia simile all'AMI che desideri creare. Puoi connetterti alla tua istanza e personalizzarla. Una volta che è configurata come desideri puoi creare un bundle dell'istanza. Per il completamento di questo processo sono richiesti vari minuti. Al termine del processo avrai un bundle, composto da un manifest delle immagini (`image.manifest.xml`) e da file (`image.part.`*xx*) contenenti un modello per il volume root. Successivamente, carica il bundle nel bucket Amazon S3 e registra l'AMI.

**Nota**  
Per caricare oggetti in un bucket S3 per l’AMI Linux supportata da Amazon S3, devi abilitare le ACL per il bucket. In caso contrario, Amazon EC2 non sarà in grado di impostare ACLs gli oggetti da caricare. Se il bucket di destinazione utilizza l'impostazione imposta dal proprietario del bucket per S3 Object Ownership, questa impostazione non funzionerà perché sono disabilitati. ACLs Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e ACLs disabilitazione del](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) bucket.

Quando avvii un'istanza con la nuova AMI, viene creato il volume root dell'istanza usando il bundle che hai caricato in Amazon S3. Finché non lo elimini, lo spazio di archiviazione utilizzato dal bundle in Amazon S3 comporta dei costi che vengono addebitati sul tuo account. Per ulteriori informazioni, consulta [Annullare la registrazione di un'AMI Amazon EC2](deregister-ami.md).

Se aggiungi dei volumi archivio dell’istanza all’istanza, oltre al volume root, la mappatura dei dispositivi a blocchi per la nuova AMI conterrà informazioni su tali volumi e le mappature dei dispositivi a blocchi per le istanze che avvii dalla nuova AMI conterranno automaticamente le informazioni relative a tali volumi. Per ulteriori informazioni, consulta [Mappature dei dispositivi a blocchi per i volumi sulle istanze Amazon EC2](block-device-mapping-concepts.md).

## Prerequisiti
<a name="bundle-ami-prerequisites"></a>

Prima di poter creare un AMI, devi completare le attività seguenti:
+ Installazione degli strumenti AMI. Per ulteriori informazioni, consulta [Configurazione degli strumenti dell'AMI Amazon EC2](set-up-ami-tools.md).
+ Installa il. AWS CLI Per ulteriori informazioni, consulta [Nozioni di base di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Assicurati di avere un bucket S3 per il pacchetto e che il bucket sia abilitato. ACLs [Per ulteriori informazioni sulla configurazione, consulta Configurazione ACLs. ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/managing-acls.html)
  + **Per creare un bucket S3 utilizzando Console di gestione AWS, apri la console Amazon S3 all'[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)indirizzo e scegli Create Bucket.**
  + [Per creare un bucket S3 con AWS CLI, puoi usare il comando mb.](https://docs.aws.amazon.com/cli/latest/reference/s3/mb.html) Se la versione installata degli strumenti AMI è la 1.5.18 o successiva, per creare il bucket S3 puoi anche usare il comando `ec2-upload-bundle`. Per ulteriori informazioni, consulta [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle).
+ Assicurati che i file del tuo bundle non siano crittografati nel bucket S3. Se hai bisogno della crittografia per la tua AMI, puoi invece utilizzare un'AMI supportata da EBS. Per ulteriori informazioni, consulta [Usa la crittografia con supporto EBS AMIs](AMIEncryption.md).
+ Assicurati di avere l'ID del tuo AWS account. Per ulteriori informazioni, consulta [Visualizza Account AWS gli identificatori](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) nella *Guida di riferimento per la gestione degli AWS account*.
+ Assicurati di disporre delle credenziali per utilizzare la AWS CLI. Per ulteriori informazioni, consulta [Authentication and access credentials for the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) nella *Guida per l’utente di AWS Command Line Interface *.
+ Verifica della disponibilità di un certificato X.509 e della chiave privata corrispondente.
  + Per creare un certificato X.509, consultare [Gestione dei certificati di firma](set-up-ami-tools.md#ami-tools-managing-certs). Il certificato X.509 e la chiave privata vengono utilizzati per codificare e decodificare l'AMI.
  + [Cina (Pechino)] Utilizza il certificato `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-cn-north-1.pem`.
  + [AWS GovCloud (US-West)] Usa il `$EC2_AMITOOL_HOME/etc/ec2/amitools/cert-ec2-gov.pem` certificato.
+ Connessione all'istanza e relativa personalizzazione. Ad esempio, è possibile installare software e applicazioni, copiare i dati, eliminare i file temporanei e modificare la configurazione Linux.

## Creare un'AMI da un'istanza Amazon Linux
<a name="amazon_linux_instructions"></a>

Le seguenti procedure descrivono come creare un’AMI da un’istanza con un volume root di archivio dell’istanza che esegue Amazon Linux 1. Potrebbero non funzionare per le istanze in esecuzione su altre distribuzioni Linux.

**Per prepararsi a utilizzare gli strumenti AMI (solo istanze HVM)**

1. Per essere avviati correttamente, gli strumenti AMI necessitano di GRUB Legacy. Utilizzare il comando seguente per installare GRUB:

   ```
   [ec2-user ~]$ sudo yum install -y grub
   ```

1. Installare i pacchetti di gestione delle partizioni usando il seguente comando:

   ```
   [ec2-user ~]$ sudo yum install -y gdisk kpartx parted
   ```

**Per creare un’AMI da un’istanza Amazon Linux con un volume root di archivio dell’istanza**

Questa procedura presuppone che i prerequisiti indicati in [Prerequisiti](#bundle-ami-prerequisites) siano stati soddisfatti.

Nei seguenti comandi, sostituisci ciascuno *user input placeholder* con le tue informazioni.

1. Caricare le credenziali nell'istanza. Le credenziali servono a garantire l'accesso all'AMI solo da parte dell'utente e da Amazon EC2.

   1. Creare una directory temporanea sull'istanza per le credenziali, come segue:

      ```
      [ec2-user ~]$ mkdir /tmp/cert
      ```

      In questo modo è possibile escludere le proprie credenziali dall'immagine creata.

   1. Copiare il certificato X.509 e la chiave privata corrispondente dal proprio computer nella directory `/tmp/cert` sull'istanza utilizzando uno strumento di copia protetta come [scp](linux-file-transfer-scp.md). L'opzione `-i my-private-key.pem` nel comando **scp** seguente è la chiave privata da utilizzare per connettersi all'istanza con SSH, non la chiave privata X.509. Ad esempio:

      ```
      you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem /path/to/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/
      pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem  100%  717     0.7KB/s   00:00
      cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem  100%  685     0.7KB/s   00:00
      ```

   In alternativa, poiché questi sono file di testo normale, è possibile aprire il certificato e la chiave in un editor di testo e copiarne il contenuto in nuovi file in `/tmp/cert`.

1. <a name="step_with_bundle_path_amazon_linux"></a>Preparare il bundle da caricare in Amazon S3 eseguendo il comando [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) dall'istanza. Accertarsi di specificare l'opzione `-e` per escludere la directory in cui sono archiviate le proprie credenziali. Per impostazione predefinita, il processo di creazione di bundle esclude i file che possono contenere informazioni sensibili. Tali file includono `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys` e `*/.bash_history`. Per includere tutti questi file, utilizzare l'opzione `--no-filter`. Per includere alcuni di questi file, utilizzare l'opzione `--include`.
**Importante**  
Per impostazione predefinita, il processo di raggruppamento dell'AMI crea una raccolta codificata di file nella directory `/tmp` che rappresenta il volume root. Se non è disponibile sufficiente spazio libero sul disco in `/tmp` per archiviare il bundle, occorre specificare una posizione diversa per il bundle da archiviare con l'opzione `-d /path/to/bundle/storage`. Alcune istanze dispongono di storage temporaneo montato su `/mnt` o `/media/ephemeral0` che è possibile utilizzare; in alternativa, è anche possibile creare, collegare e montare un nuovo volume Amazon EBS per l'archiviazione del bundle. Per ulteriori informazioni, consulta [Creare un volume di Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-creating-volume.html) nella *Guida per l'utente di Amazon EBS*.

   1. Il **ec2-bundle-vol** comando deve essere eseguito come root. Per la maggior parte dei comandi, è possibile utilizzare **sudo** per ottenere autorizzazioni elevate, ma in questo caso occorre eseguire **sudo -E su** per mantenere le variabili di ambiente.

      ```
      [ec2-user ~]$ sudo -E su
      ```

      Si noti che il prompt bash ora identifica l'utente come utente root e il simbolo del dollaro è stato sostituito da un tag hash, a segnalare che ci si trova in una shell root:

      ```
      [root ec2-user]#
      ```

   1. Per creare il bundle dell'AMI, eseguire il comando [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol) come segue:

      ```
      [root ec2-user]# ec2-bundle-vol -k /tmp/cert/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c /tmp/cert/cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 123456789012 -r x86_64 -e /tmp/cert --partition gpt
      ```
**Nota**  
Per le regioni Cina (Pechino) e AWS GovCloud (Stati Uniti occidentali), utilizza il `--ec2cert` parametro e specifica i certificati in base ai [prerequisiti](#bundle-ami-prerequisites).

      Possono essere necessari alcuni minuti per creare l'immagine. Al termine di questo comando, la directory `/tmp` (o quella non predefinita) contiene il pacchetto (`image.manifest.xml`oltre a più file). `image.part.` *xx*

   1. Uscire dalla shell root.

      ```
      [root ec2-user]# exit
      ```

1. (Facoltativo) Per aggiungere altri volumi instance store, modificare le mappature dei dispositivi a blocchi nel file `image.manifest.xml` dell'AMI. Per ulteriori informazioni, consulta [Mappature dei dispositivi a blocchi per i volumi sulle istanze Amazon EC2](block-device-mapping-concepts.md).

   1. Creare un backup del file `image.manifest.xml`.

      ```
      [ec2-user ~]$ sudo cp /tmp/image.manifest.xml /tmp/image.manifest.xml.bak
      ```

   1. Riformattare il file `image.manifest.xml` per renderne più semplice la lettura e la modifica.

      ```
      [ec2-user ~]$ sudo xmllint --format /tmp/image.manifest.xml.bak > /tmp/image.manifest.xml
      ```

   1. Modificare le mappature dei dispositivi a blocchi in `image.manifest.xml` con un editor di testo. Il seguente esempio mostra una nuova voce del volume instance store `ephemeral1`. 
**Nota**  
Per un elenco dei file esclusi, consulta [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol). 

      ```
          <block_device_mapping>
            <mapping>
              <virtual>ami</virtual>
              <device>sda</device>
            </mapping>
            <mapping>
              <virtual>ephemeral0</virtual>
              <device>sdb</device>
            </mapping>
            <mapping>
              <virtual>ephemeral1</virtual>
              <device>sdc</device>
            </mapping>
            <mapping>
              <virtual>root</virtual>
              <device>/dev/sda1</device>
            </mapping>
          </block_device_mapping>
      ```

   1. Salvare il file `image.manifest.xml` e uscire dall'editor di testo.

1. Per caricare il bundle su Amazon S3, eseguire il comando [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle) come segue.

   ```
   [ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m /tmp/image.manifest.xml -a your_access_key_id -s your_secret_access_key
   ```
**Importante**  
Per registrare l'AMI in una regione diversa da US East (N. Virginia), occorre specificare sia la regione di destinazione con l'opzione `--region` che un percorso del bucket esistente nella regione di destinazione oppure un percorso univoco del bucket che è possibile creare nella regione di destinazione.

1. (Facoltativo) Una volta caricato il bundle su Amazon S3, è possibile rimuoverlo dalla directory `/tmp` sull'istanza utilizzando il seguente comando **rm**:

   ```
   [ec2-user ~]$ sudo rm /tmp/image.manifest.xml /tmp/image.part.* /tmp/image
   ```
**Importante**  
Se si è specificato un percorso con l'opzione `-d /path/to/bundle/storage` in [Step 2](#step_with_bundle_path_amazon_linux), utilizzare quel percorso invece di `/tmp`.

1. Per registrare l'AMI, eseguire il comando [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) come segue.

   ```
   [ec2-user ~]$ aws ec2 register-image --image-location amzn-s3-demo-bucket/bundle_folder/bundle_name/image.manifest.xml --name AMI_name --virtualization-type hvm
   ```
**Importante**  
Se precedentemente si è specificata una regione per il comando [ec2-upload-bundle](ami-tools-commands.md#ami-upload-bundle), specificarla nuovamente per questo comando.

# Configurazione degli strumenti dell'AMI Amazon EC2
<a name="set-up-ami-tools"></a>

Puoi usare gli strumenti AMI per creare e gestire Linux basato su Amazon S3. AMIs Per usare gli strumenti, è necessario installarli sulla propria istanza Linux. Gli strumenti AMI sono disponibili sia come file RPM che come file .zip per le distribuzioni Linux che non supportano il formato RPM. 

**Per configurare gli strumenti AMI tramite il file RPM**

1. Installare Ruby utilizzando il programma di gestione dei pacchetti per la distribuzione Linux in uso, come yum. Ad esempio:

   ```
   [ec2-user ~]$ sudo yum install -y ruby
   ```

1. Scaricare il file RPM utilizzando uno strumento come wget o curl. Ad esempio:

   ```
   [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.noarch.rpm
   ```

1. Verificare la firma del file RPM tramite il seguente comando:

   ```
   [ec2-user ~]$ rpm -K ec2-ami-tools.noarch.rpm
   ```

   Il comando precedente dovrebbe indicare che gli hash SHA1 e gli MD5 hash del file sono `OK.` Se il comando indica che gli hash lo sono`NOT OK`, usa il seguente comando per visualizzare l'intestazione e gli hash del file: SHA1 MD5 

   ```
   [ec2-user ~]$ rpm -Kv ec2-ami-tools.noarch.rpm
   ```

   Quindi, confronta l'intestazione SHA1 e gli MD5 hash del file con i seguenti hash verificati degli strumenti AMI per confermare l'autenticità del file:
   + Intestazione: a1f662d6f25f69871104e6a62187fa4df508f880 SHA1
   + MD5: 9faff05258064e2f7909b66142de6782

   Se l'intestazione SHA1 e gli MD5 hash del file corrispondono agli hash verificati degli strumenti AMI, vai al passaggio successivo.

1. Installare il file RPM utilizzando il seguente comando:

   ```
   [ec2-user ~]$ sudo yum install ec2-ami-tools.noarch.rpm
   ```

1. Verificare l'installazione degli strumenti AMI tramite il comando [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).

   ```
   [ec2-user ~]$ ec2-ami-tools-version
   ```
**Nota**  
Se ricevi un errore di caricamento del tipo «cannot load such file -- ec2/amitools/version (LoadError)», completa il passaggio successivo per aggiungere la posizione dell'installazione degli strumenti AMI al tuo percorso. `RUBYLIB`

1. (Facoltativo) Se nella fase precedente si è ricevuto un errore, aggiungere la posizione dell'installazione degli strumenti AMI al percorso `RUBYLIB`.

   1. Eseguire il seguente comando per determinare i percorsi da aggiungere.

      ```
      [ec2-user ~]$ rpm -qil ec2-ami-tools | grep ec2/amitools/version
      /usr/lib/ruby/site_ruby/ec2/amitools/version.rb
      /usr/lib64/ruby/site_ruby/ec2/amitools/version.rb
      ```

      Nell'esempio di cui sopra, il file mancante indicato nel precedente errore di caricamento si trova in `/usr/lib/ruby/site_ruby` e `/usr/lib64/ruby/site_ruby`.

   1. Aggiungere le posizioni indicate nella fase precedente al percorso `RUBYLIB`.

      ```
      [ec2-user ~]$ export RUBYLIB=$RUBYLIB:/usr/lib/ruby/site_ruby:/usr/lib64/ruby/site_ruby
      ```

   1. Verificare l'installazione degli strumenti AMI tramite il comando [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).

      ```
      [ec2-user ~]$ ec2-ami-tools-version
      ```

**Per configurare gli strumenti AMI tramite il file .zip**

1. Installare Ruby e decomprimerlo utilizzando il programma di gestione dei pacchetti per la distribuzione Linux in uso, come **apt-get**. Ad esempio:

   ```
   [ec2-user ~]$ sudo apt-get update -y && sudo apt-get install -y ruby unzip
   ```

1. Scaricare il file .zip utilizzando uno strumento come wget o curl. Ad esempio:

   ```
   [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip
   ```

1. Decomprimere i file in una directory di installazione adatta, come `/usr/local/ec2`.

   ```
   [ec2-user ~]$ sudo mkdir -p /usr/local/ec2
   $ sudo unzip ec2-ami-tools.zip -d /usr/local/ec2
   ```

   Notate che il file.zip contiene una cartella ec2-ami-tools-. *x* *x*. *x*, dove*x*. *x*. *x*è il numero di versione degli strumenti (ad esempio,`ec2-ami-tools-1.5.7`).

1. Impostare la variabile di ambiente `EC2_AMITOOL_HOME` sulla posizione directory di installazione degli strumenti. Ad esempio:

   ```
   [ec2-user ~]$ export EC2_AMITOOL_HOME=/usr/local/ec2/ec2-ami-tools-x.x.x
   ```

1. Aggiungere gli strumenti alla variabile di ambiente `PATH`. Ad esempio:

   ```
   [ec2-user ~]$ export PATH=$EC2_AMITOOL_HOME/bin:$PATH
   ```

1. È possibile verificare l'installazione degli strumenti AMI tramite il comando [ec2- ami-tools-version](ami-tools-commands.md#ami-tools-version).

   ```
   [ec2-user ~]$ ec2-ami-tools-version
   ```

## Gestione dei certificati di firma
<a name="ami-tools-managing-certs"></a>

Alcuni comandi negli strumenti AMI necessitano di un certificato di firma (noto anche come certificato X.509). È necessario creare il certificato e quindi caricarlo su AWS. Ad esempio, per creare il certificato puoi utilizzare uno strumento di terza parte come OpenSSL.

**Per creare un certificato di firma**

1. Installare e configurare OpenSSL

1. Creare una chiave privata usando il comando `openssl genrsa` e salvare l'output in un file `.pem`. È consigliabile creare una chiave RSA a 2048 o 4096 bit.

   ```
   openssl genrsa 2048 > private-key.pem
   ```

1. Generare un certificato usando il comando `openssl req`.

   ```
   openssl req -new -x509 -nodes -sha256 -days 365 -key private-key.pem -outform PEM -out certificate.pem
   ```

Per caricare il certificato su AWS, usa il [upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)comando.

```
aws iam upload-signing-certificate --user-name user-name --certificate-body file://path/to/certificate.pem
```

Per elencare i certificati per un utente, usa il [list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)comando:

```
aws iam list-signing-certificates --user-name user-name
```

Per disabilitare o riattivare un certificato di firma per un utente, usa il [update-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/update-signing-certificate.html)comando. Il seguente comando disattiva il certificato:

```
aws iam update-signing-certificate --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE --status Inactive --user-name user-name
```

Per eliminare un certificato, usa il [delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)comando:

```
aws iam delete-signing-certificate --user-name user-name --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE
```

# Riferimento agli strumenti Amazon EC2 AMI
<a name="ami-tools-commands"></a>

Puoi usare i comandi AMI tools per creare e gestire Linux basato su Amazon S3. AMIs Per impostare gli strumenti, consultare [Configurazione degli strumenti dell'AMI Amazon EC2](set-up-ami-tools.md).

Per informazioni sulle chiavi di accesso, consulta [Gestione delle chiavi di accesso per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) nella *Guida per l'utente di IAM*.

**Topics**
+ [ec2- ami-tools-version](#ami-tools-version)
+ [ec2-bundle-image](#ami-bundle-image)
+ [ec2-bundle-vol](#ami-bundle-vol)
+ [ec2-delete-bundle](#ami-delete-bundle)
+ [ec2-download-bundle](#ami-download-bundle)
+ [ec2-migrate-manifest](#ami-migrate-manifest)
+ [ec2-unbundle](#ami-unbundle)
+ [ec2-upload-bundle](#ami-upload-bundle)
+ [Opzioni comuni per gli strumenti AMI](#common-args-ami)

## ec2- ami-tools-version
<a name="ami-tools-version"></a>

### Description
<a name="ami-tools-version-description"></a>

Descrive la versione degli strumenti AMI.

### Sintassi
<a name="ami-tools-version-request"></a>

**ec2-ami-tools-version**

### Output
<a name="ami-tools-version-output"></a>

Informazioni relative alla versione.

### Esempio
<a name="ami-tools-version-response"></a>

Questo comando di esempio mostra le informazioni relative alla versione degli strumenti AMI che si stanno utilizzando.

```
[ec2-user ~]$ ec2-ami-tools-version
1.5.2 20071010
```

## ec2-bundle-image
<a name="ami-bundle-image"></a>

### Description
<a name="bundle-image-description"></a>

Crea un’AMI Linux supportata da Amazon S3 a partire da un’immagine del sistema operativo creata in un file di loopback.

### Sintassi
<a name="bundle-image-request"></a>

****ec2-bundle-image** -c *path* -k *path* -u *account* -i *path* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [-p *prefix*]** 

### Opzioni
<a name="bundle-image-parameters"></a>

`-c, --cert` *path*  
Il file del certificato a chiave pubblica RSA codificato PEM dell'utente.  
Campo obbligatorio: sì

`-k, --privatekey` *path*  
Il percorso di un file chiave RSA codificato PEM. Sarà necessario specificare questa chiave per separare questo bundle, quindi conservarla in un posto sicuro. Tieni presente che la chiave non deve essere registrata sul tuo AWS account.  
Obbligatorio: sì

`-u, --user ` *account*  
L'ID dell' AWS account dell'utente, senza trattini.  
Obbligatorio: sì

`-i, --image` *path*  
Il percorso dell'immagine da aggiungere al bundle.  
Campo obbligatorio: sì

`-d, --destination` *path*  
La directory in cui creare il bundle.  
Default: `/tmp`  
Campo obbligatorio: no

`--ec2cert` *path*  
Il percorso del certificato a chiave pubblica Amazon EC2 X.509 utilizzato per crittografare il manifesto dell'immagine.  
Le regioni `us-gov-west-1` e `cn-north-1` utilizzano un certificato di chiave pubblico non predefinito e il percorso di tale certificato deve essere specificato con questa opzione. Il percorso del certificato varia in base al metodo di installazione degli strumenti AMI. Per Amazon Linux, i certificati si trovano in `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Se gli strumenti AMI sono stati installati dal file RPM o ZIP in [Configurazione degli strumenti dell'AMI Amazon EC2](set-up-ami-tools.md), i certificati si trovano in `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.  
Obbligatorio: Solo per le regioni `us-gov-west-1` e `cn-north-1`.

`-r, --arch` *architecture*  
Architettura dell'immagine. Se non si fornisce l'architettura sulla riga di comando, verrà richiesta durante l'avvio del raggruppamento.  
Valori validi: `i386` \$1 `x86_64`  
Campo obbligatorio: no

`--productcodes` *code1,code2,...*  
I codici prodotto da collegare all'immagine al momento della registrazione, separati da virgole.  
Campo obbligatorio: no

`-B, --block-device-mapping` *mapping*  
Definisce come i dispositivi a blocchi sono esposti a un'istanza di questa AMI se il suo tipo di istanza supporta il dispositivo specificato.  
Specificare un elenco di coppie chiave-valore separato da virgole, in cui ogni chiave è un nome virtuale e ogni valore è il nome del dispositivo corrispondente. Tra i nomi virtuali sono inclusi i seguenti:  
+ `ami` – Il dispositivo di sistema del file radice visto dall'istanza
+ `root` – Il dispositivo di sistema del file radice visto dal kernel
+ `swap` – Il dispositivo di scambio visto dall'istanza
+ `ephemeralN` – Il volume Nesimo dell'instance store
Campo obbligatorio: no

`-p, --prefix` *prefix*  
Il prefisso del nome del file per i file AMI raggruppati.  
Predefinito: Il nome del file immagine. Per esempio, se il percorso dell'immagine è `/var/spool/my-image/version-2/debian.img`, il prefisso predefinito è `debian.img`.  
Campo obbligatorio: no

`--kernel` *kernel\$1id*  
Obsoleta. Utilizzare [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) per impostare il kernel.  
Campo obbligatorio: no

`--ramdisk` *ramdisk\$1id*  
Obsoleta. Utilizzare [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) per impostare il disco RAM se necessario.  
Obbligatorio: no

### Output
<a name="bundle-image-output"></a>

Messaggi di stato che descrivono le fasi e lo stato del processo di raggruppamento.

### Esempio
<a name="bundle-image-response"></a>

Questo esempio crea un'AMI raggruppata da un'immagine del sistema operativo creata in un file di loopback.

```
[ec2-user ~]$ ec2-bundle-image -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -i image.img -d bundled/ -r x86_64
Please specify a value for arch [i386]: 
Bundling image file...
Splitting bundled/image.gz.crypt...
Created image.part.00
Created image.part.01
Created image.part.02
Created image.part.03
Created image.part.04
Created image.part.05
Created image.part.06
Created image.part.07
Created image.part.08
Created image.part.09
Created image.part.10
Created image.part.11
Created image.part.12
Created image.part.13
Created image.part.14
Generating digests for each part...
Digests generated.
Creating bundle manifest...
ec2-bundle-image complete.
```

## ec2-bundle-vol
<a name="ami-bundle-vol"></a>

### Description
<a name="bundle-vol-description"></a>

Crea un’AMI Linux supportata da Amazon S3 comprimendo, crittografando e firmando una copia del volume root per l’istanza.

Amazon EC2 tenta di ereditare codici prodotto, impostazioni del kernel, impostazioni del disco RAM e bloccare le mappature dei dispositivi dall'istanza.

Per impostazione predefinita, il processo di creazione di bundle esclude i file che possono contenere informazioni sensibili. Tali file includono `*.sw`, `*.swo`, `*.swp`, `*.pem`, `*.priv`, `*id_rsa*`, `*id_dsa*` `*.gpg`, `*.jks`, `*/.ssh/authorized_keys` e `*/.bash_history`. Per includere tutti questi file, utilizzare l'opzione `--no-filter`. Per includere alcuni di questi file, utilizzare l'opzione `--include`.

Per ulteriori informazioni, consulta [Creare un’AMI supportata da Amazon S3](creating-an-ami-instance-store.md).

### Sintassi
<a name="bundle-vol-request"></a>

****ec2-bundle-vol** -c *path* -k *path* -u *account* [-d *path*] [--ec2cert *path*] [-r *architecture*] [--productcodes *code1*,*code2*,...] [-B *mapping*] [--all] [-e *directory1*,*directory2*,...] [-i *file1*,*file2*,...] [--no-filter] [-p *prefix*] [-s *size*] [--[no-]inherit] [-v *volume*] [-P *type*] [-S *script*] [--fstab *path*] [--generate-fstab] [--grub-config *path*]** 

### Opzioni
<a name="bundle-vol-parameters"></a>

`-c, --cert` *path*  
Il file del certificato a chiave pubblica RSA codificato PEM dell'utente.  
Campo obbligatorio: sì

`-k, --privatekey ` *path*   
Il percorso del file chiave RSA codificato PEM dell'utente.  
Campo obbligatorio: sì

`-u, --user` *account*  
L'ID dell' AWS account dell'utente, senza trattini.  
Obbligatorio: sì

`-d, --destination` *destination*  
La directory in cui creare il bundle.  
Default: `/tmp`  
Campo obbligatorio: no

`--ec2cert` *path*  
Il percorso del certificato a chiave pubblica Amazon EC2 X.509 utilizzato per crittografare il manifesto dell'immagine.  
Le regioni `us-gov-west-1` e `cn-north-1` utilizzano un certificato di chiave pubblico non predefinito e il percorso di tale certificato deve essere specificato con questa opzione. Il percorso del certificato varia in base al metodo di installazione degli strumenti AMI. Per Amazon Linux, i certificati si trovano in `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Se gli strumenti AMI sono stati installati dal file RPM o ZIP in [Configurazione degli strumenti dell'AMI Amazon EC2](set-up-ami-tools.md), i certificati si trovano in `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.  
Obbligatorio: Solo per le regioni `us-gov-west-1` e `cn-north-1`.

`-r, --arch ` *architecture*  
L'architettura dell'immagine. Se non la si fornisce sulla riga di comando, verrà richiesto di fornirla durante l'avvio del raggruppamento.  
Valori validi: `i386` \$1 `x86_64`  
Campo obbligatorio: no

`--productcodes` *code1,code2,...*  
I codici prodotto da collegare all'immagine al momento della registrazione, separati da virgole.  
Campo obbligatorio: no

`-B, --block-device-mapping` *mapping*  
Definisce come i dispositivi a blocchi sono esposti a un'istanza di questa AMI se il suo tipo di istanza supporta il dispositivo specificato.  
Specificare un elenco di coppie chiave-valore separato da virgole, in cui ogni chiave è un nome virtuale e ogni valore è il nome del dispositivo corrispondente. Tra i nomi virtuali sono inclusi i seguenti:  
+ `ami` – Il dispositivo di sistema del file radice visto dall'istanza
+ `root` – Il dispositivo di sistema del file radice visto dal kernel
+ `swap` – Il dispositivo di scambio visto dall'istanza
+ `ephemeralN` – Il volume Nesimo dell'instance store
Campo obbligatorio: no

`-a, --all`  
Raggruppare tutte le directory, comprese quelle su sistemi di file montati in remoto.  
Campo obbligatorio: no

`-e, --exclude ` *directory1,directory2,...*  
Un elenco di percorsi e file di directory assoluti da escludere dall'operazione di creazione di bundle. Questo parametro sostituisce l'opzione `--all` . Quando si specifica l'opzione di esclusione, le directory e sottodirectory elencate con il parametro non verranno raggruppate con il volume.  
Campo obbligatorio: no

`-i, --include ` *file1,file2,...*  
Un elenco dei file da includere nell'operazione di creazione di bundle. I file specificati sarebbero altrimenti esclusi dall'AMI in quanto potrebbero contenere informazioni sensibili.  
Campo obbligatorio: no

`--no-filter`  
Se specificato, non verranno esclusi file dall'AMI in quanto potrebbero contenere informazioni sensibili.  
Campo obbligatorio: no

`-p, --prefix ` *prefix*  
Il prefisso del nome del file per i file AMI raggruppati.  
Impostazione predefinita: `image`  
Campo obbligatorio: no

`-s, --size` *size*  
La dimensione, in MB (1024 x 1024 byte), del file di immagine da creare. La dimensione massima è 10240 MB.   
Impostazione predefinita: 10240  
Campo obbligatorio: no

`--[no-]inherit`  
Indica se l'immagine deve ereditare i metadati dell'istanza (l'impostazione predefinita è ereditare). Il raggruppamento non va a buon fine se si attiva `--inherit` ma i metadati dell'istanza non sono accessibili.  
Campo obbligatorio: no

`-v, --volume ` *volume*  
Il percorso assoluto del volume montato da cui creare il bundle.  
Impostazione predefinita: la directory radice (/)  
Campo obbligatorio: no

`-P, --partition` *type*  
Indica se l'immagine del disco deve utilizzare una tabella di partizione. Se non si specifica un tipo di tabella di partizione, quello predefinito è il tipo utilizzato dal principale dispositivo a blocchi del volume, se applicabile, altrimenti quello predefinito è `gpt`.  
Valori validi: `mbr` \$1 `gpt` \$1 `none`  
Campo obbligatorio: no

`-S, --script` *script*  
Uno script di personalizzazione da eseguire appena prima del raggruppamento. Lo script deve aspettarsi un argomento singolo, il punto di montaggio del volume.  
Campo obbligatorio: no

`--fstab` *path*  
Il percorso di fstab da aggiungere in bundle all'immagine. Se questo non è specificato, Amazon EC2 raggruppa /etc/fstab.  
Obbligatorio: no

`--generate-fstab`  
Raggruppa il volume utilizzando un file fstab EC2 fornito da Amazon.  
Obbligatorio: no

`--grub-config`  
Il percorso di un file di configurazione di sgombero alternato da aggiungere in bundle all'immagine. Per impostazione predefinita, `ec2-bundle-vol` si aspetta che `/boot/grub/menu.lst` o `/boot/grub/grub.conf` esistano nell'immagine clonata. Questa opzione consente di indicare un percorso di un file di configurazione di sgombero alternato che poi verrà copiato sui predefiniti (se presenti).  
Campo obbligatorio: no

`--kernel` *kernel\$1id*  
Obsoleta. Utilizzare [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) per impostare il kernel.  
Campo obbligatorio: no

`--ramdisk`*ramdisk\$1id*  
Obsoleta. Utilizzare [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) per impostare il disco RAM se necessario.  
Obbligatorio: no

### Output
<a name="bundle-vol-output"></a>

Messaggi di stato che descrivono le fasi e lo stato del raggruppamento.

### Esempio
<a name="bundle-vol-response"></a>

Questo esempio crea un'AMI raggruppata comprimendo, crittografando e firmando uno snapshot del sistema di file radice della macchina locale. 

```
[ec2-user ~]$ ec2-bundle-vol -d /mnt -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -c cert-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -u 111122223333 -r x86_64
  Copying / into the image file /mnt/image...
  Excluding:
       sys
       dev/shm
       proc
       dev/pts
       proc/sys/fs/binfmt_misc
       dev
       media
       mnt
       proc
       sys
       tmp/image
       mnt/img-mnt
  1+0 records in
  1+0 records out
  mke2fs 1.38 (30-Jun-2005)
  warning: 256 blocks unused.

  Splitting /mnt/image.gz.crypt...
  Created image.part.00
  Created image.part.01
  Created image.part.02
  Created image.part.03
  ...
  Created image.part.22
  Created image.part.23
  Generating digests for each part...
  Digests generated.
  Creating bundle manifest...
  Bundle Volume complete.
```

## ec2-delete-bundle
<a name="ami-delete-bundle"></a>

### Description
<a name="delete-bundle-description"></a>

Elimina il bundle specificato dall'archiviazione Amazon S3. Dopo aver eliminato un bundle, non è possibile avviare istanze dall'AMI corrispondente.

### Sintassi
<a name="delete-bundle-request"></a>

****ec2-delete-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] [--url *url*] [--region *region*] [--sigv *version*] [-m *path*] [-p *prefix*] [--clear] [--retry] [-y]** 

### Opzioni
<a name="delete-bundle-parameters"></a>

`-b, --bucket `*bucket*  
Il nome del bucket Amazon S3 che contiene l'AMI raggruppata, seguito da un prefisso facoltativo di percorso delimitato da "/"  
Campo obbligatorio: sì

`-a, --access-key` *access\$1key\$1id*  
L' AWS ID della chiave di accesso.  
Obbligatorio: sì

`-s, --secret-key` *secret\$1access\$1key*  
La chiave di accesso AWS segreta.  
Obbligatorio: sì

`-t, --delegation-token` *token*  
Il token di delega da passare alla AWS richiesta. Per ulteriori informazioni, consulta [Temporary security credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) nella *Guida per l’utente IAM*.  
Obbligatorio: Solo quando si utilizzano credenziali di sicurezza temporanee.  
Predefinito: Il valore della variabile ambientale `AWS_DELEGATION_TOKEN` (se impostata).

`--region`*region*  
La regione da utilizzare nella firma di richiesta.  
Impostazione predefinita: `us-east-1`  
Obbligatorio: Obbligatorio se si utilizza la versione 4 di firma

`--sigv`*version*  
La versione della firma da utilizzare durante la firma della richiesta.  
Valori validi: `2` \$1 `4`  
Default: `4`  
Campo obbligatorio: no

`-m, --manifest`*path*  
Il percorso del file manifest.  
Obbligatorio: È necessario specificare `--prefix` o `--manifest`.

`-p, --prefix` *prefix*  
Il prefisso del nome del file AMI raggruppato. Fornire il prefisso completo. Per esempio, se il prefisso è image.img, utilizzare `-p image.img` e non `-p image`.  
Obbligatorio: È necessario specificare `--prefix` o `--manifest`.

`--clear`  
Cancella il bucket Amazon S3 se è vuoto dopo aver eliminato il bundle specificato.  
Campo obbligatorio: no

`--retry`  
Ripete automaticamente i tentativi su tutti gli errori Amazon S3, fino a cinque volte per operazione.  
Campo obbligatorio: no

`-y, --yes`  
Suppone automaticamente che la risposta a tutte le richieste sia sì.  
Obbligatorio: no

### Output
<a name="delete-bundle-output"></a>

Amazon EC2 visualizza messaggi di stato che indicano le fasi e lo stato del processo di eliminazione.

### Esempio
<a name="delete-bundle-response"></a>

In questo esempio viene eliminato un bundle da Amazon S3.

```
[ec2-user ~]$ ec2-delete-bundle -b amzn-s3-demo-bucket -a your_access_key_id -s your_secret_access_key
Deleting files:
amzn-s3-demo-bucket/image.manifest.xml
amzn-s3-demo-bucket/image.part.00
amzn-s3-demo-bucket/image.part.01
amzn-s3-demo-bucket/image.part.02
amzn-s3-demo-bucket/image.part.03
amzn-s3-demo-bucket/image.part.04
amzn-s3-demo-bucket/image.part.05
amzn-s3-demo-bucket/image.part.06
Continue? [y/n]
y
Deleted amzn-s3-demo-bucket/image.manifest.xml
Deleted amzn-s3-demo-bucket/image.part.00
Deleted amzn-s3-demo-bucket/image.part.01
Deleted amzn-s3-demo-bucket/image.part.02
Deleted amzn-s3-demo-bucket/image.part.03
Deleted amzn-s3-demo-bucket/image.part.04
Deleted amzn-s3-demo-bucket/image.part.05
Deleted amzn-s3-demo-bucket/image.part.06
ec2-delete-bundle complete.
```

## ec2-download-bundle
<a name="ami-download-bundle"></a>

### Description
<a name="download-bundle-description"></a>

Scarica il sistema Linux supportato da Amazon S3 specificato AMIs dallo storage Amazon S3.

### Sintassi
<a name="download-bundle-request"></a>

****ec2-download-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* -k *path* [--url *url*] [--region *region*] [--sigv *version*] [-m *file*] [-p *prefix*] [-d *directory*] [--retry]** 

### Opzioni
<a name="download-bundle-parameters"></a>

`-b, --bucket` *bucket*  
Il nome del bucket Amazon S3 dove è posizionato il bundle, seguito da un prefisso facoltativo di percorso delimitato da "/".  
Campo obbligatorio: sì

`-a, --access-key` *access\$1key\$1id*  
L'ID della chiave di AWS accesso.  
Obbligatorio: sì

`-s, --secret-key` *secret\$1access\$1key*  
La chiave di accesso AWS segreta.  
Obbligatorio: sì

`-k, --privatekey` *path*  
La chiave privata utilizzata per decrittografare il manifest.  
Campo obbligatorio: sì

`--url` *url*  
L'URL di servizio Amazon S3.  
Default: `https://s3.amazonaws.com/`  
Campo obbligatorio: no

`--region` *region*  
La regione da utilizzare nella firma di richiesta.  
Impostazione predefinita: `us-east-1`  
Obbligatorio: Obbligatorio se si utilizza la versione 4 di firma

`--sigv` *Versione*  
La versione della firma da utilizzare durante la firma della richiesta.  
Valori validi: `2` \$1 `4`  
Default: `4`  
Campo obbligatorio: no

`-m, --manifest` *file*  
Il nome del file manifest (senza il percorso). Si consiglia di specificare il manifest (`-m`) o un prefisso (`-p`).  
Campo obbligatorio: no

`-p, --prefix ` *prefix*  
Il prefisso del nome del file per i file AMI raggruppati.  
Impostazione predefinita: `image`  
Campo obbligatorio: no

`-d, --directory ` *directory*  
La directory dove viene salvato il bundle scaricato. La directory deve esistere.  
Predefinito: La directory di lavoro corrente.  
Campo obbligatorio: no

 `--retry`   
Ripete automaticamente i tentativi su tutti gli errori Amazon S3, fino a cinque volte per operazione.  
Obbligatorio: no

### Output
<a name="download-bundle-output"></a>

Vengono visualizzati i messaggi di stato che indicano le varie fasi del processo di download.

### Esempio
<a name="download-bundle-response"></a>

Questo esempio crea la directory `bundled` (tramite il comando di Linux **mkdir**) e scarica il bundle dal bucket Amazon S3 `amzn-s3-demo-bucket`.

```
[ec2-user ~]$ mkdir bundled
[ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d mybundle
Downloading manifest image.manifest.xml from amzn-s3-demo-bucket to mybundle/image.manifest.xml ...
Downloading part image.part.00 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.00 ...
Downloaded image.part.00 from amzn-s3-demo-bucket
Downloading part image.part.01 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.01 ...
Downloaded image.part.01 from amzn-s3-demo-bucket
Downloading part image.part.02 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.02 ...
Downloaded image.part.02 from amzn-s3-demo-bucket
Downloading part image.part.03 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.03 ...
Downloaded image.part.03 from amzn-s3-demo-bucket
Downloading part image.part.04 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.04 ...
Downloaded image.part.04 from amzn-s3-demo-bucket
Downloading part image.part.05 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.05 ...
Downloaded image.part.05 from amzn-s3-demo-bucket
Downloading part image.part.06 from amzn-s3-demo-bucket/bundles/bundle_name to mybundle/image.part.06 ...
Downloaded image.part.06 from amzn-s3-demo-bucket
```

## ec2-migrate-manifest
<a name="ami-migrate-manifest"></a>

### Description
<a name="migrate-manifest-description"></a>

Modifica un’AMI Linux supportata da Amazon S3 (per esempio, il suo certificato, il kernel o il disco RAM) in modo che essa supporti una regione diversa.

### Sintassi
<a name="migrate-manifest-request"></a>

****ec2-migrate-manifest** -c *path* -k *path* -m *path* \$1(-a *access\$1key\$1id* -s *secret\$1access\$1key* --region *region*) \$1 (--no-mapping)\$1 [--ec2cert *ec2\$1cert\$1path*] [--kernel *kernel-id*] [--ramdisk *ramdisk\$1id*]** 

### Opzioni
<a name="migrate-manifest-parameters"></a>

`-c, --cert` *path*  
Il file del certificato a chiave pubblica RSA codificato PEM dell'utente.  
Campo obbligatorio: sì

`-k, --privatekey` *path*  
Il percorso del file chiave RSA codificato PEM dell'utente.  
Campo obbligatorio: sì

`--manifest` *path*  
Il percorso del file manifest.  
Campo obbligatorio: sì

`-a, --access-key` *access\$1key\$1id*  
L'ID della chiave di AWS accesso.  
Obbligatorio: Obbligatorio se si utilizza la mappatura automatica.

`-s, --secret-key ` *secret\$1access\$1key*  
La chiave di accesso AWS segreta.  
Obbligatorio: Obbligatorio se si utilizza la mappatura automatica.

`--region` *region*  
La regione da cercare nel file di mappatura.  
Obbligatorio: Obbligatorio se si utilizza la mappatura automatica.

`--no-mapping`  
Disattiva la mappatura automatica dei kernel e dei dischi RAM.  
 Durante la migrazione, Amazon EC2 sostituisce il kernel e il disco RAM nel file manifest con un disco kernel e RAM progettato per la regione di destinazione. A meno che non venga fornito il parametro `--no-mapping`, `ec2-migrate-bundle` deve utilizzare le operazioni `DescribeRegions` e `DescribeImages` per eseguire le mappature automatiche.   
Obbligatorio: Obbligatorio se non si forniscono le opzioni `-a`, `-s` e `--region` utilizzate per la mappatura automatica.

`--ec2cert` *path*  
Il percorso del certificato a chiave pubblica Amazon EC2 X.509 utilizzato per crittografare il manifesto dell'immagine.  
Le regioni `us-gov-west-1` e `cn-north-1` utilizzano un certificato di chiave pubblico non predefinito e il percorso di tale certificato deve essere specificato con questa opzione. Il percorso del certificato varia in base al metodo di installazione degli strumenti AMI. Per Amazon Linux, i certificati si trovano in `/opt/aws/amitools/ec2/etc/ec2/amitools/`. Se gli strumenti AMI sono stati installati dal file ZIP in [Configurazione degli strumenti dell'AMI Amazon EC2](set-up-ami-tools.md), i certificati si trovano in `$EC2_AMITOOL_HOME/etc/ec2/amitools/`.  
Obbligatorio: Solo per le regioni `us-gov-west-1` e `cn-north-1`.

`--kernel` *kernel\$1id*  
L'ID del kernel da selezionare.  
È consigliabile utilizzare PV-GRUB invece dei kernel e dei dischi RAM. Per ulteriori informazioni, consulta [Kernel forniti dall'utente](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) nella *Guida per l'utente di Amazon Linux 2*.
Obbligatorio: no

`--ramdisk` *ramdisk\$1id*  
L'ID del disco RAM da selezionare.  
È consigliabile utilizzare PV-GRUB invece dei kernel e dei dischi RAM. Per ulteriori informazioni, consulta [Kernel forniti dall'utente](https://docs.aws.amazon.com/linux/al2/ug/UserProvidedKernels.html) nella *Guida per l'utente di Amazon Linux 2*.
Obbligatorio: no

### Output
<a name="migrate-manifest-output"></a>

Messaggi di stato che descrivono le fasi e lo stato del processo di raggruppamento.

### Esempio
<a name="migrate-manifest-response"></a>

Questo esempio copia l'AMI specificata nel manifest `my-ami.manifest.xml` dagli Stati Uniti all'Unione Europea.

```
[ec2-user ~]$ ec2-migrate-manifest --manifest my-ami.manifest.xml --cert cert-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --privatekey pk-HKZYKTAIG2ECMXYIBH3HXV4ZBZQ55CLO.pem --region eu-west-1 

Backing up manifest...
Successfully migrated my-ami.manifest.xml It is now suitable for use in eu-west-1.
```

## ec2-unbundle
<a name="ami-unbundle"></a>

### Description
<a name="unbundle-description"></a>

Ricrea il bundle da un’AMI Linux supportata da Amazon S3.

### Sintassi
<a name="unbundle-request"></a>

****ec2-unbundle** -k *path* -m *path* [-s *source\$1directory*] [-d *destination\$1directory*]** 

### Opzioni
<a name="unbundle-parameters"></a>

`-k, --privatekey` *path*  
Il percorso del file chiave RSA codificato PEM.  
Campo obbligatorio: sì

`-m, --manifest` *path*  
Il percorso del file manifest.  
Campo obbligatorio: sì

`-s, --source` *source\$1directory*  
La directory che contiene il bundle.  
Predefinita: La directory attuale.  
Campo obbligatorio: no

`-d, --destination` *destination\$1directory*  
La directory in cui disaggregare l'AMI. La directory di destinazione deve esistere.   
Predefinita: La directory attuale.  
Obbligatorio: no

### Esempio
<a name="unbundle-response"></a>

Questo esempio Linux e UNIX disaggrega l'AMI specificata nel file `image.manifest.xml`.

```
[ec2-user ~]$ mkdir unbundled
$ ec2-unbundle -m mybundle/image.manifest.xml -k pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -s mybundle -d unbundled
$ ls -l unbundled
total 1025008
-rw-r--r-- 1 root root 1048578048 Aug 25 23:46 image.img
```

### Output
<a name="unbundle-output"></a>

Vengono visualizzati i messaggi di stato che indicano le varie fasi del processo di disaggregazione.

## ec2-upload-bundle
<a name="ami-upload-bundle"></a>

### Description
<a name="upload-bundle-description"></a>

Carica il pacchetto per un'AMI Linux supportata da Amazon S3 su Amazon S3 e imposta gli elenchi di controllo degli accessi appropriati ACLs () sugli oggetti caricati. Per ulteriori informazioni, consulta [Creare un’AMI supportata da Amazon S3](creating-an-ami-instance-store.md).

**Nota**  
Per caricare oggetti su un bucket S3 per la tua AMI Linux supportata da Amazon S3ACLs , devi essere abilitato per il bucket. In caso contrario, Amazon non EC2 sarà in grado di impostare ACLs gli oggetti da caricare. Se il bucket di destinazione utilizza l'impostazione imposta dal proprietario del bucket per S3 Object Ownership, questa impostazione non funzionerà perché sono disabilitati. ACLs Per ulteriori informazioni, consulta [Controllo della proprietà degli oggetti e ACLs disabilitazione del](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) bucket.

### Sintassi
<a name="upload-bundle-request"></a>

****ec2-upload-bundle** -b *bucket* -a *access\$1key\$1id* -s *secret\$1access\$1key* [-t *token*] -m *path* [--url *url*] [--region *region*] [--sigv *version*] [--acl *acl*] [-d *directory*] [--part *part*] [--retry] [--skipmanifest]** 

### Opzioni
<a name="upload-bundle-parameters"></a>

`-b, --bucket` *bucket*  
Il nome del bucket Amazon S3 dove memorizzare il bundle, seguito da un prefisso facoltativo di percorso delimitato da "/". Se il bucket non esiste, viene creato se il nome del bucket è disponibile. Inoltre, se il bucket non esiste e la versione degli strumenti AMI è 1.5.18 o successiva, questo comando imposta il ACLs bucket.  
Obbligatorio: sì

`-a, --access-key` *access\$1key\$1id*  
L'ID della tua chiave AWS di accesso.  
Obbligatorio: sì

`-s, --secret-key` *secret\$1access\$1key*  
La tua chiave di accesso AWS segreta.  
Obbligatorio: sì

`-t, --delegation-token` *token*  
Il token di delega da passare alla AWS richiesta. Per ulteriori informazioni, consulta [Temporary security credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) nella *Guida per l’utente IAM*.  
Obbligatorio: Solo quando si utilizzano credenziali di sicurezza temporanee.  
Predefinito: Il valore della variabile ambientale `AWS_DELEGATION_TOKEN` (se impostata).

`-m, --manifest` *path*  
Il percorso del file manifest. Il file manifest viene creato durante il processo di raggruppamento e si può trovare nella directory che contiene il bundle.  
Campo obbligatorio: sì

`--url` *url*  
Obsoleta. Invece, utilizzare l'opzione `--region` a meno che il bucket non sia limitato alla posizione `EU` (e non `eu-west-1`). Il contrassegno `--location` è l'unico modo per mirare a quella specifica limitazione di posizione.  
L'URL di servizio endpoint Amazon S3.  
Default: `https://s3.amazonaws.com/`  
Campo obbligatorio: no

`--region` *region*  
La regione da utilizzare nella firma di richiesta per il bucket S3 di destinazione.  
+ Se il bucket non esiste e non si specifica una regione, lo strumento crea il bucket senza un vincolo di posizione (in `us-east-1`).
+ Se il bucket non esiste e si specifica una regione, lo strumento crea il bucket nella regione specificata.
+ Se il bucket esiste e non si specifica una regione, lo strumento utilizza la posizione del bucket.
+ Se il bucket esiste e si specifica `us-east-1` come regione, lo strumento utilizza la posizione reale del bucket senza alcun messaggio di errore e senza che i file corrispondenti esistenti vengano sovrascritti.
+ Se il bucket esiste e si specifica una regione (diversa da `us-east-1`) che non corrisponde alla posizione reale del bucket, lo strumento dà un errore.
Se il bucket è limitato alla posizione `EU` (e non `eu-west-1`), utilizzare il contrassegno `--location`. Il contrassegno `--location` è l'unico modo per mirare a quella specifica limitazione di posizione.  
Impostazione predefinita: `us-east-1`  
Obbligatorio: Obbligatorio se si utilizza la versione 4 di firma

`--sigv` *Versione*  
La versione della firma da utilizzare durante la firma della richiesta.  
Valori validi: `2` \$1 `4`  
Default: `4`  
Campo obbligatorio: no

`--acl` *acl*  
La policy della lista di controllo accessi dell'immagine raggruppata.  
Valori validi: `public-read` \$1 `aws-exec-read`  
Default: `aws-exec-read`  
Campo obbligatorio: no

`-d, --directory` *directory*  
La directory che contiene le parti dell'AMI raggruppata.  
Predefinito: La directory che contiene il file manifest (consultare l'opzione `-m`).  
Campo obbligatorio: no

`--part` *part*  
Inizia a caricare la parte specificata e tutte le parti successive. Ad esempio, `--part 04`.  
Campo obbligatorio: no

`--retry`  
Ripete automaticamente i tentativi su tutti gli errori Amazon S3, fino a cinque volte per operazione.  
Campo obbligatorio: no

`--skipmanifest`  
Non carica il manifest.  
Campo obbligatorio: no

`--location` *location*  
Obsoleta. Invece, utilizzare l'opzione `--region`, a meno che il bucket non sia limitato alla posizione `EU` (e non `eu-west-1`). Il contrassegno `--location` è l'unico modo per mirare a quella specifica limitazione di posizione.  
La limitazione di posizione del bucket Amazon S3 di destinazione. Se il bucket esiste e si specifica una posizione che non corrisponde alla posizione reale del bucket, lo strumento dà un errore. Se il bucket esiste e non si specifica una posizione, lo strumento utilizza la posizione del bucket. Se il bucket non esiste e si specifica una posizione, lo strumento crea il bucket nella posizione specificata. Se il bucket non esiste e non si specifica una posizione, lo strumento crea il bucket senza un vincolo di posizione (in `us-east-1`).   
Predefinito: Se `--region` viene specificato, viene impostata la posizione per quella regione specificata. Se `--region` non viene specificata, la posizione predefinita è `us-east-1`.  
Obbligatorio: no

### Output
<a name="upload-bundle-output"></a>

Amazon EC2 visualizza messaggi di stato che indicano le fasi e lo stato del processo di caricamento.

### Esempio
<a name="upload-bundle-response"></a>

Questo esempio carica il bundle specificato dal manifest `image.manifest.xml`.

```
[ec2-user ~]$ ec2-upload-bundle -b amzn-s3-demo-bucket/bundles/bundle_name -m image.manifest.xml -a your_access_key_id -s your_secret_access_key
Creating bucket...
Uploading bundled image parts to the S3 bucket amzn-s3-demo-bucket ...
Uploaded image.part.00
Uploaded image.part.01
Uploaded image.part.02
Uploaded image.part.03
Uploaded image.part.04
Uploaded image.part.05
Uploaded image.part.06
Uploaded image.part.07
Uploaded image.part.08
Uploaded image.part.09
Uploaded image.part.10
Uploaded image.part.11
Uploaded image.part.12
Uploaded image.part.13
Uploaded image.part.14
Uploading manifest ...
Uploaded manifest.
Bundle upload completed.
```

## Opzioni comuni per gli strumenti AMI
<a name="common-args-ami"></a>

La maggior parte degli strumenti AMI accettano i parametri facoltativi seguenti.

`--help, -h`  
Visualizza il messaggio di aiuto.

`--version`  
Visualizza la versione e l'avviso di copyright.

`--manual`  
Visualizza l'immissione manuale.

`--batch`  
Funziona in modalità batch, sopprimendo le richieste interattive.

`--debug`  
Visualizza le informazioni che possono essere utili durante la risoluzione dei problemi.

# Converti la tua AMI supportata da Amazon S3 in una AMI supportata da EBS
<a name="Using_ConvertingS3toEBS"></a>

Puoi convertire un’AMI Linux supportata da Amazon S3 di tua proprietà in un’AMI Linux supportata da Amazon EBS. 

**Importante**  
Non puoi convertire un'AMI che non è di tua proprietà.

**Per convertire un’AMI supportata da Amazon S3 in un’AMI supportata da Amazon EBS**

1. Avviare un'istanza Amazon Linux da un'AMI Amazon EBS-backed. Per ulteriori informazioni, consulta [Avviare un'istanza EC2 tramite la procedura guidata di avvio dell'istanza nella console](ec2-launch-instance-wizard.md). Le istanze Amazon Linux hanno gli strumenti AWS CLI e AMI preinstallati.

1. Carica la chiave privata X.509 che hai utilizzato per raggruppare la tua AMI supportata da Amazon S3 nella tua istanza. Questa chiave serve a garantire l'accesso all'AMI solo da parte dell'utente e da Amazon EC2.

   1. Creare una directory temporanea sull'istanza per la chiave privata X.509, come segue:

      ```
      [ec2-user ~]$ mkdir /tmp/cert
      ```

   1. Copiare la chiave privata X.509 dal proprio computer nella directory `/tmp/cert` sull'istanza utilizzando uno strumento di copia protetta come [scp](linux-file-transfer-scp.md). Il *my-private-key* parametro nel comando seguente è la chiave privata che usi per connetterti alla tua istanza con SSH. Esempio:

      ```
      you@your_computer:~ $ scp -i my-private-key.pem /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem ec2-user@ec2-203-0-113-25.compute-1.amazonaws.com:/tmp/cert/
      pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem  100%  717     0.7KB/s   00:00
      ```

1. Configura le tue variabili ambiente per usare la AWS CLI. Per ulteriori informazioni, consulta [Variabili di ambiente](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).

   1. (Consigliato) Imposta le variabili di ambiente per la chiave di AWS accesso, la chiave segreta e il token di sessione.

      ```
      [ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id
      [ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key
      [ec2-user ~]$ export AWS_SESSION_TOKEN=your_session_token
      ```

   1. Imposta le variabili di ambiente per la chiave di AWS accesso e la chiave segreta.

      ```
      [ec2-user ~]$ export AWS_ACCESS_KEY_ID=your_access_key_id
      [ec2-user ~]$ export AWS_SECRET_ACCESS_KEY=your_secret_access_key
      ```

1. Preparare un volume Amazon Elastic Block Store (Amazon EBS) per la nuova AMI.

   1. Creare un volume EBS vuoto nella stessa zona di disponibilità dell'istanza utilizzando il comando [create-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-volume.html). Prendere nota dell'ID del volume nell'output del comando.
**Importante**  
 Questo volume EBS deve essere uguale o maggiore delle dimensioni del volume root instance store originale.

      ```
      aws ec2 create-volume \
          --size 10 \
          --region us-west-2 \
          --availability-zone us-west-2b
      ```

   1. Collegare il volume all'istanza supportata da Amazon EBS utilizzando il comando [attach-volume](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-volume.html).

      ```
      aws ec2 attach-volume \
          --volume-id vol-01234567890abcdef \
          --instance-id i-1234567890abcdef0 \
          --region us-west-2
      ```

1. Creare una cartella per il bundle.

   ```
   [ec2-user ~]$ mkdir /tmp/bundle
   ```

1. Scaricare il bundle dell'AMI basata su instance store in `/tmp/bundle` utilizzando il comando [ec2-download-bundle](ami-tools-commands.md#ami-download-bundle).

   ```
   [ec2-user ~]$ ec2-download-bundle -b amzn-s3-demo-bucket/bundle_folder/bundle_name -m image.manifest.xml -a $AWS_ACCESS_KEY_ID -s $AWS_SECRET_ACCESS_KEY --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem -d /tmp/bundle
   ```

1. Ricostruire il file di immagine dal bundle utilizzando il comando [ec2-unbundle](ami-tools-commands.md#ami-unbundle).

   1. Cambiare directory nella cartella del bundle.

      ```
      [ec2-user ~]$ cd /tmp/bundle/
      ```

   1. Esegui il comando [ec2-unbundle](ami-tools-commands.md#ami-unbundle).

      ```
      [ec2-user bundle]$ ec2-unbundle -m image.manifest.xml --privatekey /path/to/pk-HKZYKTAIG2ECMXYIBH3HXV4ZBEXAMPLE.pem
      ```

1. Copiare i file dall'immagine disaggregata nel nuovo volume EBS.

   ```
   [ec2-user bundle]$ sudo dd if=/tmp/bundle/image of=/dev/sdb bs=1M
   ```

1. Esaminare il volume cercando eventuali partizioni disaggregate.

   ```
   [ec2-user bundle]$ sudo partprobe /dev/sdb1
   ```

1. Elencare i dispositivi a blocchi per individuare il nome del dispositivo da montare.

   ```
   [ec2-user bundle]$ lsblk
   NAME         MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
   /dev/sda    202:0    0   8G  0 disk
   └─/dev/sda1 202:1    0   8G  0 part /
   /dev/sdb    202:80   0  10G  0 disk
   └─/dev/sdb1 202:81   0  10G  0 part
   ```

   In questo esempio, la partizione da montare è `/dev/sdb1`, ma il nome del dispositivo probabilmente sarà diverso. Se il volume non è partizionato, il dispositivo da montare sarà simile a `/dev/sdb` (senza una cifra finale della partizione del dispositivo).

1. Creare un punto di montaggio per il nuovo volume EBS e montare il volume.

   ```
   [ec2-user bundle]$ sudo mkdir /mnt/ebs
   [ec2-user bundle]$ sudo mount /dev/sdb1 /mnt/ebs
   ```

1. Aprire il file `/etc/fstab` sul volume EBS con l'editor di testo preferito (ad esempio **vim** o **nano**) e rimuovere tutte le voci dei volumi instance store (temporanei). Poiché il volume EBS è montato su `/mnt/ebs`, il file `fstab` si trova in `/mnt/ebs/etc/fstab`.

   ```
   [ec2-user bundle]$ sudo nano /mnt/ebs/etc/fstab
   #
   LABEL=/     /           ext4    defaults,noatime  1   1
   tmpfs       /dev/shm    tmpfs   defaults        0   0
   devpts      /dev/pts    devpts  gid=5,mode=620  0   0
   sysfs       /sys        sysfs   defaults        0   0
   proc        /proc       proc    defaults        0   0
   /dev/sdb        /media/ephemeral0       auto    defaults,comment=cloudconfig    0       2
   ```

   In questo esempio, l'ultima riga deve essere rimossa.

1. Smontare il volume e distaccarlo dall'istanza.

   ```
   [ec2-user bundle]$ sudo umount /mnt/ebs
   [ec2-user bundle]$ aws ec2 detach-volume --volume-id vol-01234567890abcdef --region us-west-2
   ```

1. Creare un'AMI dal nuovo volume EBS come segue:

   1. Creare uno snapshot del nuovo volume EBS.

      ```
      [ec2-user bundle]$ aws ec2 create-snapshot --region us-west-2 --description "your_snapshot_description" --volume-id vol-01234567890abcdef
      ```

   1. Controllare se la snapshot è completa.

      ```
      [ec2-user bundle]$ aws ec2 describe-snapshots --region us-west-2 --snapshot-id snap-0abcdef1234567890
      ```

   1. Identificare l'architettura del processore, il tipo di virtualizzazione e l'immagine del kernel (`aki`) utilizzati sull'AMI originale tramite il comando **describe-images**. Per questa fase è necessario l’ID AMI dell’AMI originale supportato da Amazon S3.

      ```
      [ec2-user bundle]$ aws ec2 describe-images --region us-west-2 --image-id ami-0abcdef1234567890 --output text
      IMAGES	x86_64	amazon/amzn-ami-pv-2013.09.2.x86_64-s3	ami-8ef297be	amazon	available	public	machine	aki-fc8f11cc	instance-store	paravirtual	xen
      ```

      In questo esempio, l'architettura è `x86_64` e l'ID dell'immagine del kernel è `aki-fc8f11cc`. Utilizzare questi valori nella fase seguente. Se l'output del comando sopra include anche un ID `ari`, prenderne nota.

   1. Registrare la nuova AMI con l'ID dello snapshot del nuovo volume EBS e i valori della fase precedente. Se nell'output del comando precedente è incluso un ID `ari`, includerlo nel seguente comando con `--ramdisk-id ari_id`.

      ```
      [ec2-user bundle]$ aws ec2 register-image --region us-west-2 --name your_new_ami_name --block-device-mappings DeviceName=device-name,Ebs={SnapshotId=snap-0abcdef1234567890} --virtualization-type paravirtual --architecture x86_64 --kernel-id aki-fc8f11cc --root-device-name device-name
      ```

1. (Facoltativo) Dopo avere verificato di poter avviare un'istanza dalla nuova AMI, è possibile eliminare il volume EBS creato per questa procedura.

   ```
   aws ec2 delete-volume --volume-id vol-01234567890abcdef
   ```

# Creare un'AMI Amazon EC2 utilizzando Windows Sysprep
<a name="ami-create-win-sysprep"></a>

Lo strumento Microsoft System Preparation (Windows Sysprep) crea una versione generalizzata del sistema operativo, con la configurazione di sistema specifica dell'istanza rimossa prima di acquisire una nuova immagine.

Ti consigliamo di utilizzare [EC2 Image](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) Builder per automatizzare la creazione, la gestione e l'implementazione di immagini server personalizzate up-to-date, sicure e «dorate» preinstallate e preconfigurate con software e impostazioni.

È inoltre possibile utilizzare Windows Sysprep per creare un'AMI standardizzata utilizzando gli agenti di avvio di Windows EC2: Launch v2 EC2, Launch e Config. EC2

**Importante**  
Non si deve utilizzare Windows Sysprep per creare il backup di un'istanza. Windows Sysprep rimuove le informazioni specifiche di sistema. La rimozione di tali informazioni può avere conseguenze indesiderate sul backup di un'istanza.

Per risolvere i problemi relativi a Windows Sysprep, vedere [Risoluzione dei problemi di Sysprep relativi alle istanze Amazon EC2 Windows](sysprep-troubleshoot.md).

**Topics**
+ [Fasi di Windows Sysprep](#sysprep-phases)
+ [Prima di iniziare](#sysprep-begin)
+ [Usa Windows Sysprep con Launch v2 EC2](sysprep-using-ec2launchv2.md)
+ [Usa Windows Sysprep con Launch EC2](ec2launch-sysprep.md)
+ [Usare Windows Sysprep con Config EC2](sysprep-using.md)

## Fasi di Windows Sysprep
<a name="sysprep-phases"></a>

L'esecuzione di Windows Sysprep avviene nelle fasi seguenti:
+ **Generalizzazione**: lo strumento Sysprep rimuove le informazioni e le configurazioni specifiche dell'immagine. Per esempio, Windows Sysprep rimuove l'identificatore di sicurezza (SID), il nome del computer, i log di eventi e i driver specifici, per citarne alcune. Dopo il completamento di questa fase, il sistema operativo (SO) è pronto a creare un'AMI.
**Nota**  
Quando esegui Windows Sysprep con gli agenti di avvio di Windows, il sistema impedisce la rimozione dei driver perché `PersistAllDeviceInstalls` è impostato su true per impostazione predefinita.
+ **Specialize (Specializzazione)**: Plug and Play esegue un'analisi del computer e installa i driver per ogni dispositivo rilevato. Lo strumento Sysprep genera i requisiti del SO, quali il nome del computer e il SID. Facoltativamente, è possibile eseguire comandi in questa fase.
+ **Out-of-Box Esperienza (OOBE)**: il sistema esegue una versione abbreviata di Windows Setup e richiede di inserire informazioni come la lingua del sistema, il fuso orario e l'organizzazione registrata. Quando esegui Windows Sysprep con gli agenti di avvio di Windows, il file di risposta automatizza questa fase.

## Prima di iniziare
<a name="sysprep-begin"></a>
+ Prima di eseguire Windows Sysprep, ti consigliamo di rimuovere tutti gli account utente locali e tutti i profili account diversi da un account amministratore singolo in cui Windows Sysprep verrà eseguito. Se esegui Windows Sysprep con account e profili aggiuntivi, si può verificare un comportamento imprevisto, inclusi perdita di dati del profilo o errore di completamento Windows Sysprep.
+ Ulteriori informazioni sulla [Panoramica di Sysprep](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--system-preparation--overview).
+ Informazioni sul [Supporto Sysprep per i ruoli server](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep-support-for-server-roles).

# Creare un'AMI utilizzando Windows Sysprep con EC2 Launch v2
<a name="sysprep-using-ec2launchv2"></a>

Quando crei un'immagine da un'istanza con l'agente EC2 Launch v2 installato, EC2 Launch v2 esegue attività specifiche durante la preparazione dell'immagine. Ciò include l’uso di Windows Sysprep. Per ulteriori informazioni, consulta [Fasi di Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).

**Topics**
+ [Azioni di Windows Sysprep](#sysprep-actions-ec2launchv2)
+ [Dopo Sysprep](#sysprep-post-ec2launchv2)
+ [Esegui Windows Sysprep con Launch v2 EC2](#sysprep-gui-procedure-ec2launchv2)

## Azioni di Windows Sysprep
<a name="sysprep-actions-ec2launchv2"></a>

Windows Sysprep e EC2 Launch v2 eseguono le seguenti azioni durante la preparazione di un'immagine.

1. Quando si sceglie **Shutdown with Sysprep** nella finestra di dialogo delle **impostazioni di EC2 avvio**, il sistema esegue il comando. `ec2launch sysprep`

1. EC2Launch v2 modifica il contenuto del `unattend.xml` file leggendo il valore del registro in. `HKEY_USERS\.DEFAULT\Control Panel\International\LocaleName` Il file si trova nella directory seguente: `C:\ProgramData\Amazon\EC2Launch\sysprep`.

1. Il sistema esegue il comando `BeforeSysprep.cmd`. Tale comando crea una chiave di registro come indicato di seguito:

   **reg add "HKEY\$1LOCAL\$1MACHINE\$1SYSTEM\$1CurrentControlSet\$1Control\$1Terminal Server" /v fDenyTSConnections /t REG\$1DWORD /d 1 /f**

   La chiave di registro disattiva le connessioni RDP fino a che non vengono riattivate. La disattivazione delle connessioni RDP è una misura di sicurezza necessaria in quanto, nella prima sessione di avvio dopo l'esecuzione di Windows Sysprep, RDP consente le connessioni per un breve periodo di tempo in cui la password dell'Amministratore è vuota.

1. Il servizio EC2 Launch v2 chiama Windows Sysprep eseguendo il comando seguente:

   **sysprep.exe /oobe /generalize /shutdown /unattend: "C:\$1ProgramData\$1Amazon\$1EC2Launch\$1sysprep\$1unattend.xml"**

### Fase di generalizzazione
<a name="sysprep-generalize-ec2launchv2"></a>
+ EC2Launch v2 rimuove le informazioni e le configurazioni specifiche dell'immagine, come il nome del computer e il SID. Se l'istanza è un membro di un dominio, essa viene rimossa dal dominio. Il file di risposta `unattend.xml` include le impostazioni seguenti che riguardano questa fase: 
  + **PersistAllDeviceInstalls**: questa impostazione impedisce a Windows Setup di rimuovere e riconfigurare i dispositivi, il che accelera il processo di preparazione delle immagini perché Amazon AMIs richiede l'esecuzione di determinati driver e il nuovo rilevamento di tali driver richiederebbe tempo.
  + **DoNotCleanUpNonPresentDevices**: Questa impostazione conserva le informazioni Plug and Play per i dispositivi attualmente non presenti.
+ Windows Sysprep arresta l'SO quando si prepara alla creazione dell'AMI. Il sistema avvia una nuova istanza o avvia l'istanza originale.

### Fase di specializzazione
<a name="sysprep-specialize-ec2launchv2"></a>

Il sistema genera i requisiti specifici del SO, come un nome del computer e un SID. Il sistema esegue anche le azioni seguenti, in base alle configurazioni specificate nel file di risposta `unattend.xml`.
+ **CopyProfile**: Windows Sysprep può essere configurato per eliminare tutti i profili utente, incluso il profilo amministratore integrato. Questa impostazione mantiene l'account Amministratore integrato cosicché qualsiasi personalizzazione effettuata su tale account venga trasferita alla nuova immagine. Il valore predefinito è `True`.

  **CopyProfile**sostituisce il profilo predefinito con il profilo di amministratore locale esistente. Tutti gli account connessi dopo l'esecuzione di Windows Sysprep riceveranno una copia del profilo e del suo contenuto al primo accesso. 

  Se non si dispone di personalizzazioni specifiche del profilo utente che si desidera trasferire alla nuova immagine, modificare questa impostazione in `False`. Windows Sysprep rimuoverà tutti i profili utente, risparmiando tempo e spazio su disco.
+ **TimeZone**: per impostazione predefinita, il fuso orario è impostato su Coordinate Universal Time (UTC).
+ **Synchronous command with order 1 (Comando sincrono con ordine 1)**: il sistema esegue il comando seguente che abilita l'account amministratore e specifica il requisito della password:

  ```
  net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES
  ```
+ **Synchronous command with order 2 (Comando sincrono con ordine 2)**: il sistema codifica la password dell'amministratore. Questa misura di sicurezza è progettata per impedire che l'istanza sia accessibile dopo il completamento di Windows Sysprep se non hai configurato l'attività `setAdminAccount`.

  Il sistema esegue il seguente comando dalla directory locale degli agenti di lancio (`C:\Program Files\Amazon\EC2Launch\`).

  ```
  EC2Launch.exe internal randomize-password --username Administrator
  ```
+ Per abilitare le connessioni desktop remote, il sistema imposta la chiave di registro `fDenyTSConnections` di Terminal Server su false.

### Fase Configurazione guidata
<a name="sysprep-oobe-ec2launchv2"></a>

1. Il sistema specifica le seguenti configurazioni utilizzando il file di risposta EC2 Launch v2:
   + `<InputLocale>en-US</InputLocale>`
   + `<SystemLocale>en-US</SystemLocale>`
   + `<UILanguage>en-US</UILanguage>`
   + `<UserLocale>en-US</UserLocale>`
   + `<HideEULAPage>true</HideEULAPage>`
   + `<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>`
   + `<ProtectYourPC>3</ProtectYourPC>`
   + `<BluetoothTaskbarIconEnabled>false</BluetoothTaskbarIconEnabled>`
   + `<TimeZone>UTC</TimeZone>`
   + `<RegisteredOrganization>Amazon.com</RegisteredOrganization>`
   + `<RegisteredOwner>EC2</RegisteredOwner>`
**Nota**  
Durante le fasi di generalizzazione e specializzazione, EC2 Launch v2 monitora lo stato del sistema operativo. Se EC2 Launch v2 rileva che il sistema operativo è in una fase di Sysprep, pubblica il seguente messaggio nel registro di sistema:  
Windows è in fase di configurazione. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE

1. Il sistema esegue Launch v2. EC2

## Dopo Sysprep
<a name="sysprep-post-ec2launchv2"></a>

Al termine di Windows Sysprep, EC2 Launch v2 invia il seguente messaggio all'output della console:

```
Windows sysprep configuration complete.
```

EC2Launch v2 esegue quindi le seguenti azioni:

1. Legge il contenuto del file `agent-config.yml` ed esegue le attività configurate. 

1. Esegue tutte le attività della fase `preReady`.

1. Al termine, invia un messaggio `Windows is ready` ai log di sistema dell'istanza.

1. Esegue tutte le attività della fase `PostReady`.

Per ulteriori informazioni su EC2 Launch v2, consulta. [Utilizza l'agente EC2Launch v2 per eseguire attività durante l'avvio dell'istanza EC2 Windows](ec2launch-v2.md)

## Esegui Windows Sysprep con Launch v2 EC2
<a name="sysprep-gui-procedure-ec2launchv2"></a>

Utilizzare la procedura seguente per creare un'AMI standardizzata utilizzando Windows Sysprep con EC2 Launch v2.

1. Nella console Amazon EC2 individuare un'AMI che si desidera duplicare.

1. Avviare l'istanza Windows e connettersi a essa.

1. Personalizza impostazioni

   1. Dal menu **Start** di Windows, cerca e scegli **le impostazioni di Amazon EC2 Launch**. Per ulteriori informazioni sulle opzioni e le impostazioni nella finestra di dialogo delle **impostazioni di Amazon EC2 Launch**, consulta[Configura le impostazioni di EC2 Launch v2 per le istanze di Windows](ec2launch-v2-settings.md).

   1. Se hai apportato modifiche, seleziona **Salva** prima di spegnere il computer.

1. Scegli **Arresto con Sysprep** o **Arresto senza Sysprep**.

**Quando ti viene chiesto di confermare che desideri eseguire Windows Sysprep e chiudere l'istanza, fai clic su Sì.** EC2Launch v2 esegue Windows Sysprep. Quindi verrai disconnesso dall'istanza e l'istanza verrà arrestata. Se si controlla la pagina **Instances (Istanze)** nella console Amazon EC2, lo stato dell'istanza cambia da `Running` a `Stopping` a `Stopped`. A questo punto, è opportuno creare un'AMI da questa istanza.

È possibile richiamare manualmente lo strumento Windows Sysprep dalla riga di comando con il comando seguente:

```
"%programfiles%\amazon\ec2launch\ec2launch.exe" sysprep --shutdown=true
```

# Creare un'AMI utilizzando Windows Sysprep con Launch EC2
<a name="ec2launch-sysprep"></a>

Quando crei un'immagine da un'istanza con l'agente EC2 Launch installato, EC2 Launch esegue attività specifiche durante la preparazione dell'immagine. Ciò include l’uso di Windows Sysprep. Per ulteriori informazioni, consulta [Fasi di Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).

EC2Launch offre un file di risposta predefinito e file batch per Windows Sysprep che automatizzano e proteggono il processo di preparazione delle immagini sull'AMI. La modifica di tali file è facoltativa. Per impostazione predefinita, questi file si trovano nella directory seguente: `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`.

**Importante**  
Non si deve utilizzare Windows Sysprep per creare il backup di un'istanza. Windows Sysprep rimuove le informazioni specifiche di sistema. La rimozione di tali informazioni può avere conseguenze indesiderate sul backup di un'istanza.

**Topics**
+ [EC2Avvia i file di risposta e i file batch per Windows Sysprep](#ec2launch-sysprep-answer-batch)
+ [Esegui Windows Sysprep con Launch EC2](#ec2launch-sysprep-running)
+ [Aggiorna i metadata/KMS percorsi per Server 2016 e versioni successive all'avvio di un'AMI personalizzata](#update-metadata-KMS)

## EC2Avvia i file di risposta e i file batch per Windows Sysprep
<a name="ec2launch-sysprep-answer-batch"></a>

Il file di risposta di EC2 avvio e i file batch per Windows Sysprep includono quanto segue:

`Unattend.xml`  
Si tratta del file di risposta predefinito. Se si esegue `SysprepInstance.ps1` o si sceglie **ShutdownWithSysprep**nell'interfaccia utente, il sistema legge l'impostazione da questo file.

`BeforeSysprep.cmd`  
Personalizzate questo file batch per eseguire i comandi prima che EC2 Launch esegua Windows Sysprep.

`SysprepSpecialize.cmd`  
Personalizzare questo file batch per eseguire i comandi durante la fase di specializzazione di Windows Sysprep.

## Esegui Windows Sysprep con Launch EC2
<a name="ec2launch-sysprep-running"></a>

Nell'installazione completa di Windows Server 2016 e versioni successive (con un'esperienza desktop), puoi eseguire Windows Sysprep with EC2 Launch manualmente o utilizzando l'applicazione **EC2** Launch Settings.

**Per eseguire Windows Sysprep utilizzando l'applicazione Launch Settings EC2**

1. Nella console Amazon EC2, identificare o creare un'AMI di Windows Server 2016 o versione successiva.

1. Avviare un'istanza Windows dall'AMI.

1. Collegarsi all'istanza Windows e personalizzarla.

1. Cerca ed esegui l'applicazione. **EC2LaunchSettings** Per impostazione predefinita, si trova nella directory seguente: `C:\ProgramData\Amazon\EC2-Windows\Launch\Settings`.  
![\[Applicazione EC2 Launch Settings\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ec2launch-sysprep.png)

1. Selezionare o deselezionare le opzioni in base alle esigenze. Tali impostazioni vengono memorizzate nel file `LaunchConfig.json`.

1. Per **Administrator Password (Password amministratore)**, eseguire una delle seguenti operazioni:
   + Scegli **Casuale**. EC2Launch genera una password e la crittografa utilizzando la chiave dell'utente. Il sistema disattiva questa impostazione dopo l'avvio dell'istanza in modo che questa password rimanga se l'istanza viene riavviata o arrestata e avviata.
   + Scegliere **Specify (Specifica)** e digitare una password che soddisfi i requisiti di sistema. La password viene memorizzata in `LaunchConfig.json` come testo non crittografato e viene cancellata dopo che Windows Sysprep ha impostato la password amministratore. Se si spegne ora, la password viene impostata immediatamente. EC2Launch crittografa la password utilizzando la chiave dell'utente.
   + Scegli **DoNothing**e specifica una password nel `unattend.xml` file. Se non si indica una password in `unattend.xml`, l'account amministratore viene disattivato.

1. Selezionare **Shutdown with Sysprep (Arresta con Sysprep)**.

**Per eseguire manualmente Windows Sysprep utilizzando Launch EC2**

1. Nella console Amazon EC2 identificare o creare un'AMI di Windows Server 2016 o versione successiva, edizione Datacenter, che si desidera duplicare.

1. Avviare l'istanza Windows e connettersi a essa.

1. Personalizzare l'istanza.

1. Specificare le impostazioni nel file `LaunchConfig.json`. Per impostazione predefinita, questo file si trova nella directory `C:\ProgramData\Amazon\EC2-Windows\Launch\Config`.

   Per `adminPasswordType`, indicare uno dei valori seguenti:  
`Random`  
EC2Launch genera una password e la crittografa utilizzando la chiave dell'utente. Il sistema disattiva questa impostazione dopo l'avvio dell'istanza in modo che questa password rimanga se l'istanza viene riavviata o arrestata e avviata.  
`Specify`  
EC2Launch utilizza la password specificata in`adminPassword`. Se la password non soddisfa i requisiti di sistema, EC2 Lauch genera invece una password casuale. La password viene memorizzata `LaunchConfig.json` come testo non crittografato e viene eliminata dopo che Windows Sysprep ha impostato la password dell'amministratore. EC2Launch crittografa la password utilizzando la chiave dell'utente.  
`DoNothing`  
EC2Launch utilizza la password specificata nel `unattend.xml` file. Se non si indica una password in `unattend.xml`, l'account amministratore viene disattivato.

1. (Facoltativo) Specificare le impostazioni nel file `unattend.xml` e in altri file di configurazione. Se si prevede di partecipare all'installazione, non è necessario apportare modifiche a questi file. Per impostazione predefinita, i file si trovano nella directory seguente: `C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep`.

1. In Windows PowerShell, esegui`./InitializeInstance.ps1 -Schedule`. Per impostazione predefinita, lo script si trova nella directory seguente: `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. Lo script programma l'istanza da inizializzare durante l'avvio seguente. Bisogna eseguire questo script prima di eseguire lo script `SysprepInstance.ps1` durante la fase successiva.

1. In Windows PowerShell, esegui`./SysprepInstance.ps1`. Per impostazione predefinita, lo script si trova nella directory seguente: `C:\ProgramData\Amazon\EC2-Windows\Launch\Scripts`. 

Si verrà disconnessi dall'istanza e l'istanza verrà arrestata. Se si controlla la pagina **Instances (Istanze)** nella console Amazon EC2, lo stato dell'istanza cambia da `Running` a `Stopping`, quindi in `Stopped`. A questo punto è sicuro creare un'AMI da questa istanza.

## Aggiorna i metadata/KMS percorsi per Server 2016 e versioni successive all'avvio di un'AMI personalizzata
<a name="update-metadata-KMS"></a>

Per aggiornare i metadata/KMS percorsi per Server 2016 e versioni successive all'avvio di un'AMI personalizzata, esegui una delle seguenti operazioni:
+ Esegui la LaunchSettings GUI EC2 (C:\$1\$1 ProgramData Amazon\$1 EC2-Windows\$1 Launch\$1 Settings\$1 Ec2 LaunchSettings .exe) e seleziona l'opzione per chiudere con Windows Sysprep.
+ Esegui EC2 LaunchSettings e spegni senza Windows Sysprep prima di creare l'AMI. Questo fa in modo che le attività di inizializzazione dell'avvio di EC2 vengano eseguite all'avvio successivo che imposta i routing in base alla sottorete per l'instanza.
+ Riprogramma manualmente le attività di inizializzazione di EC2 Launch prima di creare un'AMI da. [PowerShell](ec2launch-config.md#ec2launch-inittasks) 
**Importante**  
Prendere nota del comportamento predefinito di reimpostazione della password prima di riprogrammare le attività.
+ Per aggiornare le route su un'istanza in esecuzione in cui si verifica l'attivazione di Windows o la comunicazione con errori dei metadati dell'istanza, vedere ["Impossibile attivare Windows"](common-messages.md#activate-windows).

# Creare un'AMI utilizzando Windows Sysprep con Config EC2
<a name="sysprep-using"></a>

Quando si crea un'immagine da un'istanza con il servizio EC2 Config installato, EC2 Config esegue attività specifiche durante la preparazione dell'immagine. Ciò include l’uso di Windows Sysprep. Per ulteriori informazioni, consulta [Fasi di Windows Sysprep](ami-create-win-sysprep.md#sysprep-phases).

**Topics**
+ [Azioni di Windows Sysprep](#sysprep-actions)
+ [Dopo Sysprep](#sysprep-post)
+ [Eseguire Windows Sysprep con il servizio Config EC2](#sysprep-gui-procedure)

## Azioni di Windows Sysprep
<a name="sysprep-actions"></a>

Windows Sysprep e il servizio EC2 Config eseguono le seguenti azioni durante la preparazione di un'immagine.

1. Quando si sceglie **Arresta con Sysprep** nella finestra di dialogo **Proprietà del servizio EC2**, il sistema esegue il comando **ec2config.exe –sysprep**.

1. Il servizio EC2 Config legge il contenuto del file. `BundleConfig.xml` Per impostazione predefinita, questo file si trova nella directory seguente: `C:\Program Files\Amazon\Ec2ConfigService\Settings`.

    Il file `BundleConfig.xml` include le seguenti impostazioni. È possibile modificare tali impostazioni:
   + **AutoSysprep**: indica se utilizzare Windows Sysprep automaticamente. Non si deve modificare tale valore se Windows Sysprep è in esecuzione dalla finestra di dialogo EC2 Service Properties (Proprietà servizio EC2). Il valore predefinito è `No`.
   + **Set RDPCertificate**: imposta un certificato autofirmato per il server Remote Desktop. Questo consente di utilizzare il Remote Desktop Protocol (RDP) in modo sicuro per connettersi all'istanza. Modifica il valore in `Yes` se le nuove istanze devono utilizzare un certificato. Questa impostazione non si utilizza con le istanze di Windows Server 2012 in quanto tali sistemi operativi sono in grado di generare i propri certificati. Il valore predefinito è `No`.
   + **SetPasswordAfterSysprep**: imposta una password casuale su un'istanza appena avviata, la cripta con la chiave di avvio dell'utente e invia la password crittografata alla console. Modifica il valore in `No` se le nuove istanze non devono essere impostate su una password casuale crittografata. Il valore predefinito è `Yes`.
   +  **PreSysprepRunCmd**: la posizione del comando da eseguire. Per impostazione predefinita il comando si trova nella seguente directory: `C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd`

1. Il sistema esegue `BeforeSysprep.cmd`. Tale comando crea una chiave di registro come indicato di seguito:

   ```
   reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
   ```

   La chiave di registro disattiva le connessioni RDP fino a che non vengono riattivate. La disattivazione delle connessioni RDP è una misura di sicurezza necessaria in quanto, nella prima sessione di avvio dopo l'esecuzione di Windows Sysprep, RDP consente le connessioni per un breve periodo di tempo in cui la password dell'Amministratore è vuota.

1. Il servizio EC2 Config chiama Windows Sysprep eseguendo il comando seguente:

   ```
   sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown
   ```

### Fase di generalizzazione
<a name="sysprep-generalize"></a>
+ Lo strumento rimuove le informazioni e le configurazioni specifiche dell'immagine, quali il nome del computer e l'SID. Se l'istanza è un membro di un dominio, essa viene rimossa dal dominio. Il file di risposta `sysprep2008.xml` include le impostazioni seguenti che riguardano questa fase: 
  + **PersistAllDeviceInstalls**: questa impostazione impedisce a Windows Setup di rimuovere e riconfigurare i dispositivi, il che accelera il processo di preparazione delle immagini perché Amazon AMIs richiede l'esecuzione di determinati driver e il nuovo rilevamento di tali driver richiederebbe tempo.
  + **DoNotCleanUpNonPresentDevices**: Questa impostazione conserva le informazioni Plug and Play per i dispositivi attualmente non presenti.
+ Windows Sysprep arresta l'SO quando si prepara alla creazione dell'AMI. Il sistema avvia una nuova istanza o avvia l'istanza originale.

### Fase di specializzazione
<a name="sysprep-specialize"></a>

Il sistema genera i requisiti specifici del SO, come un nome del computer e un SID. Il sistema esegue anche le azioni seguenti, in base alle configurazioni specificate nel file di risposta sysprep2008.xml.
+ **CopyProfile**: Windows Sysprep può essere configurato per eliminare tutti i profili utente, incluso il profilo amministratore integrato. Questa impostazione mantiene l'account Amministratore integrato cosicché qualsiasi personalizzazione effettuata su tale account venga trasferita alla nuova immagine. Il valore predefinito è True.

  **CopyProfile**sostituisce il profilo predefinito con il profilo di amministratore locale esistente. Tutti gli account connessi dopo l'esecuzione di Windows Sysprep riceveranno una copia di tale profilo e del suo contenuto al primo accesso. 

  Se non si dispone di personalizzazioni specifiche del profilo utente che si desidera trasferire alla nuova immagine, modificare questa impostazione in False. Windows Sysprep rimuoverà tutti i profili utente, risparmiando tempo e spazio su disco. 
+ **TimeZone**: per impostazione predefinita, il fuso orario è impostato su Coordinate Universal Time (UTC).
+ **Synchronous command with order 1 (Comando sincrono con ordine 1)**: il sistema esegue il comando seguente che abilita l'account amministratore e specifica il requisito della password.

  **net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES**
+ **Synchronous command with order 2 (Comando sincrono con ordine 2)**: il sistema codifica la password dell'amministratore. Questa misura di sicurezza è progettata per impedire che l'istanza sia accessibile dopo il completamento di Windows Sysprep se non è stata attivata l'impostazione ec2setpassword.

  C:\$1Program Files\$1 Amazon\$1 Ec2ConfigService\$1 ScramblePassword .exe» -u Amministratore
+ **Synchronous command with order 3 (Comando sincrono con ordine 3)**: il sistema esegue il comando seguente:

  C:\$1Program Files\$1 Amazon\$1 Ec2\$1 ScriptsConfigService\$1 .cmd SysprepSpecializePhase

   Questo comando aggiunge la seguente chiave di registro, che riattiva l'RDP:

  reg aggiungi «HKEY\$1LOCAL\$1MACHINE\$1 SYSTEM\$1\$1 ControlCurrentControlSet\$1 Terminal Server» /v fDeny /t REG\$1DWORD /d 0 /f TSConnections 

### Fase Configurazione guidata
<a name="sysprep-oobe"></a>

1. Utilizzando il file di risposta del servizio EC2 Config, il sistema specifica le seguenti configurazioni:
   + < >it-US</ > InputLocale InputLocale
   + < SystemLocale >it-IT</ SystemLocale >
   + < UILanguage >it-IT</ UILanguage >
   + < UserLocale >it-IT</ UserLocale >
   + <Nascondi EULAPage >Vero</Nascondi EULAPage >
   + < HideWirelessSetupIn OOBE>True</ HideWirelessSetupIn OOBE>
   + < NetworkLocation >Altro</ NetworkLocation >
   + < PC>3</ PC> ProtectYour ProtectYour
   + < BluetoothTaskbarIconEnabled >falso</ BluetoothTaskbarIconEnabled >
   + < TimeZone >UTC</ TimeZone >
   + < RegisteredOrganization > Amazon.com</ RegisteredOrganization >
   + < RegisteredOwner RegisteredOwner >Amazon</ >
**Nota**  
Durante le fasi di generalizzazione e specializzazione, il servizio EC2 Config monitora lo stato del sistema operativo. Se EC2 Config rileva che il sistema operativo è in una fase Sysprep, pubblica il seguente messaggio nel registro di sistema:  
EC2ConfigMonitorState: 0 Windows è in fase di configurazione. SysprepState=IMAGE\$1STATE\$1UNDEPLOYABLE

1. Al termine della fase OOBE, il sistema esegue `SetupComplete.cmd` dal seguente percorso: `C:\Windows\Setup\Scripts\SetupComplete.cmd`. In Amazon public AMIs prima di aprile 2015 questo file era vuoto e non eseguiva nulla sull'immagine. In formato pubblico dopo AMIs aprile 2015, il file include il seguente valore:**call "C:\$1Program Files\$1Amazon\$1Ec2ConfigService\$1Scripts\$1PostSysprep.cmd"**.

1. Il sistema esegue `PostSysprep.cmd`, che esegue le seguenti operazioni:
   + Imposta la password Amministratore locale in modo che non scada. Se la password è scaduta, l'Amministratore potrebbe non essere in grado di effettuare l'accesso.
   + Imposta il nome della MSSQLServer macchina (se installata) in modo che il nome sia sincronizzato con l'AMI.

## Dopo Sysprep
<a name="sysprep-post"></a>

Al termine di Windows Sysprep, i servizi EC2 Config inviano il seguente messaggio all'output della console:

```
Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End
```

EC2Config esegue quindi le seguenti azioni:

1. Legge il contenuto del file config.xml ed elenca tutti i plug-in attivati. 

1. Esegue tutti i plug-in "Prima che Windows sia pronto" contemporaneamente.
   + Ec2 SetPassword
   + Ec 2 SetComputerName
   + Ec 2 InitializeDrives
   + Ec 2 EventLog
   + Ec2ConfigureRDP
   + Uscita Ec2 RDPCert
   + Ec2 SetDriveLetter
   + Ec 2 WindowsActivate
   + Ec 2 DynamicBootVolumeSize

1. Al termine, invia un messaggio "Windows è pronto" ai log del sistema di istanza.

1. Esegue tutti i plug-in "Dopo che Windows è pronto" contemporaneamente.
   +  CloudWatch Registri Amazon 
   + UserData
   + AWS Systems Manager (Systems Manager) 

Per ulteriori informazioni sui plug-in di Windows, consulta [Utilizza il servizio EC2Config per eseguire attività durante l'avvio dell'istanza del sistema operativo Windows legacy EC2](ec2config-service.md).

## Eseguire Windows Sysprep con il servizio Config EC2
<a name="sysprep-gui-procedure"></a>

Utilizzare la procedura seguente per creare un'AMI standardizzata utilizzando Windows Sysprep e il servizio EC2 Config.

1. Nella console Amazon EC2 individuare o [creare](creating-an-ami-ebs.md) un'AMI che si desidera duplicare.

1. Avviare l'istanza Windows e connettersi a essa.

1. Personalizzarla.

1. Specificare le impostazioni di configurazione nel file di risposta del servizio EC2 Config:

   `C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml`

1. Dal menu **Start** di Windows, scegliete **Tutti i programmi**, quindi selezionate **EC2ConfigServiceImpostazioni**. 

1. Selezionare la scheda **Image (Immagine)** nella finestra di dialogo **Ec2 Service Properties (Proprietà servizio Ec2)**. Per ulteriori informazioni sulle opzioni e sulle impostazioni nella finestra di dialogo Proprietà servizio Ec2, consultare [Proprietà servizio Ec2](ec2config-service.md).

1. **Seleziona un'opzione per la password dell'amministratore, quindi seleziona **Arresta con Sysprep o Arresta senza Sysprep**.** EC2Config modifica i file delle impostazioni in base all'opzione di password selezionata.
   + **Casuale**: EC2 Config genera una password, la crittografa con la chiave dell'utente e visualizza la password crittografata sulla console. Questa impostazione si disattiva dopo il primo avvio, in modo che questa password persista se l'istanza viene riavviata o arrestata e avviata.
   + **Specifica**: la password viene memorizzata nel file di risposta Windows Sysprep in un modulo non crittografato (testo normale). Quando Windows Sysprep viene eseguito, imposta la password Amministratore. Se si esegue l'arresto in questo momento, la password viene impostata immediatamente. Quando il servizio viene avviato nuovamente, la password Amministratore viene rimossa. È importante ricordare la password, poiché non sarà più possibile recuperarla in seguito.
   + **Mantieni esistente**: la password esistente per l'account Administrator non cambia quando Windows Sysprep viene eseguito o EC2 Config viene riavviato. È importante ricordare la password, poiché non sarà più possibile recuperarla in seguito.

1. Seleziona **OK**.

Quando viene chiesto di confermare l'esecuzione di Windows Sysprep e l'arresto dell'istanza, fare clic su **Sì**. Noterai che EC2 Config esegue Windows Sysprep. Successivamente, si verrà disconnessi dall'istanza e l'istanza verrà arrestata. Se si controlla la pagina **Instances (Istanze)** nella console Amazon EC2, lo stato dell'istanza cambia da `Running` a `Stopping` e infine in `Stopped`. A questo punto, è opportuno creare un'AMI da questa istanza.

È possibile richiamare manualmente lo strumento Windows Sysprep dalla riga di comando con il comando seguente:

```
"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep"" 
```

**Nota**  
Le virgolette doppie nel comando non sono necessarie se la shell CMD è già nella directory C:\$1Program Files\$1 Amazon\$1 EC2ConfigService\$1.

Tuttavia, è necessario controllare bene che le opzioni dei file XML specificate nella cartella `Ec2ConfigService\Settings` siano corrette; in caso contrario, potrebbe non essere possibile connettersi all'istanza. Per ulteriori informazioni sui file delle impostazioni, consultare [EC2File delle impostazioni di Config](ec2config-service.md#UsingConfigXML_WinAMI). Per avere un esempio della configurazione e dell'esecuzione di Windows Sysprep dalla riga di comando, consulta `Ec2ConfigService\Scripts\InstallUpdates.ps1`.

# Copiare un'AMI Amazon EC2
<a name="CopyingAMIs"></a>

Quando ti serve una configurazione coerente delle istanze Amazon EC2 in più regioni, puoi utilizzare una singola Amazon Machine Image (AMI) come modello per avviare tutte le istanze. Tuttavia, AMIs si tratta di risorse specifiche della regione: per avviare un'istanza in una regione specifica, Regione AWS l'AMI deve trovarsi in quella regione. Quindi, per utilizzare la stessa AMI in più regioni, è necessario copiarla dalla regione di origine a ciascuna regione di destinazione.

Il metodo utilizzato per copiare un’AMI dipende dal fatto che la copia avvenga tra regioni *all’interno della stessa [partizione](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition)* o *tra partizioni diverse*:
+ Copia **tra regioni: copia** AMIs tra regioni *all'interno della stessa partizione, ad esempio tra le regioni all'interno della partizione* commerciale. Questo metodo di copia viene descritto in questo argomento.
+ Copia **tra partizioni: copia AMIs ** *da una partizione a un'altra, ad esempio dalla partizione* commerciale alla partizione. AWS GovCloud (US) Per informazioni su questo metodo, consulta [Archiviazione e ripristino di un'AMIConsentito AMIs](ami-store-restore.md).
+ **Copia su più account**: crea una copia di un AMI che un altro Account AWS ha [condiviso con](sharingamis-explicit.md) il tuo. Account AWS Questo metodo di copia viene descritto in questo argomento.

Il tempo necessario per completare l’operazione per la copia delle AMI tra regioni e account diversi è stimato nel miglior modo possibile. Se hai bisogno di controllare i tempi di completamento, puoi specificare un intervallo di tempo compreso tra 15 minuti e 48 ore, assicurandoti che la tua AMI venga copiata entro il periodo di tempo richiesto. Per le operazioni di copia AMI basate sul tempo vengono applicati costi aggiuntivi. Per ulteriori informazioni, consulta [Time-based copies](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) nella *Guida per l’utente di Amazon EBS*.

**Topics**
+ [Considerazioni](#copy-ami-considerations)
+ [Costi](#copy-ami-costs)
+ [Concedi le autorizzazioni per copiare Amazon EC2 AMIs](copy-ami-permissions.md)
+ [Copiare un'AMI](#ami-copy-steps)
+ [Arrestare un'operazione di copia AMI in sospeso](#ami-copy-stop)
+ [Come funziona la copia delle AMI Amazon EC2](how-ami-copy-works.md)

## Considerazioni
<a name="copy-ami-considerations"></a>
+ **Autorizzazione alla copia AMIs**: puoi utilizzare le policy IAM per concedere o negare agli utenti l'autorizzazione alla copia. AMIs A partire dal 28 ottobre 2024, puoi specificare le autorizzazioni a livello di risorsa per l'azione `CopyImage` sull'AMI di origine. Le autorizzazioni a livello di risorsa per la nuova AMI sono disponibili come in precedenza.
+ Autorizzazioni di **avvio e autorizzazioni per bucket Amazon S3** AWS : non copia le autorizzazioni di avvio o le autorizzazioni del bucket Amazon S3 dall'AMI di origine alla nuova AMI. Al completamento dell'operazione di copia, è possibile applicare i permessi di avvio e le autorizzazioni del bucket Amazon S3 alla nuova AMI.
+ **Tag** – È possibile copiare solo i tag AMI definiti dall'utente che sono stati collegati all'AMI. I tag di sistema (con il prefisso `aws:`) e i tag definiti dall'utente che sono collegati da altri Account AWS non verranno copiati. Quando copi un’AMI, puoi allegare nuovi tag alla nuova AMI e ai suoi snapshot di supporto.
+ **Quote per le copie AMI basate sul tempo**: una volta raggiunta la *quota di throughput cumulativa delle copie degli snapshot*, le successive richieste di copia dell’AMI basate sul tempo hanno esito negativo. Per ulteriori informazioni, consulta [Quotas for time-based copies](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-quota) nella *Guida per l’utente di Amazon EBS*.
+ **Copie da origine a destinazione supportate**: la posizione dell’AMI di origine determina se puoi copiarla e quali sono le destinazioni consentite per la nuova AMI.
  + Se l’AMI di origine si trova in una regione, puoi copiarla all’interno di quella regione, in un’altra regione, in un Outpost associato a quella regione o in una zona locale in quella regione.
  + Se l’AMI di origine si trova in una zona locale, puoi copiarla all’interno di tale zona locale, nella regione padre di tale zona locale o in altre zone locali con la stessa regione principale.
  + Se l’AMI di origine si trova su un Outpost, non puoi copiarla.
+ **Parametri CLI per origine e destinazione**: quando usi la CLI, sono supportati i seguenti parametri per specificare la posizione di origine dell’AMI da copiare e la destinazione della nuova AMI. Tieni presente che l'operazione di copia deve essere avviata nella regione di destinazione; se ometti il `--region` parametro, la destinazione presuppone la regione predefinita configurata nelle impostazioni. AWS CLI     
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/CopyingAMIs.html)

## Costi
<a name="copy-ami-costs"></a>

La copia di un’AMI non comporta alcun costo se non viene specificata alcun tempo di completamento. Tuttavia, per le operazioni di copia AMI basate sul tempo vengono applicati costi aggiuntivi. Per ulteriori informazioni, consulta [Time-based copies](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html#time-based-copies-pricing) nella *Guida per l’utente di Amazon EBS*.

Vengono applicati i costi standard di archiviazione e trasferimento dati. Se si copia un'AMI EBS-backed, saranno addebitati i costi per lo archiviazione di eventuali snapshot EBS aggiuntivi.

# Concedi le autorizzazioni per copiare Amazon EC2 AMIs
<a name="copy-ami-permissions"></a>

Per copiare un’AMI supportata da EBS o da Amazon S3, sono necessarie le seguenti autorizzazioni IAM:
+ `ec2:CopyImage` – Per copiare l'AMI. Per chi è supportato da EBS AMIs, concede anche l'autorizzazione a copiare le istantanee di supporto dell'AMI.
+ `ec2:CreateTags` – Per taggare l'AMI di destinazione. Per le applicazioni supportate da EBSAMIs, concede anche l'autorizzazione a etichettare le istantanee di supporto dell'AMI di destinazione.

Se stai copiando un'AMI supportata da un archivio dell'istanza, sono necessarie le seguenti autorizzazioni IAM *aggiuntive*:
+ `s3:CreateBucket` – Per creare il bucket S3 nella regione di destinazione per la nuova AMI
+ `s3:PutBucketOwnershipControls`[— ACLs Attivare il bucket S3 appena creato in modo che gli oggetti possano essere scritti con l'ACL predefinito `aws-exec-read`](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html#canned-acl)
+ `s3:GetBucketAcl`— Per leggere il bucket for the source ACLs 
+ `s3:ListAllMyBuckets`— Per trovare un bucket S3 esistente AMIs nella regione di destinazione
+ `s3:GetObject` – Per leggere gli oggetti nel bucket di origine
+ `s3:PutObject` – Per scrivere gli oggetti nel bucket di destinazione
+ `s3:PutObjectAcl` – Per scrivere le autorizzazioni per i nuovi oggetti nel bucket di destinazione

**Nota**  
A partire dal 28 ottobre 2024, puoi specificare le autorizzazioni a livello di risorsa per l'azione `CopyImage` sull'AMI di origine. Le autorizzazioni a livello di risorsa per l'AMI di destinazione sono disponibili come in precedenza. Per ulteriori informazioni, consulta la tabella **CopyImage**in [Azioni definite da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) nel *Service Authorization* Reference.

## Esempio di policy IAM per copiare un'AMI supportata da EBS e taggare l'AMI di destinazione e gli snapshot
<a name="permissions-to-copy-ebs-backed-ami"></a>

La seguente politica di esempio concede l'autorizzazione a copiare qualsiasi AMI supportata da EBS e taggare l'AMI di destinazione e i relativi snapshot di supporto.

**Nota**  
A partire dal 28 ottobre 2024, è possibile specificare gli snapshot nell'elemento `Resource`. Per ulteriori informazioni, consulta la tabella **CopyImage**in [Azioni definite da Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) nel *Service Authorization* Reference.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Sid": "PermissionToCopyAllImages",
        "Effect": "Allow",
        "Action": [
            "ec2:CopyImage",
            "ec2:CreateTags"
        ],
        "Resource": [
            "arn:aws:ec2:*::image/*",
            "arn:aws:ec2:*::snapshot/*"
        ]
    }]
}
```

------

## Esempio di policy IAM per copiare un'AMI supportata da EBS ma per negare di taggare i nuovi snapshot
<a name="permissions-to-copy-ebs-backed-ami-but-deny-tagging-new-snapshots"></a>

L'autorizzazione `ec2:CopySnapshot` viene concessa automaticamente quando si ottiene l'autorizzazione `ec2:CopyImage`. L'autorizzazione a taggare i nuovi snapshot di supporto può essere negata esplicitamente, annullando l'effetto `Allow` dell'azione `ec2:CreateTags`.

La seguente politica di esempio concede l'autorizzazione a copiare qualsiasi AMI supportata da EBS, ma nega la possibilità di taggare i nuovi snapshot di supporto dell'AMI di destinazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:::snapshot/*"
        }
    ]
}
```

------

## Esempio di policy IAM per la copia di un’AMI supportata da Amazon S3 e l’assegnazione di tag all’AMI di destinazione
<a name="permissions-to-copy-instance-store-backed-ami"></a>

La seguente policy di esempio concede l’autorizzazione a copiare qualsiasi AMI supportata da Amazon S3 nel bucket di origine specificato nella regione specificata, e assegnare tag all’AMI di destinazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "PermissionToCopyAllImages",
            "Effect": "Allow",
            "Action": [
                "ec2:CopyImage",
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:PutObjectAcl",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amis-for-111122223333-in-us-east-2-hash"
            ]
        }
    ]
}
```

------

**Per trovare l'Amazon Resource Name (ARN) del bucket di origine AMI, apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/), scegli **AMIs**nel pannello di navigazione e individua il nome del bucket nella colonna Source.**

**Nota**  
L’autorizzazione `s3:CreateBucket` è necessaria solo la prima volta che copi un’AMI supportata da Amazon S3 in una singola regione. Dopodiché, il bucket Amazon S3 già creato nella regione viene utilizzato per archiviare tutte le future copie copiate in AMIs quella regione.

## Copiare un'AMI
<a name="ami-copy-steps"></a>

Puoi copiare un’AMI che possiedi o un’AMI condivisa con te da un altro account. Per le combinazioni di origine e destinazione supportate, consulta [Considerazioni](#copy-ami-considerations).

------
#### [ Console ]

**Per copiare un'AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione della console, selezionare la regione che contiene l'AMI.

1. Nel pannello di navigazione, scegli **AMIs**di visualizzare l'elenco delle AMIs opzioni disponibili nella regione.

1. Se non vedi l'AMI da copiare, scegli un filtro diverso. Puoi filtrare per **Di mia AMIs proprietà**, **Immagini private**, **Immagini pubbliche** e **Immagini disabilitate**.

1. Seleziona l'AMI da copiare e poi scegli **Azioni**, **Copia AMI**.

1. Nella pagina **Copy Amazon Machine Image (AMI)**, specifica le seguenti informazioni:

   1. **AMI copy name (Nome copia AMI)**: un nome per la nuova AMI. Puoi includere le informazioni del sistema operativo nel nome perché Amazon EC2 non fornisce tali informazioni quando si visualizzano i dettagli sull'AMI.

   1. **AMI copy description (Descrizione copia AMI)**: per impostazione predefinita, la descrizione include informazioni relative all'AMI di origine in modo da distinguere una copia dall'originale. È possibile modificare questa descrizione se necessario.

   1. **Destination region (Regione di destinazione)**: la Regione in cui copiare l'AMI. Per ulteriori informazioni, consultare [Copia tra regioni](how-ami-copy-works.md#copy-amis-across-regions) e [Copia tra account](how-ami-copy-works.md#copy-ami-across-accounts).

   1. **Copia tag**: seleziona questa casella di spunta per includere i tag AMI definiti dall'utente durante la copia dell'AMI. I tag di sistema (con il prefisso `aws:`) e i tag definiti dall'utente che sono collegati da altri Account AWS non verranno copiati.

   1. **Copia basata sul tempo**: puoi specificare se l’operazione di copia deve essere completata entro un determinato intervallo di tempo o nel miglior modo possibile, come segue:
      + Per completare la copia entro un determinato intervallo di tempo:
        + Seleziona **Abilita copia in base al tempo**.
        + Per **Durata del completamento**, inserisci il numero di minuti (in incrementi di 15 minuti) consentiti per l’operazione di copia. La durata del completamento si applica a tutti gli snapshot associati all’AMI.

          Per ulteriori informazioni, consulta [Time-based copies](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) nella *Guida per l’utente di Amazon EBS*.
      + Per completare la copia nel modo migliore possibile:
        + Lascia l’opzione **Abilita copia in base al tempo** deselezionata.

   1. ( AMIs Solo con supporto EBS) **Crittografa le istantanee EBS della copia AMI**: seleziona questa casella di controllo per crittografare le istantanee di destinazione o per crittografarle nuovamente utilizzando una chiave diversa. Se è abilitata la crittografia per impostazione predefinita, la casella di spunta **Crittografa snapshot EBS della copia AMI** è selezionata e non può essere deselezionata. Per ulteriori informazioni, consulta [Crittografia e copia](how-ami-copy-works.md#ami-copy-encryption).

   1. ( AMIs solo supportata da EBS) Chiave KMS: la chiave **KMS** da utilizzare per crittografare le istantanee di destinazione.

   1. **Tag**: puoi contrassegnare la nuova AMI e i nuovi snapshot con gli stessi tag, oppure contrassegnarli con tag diversi.
      + Per taggare la nuova AMI e gli snapshot con gli *stessi* tag, scegli **Taggare l'immagine e gli snapshot separatamente**. Alla nuova AMI e a ogni snapshot creato vengono applicati gli stessi tag.
      + Per contrassegnare la nuova AMI e i nuovi snapshot con tag *diversi*, scegli **Taggare l'immagine e gli snapshot separatamente**. Alla nuova AMI e a ogni snapshot creato vengono applicati tag diversi. Tuttavia, tutti i nuovi snapshot creati ricevono gli stessi tag; non è possibile contrassegnare ogni snapshot con un tag diverso.

      Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore per il tag. Ripetere per ogni tag.

   1. Quando è tutto pronto per copiare l'AMI, scegli **Copia AMI**.

      Lo stato iniziale della nuova AMI è `Pending`. L'operazione di copia AMI è completata quando lo stato è `Available`.

------
#### [ AWS CLI ]

**Per copiare un’AMI da una regione a un’altra**  
Utilizzare il comando [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). È necessario specificare la regione di origine e quella di destinazione, la prima tramite il parametro `--source-region`, Puoi specificare la regione di destinazione utilizzando il parametro `--region` (oppure ometti questo parametro per utilizzare la regione predefinita configurata nelle impostazioni della tua AWS CLI ).

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region us-west-2 \
    --name my-ami \
    --region us-east-1
```

Quando si crittografa uno snapshot di destinazione durante la copia dell’AMI è necessario specificare questi parametri aggiuntivi: `--encrypted` e `--kms-key-id`.

**Per copiare un’AMI da una regione a una zona locale**  
Utilizzare il comando [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Devi specificare l’origine e la destinazione. la prima tramite il parametro `--source-region`, Puoi specificare la zona locale di destinazione utilizzando il parametro `--destination-availability-zone` (ma puoi anche utilizzare `--destination-availability-zone-id`). Tieni presente che puoi copiare un’AMI solo da una regione a una zona locale solo all’interno della stessa regione.

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region cn-north-1 \
    --destination-availability-zone cn-north-1-pkx-1a \
    --name my-ami \
    --region cn-north-1
```

**Per copiare un’AMI da una zona locale a una regione**  
Utilizzare il comando [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Devi specificare l’origine e la destinazione. la prima tramite il parametro `--source-region`, Puoi specificare la regione di destinazione utilizzando il parametro `--region` (oppure ometti questo parametro per utilizzare la regione predefinita configurata nelle impostazioni della tua AWS CLI ). La zona locale di origine viene dedotta dalla posizione dell’ID dell’AMI di origine specificato. Nota che puoi copiare un’AMI solo da una zona locale alla sua regione principale.

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region cn-north-1 \
    --name my-ami \
    --region cn-north-1
```

**Per copiare un’AMI da una zona locale a un’altra**  
Utilizzare il comando [copy-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/copy-image.html). Devi specificare l’origine e la destinazione. Puoi specificare la regione di origine della zona locale utilizzando il parametro `--source-region`. Puoi specificare la zona locale di destinazione utilizzando il parametro `--destination-availability-zone` (ma puoi anche utilizzare `--destination-availability-zone-id`). La zona locale di origine viene dedotta dalla posizione dell’ID dell’AMI di origine specificato. Si specifica la regione principale della zona locale di destinazione utilizzando il `--region` parametro (o si omette questo parametro per assumere la regione predefinita configurata nelle impostazioni). AWS CLI 

```
aws ec2 copy-image \
    --source-image-id ami-0abcdef1234567890 \
    --source-region cn-north-1 \
    --destination-availability-zone cn-north-1-pkx-1a \
    --name my-ami \
    --region cn-north-1
```

------
#### [ PowerShell ]

**Per copiare un’AMI da una regione a un’altra**  
Utilizza il cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). È necessario specificare la regione di origine e quella di destinazione, la prima tramite il parametro `-SourceRegion`, È possibile specificare la regione di destinazione utilizzando il `-Region` parametro o il cmdlet [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html).

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion us-west-2 `
    -Name my-ami `
    -Region us-east-1
```

Quando si crittografa uno snapshot di destinazione durante la copia dell’AMI è necessario specificare questi parametri aggiuntivi: `-Encrypted` e `-KmsKeyId`.

**Per copiare un’AMI da una regione a una zona locale**  
Utilizza il cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Devi specificare l’origine e la destinazione. la prima tramite il parametro `-SourceRegion`, Puoi specificare la zona locale di destinazione utilizzando il parametro `-DestinationAvailabilityZone` (ma puoi anche utilizzare `-DestinationAvailabilityZoneId`). Tieni presente che puoi copiare un’AMI solo da una regione a una zona locale solo all’interno della stessa regione.

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion cn-north-1 `
    -DestinationAvailabilityZone cn-north-1-pkx-1a `
    -Name my-ami `
    -Region cn-north-1
```

**Per copiare un’AMI da una zona locale a una regione**  
Utilizza il cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Devi specificare l’origine e la destinazione. la prima tramite il parametro `-SourceRegion`, È possibile specificare la regione di destinazione utilizzando il `-Region` parametro o il cmdlet [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html). La zona locale di origine viene dedotta dalla posizione dell’ID dell’AMI di origine specificato. Nota che puoi copiare un’AMI solo da una zona locale alla sua regione principale.

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion cn-north-1 `
    -Name my-ami `
    -Region cn-north-1
```

**Per copiare un’AMI da una zona locale a un’altra**  
Utilizza il cmdlet [Copy-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Copy-EC2Image.html). Devi specificare l’origine e la destinazione. Puoi specificare la regione di origine della zona locale utilizzando il parametro `-SourceRegion`. Puoi specificare la zona locale di destinazione utilizzando il parametro `-DestinationAvailabilityZone` (ma puoi anche utilizzare `-DestinationAvailabilityZoneId`). La zona locale di origine viene dedotta dalla posizione dell’ID dell’AMI di origine specificato. Si specifica la regione principale della zona locale di destinazione utilizzando il `-Region` parametro o il cmdlet [AWSDefaultSet-Region](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-installing-specifying-region.html).

```
Copy-EC2Image `
    -SourceImageId ami-0abcdef1234567890 `
    -SourceRegion cn-north-1 `
    -DestinationAvailabilityZone cn-north-1-pkx-1a `
    -Name my-ami `
    -Region cn-north-1
```

------

## Arrestare un'operazione di copia AMI in sospeso
<a name="ami-copy-stop"></a>

Puoi arrestare una copia di AMI in sospeso usando le seguenti procedure.

------
#### [ Console ]

**Per arrestare un’operazione di copia di AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione, selezionare la regione di destinazione dal selettore di regione.

1. Nel pannello di navigazione, scegli **AMIs**.

1. Selezionare l'AMI di cui arrestare la copia, quindi scegliere **Operazioni**, **Annulla registrazione AMI**.

1. Quando viene richiesta la conferma, scegliere **Deregister AMI (Annulla registrazione AMI)**.

------
#### [ AWS CLI ]

**Per arrestare un’operazione di copia di AMI**  
Utilizza il comando [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html).

```
aws ec2 deregister-image --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Per interrompere un’operazione di copia AMI utilizzando**  
Utilizza il cmdlet [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html).

```
Unregister-EC2Image -ImageId ami-0abcdef1234567890
```

------

# Come funziona la copia delle AMI Amazon EC2
<a name="how-ami-copy-works"></a>

La copia di un'AMI di origine determina la creazione di una nuova AMI identica ma distinta, indicata anche come AMI di *destinazione*. L'AMI di destinazione ha il proprio ID dell'AMI univoco. Puoi modificare o annullare la registrazione dell'AMI di origine senza alcun effetto sull'AMI di destinazione. È vero anche il contrario.

Con una AMI supportata da EBS, ciascuno dei relativi snapshot di supporto viene copiato in uno snapshot di destinazione identico ma distinto. Se si copia un AMI in una nuova regione, gli snapshot saranno copie complete (non incrementali). Se si crittografano gli snapshot di backup non crittografati o li si crittografa in una nuova chiave KMS, gli snapshot saranno copie complete (non incrementali). Operazioni di copia successive di un AMI restituiscono copie incrementali degli snapshot di backup.

**Topics**
+ [Copia tra regioni](#copy-amis-across-regions)
+ [Copia tra account](#copy-ami-across-accounts)
+ [Operazioni di copia dell’AMI in base al tempo](#ami-time-based)
+ [Crittografia e copia](#ami-copy-encryption)

## Copia tra regioni
<a name="copy-amis-across-regions"></a>

Copiare un'AMI tra regioni geograficamente diverse offre i seguenti vantaggi:
+ Distribuzione globale coerente: la copia di un'AMI da una regione all'altra consente di avviare istanze coerenti in regioni diverse in base alla stessa AMI.
+ Scalabilità: è possibile progettare e creare più facilmente applicazioni di livello mondiale che soddisfino le esigenze degli utenti, indipendentemente dalla loro posizione.
+ Prestazioni: è possibile aumentare le prestazioni distribuendo l'applicazione e localizzandone i componenti critici nelle vicinanze degli utenti. È inoltre possibile usufruire di caratteristiche specifiche per la regione, come i tipi di istanza o altri servizi AWS .
+ Elevata disponibilità: progettare e distribuire applicazioni nelle regioni AWS consente di aumentare la disponibilità.

Il diagramma seguente mostra la relazione tra un'AMI di origine e due AMI copiate in regioni diverse, così come le istanze EC2 avviate da ciascuna. Quando avvii un'istanza da un'AMI, questa risiede nella stessa regione in cui risiede l'AMI. Se si apportano modifiche all'AMI di origine e si desidera che tali modifiche si riflettano nelle regioni di destinazione, è necessario copiare nuovamente l'AMI di origine nelle regioni di destinazione. AMIs 

![\[AMIs copiato in diverse regioni\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami_copy.png)


Quando copi per la prima volta un'AMI supportata da Amazon S3 in una regione, creiamo un bucket Amazon S3 per AMIs l'AMI copiata in quella regione. Tutti i file supportati da Amazon S3 AMIs che copi in quella regione vengono archiviati in questo bucket. I nomi dei bucket hanno il seguente formato: amis-for- -in- -. *account* *region* *hash* Ad esempio: `amis-for-123456789012-in-us-east-2-yhjmxvp6`.

**Prerequisito**  
Prima di copiare un'AMI devi assicurarti che il contenuto dell'AMI di origine sia aggiornato per supportare l'esecuzione in un'altra regione. Ad esempio è necessario aggiornare tutte le stringhe di connessione al database o i dati di configurazione dell'applicazione simili per individuare le risorse appropriate. Altrimenti, le istanze avviate dalla nuova AMI nella regione di destinazione potrebbero ancora utilizzare le risorse della regione di origine, il che può influire sulle prestazioni e sui costi.

**Limitazioni**
+ Per le regioni di destinazione è previsto un limite di 300 operazioni di copia di AMI simultanee. Questo vale anche per le operazioni di copia delle AMI basate sul tempo.
+ Non puoi copiare un AMI paravirtuale (PV) in una regione che non supporta il PV. AMIs Per ulteriori informazioni, consulta [Tipi di virtualizzazione](ComponentsAMIs.md#virtualization_types).

## Copia tra account
<a name="copy-ami-across-accounts"></a>

Se un AMI di un altro utente Account AWS è [condiviso con il tuo Account AWS](sharingamis-explicit.md), puoi copiare l'AMI condiviso. Questa operazione è nota con il nome di copia fra account. L'AMI che viene condivisa con te è l'AMI di origine. Quando si copia l'AMI di origine, si crea una nuova AMI. La nuova AMI viene spesso definita AMI di destinazione.

**Costi AMI**
+ Per un'AMI condivisa, l'archiviazione nella regione è a carico dell'account dell'AMI condivisa.
+ Se copi un'AMI che viene condivisa con il tuo account, la proprietà dell'AMI di destinazione spetta al tuo account.
  + Al proprietario dell'AMI di origine vengono addebitati i costi di trasferimento standard di Amazon EBS o Amazon S3.
  + Ti viene addebitato il costo per l'archiviazione dell'AMI di destinazione nella regione di destinazione.

**Autorizzazioni per le risorse**  
Per copiare un’AMI condivisa con te da un altro account, il proprietario dell’AMI di origine deve concedere le autorizzazioni di lettura per l’archiviazione che supporta l’AMI, non solo per l’AMI stessa. L’archiviazione è lo snapshot EBS associato (per un’AMI supportata da Amazon EBS) o un bucket S3 associato (per un’AMI supportata da Amazon S3). Se l'AMI condivisa dispone di snapshot crittografati, il proprietario deve condividere la chiave o le chiavi. Per ulteriori informazioni sulla concessione di autorizzazioni per le risorse, per gli snapshot EBS, consulta [Share an Amazon EBS snapshot with other Account AWS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) nella *Guida per l’utente di Amazon EBS*, mentre per i bucket S3 consulta [Identity and access management for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html) nella *Guida per l’utente di Amazon S3*.

**Nota**  
I tag assegnati all'AMI di origine non vengono copiati tra account sull'AMI di destinazione.

## Operazioni di copia dell’AMI in base al tempo
<a name="ami-time-based"></a>

Quando avvii un’operazione di copia AMI basata sul tempo per un’AMI supportata da EBS con un singolo snapshot associato, il comportamento è lo stesso di **una singola operazione di copia di snapshot basata sul tempo** e si applicano le stesse limitazioni di throughput.

Quando avvii un’operazione di copia AMI basata sul tempo per un’AMI supportata da EBS con più snapshot associati, il comportamento è lo stesso delle **operazioni di copia snapshot simultanee basate sul tempo** e si applicano le stesse limitazioni di throughput. Ogni snapshot associato genera una richiesta di copia distinta, ognuna delle quali contribuisce alla quota cumulativa di throughput di copie snapshot. La durata di completamento specificata si applica a ciascuno snapshot associato.

Per ulteriori informazioni, consulta [Time-based copies](https://docs.aws.amazon.com/ebs/latest/userguide/time-based-copies.html) nella *Guida per l’utente di Amazon EBS*.

## Crittografia e copia
<a name="ami-copy-encryption"></a>

La tabella seguente mostra il supporto di crittografia in vari scenari di copia di AMI. Sebbene sia possibile copiare uno snapshot non crittografato per produrne uno crittografato, non è possibile copiare uno snapshot crittografato per produrne uno non crittografato.


| Scenario | Descrizione | Supportata | 
| --- | --- | --- | 
| 1 | Da non crittografato a non crittografato | Sì | 
| 2 | Da crittografato a crittografato | Sì | 
| 3 | Da non crittografato a crittografato | Sì | 
| 4 | Da crittografato a non crittografato | No | 

**Nota**  
La crittografia durante l'`CopyImage`azione si applica solo ai sistemi supportati da Amazon EBS AMIs. Poiché un’AMI supportata da Amazon S3 non utilizza gli snapshot, non puoi utilizzare la copia per modificare il suo stato di crittografia.

Quando si copia un'AMI senza specificare i parametri di crittografia, per impostazione predefinita, lo snapshot di supporto viene copiato con il proprio stato di crittografia originario. Pertanto, se l'AMI di origine è supportata da uno snapshot non crittografato, anche lo snapshot di destinazione risultante non sarà crittografato. Allo stesso modo, se lo snapshot dell'AMI di origine è crittografato, anche lo snapshot di destinazione risultante verrà crittografato con la stessa chiave. AWS KMS Essendo AMIs supportata da più istantanee, ciascuna istantanea di destinazione conserva lo stato di crittografia della corrispondente istantanea di origine.

Per modificare lo stato di crittografia degli snapshot di supporto di destinazione durante una copia di AMI, puoi specificare i parametri di crittografia. L'esempio seguente mostra un caso non predefinito, in cui i parametri di crittografia sono specificati con l'operazione `CopyImage` per modificare lo stato di crittografia dell'AMI di destinazione.

**Copia di un'AMI di origine non crittografata in un'AMI di destinazione crittografata**

In questo scenario, un'AMI supportata da uno snapshot di root non crittografato viene copiato in un'AMI con uno snapshot di root crittografato. L'operazione `CopyImage` viene richiamata con due parametri di crittografia, inclusa una chiave gestita dal cliente. Di conseguenza, lo stato di crittografia dello snapshot root cambia, in modo che l'AMI di destinazione sia supportata da uno snapshot root contenente gli stessi dati dello snapshot di origine, ma crittografato utilizzando la chiave specificata. In entrambi AMIs i casi sono previsti costi di storage per le istantanee e addebiti per tutte le istanze avviate da una delle due AMI.

**Nota**  
L'abilitazione della crittografia per impostazione predefinita ha lo stesso effetto dell'impostazione del parametro `Encrypted` a `true` per tutti gli snapshot nell'AMI.

![\[Copiare AMI e crittografare snapshot in modo immediato\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png)


L'impostazione del parametro `Encrypted` consente di crittografare il singolo snapshot per questa istanza. Se non specifichi il parametro `KmsKeyId`, per crittografare la copia snapshot viene utilizzata la chiave gestita dal cliente di default.

Per ulteriori informazioni sulla copia AMIs con istantanee crittografate, vedere. [Usa la crittografia con supporto EBS AMIs](AMIEncryption.md)

# Archiviazione e ripristino di un’AMI utilizzando S3
<a name="ami-store-restore"></a>

Puoi archiviare un'Amazon Machine Image (AMI) in un bucket Amazon S3, copiare l'AMI in un altro bucket S3 e quindi ripristinarla dal bucket S3. Archiviando e ripristinando un'AMI utilizzando i bucket S3, è possibile copiare AMIs da una AWS partizione all'altra, ad esempio dalla partizione commerciale principale alla partizione. AWS GovCloud (US) È inoltre possibile creare copie di archivio archiviandole in un bucket S3AMIs .

I supporti APIs per l'archiviazione e il ripristino di un'AMI tramite S3 sono `CreateStoreImageTask``DescribeStoreImageTasks`, e. `CreateRestoreImageTask`

`CopyImage`è l'API consigliata da utilizzare per la copia AMIs *all'interno* di una partizione. AWS Tuttavia, `CopyImage` non potrà copiare un'AMI in *un'altra* partizione.

Per informazioni sulle AWS partizioni, consulta la *partition* pagina [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) della *IAM User Guide*.

**avvertimento**  
Assicurati di rispettare tutte le leggi e i requisiti aziendali applicabili quando sposti dati tra AWS partizioni o AWS regioni, inclusi, a titolo esemplificativo, le normative governative applicabili e i requisiti di residenza dei dati.

**Topics**
+ [Casi d’uso](#use-cases)
+ [Limitazioni](#ami-store-restore-limitations)
+ [Costi](#store-restore-costs)
+ [Come funzionano l'archiviazione e il ripristino delle AMI](store-restore-how-it-works.md)
+ [Crea un'attività di archiviazione delle immagini](work-with-ami-store-restore.md)

## Casi d’uso
<a name="use-cases"></a>

**Topics**
+ [Copiare un AMI tra AWS partizioni](#copy-to-partition)
+ [Crea copie d'archivio di AMIs](#archival-copies)

### Copiare un AMI tra AWS partizioni
<a name="copy-to-partition"></a>

Archiviando e ripristinando un'AMI utilizzando i bucket S3, puoi copiare un AMI da una AWS partizione all'altra o da una AWS regione all'altra. Nell'esempio seguente, si copia un AMI dalla partizione commerciale principale alla AWS GovCloud (US) partizione, in particolare dalla `us-east-2` regione alla `us-gov-east-1` regione.

Per copiare un'AMI da una partizione a un'altra, completa la seguente procedura:
+ Archiviare l'AMI in un bucket S3 nella regione corrente utilizzando `CreateStoreImageTask`. In questo esempio, il bucket S3 si trova in `us-east-2`.
+ Monitorare lo stato di avanzamento dell'attività di archiviazione utilizzando `DescribeStoreImageTasks`. L'oggetto diventa visibile nel bucket S3 una volta completata l'attività.
+ Copiare l'oggetto AMI archiviato in un bucket S3 nella partizione di destinazione utilizzando una procedura a scelta. In questo esempio, l'S3 Bucket si trova in `us-gov-east-1`.
**Nota**  
Poiché sono necessarie AWS credenziali diverse per ogni partizione, non è possibile copiare un oggetto S3 direttamente da una partizione all'altra. Il processo per copiare un oggetto S3 tra le partizioni non rientra nell'ambito di questa documentazione. Forniamo i seguenti processi di copia come esempi, ma è necessario utilizzare il processo di copia che soddisfa i requisiti di sicurezza.  
Per copiare un'AMI tra le partizioni, il processo di copia potrebbe essere semplice come il seguente: [scarica l'oggetto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) dal bucket di origine su un host intermedio (ad esempio, un'istanza EC2 o un laptop), quindi [carica l'oggetto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/upload-objects.html) dall'host intermedio al bucket di destinazione. Per ogni fase del processo, usa le AWS credenziali per la partizione.
Per un utilizzo più duraturo, è consigliabile sviluppare un'applicazione che gestisca le copie, potenzialmente utilizzando [download e caricamenti multipart](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) S3.
+ Ripristinare l'AMI dal bucket S3 nella partizione di destinazione utilizzando `CreateRestoreImageTask`. In questo esempio, l'S3 Bucket si trova in `us-gov-east-1`.
+ Monitorare l'avanzamento dell'attività di ripristino descrivendo l'AMI per verificare quando il relativo stato diventa disponibile. È inoltre possibile monitorare le percentuali di avanzamento degli snapshot che costituiscono l'AMI ripristinata descrivendo gli snapshot.

### Crea copie d'archivio di AMIs
<a name="archival-copies"></a>

Puoi creare copie d'archivio AMIs archiviandole in un bucket S3. L'AMI è incorporata in un singolo oggetto in S3 e tutti i metadati dell'AMI (escluse le informazioni di condivisione) vengono conservati come parte dell'AMI archiviata. I dati AMI vengono compressi come parte del processo di archiviazione. AMIs che contengono dati che possono essere facilmente compressi produrranno oggetti più piccoli in S3. Per ridurre i costi, è possibile utilizzare livelli di archiviazione S3 meno costosi. Per maggiori informazioni, consultare [Classi di archiviazione di Amazon S3](https://aws.amazon.com/s3/storage-classes/) e la pagina dei prezzi di [Amazon S3](https://aws.amazon.com/s3/pricing/).

## Limitazioni
<a name="ami-store-restore-limitations"></a>
+ Per archiviare un AMI, è Account AWS necessario possedere l'AMI e le relative istantanee oppure l'AMI e le relative istantanee devono essere [condivisi direttamente con il proprio account](sharingamis-explicit.md). Non è possibile archiviare un'AMI se è [condivisa solo pubblicamente](sharingamis-intro.md).
+ Utilizzandoli è AMIs possibile archiviare solo con supporto EBS. APIs
+ I paravirtual (PV) non sono supportati. AMIs 
+ La dimensione di un'AMI (prima della compressione) che può essere archiviata è limitata a 5.000 GB.
+ Quota di richieste di immagini dello store: 1.200 GB di lavoro di archiviazione (dati di istantanee) in corso.
+ Quota di richieste di immagini di ripristino: 600 GB di lavoro di ripristino (dati di istantanee) in corso.
+ Per la durata dell'attività di archiviazione, gli snapshot non devono essere eliminati e l'entità IAM che esegue l'archiviazione deve avere accesso agli snapshot, altrimenti il processo di archiviazione avrà esito negativo.
+ Non è possibile creare più copie di un'AMI nello stesso bucket S3.
+ Un'AMI archiviata in un bucket S3 non può essere ripristinata con il suo ID AMI originale. È possibile mitigare questo effetto utilizzando l'[alias AMI](https://docs.aws.amazon.com/systems-manager/latest/userguide/parameter-store-ec2-aliases.html).
+ Attualmente l'archiviazione e il ripristino APIs sono supportati solo utilizzando gli AWS Command Line Interface AWS SDK e l'API Amazon EC2. Non è possibile archiviare e ripristinare un'AMI utilizzando la console Amazon EC2.

## Costi
<a name="store-restore-costs"></a>

Quando esegui l'archiviazione e il ripristino AMIs utilizzando S3, ti vengono addebitati i costi per i servizi utilizzati dall'archivio e dal ripristino e per il APIs trasferimento dei dati. APIs Utilizzano S3 e l'API EBS Direct (utilizzata internamente da questi sistemi APIs per accedere ai dati delle istantanee). Per ulteriori dettagli, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/) e [Prezzi di Amazon EBS](https://aws.amazon.com/ebs/pricing/).

# Come funzionano l'archiviazione e il ripristino delle AMI
<a name="store-restore-how-it-works"></a>

Per archiviare e ripristinare un'AMI utilizzando S3, si utilizza quanto segue: APIs
+ `CreateStoreImageTask`: memorizza l'AMI in un bucket S3
+ `DescribeStoreImageTasks` –: fornisce lo stato di avanzamento dell'attività di archiviazione dell'AMI
+ `CreateRestoreImageTask`: ripristina l'AMI da un bucket S3

**Topics**
+ [CreateStoreImageTask](#CreateStoreImageTask)
+ [DescribeStoreImageTasks](#DescribeStoreImageTasks)
+ [CreateRestoreImageTask](#CreateRestoreImageTask)
+ [Percorsi di file](#file-paths-in-s3)

## CreateStoreImageTask
<a name="CreateStoreImageTask"></a>

L'API `CreateStoreImageTask` archivia un'AMI come singolo oggetto in un bucket S3.

L'API crea un'attività che legge tutti i dati dall'AMI e dai relativi snapshot e quindi utilizza un [caricamento in più parti S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html) per archiviare i dati in un oggetto S3. L'API prende tutti i componenti dell'AMI, inclusa la maggior parte dei metadati non-Region-specific AMI e tutte le istantanee EBS contenute nell'AMI, e li raggruppa in un unico oggetto in S3. I dati vengono compressi come parte del processo di caricamento in modo d ridurre la quantità di spazio utilizzato in S3, quindi l'oggetto in S3 potrebbe essere inferiore alla somma delle dimensioni degli snapshot nell'AMI.

Se sono presenti tag di AMI e snapshot visibili all'account che chiama questa API, questi saranno conservati.

L'oggetto in S3 ha lo stesso ID dell'AMI, ma con estensione `.bin`. I seguenti dati vengono memorizzati anche come tag di metadati S3 sull'oggetto S3: nome AMI, descrizione AMI, data di registrazione AMI, account proprietario AMI e un timestamp per l'operazione di archiviazione.

Il tempo necessario per completare l'attività dipende dalle dimensioni dell'AMI. Dipende anche dal numero delle altre attività in corso perché le attività vengono messe in coda. È possibile tenere traccia dello stato di avanzamento dell'attività chiamando l’API `DescribeStoreImageTasks`.

La somma delle dimensioni di tutti gli snapshot EBS AMIs in corso è limitata a 1.200 GB di dati di snapshot EBS per account. Un'ulteriore creazione di attività verrà rifiutata fino a quando le attività in corso non saranno inferiori al limite. Ad esempio, se un’AMI con 200 GB di dati snapshot e un’altra AMI con 400 GB di dati snapshot sono in fase di archiviazione, verrà accettata un’altra richiesta, poiché il totale in corso è 600 GB, che è inferiore al limite. Tuttavia, se è attualmente archiviata una singola AMI con 1.200 GB di dati di snapshot, le altre attività vengono rifiutate fino al completamento dell'attività.

## DescribeStoreImageTasks
<a name="DescribeStoreImageTasks"></a>

L'API `DescribeStoreImageTasks` descrive l'avanzamento delle attività di archiviazione dell'AMI. È possibile descrivere le attività per specifiche esigenze. AMIs Se non lo specifichi AMIs, ottieni un elenco impaginato di tutte le attività di store image che sono state elaborate negli ultimi 31 giorni.

Per ogni attività dell'AMI, la risposta indica se l'attività è `InProgress`, `Completed` o `Failed`. Per le attività `InProgress`, la risposta mostra uno stato di avanzamento in forma percentuale.

Le attività sono elencate in ordine cronologico inverso.

Al momento è possibile visualizzare solo le attività del mese precedente.

## CreateRestoreImageTask
<a name="CreateRestoreImageTask"></a>

L'API `CreateRestoreImageTask` avvia un'attività che ripristina un'AMI da un oggetto S3 creato in precedenza utilizzando una richiesta `CreateStoreImageTask`.

L'attività di ripristino può essere eseguita nella stessa regione o in una regione diversa in cui è stata eseguita l'attività di archiviazione.

Il bucket S3 da cui verrà ripristinato l'oggetto AMI deve trovarsi nella stessa regione in cui è richiesta l'attività di ripristino. L'AMI sarà ripristinata in questa regione.

L'AMI viene ripristinata con i relativi metadati, ad esempio il nome, la descrizione e i mapping dei dispositivi a blocchi corrispondenti ai valori dell'AMI archiviata. Il nome deve essere univoco AMIs nella regione per questo account. Se non si fornisce un nome, la nuova AMI avrà lo stesso nome dell'AMI originale. L'AMI ottiene un nuovo ID AMI che viene generato al momento del processo di ripristino.

Il tempo necessario per completare l'attività di ripristino dell'AMI dipende dalle dimensioni dell'AMI. Dipende anche dal numero delle altre attività in corso perché le attività vengono messe in coda. È possibile visualizzare l'avanzamento dell'attività descrivendo l'AMI ([describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html)) o i relativi snapshot EBS ([describe-snapshot](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html)). Se l'attività non riesce, l'AMI e gli snapshot passano allo stato non riuscito.

La somma delle dimensioni di tutti gli snapshot EBS AMIs in corso è limitata a 600 GB (in base alla dimensione dopo il ripristino) di dati istantanei EBS per account. Un'ulteriore creazione di attività verrà rifiutata fino a quando le attività in corso non saranno inferiori al limite.

## Percorsi di file
<a name="file-paths-in-s3"></a>

È possibile utilizzare i percorsi dei file durante l'archiviazione e il ripristino AMIs, nel modo seguente:
+ Quando si archivia un'AMI in S3, il percorso del file può essere aggiunto al nome del bucket. Internamente, il sistema separa il percorso dal nome del bucket e quindi aggiunge il percorso alla chiave oggetto generata per archiviare l'AMI. Il percorso completo di un oggetto è mostrato nella risposta di una chiamata API.
+ Quando si ripristina l'AMI, poiché è disponibile un parametro della chiave oggetto, il percorso può essere aggiunto all'inizio del valore della chiave oggetto.

**Esempio: nome del bucket con percorso del file aggiunto**  
Quando archivi l’AMI, specifica il percorso del file dopo il nome del bucket.

```
amzn-s3-demo-bucket/path1/path2
```

Di seguito è riportata la chiave oggetto risultante.

```
path1/path2/ami-0abcdef1234567890.bin
```

Quando ripristini l’AMI, devi specificare sia il nome del bucket che la chiave dell’oggetto. Per alcuni esempi, consulta [Crea un'attività di archiviazione delle immagini](work-with-ami-store-restore.md#create-store-image-task).

# Crea un'attività di archiviazione delle immagini
<a name="work-with-ami-store-restore"></a>

Quando archivi un'AMI in un bucket S3, viene creata un'attività di archiviazione dell'immagine. Puoi utilizzare l'attività di archiviazione dell'immagine per monitorare l'avanzamento e l'esito del processo.

**Topics**
+ [Proteggere il AMIs](#securing-amis)
+ [Autorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs](#ami-s3-permissions)
+ [Crea un'attività di archiviazione delle immagini](#create-store-image-task)
+ [Crea un’attività di ripristino delle immagini](#create-restore-image-task)

## Proteggere il AMIs
<a name="securing-amis"></a>

È importante assicurarsi che il bucket S3 sia configurato con un livello di sicurezza sufficiente per proteggere il contenuto dell'AMI e che la sicurezza venga mantenuta per tutto il tempo che gli oggetti AMI rimangono nel bucket. Se ciò non può essere fatto, l'uso di questi non APIs è consigliato. Assicurarsi che non sia consentito l'accesso pubblico al bucket S3. Ti consigliamo di abilitare la [crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) per i bucket S3 in cui memorizzi AMIs, sebbene non sia richiesta.

Per informazioni su come impostare le impostazioni di sicurezza appropriate per i bucket S3, consultare i seguenti argomenti sulla sicurezza:
+ [Blocco dell'accesso pubblico all'archiviazione Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
+ [Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)
+ [Quale policy sui bucket S3 posso utilizzare per rispettare la regola s3-? AWS Config bucket-ssl-requests-only](https://repost.aws/knowledge-center/s3-bucket-policy-for-config-rule)
+ [Abilitazione della registrazione degli accessi al server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)

Quando gli snapshot AMI vengono copiati nell'oggetto S3, i dati vengono quindi copiati tramite connessioni TLS. È possibile archiviare AMIs con istantanee crittografate, ma le istantanee vengono decrittografate come parte del processo di archiviazione.

## Autorizzazioni per l'archiviazione e il ripristino tramite S3 AMIs
<a name="ami-s3-permissions"></a>

Se i tuoi responsabili IAM eseguiranno l'archiviazione o il ripristino AMIs utilizzando Amazon S3, devi concedere loro le autorizzazioni necessarie.

La seguente policy di esempio include tutte le operazioni necessarie per consentire a un'entità IAM di eseguire le attività di archiviazione e ripristino.

Puoi anche creare policy IAM che consentono alle entità principali l'accesso solo a risorse specifiche. Per altre policy di esempio, consulta la sezione [Gestione degli accessi alle AWS risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM* User Guide.

**Nota**  
Se gli snapshot che compongono l'AMI sono crittografati o se il tuo account è abilitato per la crittografia per impostazione predefinita, l'entità principale IAM deve disporre dell'autorizzazione per usare la chiave KMS.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:AbortMultipartUpload",
                "ebs:CompleteSnapshot",
                "ebs:GetSnapshotBlock",
                "ebs:ListChangedBlocks",
                "ebs:ListSnapshotBlocks",
                "ebs:PutSnapshotBlock",
                "ebs:StartSnapshot",
                "ec2:CreateStoreImageTask",
                "ec2:DescribeStoreImageTasks",
                "ec2:CreateRestoreImageTask",
                "ec2:GetEbsEncryptionByDefault",
                "ec2:DescribeTags",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Crea un'attività di archiviazione delle immagini
<a name="create-store-image-task"></a>

Per archiviare un'AMI in un bucket S3, inizia creando un'attività di archiviazione dell'immagine. Il tempo necessario per completare l'attività dipende dalle dimensioni dell'AMI. Puoi tenere traccia dello stato di avanzamento dell'attività fino all'esito positivo o negativo.

------
#### [ AWS CLI ]

**Per creare l'attività di archiviazione delle immagini**  
Utilizza il comando [create-store-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-store-image-task.html).

```
aws ec2 create-store-image-task \
    --image-id ami-0abcdef1234567890 \
    --bucket amzn-s3-demo-bucket
```

Di seguito è riportato un output di esempio.

```
{
  "ObjectKey": "ami-0abcdef1234567890.bin"
}
```

**Per descrivere lo stato di avanzamento di un'attività di archiviazione delle immagini**  
Utilizza il comando [describe-store-image-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-store-image-tasks.html).

```
aws ec2 describe-store-image-tasks \
    --image-ids ami-0abcdef1234567890 \
    --query StoreImageTaskResults[].StoreTaskState \
    --output text
```

Di seguito è riportato un output di esempio.

```
InProgress
```

------
#### [ PowerShell ]

**Per creare l'attività di archiviazione delle immagini**  
Utilizza il cmdlet [New-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2StoreImageTask.html).

```
New-EC2StoreImageTask `
    -ImageId ami-0abcdef1234567890 `
    -Bucket amzn-s3-demo-bucket
```

Di seguito è riportato un output di esempio.

```
ObjectKey         : ami-0abcdef1234567890.bin
```

**Per descrivere lo stato di avanzamento di un'attività di archiviazione delle immagini**  
Utilizza il cmdlet [Get-EC2StoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StoreImageTask.html).

```
(Get-EC2StoreImageTask -ImageId ami-0abcdef1234567890).StoreTaskState
```

Di seguito è riportato un output di esempio.

```
InProgress
```

------

## Crea un’attività di ripristino delle immagini
<a name="create-restore-image-task"></a>

Devi specificare anche un nome per l’AMI ripristinata. Il nome deve essere univoco AMIs nella regione di questo account. L'AMI ripristinata ottiene un nuovo ID AMI.

------
#### [ AWS CLI ]

**Per creare un'attività di archiviazione delle immagini**  
Utilizza il comando [create-restore-image-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-restore-image-task.html).

```
aws ec2 create-restore-image-task \
    --object-key ami-0abcdef1234567890.bin \
    --bucket amzn-s3-demo-bucket \
    --name "my-restored-ami"
```

Di seguito è riportato un output di esempio.

```
{
   "ImageId": "ami-1234567890abcdef0"
}
```

------
#### [ PowerShell ]

**Per creare un'attività di archiviazione delle immagini**  
Utilizza il cmdlet [New-EC2RestoreImageTask](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RestoreImageTask.html).

```
New-EC2RestoreImageTask `
    -ObjectKey ami-0abcdef1234567890.bin `
    -Bucket amzn-s3-demo-bucket `
    -Name "my-restored-ami"
```

Di seguito è riportato un output di esempio.

```
ImageId         : ami-1234567890abcdef0
```

------

# Usa l'ascendenza AMI per tracciare l'origine di un AMI
<a name="ami-ancestry"></a>

L'ascendenza AMI ti aiuta a risalire all'origine di un AMI restituendo le regioni IDs e le regioni di tutti i suoi antenati AMIs. Quando si crea o si copia un AMI, il nuovo AMI conserva l'ID e la regione dell'AMI di origine (principale). Ciò consente di tracciare la catena fino all'AMI principale. AMIs 

**Vantaggi principali**

L'utilizzo di AMI ancestry ti aiuta a:
+ Tieni traccia dei derivati AMI per garantire la conformità con le politiche interne.
+ Identifica i potenziali AMIs punti vulnerabili quando viene rilevato un problema di sicurezza in un'AMI precedente.
+ Mantieni la visibilità delle origini AMI in più regioni.

**Topics**
+ [Come funziona l'ascendenza AMI](#how-ami-ancestry-works)
+ [Considerazioni](#ami-ancestry-conditions)
+ [Visualizza l'ascendenza AMI](#view-ami-ancestry)
+ [Identificare l'AMI di origine](#identify-source-ami-used-to-create-new-ami)

## Come funziona l'ascendenza AMI
<a name="how-ami-ancestry-works"></a>

L'ascendenza AMI identifica l'AMI principale utilizzato per creare l'AMI specificato, il genitore del genitore e così via, fino all'AMI radice. Come funziona:
+ Ogni AMI mostra l'ID e la regione dell'AMI di origine (principale).
+ A partire dall'AMI selezionato, l'elenco delle voci di ascendry mostra ogni AMI principale in sequenza.
+ L'elenco delle voci di ascendenza risale fino a raggiungere l'AMI principale. L'AMI root è una delle seguenti: 
  + Un AMI pubblico di un [provider verificato](sharing-amis.md#verified-ami-provider) (identificato dal relativo alias proprietario, che è `amazon` o`aws-marketplace`).
  + Un AMI senza antenato registrato. Ad esempio, quando si utilizza [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)per creare un AMI direttamente da un set di istantanee, non è necessario tracciare alcun AMI di origine, a differenza di quando si crea un AMI da un'istanza.
  + Un AMI il cui AMI di origine proviene da una [partizione](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#partition) diversa.
  + La 50esima AMI nell'elenco. Il numero massimo di persone AMIs in un elenco di antenati è 50.

## Considerazioni
<a name="ami-ancestry-conditions"></a>
+ L'ID e la regione dell'AMI di origine possono essere AMIs creati solo utilizzando [CreateImage[CopyImage](CopyingAMIs.md#ami-copy-steps)](creating-an-ami-ebs.md#how-to-create-ebs-ami), o [CreateRestoreImageTask](store-restore-how-it-works.md#CreateRestoreImageTask).
+ Per AMIs Created using [CreateImage](creating-an-ami-ebs.md#how-to-create-ebs-ami)(crea un'AMI da un'istanza), l'ID AMI di origine è l'ID dell'AMI utilizzato per avviare l'istanza.
+ Le informazioni sull'AMI di origine non sono disponibili per:
  + AMIs creati utilizzando [RegisterImage](creating-an-ami-ebs.md#creating-launching-ami-from-snapshot)perché sono stati creati a partire da istantanee.
  + Per alcuni più anziani AMIs.
+ Le informazioni AMI di origine vengono conservate quando:
  + AMIs vengono copiate tra le regioni.
  +  AMIs Le fonti vengono cancellate (eliminate).
  + Non hai accesso alla fonte. AMIs
+ Ogni elenco di antenati è limitato a 50 AMIs.

## Visualizza l'ascendenza AMI
<a name="view-ami-ancestry"></a>

È possibile visualizzare l'ascendenza di un AMI utilizzando i seguenti metodi.

------
#### [ Console ]

**Per visualizzare l'ascendenza di un AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona un AMI e scegli la scheda di **ascendenza AMI**.

1. La tabella delle **voci degli antenati AMI** elenca tutte le voci dell'AMIs elenco degli antenati.
   + **ID AMI**: l'identificatore di ogni AMI nell'elenco degli antenati. La prima voce nella tabella è l'AMI selezionato, seguito dai relativi predecessori.
   + **ID AMI di origine**: l'ID dell'AMI da cui è stato creato l'**AMI nella colonna ID AMI**. Un trattino (**-**) indica la fine dell'elenco degli antenati AMI.
   + **Regione AMI di origine**: la posizione Regione AWS in cui si trova l'AMI di origine.
   + **Livello di ascendenza**: la posizione nell'elenco degli antenati, in cui:
     + **0 (AMI di input)** indica l'AMI selezionato di cui si desidera conoscere l'ascendenza.
     + Un numero crescente mostra antenati più anziani.
     + ***n*(AMI originale)** indica l'AMI principale, con il numero che indica a che punto risale l'elenco degli antenati.
   + **Data di creazione**: quando è stata creata l'AMI, in formato UTC.
   + **Alias del proprietario**: l'alias del proprietario dell'AMI (ad esempio,`amazon`). Un trattino (**-**) indica che l'AMI non ha un alias proprietario.

------
#### [ AWS CLI ]

**Per visualizzare l'ascendenza di un AMI**  
Utilizza il comando [get-image-ancestry](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-ancestry.html) e specifica l'ID dell'AMI.

```
aws ec2 get-image-ancestry \
    --image-id ami-1111111111EXAMPLE \
    --region us-east-1
```

Di seguito è riportato un output di esempio. L'output è elencato AMIs in ordine di origine: la prima voce è l'AMI (di input) specificato, seguita dall'AMI principale, dal genitore del genitore e così via, e termina con l'AMI principale.

```
{
    "ImageAncestryEntries": [
        {
            "CreationDate": "2025-01-17T18:37:50.000Z",
            "ImageId": "ami-1111111111EXAMPLE", // Input AMI
            "SourceImageId": "ami-2222222222EXAMPLE",
            "SourceImageRegion": "us-east-1"

        },
        {
            "CreationDate": "2025-01-17T18:37:50.000Z",
            "ImageId": "ami-2222222222EXAMPLE", // Parent AMI
            "SourceImageId": "ami-3333333333EXAMPLE",
            "SourceImageRegion": "us-east-1"
        },
        ...
        {
            "CreationDate": "2025-01-17T18:37:50.000Z",
            "ImageId": "ami-8888888888EXAMPLE", // Root AMI
            "ImageOwnerAlias": "aws-marketplace",
            "SourceImageId": "ami-9999999999EXAMPLE",
            "SourceImageRegion": "us-east-2"
        }
    ]
}
```

------
#### [ PowerShell ]

**Per visualizzare l'ascendenza di un AMI**  
Utilizza il cmdlet [Get-EC2ImageAncestry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAncestry.html).

```
Get-EC2ImageAncestry -ImageId ami-1111111111EXAMPLE
```

Di seguito è riportato un output di esempio. L'output è elencato AMIs in ordine di origine: la prima voce è l'AMI (di input) specificato, seguita dall'AMI principale, dal genitore del genitore e così via, e termina con l'AMI principale.

```
ImageAncestryEntries : {
    @{
        CreationDate = "2025-01-17T18:37:50.000Z"
        ImageId = "ami-1111111111EXAMPLE"    # Input AMI
        SourceImageId = "ami-2222222222EXAMPLE"
        SourceImageRegion = "us-east-1"
    },
    @{
        CreationDate = "2025-01-17T18:37:50.000Z"
        ImageId = "ami-2222222222EXAMPLE"    # Parent AMI
        SourceImageId = "ami-3333333333EXAMPLE"
        SourceImageRegion = "us-east-1"
    },
    ...
    @{
        CreationDate = "2025-01-17T18:37:50.000Z"
        ImageId = "ami-8888888888EXAMPLE"    # Root AMI
        ImageOwnerAlias = "aws-marketplace"
        SourceImageId = "ami-9999999999EXAMPLE"
        SourceImageRegion = "us-east-2"
    }
}
```

------

## Identificare l'AMI di origine
<a name="identify-source-ami-used-to-create-new-ami"></a>

Se è necessario identificare solo l'AMI principale (di origine) immediato utilizzato per creare un'AMI, è possibile utilizzare i seguenti metodi.

------
#### [ Console ]

**Per identificare l'AMI di origine utilizzato per creare l'AMI selezionato**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona l'AMI per visualizzare i dettagli.

   Le informazioni sull'AMI di origine vengono visualizzate nei seguenti campi: **ID AMI di origine** e **Regione AMI di origine**

------
#### [ AWS CLI ]

**Per identificare l'AMI di origine utilizzato per creare l'AMI specificato**  
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .

```
aws ec2 describe-images \
    --region us-east-1 \
    --image-ids ami-0abcdef1234567890 \
    --query "Images[].{ID:SourceImageId,Region:SourceImageRegion}"
```

Di seguito è riportato un output di esempio.

```
[
    {
        "ID": "ami-0abcdef1234567890",
        "Region": "us-west-2"
    }
}
```

------
#### [ PowerShell ]

**Per identificare l'AMI di origine utilizzato per creare l'AMI specificato**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image -ImageId ami-0abcdef1234567890 | Select SourceImageId, SourceImageRegion
```

Di seguito è riportato un output di esempio.

```
SourceImageId           SourceImageRegion
-------------           -----------------
ami-0abcdef1234567890 us-west-2
```

------

# Gestisci e monitora l’uso delle AMI
<a name="ec2-ami-usage"></a>

AWS offre diverse funzionalità per aiutarti a gestire e monitorare efficacemente l'utilizzo dell'AMI. Puoi tenere traccia degli account che utilizzano i tuoi account condivisi AMIs, identificare quando AMIs sono stati utilizzati l'ultima volta e scoprire quali risorse del tuo sito Account AWS fanno riferimento a riferimenti specifici AMIs.

La seguente tabella offre una panoramica delle funzionalità per la gestione e il monitoraggio dell’uso delle AMI:


| Funzionalità | Caso d’uso | Vantaggi principali | 
| --- | --- | --- | 
| [Report di utilizzo dell’AMI](your-ec2-ami-usage.md) | Ottieni visibilità su chi Account AWS sta usando il tuo AMIs e quanto viene utilizzato ogni AMI. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/ec2-ami-usage.html)  | 
| [Tracciamento ultimo utilizzo](ami-last-launched-time.md) | Verifica quando la tua AMI è stata utilizzata per l’ultima volta. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/ec2-ami-usage.html)  | 
| [Controllo dei riferimenti alle AMI](ec2-ami-references.md) | Assicurati che le tue AWS risorse utilizzino la versione più recente e conforme. AMIs |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/ec2-ami-usage.html)  | 

**Topics**
+ [Visualizza l’uso dell’AMI](your-ec2-ami-usage.md)
+ [Verifica quando un'AMI Amazon EC2 è stata utilizzata per l'ultima volta](ami-last-launched-time.md)
+ [Identifica le tue risorse facendo riferimento a quanto specificato AMIs](ec2-ami-references.md)

# Visualizza l’uso dell’AMI
<a name="your-ec2-ami-usage"></a>

Se condividi le tue Amazon Machine Images (AMIs) con altri Account AWS, con organizzazioni specifiche Account AWS, unità organizzative (OUs) o pubblicamente, puoi vedere come AMIs vengono utilizzate creando report sull'utilizzo delle AMI. I report danno visibilità su:
+ Quali Account AWS sono le tue istanze in o i tuoi modelli AMIs di lancio EC2 
+ Quante EC2 istanze o modelli di avvio fanno riferimento a ogni AMI

I report sull'utilizzo dell'AMI ti aiutano a gestire il tuo in modo AMIs più efficace aiutandoti a:
+ Identifica i tipi di risorse Account AWS e i tipi di risorse a cui fai riferimento AMIs in modo da poter annullare la registrazione o disabilitarla in tutta sicurezza. AMIs
+ Identifica gli elementi inutilizzati AMIs per l'annullamento della registrazione per ridurre i costi di archiviazione.
+ Identifica i più utilizzati. AMIs

**Topics**
+ [Come funzionano i report sull’uso delle AMI](#how-ami-usage-reports-work)
+ [Crea un report sull’utilizzo dell’AMI](#create-ami-usage-reports)
+ [Visualizza i report sull’utilizzo dell’AMI](#view-ami-usage-reports)
+ [Elimina un report sull’utilizzo dell’AMI](#delete-ami-usage-reports)
+ [Quote dei report](#ami-usage-report-quotas)

## Come funzionano i report sull’uso delle AMI
<a name="how-ami-usage-reports-work"></a>

Per creare un report sull’uso AMI, specifica:
+ L’AMI da includere nel report.
+ I Account AWS da controllare (account specifici o tutti gli account).
+ I tipi di risorse da controllare (EC2 istanze, modelli di avvio o entrambi).
+ Per i modelli di avvio, il numero di versioni da controllare (il valore predefinito è rappresentato dalle 20 versioni più recenti).

Amazon EC2 crea un report separato per ogni AMI. Ogni report fornisce:
+ Un elenco degli Account AWS usi dell'AMI.
+ Un conto delle risorse che fanno riferimento all’AMI per tipo di risorsa per account. Nota che per i modelli di avvio, se si fa riferimento a un’AMI in più versioni di un modello di avvio, il conteggio è solo 1.

**Importante**  
Quando generi un report sull’utilizzo dell’AMI, potrebbe non contenere l’attività più recente. L’attività delle istanze delle ultime 24 ore e l’attività del modello di avvio degli ultimi giorni potrebbero non apparire nel report.

Amazon elimina EC2 automaticamente un report 30 giorni dopo la creazione. Puoi scaricare i report dalla EC2 console per conservarli localmente.

## Crea un report sull’utilizzo dell’AMI
<a name="create-ami-usage-reports"></a>

Per visualizzare come viene usata l’AMI, è necessario innanzitutto creare un report sull’utilizzo dell’AMI, specificando gli account e i tipi di risorse da includere nel report. Dopo aver creato il report, puoi visualizzarne il contenuto. Puoi anche scaricare il rapporto dalla EC2 console.

------
#### [ Console ]

**Per creare un report sull’utilizzo dell’AMI**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona un AMI e scegli **Operazioni**, **Uso dell’AMI**, **Visualizza il mio utilizzo dell’AMI**.

1. Nella pagina **Crea il mio report dell’AMI**, procedi come segue:

   1. Per **Tipi di risorsa**, seleziona uno o più tipi di risorse da includere nel report.

   1. In **Add account (Aggiungi account) IDs**, eseguire una delle seguenti operazioni:
      + Scegli **Specificare IDs gli account**, quindi scegli **Aggiungi ID account** per ogni account su cui generare il rapporto.
      + Scegli **Includi tutti gli account** per generare un report su tutti gli account.

   1. Seleziona **Crea il mio report sull’utilizzo dell’AMI**.

1. Nella pagina AMI, seleziona la scheda **Il mio uso dell’AMI**.

1. Scegli l’ID di un report per visualizzarne i dettagli.

------
#### [ AWS CLI ]

**Per creare un report sull’utilizzo dell’AMI per un elenco di account**  
Usa il [create-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-image-usage-report.html)comando con i seguenti parametri obbligatori:
+ `--image-id`: l’ID dell’AMI da includere nel report.
+ `--resource-types`: i tipi di risorse da controllare. Nell'esempio seguente, i tipi di risorse da controllare sono EC2 le istanze e i modelli di avvio. Viene specificato anche il numero di versioni del modello di avvio da controllare (`version-depth=100`).

 Per creare report su account specifici, usa il parametro `--account-ids` per specificare l’ID di ciascun account da includere nel report.

```
aws ec2 create-image-usage-report \
    --image-id ami-0abcdef1234567890 \
    --account-ids 111122223333 444455556666 123456789012 \
    --resource-types ResourceType=ec2:Instance \
      'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]'
```

**Per creare un report sull’uso dell’AMI di tutti gli account**  
Per includere nel report tutti gli account che utilizzano l’AMI specificata, usa lo stesso comando ma ometti il parametro `--account-ids`.

```
aws ec2 create-image-usage-report \
    --image-id ami-0abcdef1234567890 \
    --resource-types ResourceType=ec2:Instance \
      'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=100}]'
```

Di seguito è riportato un output di esempio.

```
{
    "ReportId": "amiur-00b877d192f6b02d0"
}
```

**Per monitorare lo stato della creazione del report**  
Utilizzate il [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)comando e specificate l'ID del rapporto.

```
aws ec2 describe-image-usage-reports --report-ids amiur-00b877d192f6b02d0
```

Di seguito è riportato un output di esempio. Il valore iniziale del campo `State` è `pending`. Per poter visualizzare le voci del report, lo stato deve essere `available`.

```
{
    "ImageUsageReports": [
        {
            "ImageId": "ami-0e9ae3dc21c2b3a64",
            "ReportId": "amiur-abcae3dc21c2b3999",
            "ResourceTypes": [
                {"ResourceType": "ec2:Instance"}
            ],
            "State": "pending",
            "CreationTime": "2025-09-29T13:27:12.322000+00:00",
            "ExpirationTime": "2025-10-28T13:27:12.322000+00:00"
        }
    ]
}
```

------
#### [ PowerShell ]

**Per creare un report sull’utilizzo dell’AMI per un elenco di account**  
Utilizzare il [New-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2ImageUsageReport.html)cmdlet con i seguenti parametri obbligatori:
+ `-ImageId`: l’ID dell’AMI da includere nel report.
+ `-ResourceType`: i tipi di risorse da controllare. Nell'esempio seguente, i tipi di risorse da controllare sono le EC2 istanze e i modelli di avvio. Viene specificato anche il numero di versioni del modello di avvio da controllare (`'version-depth' = 100`).

 Per creare report su account specifici, usa il parametro `-AccountId` per specificare l’ID di ciascun account da includere nel report.

```
New-EC2ImageUsageReport `
    -ImageId ami-0abcdef1234567890 `
    -AccountId 111122223333 444455556666 123456789012 `
    -ResourceType @(
        @{ResourceType = 'ec2:Instance'},
        @{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100}
        })
```

**Per creare un report sull’uso dell’AMI di tutti gli account**  
Per includere nel report tutti gli account che utilizzano l’AMI specificata, usa lo stesso comando ma ometti il parametro `-AccountId`.

```
New-EC2ImageUsageReport `
    -ImageId ami-0abcdef1234567890 `
    -ResourceType @(
        @{ResourceType = 'ec2:Instance'},
        @{ResourceType = 'ec2:LaunchTemplate'ResourceTypeOptions = @{'version-depth' = 100}
        })
```

Di seguito è riportato un output di esempio.

```
ReportId
--------
amiur-00b877d192f6b02d0
```

**Per monitorare lo stato della creazione del report**  
Utilizzate il [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)comando e specificate l'ID del rapporto.

```
Get-EC2ImageUsageReport -ReportId amiur-00b877d192f6b02d0
```

Di seguito è riportato un output di esempio. Il valore iniziale del campo `State` è `pending`. Per poter visualizzare le voci del report, lo stato deve essere `available`.

```
ImageUsageReports
-----------------
{@{ImageId=ami-0e9ae3dc21c2b3a64; ReportId=amiur-abcae3dc21c2b3999; ResourceTypes=System.Object[]; State=pending; CreationTime=2025-09-29; ExpirationTime=2025-10-28}}
```

------

## Visualizza i report sull’utilizzo dell’AMI
<a name="view-ami-usage-reports"></a>

Puoi visualizzare tutti i report sull’utilizzo creati per un’AMI negli ultimi 30 giorni. Amazon elimina EC2 automaticamente un report 30 giorni dopo la creazione.

Per ogni rapporto, puoi vedere le persone Account AWS che utilizzano l'AMI e, per ogni account, un conteggio delle risorse che fanno riferimento all'AMI per tipo di risorsa. Puoi inoltre vedere quando è stata avviata la creazione del report. Queste informazioni sono disponibili soltanto quando il report è nello stato **Completo** (console) o `available` (AWS CLI).

**Importante**  
Quando generi un report sull’utilizzo dell’AMI, potrebbe non contenere l’attività più recente. L’attività delle istanze delle ultime 24 ore e l’attività del modello di avvio degli ultimi giorni potrebbero non apparire nel report.

------
#### [ Console ]

**Per visualizzare un report sull’utilizzo dell’AMI**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Selezionare un'AMI.

1. Seleziona la scheda **I miei report sull’utilizzo**.

   La lista dei report mostra:
   + Tutti i report generati negli ultimi 30 giorni per l’AMI selezionata.
   + Per ogni report, la colonna **Ora di avvio del report** mostra la data di creazione del report.

1. Scegli l’ID di un report per visualizzare il suo contenuto.

1. Per tornare alla scheda **I miei report sull’utilizzo** nella pagina dei dettagli dell’AMI, scegli **Visualizza tutti i report per questa AMI**.

------
#### [ AWS CLI ]

**Per elencare tutti i report sull’utilizzo dell’AMI per l’AMI specificata**  
Usa il [describe-image-usage-reports](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-reports.html)comando e specifica l'ID dell'AMI per ottenere un elenco dei suoi report.

```
aws ec2 describe-image-usage-reports --image-ids ami-0abcdef1234567890
```

Di seguito è riportato un output di esempio. Ogni ID del report è inserito nell’elenco insieme ai tipi di risorse sottoposti a scansione e alle date di creazione e scadenza del report. Puoi usare queste informazioni per identificare i report di cui desideri visualizzare le voci.

```
{
  "ImageUsageReports": [
    {
      "ImageId": "ami-0abcdef1234567890",
      "ReportId": "amiur-1111111111111111",
      "ResourceTypes": [
        {
          "ResourceType": "ec2:Instance"
        }
      ],
      "State": "available",
      "CreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ExpirationTime": "2025-10-28T13:27:12.322000+00:00",
      "Tags": []
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ReportId": "amiur-22222222222222222",
      "ResourceTypes": [
        {
          "ResourceType": "ec2:Instance"
        },
        {
          "ResourceType": "ec2:LaunchTemplate"
        }
      ],
      "State": "available",
      "CreationTime": "2025-10-01T13:27:12.322000+00:00",
      "ExpirationTime": "2025-10-30T13:27:12.322000+00:00",
      "Tags": []
    }
  ],
  "NextToken": "opaque"
}
```

**Per visualizzare il contenuto di un report sull’utilizzo dell’AMI per l’AMI specificata**  
Usa il comando [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) e specifica l'ID dell'AMI. La risposta restituisce tutti i report per l’AMI specificata, mostrando gli account che hanno usato l’AMI e il relativo numero di risorse.

```
aws ec2 describe-image-usage-report-entries --image-ids ami-0abcdef1234567890
```

Di seguito è riportato un output di esempio.

```
{
  "ImageUsageReportEntries": [
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "123412341234",
      "UsageCount": 15,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-1111111111111111"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "123412341234",
      "UsageCount": 2,
      "ReportCreationTime": "2025-10-01T13:27:12.322000+00:00",
      "ReportId": "amiur-22222222222222222"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "001100110011",
      "UsageCount": 39,
      "ReportCreationTime": "2025-10-01T13:27:12.322000+00:00",
      "ReportId": "amiur-22222222222222222"
    }
  ],
  "NextToken": "opaque"
}
```

**Per visualizzare il contenuto di un report sull’utilizzo dell’AMI per il report specificato**  
Utilizzate il comando [describe-image-usage-report-entries](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-usage-report-entries.html) e specificate l'ID del rapporto. La risposta restituisce tutte le voci del report specificato, mostrando gli account che hanno usato l’AMI e il relativo numero di risorse.

```
aws ec2 describe-image-usage-report-entries --report-ids amiur-11111111111111111
```

Di seguito è riportato un output di esempio.

```
{
  "ImageUsageReportEntries": [
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:Instance",
      "AccountId": "123412341234",
      "UsageCount": 15,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-11111111111111111"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:LaunchTemplate",
      "AccountId": "123412341234",
      "UsageCount": 4,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-11111111111111111"
    },
    {
      "ImageId": "ami-0abcdef1234567890",
      "ResourceType": "ec2:LaunchTemplate",
      "AccountId": "001100110011",
      "UsageCount": 2,
      "ReportCreationTime": "2025-09-29T13:27:12.322000+00:00",
      "ReportId": "amiur-11111111111111111"
    }
  ],
  "NextToken": "opaque"
}
```

------
#### [ PowerShell ]

**Per elencare tutti i report sull’utilizzo dell’AMI per l’AMI specificata**  
Utilizzare il [Get-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReport.html)cmdlet e specificare l'ID dell'AMI per ottenere un elenco dei relativi report.

```
Get-EC2ImageUsageReport -ImageId ami-0abcdef1234567890
```

Di seguito è riportato un output di esempio. Ogni ID del report è inserito nell’elenco insieme ai tipi di risorse sottoposti a scansione e alle date di creazione e scadenza del report. Puoi usare queste informazioni per identificare i report di cui desideri visualizzare le voci.

```
@{
    ImageUsageReports = @(
        @{
            ImageId = "ami-0abcdef1234567890"
            ReportId = "amiur-1111111111111111"
            ResourceTypes = @(
                @{
                    ResourceType = "ec2:Instance"
                }
            )
            State = "available"
            CreationTime = "2025-09-29T13:27:12.322000+00:00"
            ExpirationTime = "2025-10-28T13:27:12.322000+00:00"
        },
        @{
            ImageId = "ami-0abcdef1234567890"
            ReportId = "amiur-22222222222222222"
            ResourceTypes = @(
                @{
                    ResourceType = "ec2:Instance"
                }
            )
            State = "available"
            CreationTime = "2025-09-30T13:27:12.322000+00:00"
            ExpirationTime = "2025-10-29T13:27:12.322000+00:00"
        },
        @{
            ImageId = "ami-0abcdef1234567890"
            ReportId = "amiur-33333333333333333"
            ResourceTypes = @(
                @{
                    ResourceType = "ec2:Instance"
                }
            )
            State = "available"
            CreationTime = "2025-10-01T13:27:12.322000+00:00"
            ExpirationTime = "2025-10-30T13:27:12.322000+00:00"
        }
    )
    NextToken = "opaque"
}
```

**Per visualizzare il contenuto di un report sull’utilizzo dell’AMI per l’AMI specificata**  
Utilizzare il [Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)cmdlet e specificare l'ID dell'AMI. La risposta restituisce tutti i report per l’AMI specificata, mostrando gli account che hanno usato l’AMI e il relativo numero di risorse.

```
Get-EC2ImageUsageReportEntry -ImageId ami-0abcdef1234567890
```

Di seguito è riportato un output di esempio.

```
ImageUsageReportEntries : {@{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:Instance"
    AccountId = "123412341234"
    UsageCount = 15
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-1111111111111111"
    }, @{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:Instance"
    AccountId = "123412341234"
    UsageCount = 7
    ReportCreationTime = "2025-09-30T13:27:12.322000+00:00"
    ReportId = "amiur-22222222222222222"
    }...}
NextToken : opaque
```

**Per visualizzare il contenuto di un report sull’utilizzo dell’AMI per il report specificato**  
Utilizzare il [Get-EC2ImageUsageReportEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageUsageReportEntry.html)cmdlet e specificare l'ID del report. La risposta restituisce tutte le voci del report specificato, mostrando gli account che hanno usato l’AMI e il relativo numero di risorse.

```
Get-EC2ImageUsageReportEntry -ReportId amiur-11111111111111111
```

Di seguito è riportato un output di esempio.

```
ImageUsageReportEntries : {@{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:Instance"
    AccountId = "123412341234"
    UsageCount = 15
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-11111111111111111"
    }, @{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:LaunchTemplate"
    AccountId = "123412341234"
    UsageCount = 4
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-11111111111111111"
    }, @{
    ImageId = "ami-0abcdef1234567890"
    ResourceType = "ec2:LaunchTemplate"
    AccountId = "************"
    UsageCount = 2
    ReportCreationTime = "2025-09-29T13:27:12.322000+00:00"
    ReportId = "amiur-11111111111111111"
    }}
NextToken : opaque
```

------

## Elimina un report sull’utilizzo dell’AMI
<a name="delete-ami-usage-reports"></a>

Amazon elimina EC2 automaticamente un report 30 giorni dopo la sua creazione. Puoi eliminarlo manualmente prima di allora.

------
#### [ Console ]

**Per eliminare un report sull’utilizzo dell’AMI**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Selezionare un'AMI.

1. Scegli la scheda **Il mio uso dell’AMI**.

1. Seleziona il pulsante di opzione accanto al report da eliminare e quindi scegli **Elimina**.

------
#### [ AWS CLI ]

**Per eliminare un report sull’utilizzo dell’AMI**  
Usa il [delete-image-usage-report](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-image-usage-report.html)comando e specifica l'ID del rapporto.

```
aws ec2 delete-image-usage-report --report-id amiur-0123456789abcdefg
```

------
#### [ PowerShell ]

**Per eliminare un report sull’utilizzo dell’AMI**  
Utilizzare il [Remove-EC2ImageUsageReport](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2ImageUsageReport.html)cmdlet e specificare l'ID del report.

```
Remove-EC2ImageUsageReport -ReportId amiur-0123456789abcdefg
```

------

## Quote dei report
<a name="ami-usage-report-quotas"></a>

Le seguenti quote si applicano alla creazione dei report sull’utilizzo dell’AMI. Le quote si applicano per Regione AWS.


| Description | Quota | 
| --- | --- | 
| Report sull'utilizzo dell'AMI in corso (pending) per Account AWS | 2.000 | 
| Report sull’utilizzo dell’AMI in corso (pending) per AMI | 1 | 

# Verifica quando un'AMI Amazon EC2 è stata utilizzata per l'ultima volta
<a name="ami-last-launched-time"></a>

Amazon EC2 traccia automaticamente la data e l’ora di ultimo utilizzo dell’AMI per avviare un’istanza. Se disponi di un'AMI che non viene utilizzata per avviare un'istanza da molto tempo, valuta se l'AMI è un buon candidato per l'[annullamento della registrazione](deregister-ami.md) o l'[obsolescenza](ami-deprecate.md).

**Considerazioni**
+ Quando si utilizza un'AMI per avviare un'istanza, il relativo utilizzo viene segnalato dopo 24 ore.
+ Devi essere il proprietario dell'AMI per ottenere l'ora dell'ultimo avvio.
+ I dati sull’utilizzo dell’AMI sono disponibili a partire da aprile 2017.

------
#### [ Console ]

**Per visualizzare l'ultima data e ora di avvio di un'AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione a sinistra, scegliere **AMIs**.

1. Nella barra del filtro, scegli **Owned by me** (Di mia proprietà).

1. Seleziona la casella di controllo relativa all’AMI.

1. Nella scheda **Dettagli**, trova **Ultima data e ora di avvio**.

------
#### [ AWS CLI ]

**Per visualizzare l’ultima data e ora di avvio di un’AMI**  
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) . Se `LastLaunchedTime` non è presente nell’output, verifica di essere il proprietario dell’AMI.

```
aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].LastLaunchedTime \
    --output text
```

Di seguito è riportato un output di esempio.

```
2025-02-17T20:22:19Z
```

**Per visualizzare l’attributo dell’ultima data e ora di avvio di un’AMI**  
Utilizza il comando [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html). Devi possedere l’AMI.

```
aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute lastLaunchedTime \
    --query LastLaunchedTime.Value \
    --output text
```

Di seguito è riportato un output di esempio.

```
2025-02-17T20:22:19Z
```

------
#### [ PowerShell ]

**Per visualizzare l’ultima data e ora di avvio di un’AMI**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). Se `LastLaunchedTime` non è presente nell’output, verifica di essere il proprietario dell’AMI.

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).LastLaunchedTime
```

Di seguito è riportato un output di esempio.

```
2025-02-17T20:22:19Z
```

**Per visualizzare l’attributo dell’ultima data e ora di avvio di un’AMI**  
Utilizza il cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html). Devi possedere l’AMI.

```
(Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute LastLaunchedTime).LastLaunchedTime
```

Di seguito è riportato un output di esempio.

```
2025-02-17T20:22:19Z
```

------

# Identifica le tue risorse facendo riferimento a quanto specificato AMIs
<a name="ec2-ami-references"></a>

Puoi identificare AWS le tue risorse che fanno riferimento ad Amazon Machine Images (AMIs) specificate, indipendentemente dal fatto che AMIs siano pubbliche o private o da chi le possiede. Questa visibilità ti aiuta a garantire che le tue risorse utilizzino le più recenti normative AMIs.

**Vantaggi principali**

Controllare i riferimenti AMI ti aiuta a:
+ Verifica l'utilizzo di AMIs nel tuo account.
+ Controlla dove si fa riferimento a qualcosa di specifico AMIs .
+ Mantieni la conformità aggiornando le tue risorse in modo che facciano riferimento alle ultime novitàAMIs.

 

**Topics**
+ [Risorse supportate](#ec2-ami-references-supported-resources)
+ [Come funzionano i controlli dei riferimenti AMI](#how-ami-references-works)
+ [Autorizzazioni IAM richieste](#ami-references-required-permissions)
+ [Fasi per verificare i riferimenti AMI](#ami-reference-procedures)

## Risorse supportate
<a name="ec2-ami-references-supported-resources"></a>

I riferimenti all’AMI possono essere controllati in:
+ Istanze EC2
+ Modelli di avvio
+ Parametri SSM
+ ricette di immagini Image Builder
+ ricette di container Image Builder

## Come funzionano i controlli dei riferimenti AMI
<a name="how-ami-references-works"></a>

**Funzionamento di base**

Quando esegui un controllo dei riferimenti AMI:
+ Specificate quali AMIs controllare.
+ Scegli i tipi di risorse da scansionare.
+ Ricevi un elenco delle tue risorse che fanno riferimento a quanto specificato AMIs.

**Selezione dei tipi di risorsa**

Nella console, selezioni i tipi di risorsa da scansionare.

Nella CLI, specifichi i tipi di risorse da scansionare utilizzando uno o entrambi i seguenti parametri CLI:
+ `IncludeAllResourceTypes`: esegue la scansione di tutti i tipi di risorse supportati.
+ `ResourceTypes`: esegue la scansione dei tipi di risorse specificati.

**Ambito di risposta**

Puoi definire l’ambito della risposta per le istanze EC2 e i modelli di avvio personalizzando i valori `ResourceTypeOptions` utilizzando il parametro `ResourceTypes`. Sia la console che il parametro `IncludeAllResourceTypes` utilizzano i valori delle opzioni predefiniti. Quando `ResourceTypes` e `IncludeAllResourceTypes` vengono utilizzati insieme, i valori dell’opzione `ResourceTypes` hanno la precedenza sui valori predefiniti.

Di seguito sono riportati i valori predefiniti:


| Tipo di risorsa | Opzione di definizione dell’ambito (`OptionName`) | Scopo | Valori predefiniti per `OptionValue` e console | 
| --- | --- | --- | --- | 
| Istanze EC2 | state-name | Filtra per stato dell’istanza | pending, running, shutting-down, terminated, stopping, stopped (tutti gli stati) | 
| Modelli di avvio | version-depth | Specifica il numero di versioni del modello di avvio da controllare (a partire dalla versione più recente) | 10 (versioni più recenti) | 

## Autorizzazioni IAM richieste
<a name="ami-references-required-permissions"></a>

Per utilizzare l'DescribeImageReferencesAPI per identificare le risorse con riferimento specificato AMIs, sono necessarie le seguenti autorizzazioni IAM per descrivere le risorse:
+ `ec2:DescribeInstances`
+ `ec2:DescribeLaunchTemplates`
+ `ec2:DescribeLaunchTemplateVersions`
+ `ssm:DescribeParameters`
+ `ssm:GetParameters`
+ `imagebuilder:ListImageRecipes`
+ `imagebuilder:ListContainerRecipes`
+ `imagebuilder:GetContainerRecipe`

**Esempio di policy IAM per l’uso o dell’API DescribeImageReferences**  
La seguente policy di esempio concede le autorizzazioni per utilizzare l’API DescribeImageReferences, che include le autorizzazioni per descrivere istanze EC2, modelli di avvio, parametri Systems Manager, ricette immagine Image Builder e ricette container Image Builder.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "ec2:DescribeImageReferences",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeLaunchTemplateVersions",
				"ssm:DescribeParameters",
				"ssm:GetParameters",
				"imagebuilder:ListImageRecipes",
				"imagebuilder:ListContainerRecipes",
				"imagebuilder:GetContainerRecipe"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"ec2-images.amazonaws.com"
					]
				}
			}
		}
	]
}
```

------

**Importante**  
Ti consigliamo vivamente di utilizzare la policy AWS gestita [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html)invece di crearla tu stesso. Creare una policy IAM personalizzata che fornisca solo le autorizzazioni necessarie richiede tempo e competenze specifiche e richiederà aggiornamenti man mano che saranno disponibili nuovi tipi di risorse.  
La policy gestita `AmazonEC2ImageReferencesAccessPolicy`  
Concede tutte le autorizzazioni necessarie per utilizzare l’API DescribeImageReferences (tra cui le autorizzazioni per descrivere istanze EC2, modelli di avvio, parametri Systems Manager, ricette di container e immagini Image Builder).
Supporta automaticamente nuovi tipi di risorse non appena diventano disponibili (particolarmente importante quando si utilizza il parametro `IncludeAllResourceTypes`).
Puoi associare la policy `AmazonEC2ImageReferencesAccessPolicy` alle identità IAM (utenti, gruppi e ruoli).   
Per vedere le autorizzazioni incluse in questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ImageReferencesAccessPolicy.html) nella *Guida di riferimento sulle policy gestite da AWS *.

## Fasi per verificare i riferimenti AMI
<a name="ami-reference-procedures"></a>

Utilizza le seguenti procedure per identificare a quali AWS risorse si fa riferimento come specificato AMIs.

------
#### [ Console ]

**Per identificare le risorse che fanno riferimento a specifiche AMIs**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Selezionane uno o più AMIs per verificare la presenza di riferimenti.

1. Seleziona **Azioni**, **Utilizzo delle AMI**, **Visualizza risorse di riferimento**.

1. Nella AMIs pagina **Visualizza risorse che fanno riferimento a una selezione**:

   1. Per **Tipi di risorsa**, seleziona uno o più tipi di risorse.

   1. Seleziona **Visualizza risorse**.

1. Viene visualizzata la AMIs sezione **Risorse che fanno riferimento a una selezione**. L'elenco mostra le risorse che fanno riferimento a quanto specificato. AMIs Ogni riga fornisce le seguenti informazioni:
   + **ID dell’AMI**: l’ID dell’AMI a cui viene fatto riferimento.
   + **Tipo di risorsa**: il tipo di risorsa che fa riferimento all’AMI.
   + **ID della risorsa**: l’ID della risorsa che fa riferimento all’AMI.

------
#### [ AWS CLI ]

**Per controllare i riferimenti alle AMI per tipi di risorse specifici**  
Usa il comando [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html) con il parametro `--resource-types`. Nell’esempio seguente vengono controllate le istanze EC2 (ambito di applicazione in base allo stato dell’istanza), i modelli di avvio (ambito di applicazione alle 20 versioni più recenti dei modelli di avvio) e altri tipi di risorse specifici.

```
aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'
```

Di seguito è riportato un output di esempio.

```
{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}
```

**Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati**  
Usa il comando [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html) con il parametro `--include-all-resource-types`.

```
aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types
```

**Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati e opzioni specifiche**  
Utilizzate il [describe-image-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-references.html)comando con entrambi i `--resource-types` parametri `--include-all-resource-types` and. Questo esempio controlla tutti i tipi di risorse, limitando la risposta alle istanze EC2 in esecuzione o in sospeso.

```
aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
```

------
#### [ PowerShell ]

**Per controllare i riferimenti alle AMI per tipi di risorse specifici**  
Utilizzare il [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)cmdlet con il `-ResourceType` parametro. Nell’esempio seguente vengono controllate le istanze EC2 (ambito di applicazione in base allo stato dell’istanza), i modelli di avvio (ambito di applicazione alle 20 versioni più recenti dei modelli di avvio) e altri tipi di risorse specifici.

```
Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )
```

**Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati**  
Utilizzare il [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)cmdlet con il parametro. `-IncludeAllResourceTypes`

```
Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes
```

**Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati e opzioni specifiche**  
Utilizzare il [Get-EC2ImageReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageReference.html)cmdlet con entrambi i parametri e. `-IncludeAllResourceTypes` `-ResourceType` Questo esempio controlla tutti i tipi di risorse, limitando la risposta alle istanze EC2 in esecuzione o in sospeso.

```
Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )
```

------

# Deprecare un'AMI Amazon EC2
<a name="ami-deprecate"></a>

Puoi dichiarare un'AMI come obsoleta per indicare che non è aggiornata e non deve essere utilizzata. Puoi inoltre specificare una data di definizione come obsoleta futura per un'AMI, indicando da quando l'AMI non sarà più aggiornata. Ad esempio, è possibile dichiarare un'AMI come obsoleta se non è più gestita attivamente oppure se è stata sostituita da una versione più recente. Per impostazione predefinita, le versioni AMIs obsolete non vengono visualizzate negli elenchi AMI, impedendo ai nuovi utenti di utilizzarle. out-of-date AMIs Tuttavia, gli utenti e i servizi di avvio esistenti, come i modelli di avvio e i gruppi Auto Scaling, possono continuare a utilizzare un'AMI obsoleta specificandone l'ID. Per eliminare l'AMI in modo che gli utenti e i servizi non possano più utilizzarla, è necessario [annullare la sua registrazione](deregister-ami.md).

Dopo che un'AMI è stata dichiarata obsoleta:
+ Per gli utenti AMI, l'AMI obsoleto non viene visualizzato [DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)nelle chiamate API a meno che non ne specifichi l'ID o specifichi che deve apparire AMIs deprecato. I proprietari di AMI continuano a vedere obsolete AMIs le chiamate API. [DescribeImages](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html)
+ Per gli utenti AMI, l'AMI obsoleta non è disponibile per la selezione tramite EC2 la console. Ad esempio, un'AMI obsoleta non viene visualizzata nel catalogo AMI nella procedura guidata di avvio istanze. I possessori di AMI continuano a vedersi obsoleti AMIs nella console. EC2
+ Per gli utenti AMI, se conosci l'ID di un'AMI obsoleta, puoi continuare ad avviare istanze utilizzando l'AMI obsoleta utilizzando l'API, la CLI o il. SDKs
+ I servizi di avvio, come i modelli di avvio e i gruppi di Auto Scaling, possono continuare a fare riferimento a elementi obsoleti. AMIs
+ EC2 le istanze avviate utilizzando un'AMI successivamente obsoleta non sono interessate e possono essere interrotte, avviate e riavviate.

È possibile rendere obsolete sia quelle private che quelle pubbliche. AMIs

**Topics**
+ [Costi](#ami-deprecate-costs)
+ [Considerazioni](#ami-deprecate-limitations)
+ [Dichiarazione di un'AMI come obsoleta](#deprecate-ami)
+ [Descrivi «obsoleto» AMIs](#describe-deprecate-ami)
+ [Annulla la dichiarazione dell'AMI come obsoleta](#cancel-deprecate-ami)

## Costi
<a name="ami-deprecate-costs"></a>

Quando si dichiara un'AMI obsoleta, l'AMI non viene eliminata. Il proprietario dell'AMI continuerà a pagare gli snapshot dell'AMI. Per interrompere il pagamento per gli snapshot, il proprietario dell'AMI deve eliminare l'AMI [annullandone la registrazione](deregister-ami.md).

## Considerazioni
<a name="ami-deprecate-limitations"></a>
+ Solo i proprietari dell'AMI possono dichiararla come obsoleta.
+ AMIs che non sono state utilizzate di recente per avviare un'istanza potrebbero essere buone candidate alla deprecazione o all'annullamento della registrazione. Per ulteriori informazioni, consulta [Verifica quando un'AMI Amazon EC2 è stata utilizzata per l'ultima volta](ami-last-launched-time.md).
+ Puoi creare policy AMI supportate da Amazon Data Lifecycle Manager con EBS per automatizzare la deprecazione delle AMI supportate da EBS. AMIs Per ulteriori informazioni, consulta [Create AMI lifecycle policies](https://docs.aws.amazon.com/ebs/latest/userguide/ami-policy.html).
+ Per impostazione predefinita, la data di deprecazione di all public AMIs è impostata su due anni dalla data di creazione dell'AMI. È possibile impostare la data di obsolescenza prima dei due anni. Per annullare la data di deprecazione o per spostarla ulteriormente a una data successiva, è necessario rendere privata l'AMI solo [condividendola con account AWS specifici](sharingamis-explicit.md).

## Dichiarazione di un'AMI come obsoleta
<a name="deprecate-ami"></a>

È possibile dichiarare un'AMI come obsoleta in una data e un'ora specifiche. Devi possedere l’AMI.

Il limite massimo per la data di deprecazione è di 10 anni da oggi, ad eccezione di public AMIs, dove il limite massimo è di 2 anni dalla data di creazione. Non puoi specificare una data passata.

------
#### [ Console ]

**Come dichiarare obsoleta un'AMI in una data specifica**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel navigatore a sinistra, scegli **AMIs**.

1. Nella barra del filtro, scegli **Owned by me** (Di mia proprietà).

1. Seleziona l'AMI, quindi scegli **Actions** (Operazioni), **Manage AMI Deprecation** (Gestisci deprecazione AMI). Puoi selezionarne più di uno AMIs per impostare la stessa data di deprecazione per più di uno alla volta. AMIs 

1. Seleziona la casella di spunta **Abilita** e poi inserisci la data e l'ora di deprecazione. 

1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Come dichiarare obsoleta un'AMI in una data specifica**  
Utilizza il comando [enable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deprecation.html). Se specifichi un valore in secondi, Amazon EC2 arrotonda i secondi al minuto più vicino.

```
aws ec2 enable-image-deprecation \
    --image-id ami-0abcdef1234567890 \
    --deprecate-at "2025-04-15T13:17:12.000Z"
```

------
#### [ PowerShell ]

**Come dichiarare obsoleta un'AMI in una data specifica**  
Utilizza il cmdlet [Enable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeprecation.html). Se specifichi un valore in secondi, Amazon EC2 arrotonda i secondi al minuto più vicino.

```
Enable-EC2ImageDeprecation `
    -ImageId ami-0abcdef1234567890 `
    -DeprecateAt 2025-04-15T13:17:12.000Z
```

------

## Descrivi «obsoleto» AMIs
<a name="describe-deprecate-ami"></a>

È possibile visualizzare la data e l'ora di obsolescenza di un AMI e filtrare per AMIs data di obsolescenza.

------
#### [ Console ]

**Per visualizzare la data di dichiarazione di un'AMI come obsoleta**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel navigatore sinistro, scegliete **AMIs**, quindi selezionate l'AMI.

1. Controlla il campo **Tempo di obsolescenza** (se hai selezionato la casella di spunta accanto all'AMI, è posizionata nella scheda **Dettagli**). Il campo mostra la data e l'ora di deprecazione dell'AMI. Se il campo è vuoto, l'AMI non è deprecata.

**Per filtrare in base alla AMIs data di obsolescenza**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel navigatore a sinistra, scegli **AMIs**.

1. Dalla barra dei filtri, scegli **Di mia proprietà** o **Immagini private** (le immagini private includono AMIs quelle condivise con te e di tua proprietà).

1. Nella barra Search (Cerca) inserisci **Deprecation time** (mentre inserisci le lettere, viene visualizzato il filtro **Deprecation time** [Tempo di deprecazione]), quindi scegli un operatore, una data e un'ora.

------
#### [ AWS CLI ]

Quando descrivi tutto AMIs, i risultati dipendono dal fatto che tu sia un utente AMI o il proprietario dell'AMI.
+ **Utente AMI**: per impostazione predefinita, quando descrivi tutto AMIs, vengono esclusi i file obsoleti AMIs che sono condivisi con te ma non di tua proprietà. Per includere dati obsoleti AMIs nei risultati, specifica l'opzione. `--include-deprecated`
+ **Proprietario dell'AMI**: quando descrivi tutto AMIs, viene incluso tutto AMIs ciò che possiedi, compresi quelli obsoleti AMIs. Non puoi escludere i file obsoleti di tua proprietà utilizzando AMIs l'opzione. `--no-include-deprecated`

**Da includere «obsoleto» nella descrizione di tutto per un account AMIs AMIs**  
Utilizza il seguente comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images 
    --owners 123456789012 \   
    --include-deprecated
```

**Per descrivere le versioni obsolete del tuo account AMIs**  
Utilizza il seguente comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --owners self \
    --query "Images[?DeprecationTime!=null].ImageId" \
    --output text
```

Di seguito è riportato un output di esempio.

```
ami-0abcdef1234567890
```

**Come descrivere la data di dichiarazione di un'AMI come obsoleta**  
Utilizza il seguente comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Se `DeprecationTime` non è presente nell’output, l’AMI non è obsoleta né è stata impostata per diventare obsoleta in futuro.

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[].DeprecationTime \
    --output text
```

Di seguito è riportato un output di esempio.

```
2025-05-01T00:00:00.000Z
```

------
#### [ PowerShell ]

**Per elencare le versioni obsolete del tuo account AMIs**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -Owner self | Where-Object {$_.DeprecationTime -ne $null}).ImageId
```

Di seguito è riportato un output di esempio.

```
ami-0abcdef1234567890
```

**Come descrivere la data di dichiarazione di un'AMI come obsoleta**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html). Se `DeprecationTime` non è presente nell’output, l’AMI non è obsoleta né è stata impostata per diventare obsoleta in futuro.

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).DeprecationTime
```

Di seguito è riportato un output di esempio.

```
2025-05-01T00:00:00.000Z
```

------

## Annulla la dichiarazione dell'AMI come obsoleta
<a name="cancel-deprecate-ami"></a>

Puoi annullare la dichiarazione di un’AMI come obsoleta e rimuovere così la data e l’ora di obsolescenza. Per eseguire questa procedura, è necessario essere il proprietario dell’AMI.

------
#### [ Console ]

**Come annullare la dichiarazione di un‘AMI come obsoleta**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel navigatore a sinistra, scegli **AMIs**.

1. Nella barra del filtro, scegli **Owned by me** (Di mia proprietà).

1. Seleziona l'AMI, quindi scegli **Actions** (Operazioni), **Manage AMI Deprecation** (Gestisci deprecazione AMI). Potete selezionarne più AMIs di uno per annullare l'obsolescenza di più contemporaneamente. AMIs 

1. Deseleziona la casella di spunta **Abilita**, quindi scegli **Salva**.

------
#### [ AWS CLI ]

**Come annullare la deprecazione di un’AMI**  
Utilizza il seguente comando [disable-image-deprecation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deprecation.html).

```
aws ec2 disable-image-deprecation --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Come annullare la deprecazione di un’AMI**  
Utilizza il cmdlet [Disable-EC2ImageDeprecation](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeprecation.html).

```
Disable-EC2ImageDeprecation -ImageId ami-0abcdef1234567890
```

------

# Disattiva un' EC2 AMI Amazon
<a name="disable-an-ami"></a>

È possibile disabilitare un'AMI per impedirne l'utilizzo per gli avvii delle istanze. Non è possibile avviare nuove istanze da un'AMI disabilitata. È possibile riabilitare un'AMI disabilitata al fine di utilizzarla nuovamente per gli avvii delle istanze.

Puoi disabilitare sia la modalità privata che quella pubblica AMIs.

Per ridurre i costi di storage dei sistemi basati su EBS disabilitati, AMIs che vengono utilizzati raramente, ma che devono essere conservati a lungo termine, è possibile archiviare le relative istantanee associate. Per ulteriori informazioni, consulta [Snapshot Archive Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) nella *Guida per l'utente di Amazon EBS*.

**Topics**
+ [Come funziona la disattivazione delle AMI](#how-disable-ami-works)
+ [Costi](#ami-disable-costs)
+ [Prerequisiti](#ami-disable-prerequisites)
+ [Autorizzazioni IAM richieste](#ami-disable-iam-permissions)
+ [Disabilitazione di un'AMI](#disable-ami)
+ [Descrizione disabilitato AMIs](#describe-disabled-ami)
+ [Riabilitazione di un'AMI disabilitata](#re-enable-a-disabled-ami)

## Come funziona la disattivazione delle AMI
<a name="how-disable-ami-works"></a>

**avvertimento**  
La disabilitazione di un'AMI rimuove tutte le relative autorizzazioni di avvio.

**Quando un'AMI è disabilitata:**
+ Lo stato dell'AMI cambia in `disabled`.
+ Non è possibile condividere un'AMI disabilitata. Se un'AMI in precedenza era pubblica o condivisa, viene resa privata. Se un'AMI è stata condivisa con un' Account AWS organizzazione o un'unità organizzativa, queste perdono l'accesso all'AMI disabilitata. 
+ Per impostazione predefinita, un'AMI disabilitata non viene visualizzata nelle chiamate API [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeImages.html).
+ Un'AMI disabilitata non viene visualizzata nel filtro della console **Di mia proprietà**. Per trovarlo disabilitato AMIs, usa il filtro **Disabled images** console.
+ Un'AMI disabilitata non è disponibile per selezionare, ad esempio, gli avvii nella EC2 console. Ad esempio, un'AMI disabilitata non viene visualizzata nel catalogo AMI nella procedura guidata di avvio delle istanze o durante la creazione di un modello di istanza.
+ I servizi di avvio, come i modelli di avvio e i gruppi di Auto Scaling, possono continuare a fare riferimento disabilitati. AMIs I successivi avvii di istanze da un'AMI disattivata falliranno, quindi consigliamo di aggiornare i modelli di avvio e i gruppi di Auto Scaling in base ai soli riferimenti AMIs disponibili.
+ EC2 le istanze precedentemente avviate utilizzando un'AMI che viene successivamente disattivata non sono interessate e possono essere interrotte, avviate e riavviate.
+ Non è possibile eliminare le istantanee associate alla disattivazione. AMIs Il tentativo di eliminare uno snapshot associato restituisce l'errore `snapshot is currently in use`.

**Quando un'AMI viene abilitata nuovamente:**
+ Lo stato dell'AMI cambia in `available` e può essere utilizzata per avviare le istanze.
+ L'AMI può essere condivisa.
+ Gli Account AWS, le organizzazioni e le unità organizzative che hanno perso l'accesso all'AMI quando era disabilitata non riottengono automaticamente l'accesso, ma è possibile condividere nuovamente l'AMI con loro.

## Costi
<a name="ami-disable-costs"></a>

Quando si disabilita un'AMI, l'AMI non viene eliminata. Se l'AMI è supportata da EBS, continui a pagare per gli snapshot dei volumi EBS dell'AMI. Se desideri mantenere l'AMI, potresti essere in grado di ridurre i costi di archiviazione archiviando gli snapshot. Per ulteriori informazioni, consulta [Snapshot Archive Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) nella *Guida per l'utente di Amazon EBS*. Se non si desidera conservare l'AMI e i relativi snapshot, è necessario annullare la registrazione dell'AMI ed eliminare gli snapshot. Per ulteriori informazioni, consulta [Annullare la registrazione di un'AMI](deregister-ami.md).

## Prerequisiti
<a name="ami-disable-prerequisites"></a>

Per disabilitare o riabilitare un'AMI, devi essere il proprietario dell'AMI.

## Autorizzazioni IAM richieste
<a name="ami-disable-iam-permissions"></a>

Per disabilitare e riabilitare un'AMI, devi disporre delle seguenti autorizzazioni IAM:
+ `ec2:DisableImage`
+ `ec2:EnableImage`

## Disabilitazione di un'AMI
<a name="disable-ami"></a>

È possibile disattivare un'AMI utilizzando la EC2 console o il pulsante AWS Command Line Interface (AWS CLI). Per eseguire questa procedura, è necessario essere il proprietario dell’AMI.

------
#### [ Console ]

**Come disabilitare un’AMI**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione a sinistra, scegliere **AMIs**.

1. Nella barra del filtro, scegli **Owned by me** (Di mia proprietà).

1. Seleziona l'AMI, quindi scegli **Operazioni**, **Disabilita AMI**. Puoi selezionarne più AMIs di uno da disabilitare contemporaneamente.

1. Nella finestra **Disabilita AMI**, scegli **Disabilita AMI**.

------
#### [ AWS CLI ]

**Disabilitazione di un'AMI**  
Utilizza il seguente comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image.html).

```
aws ec2 disable-image --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Come disabilitare un’AMI**  
Utilizza il cmdlet [Disable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2Image.html).

```
Disable-EC2Image -ImageId ami-0abcdef1234567890
```

------

## Descrizione disabilitato AMIs
<a name="describe-disabled-ami"></a>

È possibile visualizzare i AMIs file disabilitati nella EC2 console e utilizzando AWS CLI.

Devi essere il proprietario dell'AMI per visualizzare disattivata AMIs. Poiché AMIs i disattivati vengono resi privati, non puoi AMIs visualizzarli se non ne sei il proprietario.

------
#### [ Console ]

**Per visualizzare è disabilitato AMIs**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione a sinistra, scegliere **AMIs**.

1. Dalla barra dei filtri, scegli **Immagini disabilitate**.  
![\[Il filtro Immagini disabilitate.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-filter-by-disabled-images.png)

------
#### [ AWS CLI ]

Per impostazione predefinita, quando descrivi tutto AMIs, i disabili non AMIs sono inclusi nei risultati. Per includere i disattivati AMIs nei risultati, specifica l'`--include-disabled`opzione. Il campo `State` per un’AMI è `disabled` se l’AMI è disabilitata.

**Da includere AMIs disabilitato nella descrizione di tutto AMIs per un account**  
Utilizza il seguente comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --owners 123456789012 \
    --include-disabled
```

**Per elencare i disattivati AMIs del tuo account**  
Utilizza il seguente comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --owners self \
    --include-disabled \
    --filters Name=state,Values=disabled \
    --query Images[].ImageId \
    --output text
```

Di seguito è riportato un output di esempio.

```
ami-0abcdef1234567890
```

**Per descrivere lo stato di un’AMI**  
Utilizza il seguente comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). Se `DeprecationTime` non è presente nell’output, l’AMI non è obsoleta né è stata impostata per diventare obsoleta in futuro.

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[].State \
    --output text
```

Di seguito è riportato un output di esempio.

```
disabled
```

------
#### [ PowerShell ]

Per impostazione predefinita, quando descrivi tutto AMIs, i disabili non AMIs vengono inclusi nei risultati. Per includere i dispositivi disabilitati AMIs nei risultati, specificate il `-IncludeDisabled` parametro. Il campo `State` per un’AMI è `disabled` se l’AMI è disabilitata.

**Per elencare i disabilitati AMIs del tuo account**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image `
    -Owner self `
    -IncludeDisabled $true | Where-Object {$_.State -eq "disabled"}).ImageId
```

Di seguito è riportato un output di esempio.

```
ami-0abcdef1234567890
```

**Per descrivere lo stato di un’AMI**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).State.Value
```

Di seguito è riportato un output di esempio.

```
disabled
```

------

## Riabilitazione di un'AMI disabilitata
<a name="re-enable-a-disabled-ami"></a>

È possibile abilitare nuovamente un'AMI disabilitata. Per eseguire questa procedura, è necessario essere il proprietario dell’AMI.

------
#### [ Console ]

**Riabilitazione di un'AMI disabilitata**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione a sinistra, scegliere **AMIs**.

1. Dalla barra dei filtri, scegli **Immagini disabilitate**.

1. Seleziona l'AMI, quindi scegli **Operazioni**, **Abilita AMI**. Puoi selezionarne più AMIs di uno per riattivarne diversi AMIs contemporaneamente.

1. Nella finestra **Abilita AMI**, scegli **Abilita**.

------
#### [ AWS CLI ]

**Riabilitazione di un'AMI disabilitata**  
Utilizza il seguente comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image.html).

```
aws ec2 enable-image --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Riabilitazione di un'AMI disabilitata**  
Utilizza il cmdlet [Enable-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2Image.html).

```
Enable-EC2Image -ImageId ami-0abcdef1234567890
```

------

# Annullare la registrazione di un'AMI Amazon EC2
<a name="deregister-ami"></a>

Quando annulli la registrazione di un'AMI, Amazon EC2 la elimina definitivamente. Dopo aver annullato la registrazione di un'AMI, non puoi più utilizzarla per avviare nuove istanze. Potresti considerare di annullare la registrazione di un'AMI quando hai terminato di utilizzarla.

Per proteggerti dall'annullamento accidentale o dannoso della registrazione di un'AMI, puoi attivare la [protezione dall'annullamento della registrazione.](ami-deregistration-protection.md) Se annulli accidentalmente la registrazione di un'AMI supportata da EBS, puoi utilizzare il [Cestino](https://docs.aws.amazon.com/ebs/latest/userguide/recycle-bin.html) per ripristinarla solo se la ripristini entro il periodo di tempo consentito prima che venga eliminata definitivamente.

Quando annulli la registrazione di un’AMI, allo stesso tempo puoi facoltativamente eliminare gli snapshot associati. Tuttavia, se un'istantanea è associata a più di una copia AMIs, non verrà eliminata anche se è stata specificata per l'eliminazione, anche se l'AMI verrà comunque annullata. Qualsiasi snapshot non eliminato continuerà a sostenere i costi di archiviazione.

L'annullamento della registrazione di un'AMI non ha ripercussioni sulle istanze avviate dall'AMI. Puoi continuare a utilizzare queste istanze. Per impostazione predefinita, l’annullamento della registrazione di un’AMI non ha inoltre alcun effetto sugli snapshot creati durante il processo di creazione dell’AMI. Continuerai a sostenere i costi di utilizzo per tali istanze e i costi di archiviazione per gli snapshot. Pertanto, per evitare di incorrere in costi inutili, consigliamo di terminare tutte le istanze ed eliminare tutti gli snapshot non necessari. Puoi eliminare gli snapshot automaticamente durante l’annullamento della registrazione o manualmente dopo la stessa. Per ulteriori informazioni, consulta [Evita i costi derivanti da risorse non utilizzate](#delete-unneeded-resources-to-avoid-unnecessary-costs).

Per le istanze avviate da un'AMI che viene successivamente annullata, è comunque possibile visualizzare alcune informazioni di alto livello sull'AMI utilizzando il comando. `describe-instance-image-metadata` AWS CLI Per ulteriori informazioni, consulta [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html).

**Topics**
+ [Considerazioni](#deregister-ami-considerations)
+ [Annullare la registrazione di un'AMI](#deregister-an-ami)
+ [Evita i costi derivanti da risorse non utilizzate](#delete-unneeded-resources-to-avoid-unnecessary-costs)
+ [Proteggere un'AMI Amazon EC2 dall'annullamento della registrazione](ami-deregistration-protection.md)

## Considerazioni
<a name="deregister-ami-considerations"></a>
+ Non è possibile annullare la registrazione di un'AMI che non è di proprietà dell'account.
+ Non puoi utilizzare Amazon EC2 per annullare la registrazione di un'AMI gestita dal servizio. AWS Backup Utilizza invece AWS Backup per eliminare i punti di ripristino corrispondenti nel vault di backup. Per ulteriori informazioni, consulta la sezione [Eliminazione dei backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html) nella *Guida per gli sviluppatori di AWS Backup *.

## Annullare la registrazione di un'AMI
<a name="deregister-an-ami"></a>

Puoi annullare la registrazione supportata da EBS e Amazon S3 AMIs . AMIs Per EBS-Backed AMIs, puoi facoltativamente eliminare le istantanee associate contemporaneamente. Tuttavia, se un'istantanea è associata ad altre AMIs, non verrà eliminata anche se specificata per l'eliminazione.

------
#### [ Console ]

**Come annullare la registrazione di un’AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Dalla barra dei filtri, scegli **Di mia proprietà** per elencare le immagini disponibili AMIs, oppure scegli **Immagini disattivate per elencare le immagini disabilitate** AMIs.

1. Selezionare l'AMI di cui annullare la registrazione.

1. Scegli **Actions** (Operazioni), quindi **Deregister AMI (Annulla registrazione AMI)**.

1. (Facoltativo) Per eliminare gli snapshot associati durante l’annullamento della registrazione, seleziona la casella di controllo **Elimina gli snapshot associati**.
**Nota**  
Se un'istantanea è associata ad altre AMIs, non viene eliminata, anche se la casella di controllo è selezionata.

1. Scegli **Annulla registrazione AMI**.

   Potrebbero essere necessari alcuni minuti prima che la console rimuova l'AMI dall'elenco. Scegliere **Refresh (Aggiorna)** per aggiornare lo stato.

------
#### [ AWS CLI ]

**Come annullare la registrazione di un’AMI**  
Utilizza il seguente comando [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html).

```
aws ec2 deregister-image --image-id ami-0abcdef1234567890
```

**Per annullare la registrazione di un’AMI ed eliminare gli snapshot associati**  
Utilizza il seguente comando [deregister-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-image.html) e specifica il parametro `--delete-associated-snapshots`. Si noti che se un'istantanea è associata ad altre AMIs, non viene eliminata, anche se si specifica questo parametro.

```
aws ec2 deregister-image \
    --image-id ami-0abcdef1234567890 \
    --delete-associated-snapshots
```

------
#### [ PowerShell ]

**Come annullare la registrazione di un’AMI**  
Utilizza il cmdlet [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html).

```
Unregister-EC2Image -ImageId ami-0abcdef1234567890
```

**Per annullare la registrazione di un’AMI ed eliminare gli snapshot associati**  
Utilizzare il [Unregister-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Image.html)cmdlet e specificare il parametro. `-DeleteAssociatedSnapshots` Si noti che se un'istantanea è associata ad altre AMIs, non viene eliminata, anche se si specifica questo parametro.

```
Unregister-EC2Image `
    -ImageId ami-0abcdef1234567890 `
    -DeleteAssociatedSnapshots
```

------

## Evita i costi derivanti da risorse non utilizzate
<a name="delete-unneeded-resources-to-avoid-unnecessary-costs"></a>

Annullare la registrazione di un’AMI non comporta, per impostazione predefinita, l’eliminazione di tutte le risorse associate a tale AMI. Queste risorse includono le istantanee per EBS AMIs e i file in Amazon S3 per Amazon S3 con supporto da Amazon S3. AMIs Quando annulli la registrazione di un'AMI, inoltre, non termini o arresti le istanze avviate da tale AMI.

Continuerai a sostenere i costi per l'archiviazione degli snapshot e dei file, e sosterrai i costi per tutte le istanze in esecuzione.

Per evitare di incorrere in questi tipi di costi non necessari, consigliamo di eliminare tutte le risorse non necessarie.

**Supportato da EBS AMIs**
+ Elimina gli snapshot associati durante l’annullamento della registrazione dell’AMI. Per ulteriori informazioni, consulta [Annullare la registrazione di un'AMI](#deregister-an-ami).
+ Se annulli la registrazione di un’AMI senza eliminare gli snapshot associati, puoi [eliminare gli snapshot](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-deleting-snapshot.html#ebs-delete-snapshot) manualmente. Lo snapshot del volume root dell’istanza creato durante la creazione dell’AMI ha il seguente formato di descrizione:

  ```
  Created by CreateImage(i-1234567890abcdef0) for ami-0abcdef1234567890
  ```
+ Se non hai più bisogno delle istanze avviate dall’AMI, puoi [arrestarle](Stop_Start.md#starting-stopping-instances) o [terminarle](terminating-instances.md#terminating-instances-console). Per elencare le istanze, filtra in base all’ID dell’AMI.

**Supportato da Amazon S3 AMIs**
+ Elimina il bundle in Amazon S3 utilizzando il comando [ec2-delete-bundle](ami-tools-commands.md#ami-delete-bundle) (strumenti AMI).
+ Se il bucket Amazon S3 è vuoto dopo aver eliminato il bundle e non hai più bisogno di quel bucket, puoi [eliminare il bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html).
+ Se non hai più bisogno delle istanze avviate dall’AMI, puoi [terminarle](terminating-instances.md#terminating-instances-console). Per elencare le istanze, filtra in base all’ID dell’AMI.

# Proteggere un'AMI Amazon EC2 dall'annullamento della registrazione
<a name="ami-deregistration-protection"></a>

Puoi attivare la *protezione dall'annullamento della registrazione* su un'AMI per impedirne l'eliminazione accidentale o dannosa. Quando attivi la protezione dall'annullamento della registrazione, la registrazione dell'AMI non può essere annullata da nessun utente, indipendentemente dalle autorizzazioni IAM di cui dispone. Se desideri annullare la registrazione dell'AMI, devi prima disattivare la protezione dall'annullamento della registrazione su di essa.

Quando attivi la protezione dall'annullamento della registrazione su un'AMI, hai la possibilità di includere un tempo di raffreddamento di 24 ore. Questo tempo di raffreddamento è il periodo durante il quale la protezione dall'annullamento della registrazione rimane attiva dopo la sua disattivazione. Durante questo tempo di raffreddamento, non è possibile annullare la registrazione dell'AMI. Al termine del tempo di raffreddamento, la registrazione dell'AMI può essere annullata.

La protezione dall'annullamento della registrazione è disattivata per impostazione predefinita su tutti i dispositivi esistenti e nuovi. AMIs

## Attivare la protezione dall'annullamento della registrazione
<a name="enable-deregistration-protection"></a>

Per attivare la protezione dall'annullamento della registrazione, usa le procedure seguenti.

------
#### [ Console ]

**Per attivare la protezione dall’annullamento della registrazione**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Dalla barra dei filtri, scegli **Di mia proprietà** per elencare le immagini disponibili AMIs, oppure scegli **Immagini disattivate per elencare le immagini disabilitate**. AMIs

1. Seleziona l'AMI su cui desideri attivare la protezione dall'annullamento della registrazione, poi scegli **Operazioni**, **Gestisci la protezione dall'annullamento della registrazione cancellazione dell'AMI**.

1. Nella finestra di dialogo **Gestisci la protezione dall'annullamento della registrazione dell'AMI**, puoi attivare la protezione dall'annullamento della registrazione con o senza un tempo di raffreddamento. Scegli una delle seguenti opzioni:
   + **Abilita con un tempo di raffreddamento di 24 ore**: con un tempo di raffreddamento, la registrazione dell'AMI non può essere annullata per 24 ore quando la protezione dall'annullamento della registrazione viene disattivata.
   + **Abilita senza tempo di raffreddamento**: senza tempo di attesa, la registrazione dell'AMI può essere annullata immediatamente quando la protezione dall'annullamento della registrazione viene disattivata.

1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Per attivare la protezione dall’annullamento della registrazione**  
Utilizza il comando [enable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-deregistration-protection.html). Per abilitare il tempo di raffreddamento facoltativo, includi l’opzione `--with-cooldown`.

```
aws ec2 enable-image-deregistration-protection \
    --image-id ami-0abcdef1234567890 \
    --with-cooldown
```

------
#### [ PowerShell ]

**Per attivare la protezione dall’annullamento della registrazione**  
Utilizza il cmdlet [Enable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageDeregistrationProtection.html). Per abilitare il tempo di raffreddamento facoltativo, imposta il parametro `-WithCooldown` su `true`.

```
Enable-EC2ImageDeregistrationProtection `
    -ImageId ami-0abcdef1234567890 `
    -WithCooldown $true
```

------

## Disattivare la protezione dall'annullamento della registrazione
<a name="disable-deregistration-protection"></a>

Per disattivare la protezione dall'annullamento della registrazione, usa le procedure seguenti.

Se hai scelto di includere un tempo di raffreddamento di 24 ore quando hai attivato la protezione dall'annullamento della registrazione per l'AMI, quando disattivi la protezione dall'annullamento della registrazione, non potrai annullare immediatamente la registrazione dell'AMI. Il tempo di raffreddamento è il periodo di 24 ore durante il quale la protezione dall'annullamento della registrazione rimane attiva dopo la sua disattivazione. Durante questo tempo di raffreddamento, non è possibile annullare la registrazione dell'AMI. Dopo il termine del tempo di raffreddamento, la registrazione dell'AMI può essere annullata.

------
#### [ Console ]

**Per disattivare la protezione dall’annullamento della registrazione**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Dalla barra dei filtri, scegli **Di mia proprietà** per elencare le immagini disponibili AMIs, oppure scegli **Immagini disattivate per elencare le immagini disabilitate** AMIs.

1. Seleziona l'AMI di cui disattivare la protezione dall'annullamento della registrazione, poi scegli **Operazioni**, **Gestisci la protezione dall'annullamento della registrazione cancellazione dell'AMI**.

1. Nella finestra di dialogo **Gestisci la protezione dall'annullamento della registrazione dell'AMI**, scegli **Disabilita**.

1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Per disattivare la protezione dall’annullamento della registrazione**  
Utilizza il comando [disable-image-deregistration-protection](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-deregistration-protection.html).

```
aws ec2 disable-image-deregistration-protection --image-id ami-0abcdef1234567890
```

------
#### [ PowerShell ]

**Per disattivare la protezione dall’annullamento della registrazione**  
Utilizza il cmdlet [Disable-EC2ImageDeregistrationProtection](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageDeregistrationProtection.html).

```
Disable-EC2ImageDeregistrationProtection -ImageId ami-0abcdef1234567890
```

------

# Comportamento di avvio delle istanze con le modalità di avvio di Amazon EC2
<a name="ami-boot"></a>

All'avvio di un computer, il primo software in esecuzione è responsabile dell'inizializzazione della piattaforma e fornisce un'interfaccia al sistema operativo per eseguire operazioni specifiche della piattaforma.

Amazon EC2 supporta due varianti del software in modalità di avvio: Unified Extensible Firmware Interface (UEFI) e BIOS legacy.

**Possibili parametri della modalità di avvio su un'AMI**  
Un'AMI può avere uno dei seguenti valori per i parametri della modalità di avvio: `uefi`, `legacy-bios` o `uefi-preferred`. Il parametro della modalità di avvio dell'AMI è facoltativo. Poiché non AMIs dispongono di parametri per la modalità di avvio, le istanze avviate da questi AMIs utilizzano il valore della modalità di avvio predefinito del tipo di istanza.

**Scopo del parametro della modalità di avvio dell'AMI**  
Il parametro della modalità di avvio dell'AMI segnala ad Amazon EC2 quale modalità di avvio utilizzare quando si avvia un'istanza. Quando il parametro della modalità di avvio è impostato su `uefi`, EC2 tenta di avviare l'istanza su UEFI. Se il sistema operativo non è configurato per supportare UEFI, l'avvio dell'istanza avrà esito negativo.

**Parametro della modalità di avvio UEFI Preferred**  
È possibile creare un sistema AMIs che supporti sia UEFI che Legacy BIOS utilizzando il parametro della modalità di `uefi-preferred` avvio. Se il parametro della modalità di avvio è impostato su `uefi-preferred` e se il tipo di istanza supporta UEFI, l'istanza viene avviata su UEFI. Se il tipo di istanza non supporta UEFI, l'istanza viene avviata su BIOS legacy.

**avvertimento**  
Alcune funzionalità, ad esempio l'avvio protetto UEFI, sono disponibili solo per le istanze con modalità di avvio UEFI. Se utilizzi il parametro della modalità di avvio dell'AMI `uefi-preferred` con un tipo di istanza che non supporta UEFI, l'istanza viene avviata come BIOS legacy, con la funzionalità dipendente da UEFI disabilitata. Se fai affidamento sulla disponibilità di una funzionalità dipendente da UEFI, imposta il parametro della modalità di avvio dell'AMI su `uefi`.

**Modalità di avvio predefinite per tipi di istanza**
+ Tipi di istanza Graviton: UEFI
+ Tipi di istanze Intel e AMD: BIOS Legacy

**Supporto di zona**  
L’avvio UEFI non è supportato nelle zone Wavelength.

**Topics**
+ [Requisiti per lanciare un'istanza EC2 in modalità di avvio UEFI](launch-instance-boot-mode.md)
+ [Determinare il parametro della modalità di avvio di un'AMI di Amazon EC2](ami-boot-mode.md)
+ [Determinare le modalità di avvio supportate di un tipo di istanza EC2](instance-type-boot-mode.md)
+ [Determinare la modalità di avvio di un'istanza EC2](instance-boot-mode.md)
+ [Determinare la modalità di avvio del sistema operativo per l'istanza EC2](os-boot-mode.md)
+ [Impostare la modalità di avvio di un'AMI Amazon EC2](set-ami-boot-mode.md)
+ [Variabili UEFI per istanze Amazon EC2](uefi-variables.md)
+ [UEFI Secure Boot per istanze Amazon EC2](uefi-secure-boot.md)

# Requisiti per lanciare un'istanza EC2 in modalità di avvio UEFI
<a name="launch-instance-boot-mode"></a>

La modalità di avvio di un'istanza è determinata dalla configurazione dell'AMI, dal sistema operativo in essa contenuto e dal tipo di istanza. Per lanciare un'istanza in modalità di avvio UEFI, è necessario soddisfare i seguenti requisiti.

**AMI**  
L'AMI deve essere configurata per l'UEFI nel modo seguente:  
+ **Sistema operativo**: il sistema operativo contenuto nell'AMI deve essere configurato per utilizzare UEFI; in caso contrario, l'avvio dell'istanza avrà esito negativo. Per ulteriori informazioni, consulta [Determinare la modalità di avvio del sistema operativo per l'istanza EC2](os-boot-mode.md).
+ **Parametro della modalità di avvio dell'AMI**: il parametro della modalità di avvio dell'AMI deve essere impostato su `uefi` o `uefi-preferred`. Per ulteriori informazioni, consulta [Determinare il parametro della modalità di avvio di un'AMI di Amazon EC2](ami-boot-mode.md).
**Linux**: i seguenti sistemi Linux AMIs supportano UEFI:  
+ Amazon Linux 2023
+ Amazon Linux 2 (solo tipi di istanze Graviton)
Per altri Linux AMIs, è necessario [configurare l'AMI](set-ami-boot-mode.md), importare l'AMI tramite [VM Import/Export o importare](https://docs.aws.amazon.com/vm-import/latest/userguide/) l'AMI tramite. [CloudEndure](https://docs.cloudendure.com/)  
**Windows**: i seguenti sistemi Windows AMIs supportano UEFI:  
+ Windows\$1Server-2025-\$1 (ad eccezione del prefisso del nome) AMIs `BIOS-`
+ TPM-Windows\$1Server-2022-English-Full-Base
+ TPM-Windows\$1Server-2022-English-Core-Base
+ TPM-Windows\$1Server-2019-English-Full-Base
+ TPM-Windows\$1Server-2019-English-Core-Base
+ TPM-Windows\$1Server-2016-English-Full-Base
+ TPM-Windows\$1Server-2016-English-Core-Base

**Tipo di istanza**  
Tutte le istanze basate sul sistema AWS Nitro supportano sia UEFI che Legacy BIOS, ad eccezione delle seguenti: istanze bare metal, G4ad, P4, u-3tb1, u-6tb1, u-9tb1, u-12tb1 DL1, u-18tb1, u-24tb1 e. VT1 Per ulteriori informazioni, consulta [Determinare le modalità di avvio supportate di un tipo di istanza EC2](instance-type-boot-mode.md).

La tabella seguente mostra che la modalità di avvio di un'istanza (indicata dalla colonna **Modalità di avvio dell'istanza risultante**) è determinata dalla combinazione del parametro della modalità di avvio dell'AMI (colonna 1), della configurazione della modalità di avvio del sistema operativo contenuto nell'AMI (colonna 2) e del supporto della modalità di avvio del tipo di istanza (colonna 3).


| Parametro della modalità di avvio dell'AMI | Configurazione della modalità di avvio del sistema operativo | Supporto della modalità di avvio del tipo di istanza | Modalità di avvio dell'istanza risultante | 
| --- | --- | --- | --- | 
| UEFI | UEFI | UEFI | UEFI | 
| BIOS legacy | BIOS legacy | BIOS legacy | BIOS legacy | 
| UEFI Preferred | UEFI | UEFI | UEFI | 
| UEFI Preferred | UEFI | UEFI e BIOS legacy | UEFI | 
| UEFI Preferred | BIOS legacy | BIOS legacy | BIOS legacy | 
| UEFI Preferred | BIOS legacy | UEFI e BIOS legacy | BIOS legacy | 
| Nessuna modalità di avvio specificata - ARM | UEFI | UEFI | UEFI | 
| Nessuna modalità di avvio specificata - x86 | BIOS legacy | UEFI e BIOS legacy | BIOS legacy | 

# Determinare il parametro della modalità di avvio di un'AMI di Amazon EC2
<a name="ami-boot-mode"></a>

Il parametro della modalità di avvio dell'AMI è facoltativo. Un'AMI può avere uno dei seguenti valori per i parametri della modalità di avvio: `uefi`, `legacy-bios` o `uefi-preferred`.

 AMIs Alcune non dispongono di un parametro per la modalità di avvio. Quando un'AMI non dispone di parametri della modalità di avvio, le istanze avviate da tale AMI utilizzano il valore predefinito del tipo di istanza, vale a dire `uefi` su Graviton, e `legacy-bios` sui tipi di istanza Intel e AMD.

------
#### [ Console ]

**Per determinare il parametro della modalità di avvio di un’AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione **AMIs**, scegli, quindi seleziona l'AMI.

1. Ispeziona il campo **Modalità di avvio**.
   + Il valore **uefi** indica che l'AMI supporta UEFI.
   + Il valore **uefi-preferred** indica che l'AMI supporta sia UEFI sia BIOS legacy.
   + Se non è presente un valore, le istanze avviate dall'AMI utilizzano il valore predefinito del tipo di istanza.

**Per determinare il parametro della modalità di avvio di un’AMI all’avvio di un’istanza**  
Quando si avvia un'istanza utilizzando la procedura guidata di avvio dell'istanza, nella fase di selezione dell'AMI, controlla il campo **Boot mode (Modalità di avvio)**. Per ulteriori informazioni, consulta [Immagini di applicazioni e sistema operativo (Amazon Machine Image)](ec2-instance-launch-parameters.md#liw-ami).

------
#### [ AWS CLI ]

**Per determinare il parametro della modalità di avvio di un’AMI**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) per determinare la modalità di avvio di un'AMI.

```
aws ec2 describe-images \
    --region us-east-1 \
    --image-id ami-0abcdef1234567890 \
    --query Images[].BootMode \
    --output text
```

Di seguito è riportato un output di esempio.

```
uefi
```

Nell’output, il valore `uefi` indica che l’AMI supporta UEFI. Il valore `uefi-preferred` indica che l'AMI supporta sia UEFI che BIOS legacy. Se non è presente un valore, le istanze avviate dall'AMI utilizzano il valore predefinito del tipo di istanza.

------
#### [ PowerShell ]

**Per determinare il parametro della modalità di avvio di un’AMI**  
Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html) per determinare la modalità di avvio di un’AMI.

```
Get-EC2Image -Region us-east-1 `
    -ImageId ami-0abcdef1234567890 | Format-List Name, BootMode, TpmSupport
```

Di seguito è riportato un output di esempio.

```
Name       : TPM-Windows_Server-2016-English-Full-Base-2023.05.10
BootMode   : uefi
TpmSupport : v2.0
```

Nell’output, il valore `BootMode` indica la modalità di avvio dell’AMI. Il valore `uefi` indica che l'AMI supporta UEFI. Il valore `uefi-preferred` indica che l'AMI supporta sia UEFI che BIOS legacy. Se non è presente un valore, le istanze avviate dall'AMI utilizzano il valore predefinito del tipo di istanza.

------

# Determinare le modalità di avvio supportate di un tipo di istanza EC2
<a name="instance-type-boot-mode"></a>

Puoi determinare le modalità di avvio supportate di un tipo di istanza.

La console Amazon EC2 non mostra le modalità di avvio supportate da un tipo di istanza.

------
#### [ AWS CLI ]

Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html) per determinare le modalità di avvio supportate di un tipo di istanza. Il parametro `--query` filtra l'output per riportare solo le modalità di avvio supportate.

L’esempio seguente mostra che il tipo di istanza specificato supporta entrambe le modalità di avvio UEFI e Legacy BIOS.

```
aws ec2 describe-instance-types \
    --instance-types m5.2xlarge \
    --query "InstanceTypes[*].SupportedBootModes"
```

Di seguito è riportato un output di esempio.

```
[
    [
        "legacy-bios",
        "uefi"
    ]
]
```

L'esempio seguente mostra che `t2.xlarge` supporta solo BIOS Legacy.

```
aws ec2 describe-instance-types \
    --instance-types t2.xlarge \
    --query "InstanceTypes[*].SupportedBootModes"
```

Di seguito è riportato un output di esempio.

```
[
    [
        "legacy-bios"
    ]
]
```

------
#### [ PowerShell ]

Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html) per determinare le modalità di avvio supportate di un tipo di istanza.

L'esempio seguente mostra che `m5.2xlarge` supporta entrambe le modalità di avvio UEFI e BIOS Legacy.

```
Get-EC2InstanceType -InstanceType m5.2xlarge | Format-List InstanceType, SupportedBootModes
```

Di seguito è riportato un output di esempio.

```
InstanceType       : m5.2xlarge
SupportedBootModes : {legacy-bios, uefi}
```

L'esempio seguente mostra che `t2.xlarge` supporta solo BIOS Legacy.

```
Get-EC2InstanceType -InstanceType t2.xlarge | Format-List InstanceType, SupportedBootModes
```

Di seguito è riportato un output di esempio.

```
InstanceType       : t2.xlarge
SupportedBootModes : {legacy-bios}
```

------

**Per determinare i tipi di istanza che supportano UEFI**  
Puoi determinare i tipi di istanza che supportano UEFI. La console Amazon EC2 non mostra il supporto UEFI di un tipo di istanza.

------
#### [ AWS CLI ]

I tipi di istanza disponibili variano in base alla Regione AWS. Per visualizzare i tipi di istanza disponibili che supportano UEFI in una regione, usa il [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)comando. Includi il parametro `--filters` per assegnare i risultati ai tipi di istanza che supportano UEFI e il parametro `--query` per assegnare l'output al valore di `InstanceType`.

```
aws ec2 describe-instance-types \
    --filters Name=supported-boot-mode,Values=uefi \
    --query "InstanceTypes[*].[InstanceType]" --output text | sort
```

------
#### [ PowerShell ]

I tipi di istanza disponibili variano in base alla Regione AWS. Per visualizzare i tipi di istanza disponibili che supportano UEFI in una regione, utilizzare il [Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)cmdlet.

```
Get-EC2InstanceType | `
	Where-Object {$_.SupportedBootModes -Contains "uefi"} | `
	Sort-Object InstanceType | `
	Format-Table InstanceType -GroupBy CurrentGeneration
```

------

**Per determinare i tipi di istanza che supportano UEFI Secure Boot e mantengono le variabili non volatili**  
Le istanze bare metal non supportano UEFI Secure Boot e le variabili non volatili, quindi questi esempi le escludono dall'output. Per informazioni su UEFI Secure Boot, consulta [UEFI Secure Boot per istanze Amazon EC2](uefi-secure-boot.md)..

------
#### [ AWS CLI ]

Utilizza il [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html)comando ed escludi le istanze bare metal dall'output.

```
aws ec2 describe-instance-types \
    --filters Name=supported-boot-mode,Values=uefi Name=bare-metal,Values=false \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
```

------
#### [ PowerShell ]

Utilizzate il [Get-EC2InstanceType](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceType.html)cmdlet ed escludete le istanze bare metal dall'output.

```
Get-EC2InstanceType | `
    Where-Object { `
        $_.SupportedBootModes -Contains "uefi" -and `
        $_.BareMetal -eq $False
        } | `
    Sort-Object InstanceType  | `
    Format-Table InstanceType, SupportedBootModes, BareMetal, `
        @{Name="SupportedArchitectures"; Expression={$_.ProcessorInfo.SupportedArchitectures}}
```

------

# Determinare la modalità di avvio di un'istanza EC2
<a name="instance-boot-mode"></a>

La modalità di avvio di un'istanza viene visualizzata nel campo **Modalità di avvio** della console Amazon EC2 e dal parametro `currentInstanceBootMode` nella AWS CLI.

Quando viene avviata un'istanza, il valore per il parametro della modalità di avvio è determinato dal valore del parametro della modalità di avvio dell'AMI utilizzata per avviarla, come segue:
+ Un'AMI con un parametro della modalità di avvio di `uefi` crea un'istanza con un parametro `currentInstanceBootMode` di `uefi`.
+ Un'AMI con un parametro della modalità di avvio di `legacy-bios` crea un'istanza con un parametro `currentInstanceBootMode` di ` legacy-bios`.
+ Un'AMI con un parametro della modalità di avvio di `uefi-preferred` crea un'istanza con un parametro`currentInstanceBootMode` di `uefi` se il tipo di istanza supporta UEFI. In caso contrario, crea un'istanza con un parametro `currentInstanceBootMode` di `legacy-bios`.
+ Un'AMI senza alcun valore per il parametro della modalità di avvio crea un'istanza con un parametro `currentInstanceBootMode` che dipende dal fatto che l'architettura AMI sia ARM o x86 e dalla modalità di avvio supportata del tipo di istanza. La modalità di avvio predefinita è `uefi` su istanze Graviton e `legacy-bios` su tipi di istanza Intel e AMD.

------
#### [ Console ]

**Per determinare la modalità di avvio di un’istanza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **Instances (Istanze)** e seleziona l'istanza desiderata.

1. Nella scheda **Details (Dettagli)** controlla il campo **Boot mode (Modalità di avvio)**.

------
#### [ AWS CLI ]

**Per determinare la modalità di avvio di un’istanza**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) per determinare la modalità di avvio di un'istanza. Puoi inoltre determinare la modalità di avvio dell'AMI utilizzata per creare l'istanza. 

```
aws ec2 describe-instances \
    --region us-east-1 \
    --instance-ids i-1234567890abcdef0 \
    --query Reservations[].Instances[].BootMode \
    --output text
```

Di seguito è riportato un output di esempio.

```
uefi
```

------
#### [ PowerShell ]

**Per determinare la modalità di avvio di un’istanza**  
Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html) per determinare la modalità di avvio di un’istanza. Puoi inoltre determinare la modalità di avvio dell'AMI utilizzata per creare l'istanza. 

```
(Get-EC2Instance `
    -InstanceId i-1234567890abcdef0).Instances | Format-List BootMode, CurrentInstanceBootMode, InstanceType, ImageId
```

Di seguito è riportato un output di esempio.

```
BootMode                : uefi
CurrentInstanceBootMode : uefi
InstanceType            : c5a.large
ImageId                 : ami-0abcdef1234567890
```

------

# Determinare la modalità di avvio del sistema operativo per l'istanza EC2
<a name="os-boot-mode"></a>

La modalità di avvio dell'AMI indica ad Amazon EC2 quale modalità di avvio utilizzare per avviare un'istanza. Per verificare se il sistema operativo dell'istanza è configurato per UEFI, devi connetterti all'istanza tramite SSH (istanze Linux) o RDP (istanze Windows).

Consulta le istruzioni relative al sistema operativo della tua istanza.

## Linux
<a name="os-boot-mode-linux"></a>

**Per determinare la modalità di avvio del sistema operativo dell'istanza**

1. [Connettiti alla tua istanza Linux usando SSH](connect-linux-inst-ssh.md).

1. Per visualizzare la modalità di avvio del sistema operativo, prova una delle seguenti operazioni:
   + Eseguire il seguente comando seguente.

     ```
     [ec2-user ~]$ sudo /usr/sbin/efibootmgr
     ```

     Output previsto da un'istanza avviata in modalità di avvio UEFI

     ```
     BootCurrent: 0001
     Timeout: 0 seconds
     BootOrder: 0000,0001
     Boot0000* UiApp
     Boot0001* UEFI Amazon Elastic Block Store vol-xyz
     ```
   + Esegui il comando seguente per verificare l'esistenza della directory `/sys/firmware/efi`. Questa directory esiste solo se l'istanza viene avviata utilizzando UEFI. Se la directory non esiste, il comando restituisce `Legacy BIOS Boot Detected`.

     ```
     [ec2-user ~]$ [ -d /sys/firmware/efi ] && echo "UEFI Boot Detected" || echo "Legacy BIOS Boot Detected"
     ```

     Output previsto da un'istanza avviata in modalità di avvio UEFI

     ```
     UEFI Boot Detected
     ```

     Output previsto da un'istanza avviata in modalità di avvio BIOS Legacy

     ```
     Legacy BIOS Boot Detected
     ```
   + Esegui il comando seguente per verificare che EFI venga visualizzata nell'output `dmesg`.

     ```
     [ec2-user ~]$ dmesg | grep -i "EFI"
     ```

     Output previsto da un'istanza avviata in modalità di avvio UEFI

     ```
     [    0.000000] efi: Getting EFI parameters from FDT:
     [    0.000000] efi: EFI v2.70 by EDK II
     ```

## Windows
<a name="os-boot-mode-windows"></a>

**Per determinare la modalità di avvio del sistema operativo dell'istanza**

1. [Connettiti all'istanza Windows utilizzando RDP](connecting_to_windows_instance.md).

1. Vai a **System Information (Informazioni di sistema)** e controlla la riga **BIOS Mode (Modalità BIOS)**.  
![\[Finestra delle informazioni di sistema che mostra la riga della modalità BIOS selezionata. Il valore della modalità BIOS è Legacy.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/BIOS-mode-win.png)

# Impostare la modalità di avvio di un'AMI Amazon EC2
<a name="set-ami-boot-mode"></a>

Per impostazione predefinita, un’AMI eredita la modalità di avvio dell’istanza EC2 utilizzata per creare l’AMI. Ad esempio, se crei un’AMI da un’istanza EC2 in esecuzione su BIOS legacy, la modalità di avvio della nuova AMI è `legacy-bios`. Se crei un’AMI da un’istanza EC2 con modalità di avvio `uefi-preferred`, la modalità di avvio della nuova AMI sarà `uefi-preferred`.

Quando registri un’AMI, puoi impostare la modalità di avvio dell’AMI su `uefi`, `legacy-bios` o `uefi-preferred`.

Quando la modalità di avvio dell'AMI è impostata su `uefi-preferred`, l'istanza si avvia come segue: 
+ Per i tipi di istanza che supportano sia UEFI che BIOS legacy (ad esempio `m5.large`), l'istanza si avvia utilizzando UEFI.
+ Per i tipi di istanza che supportano solo BIOS legacy (ad esempio `m4.large`), l'istanza si avvia utilizzando tale modalità.

Se imposti la modalità di avvio dell'AMI su `uefi-preferred`, il sistema operativo deve essere in grado di supportare sia la modalità UEFI che BIOS legacy.

Per convertire un’istanza esistente basata su BIOS Legacy in UEFI o un’istanza esistente basata su UEFI in BIOS Legacy, devi innanzitutto modificare il volume e il sistema operativo dell’istanza di modo che supportino la modalità di avvio selezionata. Creare quindi uno snapshot del volume. Infine, crea un’AMI dallo snapshot

**Considerazioni**
+ L'impostazione del parametro della modalità di avvio dell'AMI non configura automaticamente il sistema operativo per la modalità di avvio specificata. Devi prima apportare le modifiche adeguate al volume e al sistema operativo dell’istanza per supportare l’avvio tramite la modalità di avvio selezionata. Altrimenti, l’AMI risultante non è utilizzabile. Ad esempio, se state convertendo un'istanza di Windows basata su BIOS legacy in UEFI, potete utilizzare lo strumento [MBR2GPT](https://learn.microsoft.com/en-us/windows/deployment/mbr-to-gpt) di Microsoft per convertire il disco di sistema da MBR a GPT. Le modifiche necessarie sono specifiche del sistema operativo. Per ulteriori informazioni, consulta il manuale del sistema operativo in uso.
+ Non puoi utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) o il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html) per creare un’AMI che supporti sia [NitroTPM](nitrotpm.md) che UEFI Preferred.
+ Alcune funzionalità, ad esempio l'avvio protetto UEFI, sono disponibili solo per le istanze con modalità di avvio UEFI. Se usi il parametro della modalità di avvio dell’AMI `uefi-preferred` con un tipo di istanza che non supporta UEFI, l’istanza viene avviata come BIOS legacy, con la funzionalità dipendente da UEFI disabilitata. Se fai affidamento sulla disponibilità di una funzionalità dipendente da UEFI, imposta il parametro della modalità di avvio dell'AMI su `uefi`.

------
#### [ AWS CLI ]

**Per impostare la modalità di avvio di un’AMI**

1. Apporta le modifiche adeguate al volume e al sistema operativo dell'istanza per supportare l'avvio tramite la modalità di avvio selezionata. Le modifiche necessarie sono specifiche del sistema operativo. Per ulteriori informazioni, consulta il manuale del sistema operativo in uso.
**avvertimento**  
Se non si esegue questa fase, l'AMI non sarà utilizzabile.

1. Per trovare l'ID del volume dell'istanza, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html). Verrà creato uno snapshot del volume nella fase successiva.

   ```
   aws ec2 describe-instances \
       --instance-ids i-1234567890abcdef0 \
       --query Reservations[].Instances[].BlockDeviceMappings
   ```

   Di seguito è riportato un output di esempio.

   ```
   [
       [
           {
               "DeviceName": "/dev/xvda",
               "Ebs": {
                   "AttachTime": "2024-07-11T01:05:51+00:00",
                   "DeleteOnTermination": true,
                   "Status": "attached",
                   "VolumeId": "vol-1234567890abcdef0"
               }
           }
       ]
   ]
   ```

1. Per creare uno snapshot del volume, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-snapshot.html). Utilizza l'ID del volume della fase precedente.

   ```
   aws ec2 create-snapshot \
       --volume-id vol-01234567890abcdef \
       --description "my snapshot"
   ```

   Di seguito è riportato un output di esempio.

   ```
   {
       "Description": "my snapshot",
       "Encrypted": false,
       "OwnerId": "123456789012",
       "Progress": "",
       "SnapshotId": "snap-0abcdef1234567890",
       "StartTime": "",
       "State": "pending",
       "VolumeId": "vol-01234567890abcdef",
       "VolumeSize": 30,
       "Tags": []
   }
   ```

1. Attendi che lo stato dello snapshot sia `completed` prima di passare alla fase successiva. Per ottenere lo stato dello snapshot, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-snapshots.html) con l’ID dello snapshot ottenuto nel passaggio precedente.

   ```
   aws ec2 describe-snapshots \
       --snapshot-ids snap-0abcdef1234567890 \
       --query Snapshots[].State \
       --output text
   ```

   Di seguito è riportato un output di esempio.

   ```
   completed
   ```

1. Per creare una nuova AMI, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Utilizza il valore di `SnapshotId` dall’output di **CreateSnapshot**.
   + Per impostare la modalità di avvio su UEFI, aggiungi il parametro `--boot-mode` con valore `uefi`.

     ```
     aws ec2 register-image \
        --description "my image" \
        --name "my-image" \
        --block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \
        --root-device-name /dev/sda1 \
        --virtualization-type hvm \
        --ena-support \
        --boot-mode uefi
     ```
   + Per impostare la modalità di avvio su `uefi-preferred`, imposta il valore di `--boot-mode` su `uefi-preferred`

     ```
     aws ec2 register-image \
        --description "my description" \
        --name "my-image" \
        --block-device-mappings "DeviceName=/dev/sda1,Ebs={SnapshotId=snap-0abcdef1234567890,DeleteOnTermination=true}" \
        --root-device-name /dev/sda1 \
        --virtualization-type hvm \
        --ena-support \
        --boot-mode uefi-preferred
     ```

1. (Facoltativo) Per verificare che l’AMI appena creata disponga della modalità di avvio specificata, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

   ```
   aws ec2 describe-images \
       --image-id ami-1234567890abcdef0 \
       --query Images[].BootMode \
       --output text
   ```

   Di seguito è riportato un output di esempio.

   ```
   uefi
   ```

------
#### [ PowerShell ]

**Per impostare la modalità di avvio di un’AMI**

1. Apporta le modifiche adeguate al volume e al sistema operativo dell'istanza per supportare l'avvio tramite la modalità di avvio selezionata. Le modifiche necessarie sono specifiche del sistema operativo. Per ulteriori informazioni, consulta il manuale del sistema operativo in uso.
**avvertimento**  
Se non si esegue questa fase, l'AMI non sarà utilizzabile.

1. Per trovare l’ID del volume dell’istanza, utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html).

   ```
   (Get-EC2Instance `
       -InstanceId i-1234567890abcdef0).Instances.BlockDeviceMappings.Ebs
   ```

   Di seguito è riportato un output di esempio.

   ```
   AssociatedResource  : 
   AttachTime          : 7/11/2024 1:05:51 AM
   DeleteOnTermination : True
   Operator            : 
   Status              : attached
   VolumeId            : vol-01234567890abcdef
   ```

1. Per creare uno snapshot del volume, utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Snapshot.html). Utilizza l'ID del volume della fase precedente.

   ```
   New-EC2Snapshot `
       -VolumeId vol-01234567890abcdef `
       -Description "my snapshot"
   ```

   Di seguito è riportato un output di esempio.

   ```
   AvailabilityZone          : 
   Description               : my snapshot
   Encrypted                 : False
   FullSnapshotSizeInBytes   : 0
   KmsKeyId                  : 
   OwnerId                   : 123456789012
   RestoreExpiryTime         : 
   SnapshotId                : snap-0abcdef1234567890
   SseType                   : 
   StartTime                 : 4/25/2025 6:08:59 PM
   State                     : pending
   StateMessage              : 
   VolumeId                  : vol-01234567890abcdef
   VolumeSize                : 30
   ```

1. Attendi che lo stato dello snapshot sia `completed` prima di passare alla fase successiva. Per ottenere lo stato dello snapshot, utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Snapshot.html) con l’ID dello snapshot del passaggio precedente.

   ```
   (Get-EC2Snapshot `
       -SnapshotId snap-0abcdef1234567890).State.Value
   ```

   Di seguito è riportato un output di esempio.

   ```
   completed
   ```

1. Per creare una nuova AMI, utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html). Utilizza il valore di `SnapshotId` dall’output di **New-EC2Snapshot**.
   + Per impostare la modalità di avvio su UEFI, aggiungi il parametro `-BootMode` con valore `uefi`.

     ```
     $block = @{SnapshotId=snap-0abcdef1234567890}
     Register-EC2Image ` 
        -Description "my image" `
        -Name "my-image" `
        -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
        -RootDeviceName /dev/xvda `
        -EnaSupport $true `
        -BootMode uefi
     ```
   + Per impostare la modalità di avvio su `uefi-preferred`, imposta il valore di `-BootMode` su `uefi-preferred`

     ```
     $block = @{SnapshotId=snap-0abcdef1234567890}
     Register-EC2Image ` 
        -Description "my image" `
        -Name "my-image" `
        -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
        -RootDeviceName /dev/xvda `
        -EnaSupport $true `
        -BootMode uefi-preferred
     ```

1. (Facoltativo) Per verificare che l’AMI appena creata disponga della modalità di avvio specificata, utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

   ```
   (Get-EC2Image `
       -ImageId ami-1234567890abcdef0).BootMode.Value
   ```

   Di seguito è riportato un output di esempio.

   ```
   uefi
   ```

------

# Variabili UEFI per istanze Amazon EC2
<a name="uefi-variables"></a>

Quando si avvia un'istanza in cui la modalità di avvio è impostata su UEFI, viene creato un archivio chiave-valore per le variabili. L'archivio può essere utilizzato da UEFI e dal sistema operativo dell'istanza per l'archiviazione delle variabili UEFI.

Le variabili UEFI vengono utilizzate dal bootloader e dal sistema operativo per configurare il startup iniziale del sistema. Consentono al sistema operativo di gestire alcune impostazioni del processo di avvio, come l'ordine di avvio, o di gestire le chiavi per UEFI Secure Boot.

**avvertimento**  
Chiunque sia in grado di connettersi all'istanza (e potenzialmente a qualsiasi software in esecuzione sull'istanza) o chiunque disponga delle autorizzazioni per utilizzare l'[GetInstanceUefiData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetInstanceUefiData.html)API sull'istanza può leggere le variabili. Non è necessario archiviare dati sensibili, ad esempio password o informazioni di identificazione personale, nell'archivio variabili UEFI.

**Persistenza delle variabili UEFI**
+ Per le istanze avviate prima del 10 maggio 2022 incluso, le variabili UEFI vengono cancellate al riavvio o all'arresto.
+ Per le istanze avviate dopo l'11 maggio 2022 incluso, le variabili UEFI contrassegnate come non volatili vengono mantenute al riavvio e all'arresto/avvio.
+ Le istanze bare metal non conservano le variabili non volatili UEFI nelle operazioni di interruzione/avvio dell'istanza.

# UEFI Secure Boot per istanze Amazon EC2
<a name="uefi-secure-boot"></a>

UEFI Secure Boot si basa sul processo di avvio sicuro di lunga data di Amazon EC2 e fornisce funzionalità aggiuntive defense-in-depth che aiutano i clienti a proteggere il software dalle minacce che persistono anche dopo i riavvii. Garantisce che l'istanza avvia solo il software firmato con chiavi crittografiche. Le chiavi sono archiviate nel database delle chiavi dell'[archivio delle variabili non volatili UEFI](uefi-variables.md). UEFI Secure Boot impedisce la modifica non autorizzata del flusso di avvio dell'istanza.

**Topics**
+ [Come funziona UEFI Secure Boot con le istanze Amazon EC2](how-uefi-secure-boot-works.md)
+ [Requisiti per l’avvio sicuro UEFI su Amazon EC2](launch-instance-with-uefi-sb.md)
+ [Verifica dell'abilitazione di un'istanza Amazon EC2 per UEFI Secure Boot](verify-uefi-secure-boot.md)
+ [Creare un'AMI di Linux con chiavi personalizzate di UEFI Secure Boot](create-ami-with-uefi-secure-boot.md)
+ [Crea il blob binario per UEFI Secure Boot AWS](aws-binary-blob-creation.md)

# Come funziona UEFI Secure Boot con le istanze Amazon EC2
<a name="how-uefi-secure-boot-works"></a>

UEFI Secure Boot è una caratteristica specificata in UEFI, che fornisce la verifica dello stato della catena di avvio. È progettato per garantire che solo i file binari UEFI verificati crittograficamente vengano eseguiti dopo l'inizializzazione automatica del firmware. Questi file binari includono i driver UEFI e il bootloader principale, oltre a componenti caricati a catena.

UEFI Secure Boot specifica quattro database chiave, utilizzati in una catena di attendibilità. I database sono archiviati nell'archivio delle variabili UEFI.

La catena di attendibilità è la seguente:

**Database delle chiavi della piattaforma (Platform Key, PK)**  
Il database PK è il root di attendibilità. Contiene una singola chiave PK pubblica che viene utilizzata nella catena di attendibilità per l'aggiornamento del database delle chiavi di scambio delle chiavi (Key Exchange Key, KEK).  
Per modificare il database PK, è necessario disporre della chiave PK privata per firmare una richiesta di aggiornamento. Ciò include l'eliminazione del database PK scrivendo una chiave PK vuota.

**Database delle chiavi di scambio delle chiavi (KEK)**  
Il database KEK è un elenco di chiavi KEK pubbliche utilizzate nella catena di attendibilità per l'aggiornamento dei database delle firme (DB) e denylist (dbx).  
Per modificare il database KEK pubblico, è necessario disporre della chiave PK privata per firmare una richiesta di aggiornamento.

**Database firma (DB)**  
Il database DB è un elenco di chiavi pubbliche e hash utilizzati nella catena di attendibilità per convalidare tutti i file binari di avvio UEFI.  
Per modificare il database db, è necessario disporre della chiave PK privata o di chiavi KEK private per firmare una richiesta di aggiornamento.

**Database di denylist firme (dbx)**  
Il database dbx è un elenco di chiavi pubbliche e hash binari che non sono attendibili e vengono utilizzati nella catena di attendibilità come file di revoca.  
Il database dbx ha sempre la precedenza su tutti gli altri database di chiavi.  
Per modificare il database dbx, è necessario disporre della chiave PK privata o di chiavi KEK private per firmare una richiesta di aggiornamento.  
Il forum UEFI mantiene un dbx disponibile pubblicamente per molti file binari e certificati reputati non validi all'indirizzo [https://uefi.org/revocationlistfile](https://uefi.org/revocationlistfile).

**Importante**  
UEFI Secure Boot applica la convalida della firma su qualsiasi file binario UEFI. Per consentire l'esecuzione di un binario UEFI in UEFI Secure Boot, lo devi firmare con una delle chiavi db private descritte sopra.

Per impostazione predefinita, UEFI Secure Boot è disabilitato e il sistema è in modalità `SetupMode`. Quando il sistema è in modalità `SetupMode`, tutte le variabili chiave possono essere aggiornate senza una firma crittografica. Quando il PK è impostato, UEFI Secure Boot viene abilitato e viene chiuso. SetupMode 

# Requisiti per l’avvio sicuro UEFI su Amazon EC2
<a name="launch-instance-with-uefi-sb"></a>

Quando [avvii un’istanza Amazon EC2](LaunchingAndUsingInstances.md) con un’AMI supportata e un tipo di istanza supportato, tale istanza convaliderà automaticamente i binari di avvio UEFI rispetto al suo database UEFI Secure Boot. e non sono necessarie ulteriori configurazioni. Puoi configurare UEFI Secure Boot su un'istanza anche dopo l'avvio.

**Nota**  
UEFI Secure Boot protegge l'istanza e il suo sistema operativo dalle modifiche del flusso di avvio. Se crei una nuova AMI da un'AMI di origine con UEFI Secure Boot abilitato e modifichi certi parametri durante il processo di copia, come cambiare `UefiData` all'interno dell'AMI, puoi disabilitare UEFI Secure Boot.

**Topics**
+ [Supportato AMIs](#uefi-amis)
+ [Tipi di istanze supportati](#uefi-instance)

## Supportato AMIs
<a name="uefi-amis"></a>

**Linux AMIs**  
Per lanciare un'istanza Linux, l'AMI di Linux deve avere UEFI Secure Boot abilitato.

Amazon Linux supporta UEFI Secure Boot a partire dalla AL2023 versione 2023.1. Tuttavia, UEFI Secure Boot non è abilitato per impostazione predefinita. AMIs Per ulteriori informazioni, consulta [UEFI Secure Boot nella Guida](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) per l'*AL2023 utente*. Le versioni precedenti di Amazon Linux AMIs non sono abilitate per UEFI Secure Boot. Per utilizzare un'AMI supportata, è necessario eseguire una serie di passaggi di configurazione sulla propria AMI Linux. Per ulteriori informazioni, consulta [Creare un'AMI di Linux con chiavi personalizzate di UEFI Secure Boot](create-ami-with-uefi-secure-boot.md).

**Windows AMIs**  
Per lanciare un'istanza Windows, l'AMI di Linux deve avere UEFI Secure Boot abilitato. *Per trovare un'AMI AWS Windows preconfigurata per UEFI Secure Boot con chiavi Microsoft, vedi [Trova Windows Server AMIs configurato con NitroTPM e UEFI Secure Boot](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) nel Windows Reference.AWS AMIs *

Al momento l'importazione di Windows con UEFI Secure Boot tramite il comando [import-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-image.html) non è supportata.

## Tipi di istanze supportati
<a name="uefi-instance"></a>

Tutti i tipi di istanze virtualizzate che supportano UEFI supportano anche UEFI Secure Boot. Per i tipi di istanza che supportano UEFI Secure Boot, consulta [Requisiti per la modalità di avvio UEFI](launch-instance-boot-mode.md).

**Nota**  
I tipi di istanza bare metal non supportano UEFI Secure Boot.

# Verifica dell'abilitazione di un'istanza Amazon EC2 per UEFI Secure Boot
<a name="verify-uefi-secure-boot"></a>

Puoi usare le procedure seguenti per determinare se Amazon EC2 è abilitato per UEFI Secure Boot.

## Istanze Linux
<a name="verify-uefi-secure-boot-linux"></a>

Per verificare se un'istanza Linux è abilitata per UEFI Secure Boot, utilizza l'utilità `mokutil`. Installa `mokutil` se non è già presente nell'istanza. Per le istruzioni di installazione per Amazon Linux 2, consulta [Trovare e installare pacchetti software su un'istanza Amazon Linux 2](https://docs.aws.amazon.com/linux/al2/ug/find-install-software.html). Per altre distribuzioni Linux, consulta la relativa documentazione specifica.

**Per verificare se un'istanza Linux è abilitata per UEFI Secure Boot**  
Connettiti alla tua istanza ed esegui il seguente comando come `root` in una finestra del terminale.

```
mokutil --sb-state 
```

Di seguito è riportato un output di esempio.
+ Se UEFI Secure Boot è abilitato, l'output contiene `SecureBoot enabled`.
+ Se UEFI Secure Boot non è abilitato, l'output contiene `SecureBoot disabled` o `Failed to read SecureBoot`.

## Istanze Windows
<a name="verify-uefi-secure-boot-windows"></a>

**Per verificare se un'istanza Windows è abilitata per UEFI Secure Boot**

1. Connettiti alla tua istanza.

1. Apri lo strumento msinfo32.

1. Controlla il campo **Secure Boot State** (Stato Secure Boot). Se UEFI Secure Boot è abilitato, il valore è **Supportato**, come mostrato nell'immagine seguente.  
![\[Stato di avvio sicuro all'interno delle informazioni di sistema.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/secure-boot-state-win.png)

È inoltre possibile utilizzare il PowerShell cmdlet Windows `Confirm-SecureBootUEFI` per verificare lo stato di Secure Boot. Per ulteriori informazioni sul cmdlet, vedere [Confirm- SecureBoot UEFI nella documentazione](https://learn.microsoft.com/en-us/powershell/module/secureboot/confirm-securebootuefi) Microsoft.

# Creare un'AMI di Linux con chiavi personalizzate di UEFI Secure Boot
<a name="create-ami-with-uefi-secure-boot"></a>

Queste istruzioni mostrano come creare un’AMI di Linux con UEFI Secure Boot e chiavi private personalizzate. Amazon Linux supporta UEFI Secure Boot a partire dalla AL2023 versione 2023.1. Per ulteriori informazioni, consulta [UEFI Secure Boot on AL2023](https://docs.aws.amazon.com/linux/al2023/ug/uefi-secure-boot.html) nella *Amazon Linux 2023 User Guide*.

**Importante**  
La procedura seguente è destinata **esclusivamente agli utenti esperti**. Per utilizzare queste procedure è necessario disporre di una conoscenza sufficiente del flusso di avvio della distribuzione SSL e Linux.

**Prerequisiti**
+ Verranno utilizzati i seguenti strumenti:
  + OpenSSL: [https://www.openssl.org/](https://www.openssl.org/)
  + [efivar — efivar https://github.com/rhboot/](https://github.com/rhboot/efivar)
  + [efitools — https://git.kernel. org/pub/scm/linux/kernel/git/jejb/efitools.git/](https://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git/)
  + Comando [get-instance-uefi-data](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html)
+ L'istanza Linux deve essere stata avviata con un'AMI Linux che supporta la modalità di avvio UEFI e deve contenere dati non volatili.

Le istanze appena create senza chiavi UEFI Secure Boot vengono create in `SetupMode`, che ti consente di registrare le tue chiavi. Alcuni AMIs sono preconfigurati con UEFI Secure Boot e non è possibile modificare le chiavi esistenti. Se desideri modificare le chiavi, devi creare una nuova AMI basata sull'AMI originale.

Sono disponibili due modi per propagare le chiavi nell'archivio delle variabili, descritti di seguito sotto Opzione A e Opzione B. L'Opzione A descrive come farlo dall'interno dell'istanza, imitando il flusso di hardware reale. L'Opzione B descrive come creare un blob binario, che viene poi passato come file con codifica base64 quando si crea l'AMI. Per entrambe le opzioni, è necessario innanzitutto creare le tre coppie di chiavi, utilizzate per la catena di attendibilità.

**Topics**
+ [Attività 1 - Creare coppie di chiavi](#uefi-secure-boot-create-three-key-pairs)
+ [Attività 2 - Opzione A: aggiunta delle chiavi all’archivio delle variabili dall’interno dell’istanza](#uefi-secure-boot-optionA)
+ [Attività 2 - Opzione B: creazione di un blob binario contenente un archivio delle variabili preriempito](#uefi-secure-boot-optionB)

## Attività 1 - Creare coppie di chiavi
<a name="uefi-secure-boot-create-three-key-pairs"></a>

UEFI Secure Boot si basa sui seguenti tre database di chiavi, utilizzati in una catena di attendibilità: la chiave di piattaforma (PK), la chiave di scambio delle chiavi (KEK) e il database delle firme (DB).¹

Crea ciascuna chiave sull'istanza. Per preparare le chiavi pubbliche in un formato valido per lo standard UEFI Secure Boot, devi creare un certificato per ciascuna chiave. `DER` definisce il formato SSL (codifica binaria di un formato). Devi quindi convertire ogni certificato in un elenco di firme UEFI, che è il formato binario compreso da UEFI Secure Boot. Infine, devi firmare ogni certificato con la chiave pertinente.

**Topics**
+ [Preparazione alla creazione delle coppie di chiavi](#uefisb-prepare-to-create-key-pairs)
+ [Coppia di chiavi 1: crea la chiave della piattaforma (PK)](#uefisb-create-key-pair-1)
+ [Coppia di chiavi 2: crea la chiave di scambio chiave (KEK)](#uefisb-create-key-pair-2)
+ [Coppia di chiavi 3: crea il database delle firme (DB)](#uefisb-create-key-pair-3)
+ [Firma l'immagine di avvio (kernel) con la chiave privata.](#uefi-secure-boot-sign-kernel)

### Preparazione alla creazione delle coppie di chiavi
<a name="uefisb-prepare-to-create-key-pairs"></a>

Prima di creare le coppie di chiavi, crea un identificatore univoco globale (GUID) da utilizzare nella generazione delle chiavi.

1. [Collegati all'istanza.](connect.md)

1. Esegui il comando seguente in un prompt della shell.

   ```
   uuidgen --random > GUID.txt
   ```

### Coppia di chiavi 1: crea la chiave della piattaforma (PK)
<a name="uefisb-create-key-pair-1"></a>

La PK è il root di attendibilità per le istanze UEFI Secure Boot. La PK privata viene utilizzata per aggiornare la KEK, che a sua volta può essere utilizzata per aggiungere chiavi autorizzate al database delle firme (DB).

Lo standard X.509 viene utilizzato per creare la coppia di chiavi. Per informazioni sullo standard, consulta [X.509](https://en.wikipedia.org/wiki/X.509) su *Wikipedia*.

**Per creare la PK**

1. Crea la chiave. Devi assegnare un nome alla variabile `PK`.

   ```
   openssl req -newkey rsa:4096 -nodes -keyout PK.key -new -x509 -sha256 -days 3650 -subj "/CN=Platform key/" -out PK.crt
   ```

   Vengono specificati i seguenti parametri:
   + `-keyout PK.key`: il file della chiave privata.
   + `-days 3650`: il numero di giorni per cui il certificato è valido.
   + `-out PK.crt`: il certificato che viene utilizzato per creare la variabile UEFI.
   + `CN=Platform key`: il nome comune (CN) della chiave. È possibile inserire il nome della propria organizzazione anziché. *Platform key*

1. Crea il certificato.

   ```
   openssl x509 -outform DER -in PK.crt -out PK.cer
   ```

1. Converti il certificato in un elenco di firme UEFI.

   ```
   cert-to-efi-sig-list -g "$(< GUID.txt)" PK.crt PK.esl
   ```

1. Firma l'elenco delle firme UEFI con la PK privata (autofirmata).

   ```
   sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt PK PK.esl PK.auth
   ```

### Coppia di chiavi 2: crea la chiave di scambio chiave (KEK)
<a name="uefisb-create-key-pair-2"></a>

La KEK privata viene utilizzata per aggiungere chiavi al db, ossia l'elenco delle firme autorizzate da avviare sul sistema. 

**Per creare la KEK**

1. Crea la chiave.

   ```
   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=Key Exchange Key/" -out KEK.crt
   ```

1. Crea il certificato.

   ```
   openssl x509 -outform DER -in KEK.crt -out KEK.cer
   ```

1. Converti il certificato in un elenco di firme UEFI.

   ```
   cert-to-efi-sig-list -g "$(< GUID.txt)" KEK.crt KEK.esl
   ```

1. Firma l'elenco delle firme con la PK privata.

   ```
   sign-efi-sig-list -g "$(< GUID.txt)" -k PK.key -c PK.crt KEK KEK.esl KEK.auth
   ```

### Coppia di chiavi 3: crea il database delle firme (DB)
<a name="uefisb-create-key-pair-3"></a>

L'elenco db contiene chiavi autorizzate per l'avvio sul sistema. Per modificare l'elenco, è necessaria la KEK privata. Le immagini di avvio saranno firmate con la chiave privata creata in questa fase.

**Per creare il db**

1. Crea la chiave.

   ```
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=Signature Database key/" -out db.crt
   ```

1. Crea il certificato.

   ```
   openssl x509 -outform DER -in db.crt -out db.cer
   ```

1. Converti il certificato in un elenco di firme UEFI.

   ```
   cert-to-efi-sig-list -g "$(< GUID.txt)" db.crt db.esl
   ```

1. Firma l'elenco delle firme con la KEK privata.

   ```
   sign-efi-sig-list -g "$(< GUID.txt)" -k KEK.key -c KEK.crt db db.esl db.auth
   ```

### Firma l'immagine di avvio (kernel) con la chiave privata.
<a name="uefi-secure-boot-sign-kernel"></a>

Per Ubuntu 22.04, le seguenti immagini richiedono le firme.

```
/boot/efi/EFI/ubuntu/shimx64.efi
/boot/efi/EFI/ubuntu/mmx64.efi
/boot/efi/EFI/ubuntu/grubx64.efi
/boot/vmlinuz
```

**Per firmare un'immagine**  
Utilizza una sintassi come la seguente per firmare un'immagine.

```
sbsign --key db.key --cert db.crt --output /boot/vmlinuz /boot/vmlinuz
```

**Nota**  
Devi firmare tutti i nuovi kernel. Di solito, *`/boot/vmlinuz`* esegue un collegamento simbolico all'ultimo kernel installato.

Per informazioni sulla catena di avvio e sulle immagini richieste, consulta la documentazione per la distribuzione.

¹ Grazie alla ArchWiki community per tutto il lavoro svolto. I comandi per creare il PK, creare il KEK, creare il DB e firmare l'immagine provengono da [Creating keys](https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot#Creating_keys), scritto dal team and/or di ArchWiki manutenzione che ha contribuito. ArchWiki 

## Attività 2 - Opzione A: aggiunta delle chiavi all’archivio delle variabili dall’interno dell’istanza
<a name="uefi-secure-boot-optionA"></a>

Dopo avere creato le [tre coppie di chiavi](#uefi-secure-boot-create-three-key-pairs), puoi connetterti alla tua istanza e aggiungere le chiavi all'archivio delle variabili dall'interno dell'istanza completando le fasi seguenti. Altrimenti, completa i passaggi indicati in [Attività 2 - Opzione B: creazione di un blob binario contenente un archivio delle variabili preriempito](#uefi-secure-boot-optionB).

**Topics**
+ [Fase 1: avvio di un'istanza che supporti UEFI Secure Boot](#step1-launch-uefi-sb)
+ [Fase 2: configurazione di un'istanza per supportare UEFI Secure Boot](#step2-launch-uefi-sb)
+ [Fase 3: creazione di un'AMI dall'istanza](#step3-launch-uefi-sb)

### Fase 1: avvio di un'istanza che supporti UEFI Secure Boot
<a name="step1-launch-uefi-sb"></a>

Quando [avvii un'istanza](LaunchingAndUsingInstances.md) con i seguenti prerequisiti, l'istanza sarà pronta per essere configurata per supportare UEFI Secure Boot. È possibile abilitare il supporto per UEFI Secure Boot su un'istanza solo al momento dell'avvio; non è possibile abilitarlo in un secondo momento.

**Prerequisiti**
+ **AMI**: l'AMI Linux deve supportare la modalità di avvio UEFI. Per verificare che l'AMI supporti la modalità di avvio UEFI, il parametro della modalità di avvio AMI deve essere **uefi**. Per ulteriori informazioni, consulta [Determinare il parametro della modalità di avvio di un'AMI di Amazon EC2](ami-boot-mode.md).

  Nota che fornisce AWS solo Linux AMIs configurato per supportare UEFI per i tipi di istanze basati su Graviton. AWS attualmente non fornisce Linux x86\$164 che supporti la modalità di avvio UEFI. AMIs Puoi configurare un'AMI personalizzata che supporta la modalità di avvio UEFI per tutte le architetture. Per utilizzare un'AMI personalizzata che supporta la modalità di avvio UEFI, devi eseguire una serie di passaggi di configurazione sulla tua AMI. Per ulteriori informazioni, consulta [Impostare la modalità di avvio di un'AMI Amazon EC2](set-ami-boot-mode.md).
+ **Tipo di istanza**: tutti i tipi di istanze virtualizzate che supportano UEFI supportano anche UEFI Secure Boot. I tipi di istanza bare metal non supportano UEFI Secure Boot. Per i tipi di istanza che supportano UEFI Secure Boot, consulta [Requisiti per la modalità di avvio UEFI](launch-instance-boot-mode.md).
+ Avvia l'istanza dopo il rilascio di UEFI Secure Boot. Solo le istanze avviate dopo il 10 maggio 2022 (quando è stato rilasciato UEFI Secure Boot) possono supportare UEFI Secure Boot.

Dopo avere avviato l'istanza, puoi verificare che sia pronta per essere configurata per supportare UEFI Secure Boot (in altre parole, puoi procedere alla [Fase 2](#step2-launch-uefi-sb)) verificando se i dati UEFI sono presenti. La presenza di dati UEFI indica che i dati non volatili sono persistenti.

**Per verificare se l'istanza è pronta per la fase 2**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) e specifica l'ID dell'istanza.

```
aws ec2 get-instance-uefi-data --instance-id i-1234567890abcdef0
```

L'istanza è pronta per la fase 2 se i dati UEFI sono presenti nell'output. Se l'output è vuoto, l'istanza non può essere configurata per supportare UEFI Secure Boot. Ciò può verificarsi se l'istanza è stata avviata prima che il supporto UEFI Secure Boot fosse disponibile. Avvia una nuova istanza e riprova.

### Fase 2: configurazione di un'istanza per supportare UEFI Secure Boot
<a name="step2-launch-uefi-sb"></a>

#### Registrazione delle coppie di chiavi nell'archivio delle variabili UEFI dell'utente sull'istanza
<a name="step2a-launch-uefi-sb"></a>

**avvertimento**  
Le immagini di avvio devono essere firmate *dopo* avere registrato le chiavi, altrimenti non potrai avviare l'istanza.

Dopo avere creato gli elenchi di firme UEFI firmati (`PK`, `KEK` e `db`), gli elenchi devono essere iscritti al firmware UEFI.

La scrittura nella variabile `PK` è possibile solo se:
+ Nessuna PK è ancora iscritta, nel qual caso la variabile `SetupMode` ha il valore `1`. Per verificarlo, utilizza il comando seguente. L'output è `1` o `0`.

  ```
  efivar -d -n 8be4df61-93ca-11d2-aa0d-00e098032b8c-SetupMode 
  ```
+ La nuova PK è firmata dalla chiave privata della PK esistente.

**Per registrare le chiavi nell'archivio delle variabili UEFI dell'utente**  
I seguenti comandi devono essere eseguiti sull'istanza.

Se SetupMode è abilitata (il valore è`1`), le chiavi possono essere registrate eseguendo i seguenti comandi sull'istanza:

```
[ec2-user ~]$ efi-updatevar -f db.auth db
```

```
[ec2-user ~]$ efi-updatevar -f KEK.auth KEK
```

```
[ec2-user ~]$ efi-updatevar -f PK.auth PK
```

**Per verificare che UEFI Secure Boot sia abilitato**  
Per verificare che UEFI Secure Boot sia abilitato, attieniti alla procedura descritta in [Verifica dell'abilitazione di un'istanza Amazon EC2 per UEFI Secure Boot](verify-uefi-secure-boot.md).

Ora puoi esportare l'archivio delle variabili UEFI con il comando CLI [https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-uefi-data.html) oppure procedere alla fase successiva e firmare le immagini di avvio per riavviare un'istanza abilitata per UEFI Secure Boot.

### Fase 3: creazione di un'AMI dall'istanza
<a name="step3-launch-uefi-sb"></a>

Per creare un'AMI dall'istanza, puoi utilizzare la console o l'`CreateImage`API, la CLI o. SDKs Per le istruzioni relative alla console, consulta la sezione [Creare un'AMI supportata da Amazon EBS](creating-an-ami-ebs.md). Per le istruzioni relative all'API, consulta [CreateImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateImage.html).

**Nota**  
L'API `CreateImage` copia automaticamente l'archivio delle variabili UEFI dell'istanza nell'AMI. La console utilizza l'API `CreateImage`. Dopo avere avviato le istanze utilizzando questa AMI, le istanze avranno lo stesso archivio delle variabili UEFI.

## Attività 2 - Opzione B: creazione di un blob binario contenente un archivio delle variabili preriempito
<a name="uefi-secure-boot-optionB"></a>

Dopo aver creato le [tre coppie di chiavi](#uefi-secure-boot-create-three-key-pairs), puoi creare un blob binario contenente un archivio delle variabili preriempito contenente le chiavi UEFI Secure Boot. Altrimenti, completa i passaggi indicati in [Attività 2 - Opzione A: aggiunta delle chiavi all’archivio delle variabili dall’interno dell’istanza](#uefi-secure-boot-optionA).

**avvertimento**  
Le immagini di avvio devono essere firmate *prima* di registrare le chiavi, altrimenti non potrai avviare l'istanza.

**Topics**
+ [Fase 1: creazione di un nuovo archivio delle variabili o aggiornamento di un archivio esistente](#uefi-secure-boot-create-or-update-variable)
+ [Fase 2: caricamento del blob binario al momento della creazione dell'AMI](#uefi-secure-boot-upload-binary-blob-on-ami-creation)

### Fase 1: creazione di un nuovo archivio delle variabili o aggiornamento di un archivio esistente
<a name="uefi-secure-boot-create-or-update-variable"></a>

Puoi creare l'archivio delle variabili *non in linea* senza un'istanza in esecuzione utilizzando lo strumento python-uefivars. Lo strumento può creare un nuovo archivio delle variabili a partire dalle chiavi. Lo script attualmente supporta il EDK2 formato, il AWS formato e una rappresentazione JSON che è più facile da modificare con strumenti di livello superiore.

**Per creare l'archivio delle variabili non in linea senza un'istanza in esecuzione**

1. Scarica lo strumento al seguente link.

   ```
   https://github.com/awslabs/python-uefivars
   ```

1. Crea un nuovo archivio delle variabili a partire dalle chiavi eseguendo il comando seguente. Questo creerà un blob binario con codifica base64 in .bin. *your\$1binary\$1blob* Lo strumento supporta anche l'aggiornamento di un blob binario tramite il parametro `-I`.

   ```
   ./uefivars.py -i none -o aws -O your_binary_blob.bin -P PK.esl -K KEK.esl --db db.esl --dbx dbx.esl
   ```

### Fase 2: caricamento del blob binario al momento della creazione dell'AMI
<a name="uefi-secure-boot-upload-binary-blob-on-ami-creation"></a>

Utilizza [https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) per passare i dati dell'archivio delle variabili UEFI. Per il parametro `--uefi-data` specifica il blob binario, mentre per il parametro `--boot-mode` specifica `uefi`.

```
aws ec2 register-image \
    --name uefi_sb_tpm_register_image_test \
    --uefi-data $(cat your_binary_blob.bin) \
    --block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId=snap-0123456789example,DeleteOnTermination=true}" \
    --architecture x86_64 \
    --root-device-name /dev/sda1 \
    --virtualization-type hvm \
    --ena-support \
    --boot-mode uefi
```

# Crea il blob binario per UEFI Secure Boot AWS
<a name="aws-binary-blob-creation"></a>

Puoi completare le fasi seguenti per personalizzare le variabili UEFI Secure Boot durante la creazione di un'AMI. La KEK che viene utilizzata in queste fasi è in vigore a partire da settembre 2021. Se Microsoft aggiorna la KEK, devi utilizzare la KEK più recente.

**Per creare il blob AWS binario**

1. Crea un elenco di firme PK vuoto.

   ```
   touch empty_key.crt
   cert-to-efi-sig-list empty_key.crt PK.esl
   ```

1. Scarica i certificati KEK.

   ```
   https://go.microsoft.com/fwlink/?LinkId=321185
   ```

1. Avvolgi i certificati KEK in un elenco di firme UEFI (`siglist`).

   ```
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt 
   ```

1. Scarica i certificati db di Microsoft.

   ```
   https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
   https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt
   ```

1. Genera l'elenco delle firme db.

   ```
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
   cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl
   ```

1. L’Unified Extensible Firmware Interface Forum (UEFI) non fornisce più i file DBX. Ora sono forniti da Microsoft su GitHub. [Scarica l'ultimo aggiornamento DBX dal repository degli aggiornamenti di Microsoft Secure Boot all'indirizzo https://github.com/microsoft/ secureboot\$1objects.](https://github.com/microsoft/secureboot_objects)

1. Decomprimi il file update-binary firmato.

   Crea `SplitDbxContent.ps1` con il contenuto dello script seguente. [In alternativa, è possibile installare lo script da Gallery utilizzando. PowerShell ](https://www.powershellgallery.com/packages/SplitDbxContent/1.0) `Install-Script -Name SplitDbxContent`

   ```
   <#PSScriptInfo
    
   .VERSION 1.0
    
   .GUID ec45a3fc-5e87-4d90-b55e-bdea083f732d
    
   .AUTHOR Microsoft Secure Boot Team
    
   .COMPANYNAME Microsoft
    
   .COPYRIGHT Microsoft
    
   .TAGS Windows Security
    
   .LICENSEURI
    
   .PROJECTURI
    
   .ICONURI
    
   .EXTERNALMODULEDEPENDENCIES
    
   .REQUIREDSCRIPTS
    
   .EXTERNALSCRIPTDEPENDENCIES
    
   .RELEASENOTES
   Version 1.0: Original published version.
    
   #>
   
   <#
   .DESCRIPTION
    Splits a DBX update package into the new DBX variable contents and the signature authorizing the change.
    To apply an update using the output files of this script, try:
    Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite'
   .EXAMPLE
   .\SplitDbxAuthInfo.ps1 DbxUpdate_x64.bin
   #>
   
   
   # Get file from script input
   $file  = Get-Content -Encoding Byte $args[0]
   
   # Identify file signature
   $chop = $file[40..($file.Length - 1)]
   if (($chop[0] -ne 0x30) -or ($chop[1] -ne 0x82 )) {
       Write-Error "Cannot find signature"
       exit 1
   }
   
   # Signature is known to be ASN size plus header of 4 bytes
   $sig_length = ($chop[2] * 256) + $chop[3] + 4
   $sig = $chop[0..($sig_length - 1)]
   
   if ($sig_length -gt ($file.Length + 40)) {
       Write-Error "Signature longer than file size!"
       exit 1
   }
   
   # Content is everything else
   $content = $file[0..39] + $chop[$sig_length..($chop.Length - 1)]
   
   # Write signature and content to files
   Set-Content -Encoding Byte signature.p7 $sig
   Set-Content -Encoding Byte content.bin $content
   ```

   Utilizza lo script per decomprimere i file DBX firmati.

   ```
   PS C:\Windows\system32> SplitDbxContent.ps1 .\dbx.bin
   ```

   In questo modo vengono creati due file: `signature.p7` e `content.bin`. Utilizza `content.bin` nella fase successiva.

1. Crea un archivio delle variabili UEFI usando lo script `uefivars.py`.

   ```
   ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/content.bin 
   ```

1. Controlla il blob binario e l'archivio delle variabili UEFI.

   ```
   ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less
   ```

1. È possibile aggiornare il blob passandolo nuovamente allo stesso strumento.

   ```
   ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/content.bin
   ```

   Output previsto

   ```
   Replacing PK
   Replacing KEK
   Replacing db
   Replacing dbx
   ```

# Usa la crittografia con supporto EBS AMIs
<a name="AMIEncryption"></a>

AMIs che sono supportati da snapshot di Amazon EBS possono sfruttare la crittografia Amazon EBS. Gli snapshot sia dei dati che dei volumi root possono essere crittografati e collegati a un'AMI. Puoi avviare le istanze e copiare le immagini con supporto completo della crittografia EBS. I parametri di crittografia per queste operazioni sono supportati in tutte le regioni in cui AWS KMS è disponibile.

Le istanze EC2 con volumi EBS crittografati vengono avviate allo stesso modo delle altre istanze. AMIs Inoltre, quando avvii un'istanza da una AMI basata su snapshot EBS non crittografati, puoi crittografare alcuni o tutti i volumi durante l'avvio. 

Analogamente ai volumi EBS, le istantanee in ingresso AMIs possono essere crittografate per impostazione predefinita o su una chiave AWS KMS key gestita dal cliente specificata dall'utente. In ogni caso, devi comunque disporre dell'autorizzazione per utilizzare la Chiave KMS selezionata.

AMIs con le istantanee crittografate possono essere condivise tra più account. AWS Per ulteriori informazioni, consulta [Informazioni sull'utilizzo delle AMI condivise in Amazon EC2](sharing-amis.md).

**Topics**
+ [Scenari di avvio di istanze](#AMI-encryption-launch)
+ [Scenari di copia delle immagini](#AMI-encryption-copy)

## Scenari di avvio di istanze
<a name="AMI-encryption-launch"></a>



Le istanze di Amazon EC2 vengono avviate AMIs utilizzando l'`RunInstances`azione con parametri forniti tramite la mappatura dei dispositivi a blocchi, tramite Console di gestione AWS o direttamente utilizzando l'API o la CLI di Amazon EC2. Per ulteriori informazioni, consulta [Mappature dei dispositivi a blocchi per i volumi sulle istanze Amazon EC2](block-device-mapping-concepts.md). Per esempi di controllo della mappatura a blocchi dei dispositivi da AWS CLI, consulta [Launch, List](https://docs.aws.amazon.com/cli/latest/userguide/cli-services-ec2-instances.html) and Terminate EC2 Instances.

Per impostazione predefinita, senza parametri di crittografia espliciti, un'operazione `RunInstances` mantiene lo stato della crittografia esistente degli snapshot di origine di un'AMI e ripristina i volumi EBS da tali snapshot. Se è abilitata la crittografia per impostazione predefinita, tutti i volumi creati dall'AMI (sia da snapshot crittografati che non crittografati) vengono crittografati. Se non è abilitata la crittografia predefinita, l'istanza mantiene lo stato della crittografia dell'AMI.

Puoi anche avviare un'istanza e contemporaneamente applicare un nuovo stato della crittografia ai restanti volumi fornendo i parametri di crittografia. Di conseguenza, si registrano i seguenti comportamenti:

**Avvio senza parametri di crittografia**
+ Uno snapshot non crittografato viene ripristinato su un volume non crittografato, a meno che non sia abilitata la crittografia predefinita, nel cui caso tutti i volumi appena creati verranno crittografati.
+ Uno snapshot crittografato di cui sei il proprietario viene ripristinato su un volume crittografato sulla stessa Chiave KMS.
+ Un'istantanea crittografata che non possiedi (ad esempio, l'AMI è condivisa con te) viene ripristinata su un volume crittografato dalla chiave KMS predefinita del tuo AWS account.

I comportamenti predefiniti possono essere sovrascritti fornendo i parametri di crittografia. I parametri disponibili sono `Encrypted` e `KmsKeyId`. La sola impostazione del parametro `Encrypted` comporta le seguenti operazioni:

**Comportamenti di avvio dell'istanza con `Encrypted` impostati, ma nessun `KmsKeyId` specificato**
+ Uno snapshot non crittografato viene ripristinato su un volume EBS crittografato dalla chiave KMS di default del tuo account AWS .
+ Uno snapshot crittografato di cui sei il proprietario viene ripristinato su un volume EBS crittografato dalla stessa Chiave KMS. (Pertanto, il parametro `Encrypted` non ha alcun effetto.)
+ Un'istantanea crittografata che non possiedi (ad esempio, l'AMI è condivisa con te) viene ripristinata su un volume crittografato dalla chiave KMS predefinita del tuo AWS account. (Pertanto, il parametro `Encrypted` non ha alcun effetto.)

L'impostazione dei parametri `Encrypted` e `KmsKeyId` consente di specificare una Chiave KMS non predefinita per un'operazione di crittografia. Risultano i seguenti comportamenti:

**Viene impostata un'istanza con `Encrypted` e `KmsKeyId`**
+ Uno snapshot non crittografato viene ripristinato su un volume EBS crittografato dalla Chiave KMS specificata.
+ Uno snapshot crittografato viene ripristinato su un volume EBS crittografato non sulla Chiave KMS originale, ma sulla Chiave KMS specificata.

L'invio di `KmsKeyId` senza l'impostazione del parametro `Encrypted` causa un errore.

Le sezioni seguenti forniscono esempi di avvio di istanze AMIs utilizzando parametri di crittografia non predefiniti. In ognuno dei seguenti scenari, i parametri forniti all'operazione `RunInstances` portano a un cambiamento dello stato della crittografia durante il ripristino di un volume da uno snapshot.

Per informazioni sull'utilizzo della console per avviare un'istanza da un'AMI, consulta [Avviare un'istanza Amazon EC2](LaunchingAndUsingInstances.md).

### Crittografia di un volume durante l'avvio
<a name="launch1"></a>

In questo esempio, viene utilizzata un'AMI basata su uno snapshot non crittografato per avviare un'istanza EC2 con un volume EBS crittografato.

![\[Avvia l'istanza e crittografa il volume in modo immediato.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-launch-convert.png)


Il parametro `Encrypted` da solo comporta la crittografia del volume per questa istanza. La fornitura di un parametro `KmsKeyId` è facoltativa. Se non viene specificato alcun ID di chiave KMS, per crittografare il AWS volume viene utilizzata la chiave KMS predefinita dell'account. Per crittografare il volume su una Chiave KMS diversa di tua proprietà, specifica il parametro `KmsKeyId`. 

### Nuova crittografia di un volume durante l'avvio
<a name="launch2"></a>

In questo esempio, viene utilizzata un'AMI basata su uno snapshot crittografato per avviare un'istanza EC2 con un volume EBS crittografato da una nuova Chiave KMS. 

![\[Avvia l'istanza e crittografa nuovamente il volume in modo immediato.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-launch-encrypted.png)


Se sei il proprietario dell'AMI e non fornisci parametri di crittografia, l'istanza risultante ha un volume crittografato dalla stessa Chiave KMS dello snapshot. Se invece condividi l'AMI anziché esserne il proprietario e non fornisci parametri di crittografia, il volume viene crittografato dalla Chiave KMS predefinita. Con i parametri di crittografia forniti come illustrato, il volume viene crittografato dalla Chiave KMS specificata.

### Cambio dello stato della crittografia di più volumi durante l'avvio
<a name="launch3"></a>

In questo esempio più complesso, viene utilizzata un'AMI basata su più snapshot (ognuno con il proprio stato della crittografia) per avviare un'istanza EC2 con un volume appena crittografato e un volume crittografato nuovamente.

![\[Crittografa e crittografa nuovamente più volumi durante l'avvio.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-launch-mixed.png)


In questo scenario, l'operazione `RunInstances` viene fornita con parametri di crittografia per ognuno degli snapshot di origine. Quando sono specificati tutti i parametri di crittografia possibili, l'istanza risultante è la stessa indipendentemente dal fatto che tu sia il proprietario dell'AMI.

## Scenari di copia delle immagini
<a name="AMI-encryption-copy"></a>

Amazon EC2 AMIs viene copiato utilizzando l'`CopyImage`azione, tramite o direttamente utilizzando l'API Console di gestione AWS o la CLI di Amazon EC2.

Per impostazione predefinita, senza parametri di crittografia espliciti, un'azione `CopyImage` mantiene lo stato della crittografia esistente degli snapshot di origine di un'AMI durante la copia. Puoi anche copiare un'AMI e contemporaneamente applicare un nuovo stato della crittografia agli snapshot EBS associati fornendo i parametri di crittografia. Di conseguenza, si registrano i seguenti comportamenti:

**Copia senza parametri di crittografia**
+ Uno snapshot non crittografato viene copiato su un altro snapshot non crittografato, a meno che non sia abilitata la crittografia predefinita, nel cui caso tutti gli snapshot appena creati verranno crittografati.
+ Uno snapshot crittografato di cui sei il proprietario viene copiato su uno snapshot crittografato con la stessa Chiave KMS.
+ Un'istantanea crittografata di cui non sei proprietario (ovvero l'AMI è condivisa con te) viene copiata in un'istantanea crittografata dalla chiave KMS predefinita del tuo AWS account.

Tutti questi comportamenti predefiniti possono essere sovrascritti fornendo i parametri di crittografia. I parametri disponibili sono `Encrypted` e `KmsKeyId`. La sola impostazione del parametro `Encrypted` comporta le seguenti operazioni:

**Comportamenti di copia dell'immagine con `Encrypted` impostati, ma nessun `KmsKeyId` specificato**
+ Uno snapshot non crittografato viene copiato su uno snapshot crittografato dalla chiave KMS di default dell'account AWS .
+ Uno snapshot crittografato viene copiato su uno snapshot crittografato dalla stessa Chiave KMS. (Pertanto, il parametro `Encrypted` non ha alcun effetto.)
+ Un'istantanea crittografata che non possiedi (ad esempio, l'AMI è condivisa con te) viene copiata su un volume crittografato dalla chiave KMS predefinita del tuo AWS account. (Pertanto, il parametro `Encrypted` non ha alcun effetto.)

L'impostazione di entrambi i parametri `Encrypted` e `KmsKeyId` consente di specificare una Chiave KMS gestita dal cliente per un'operazione di crittografia. Risultano i seguenti comportamenti:

**Comportamenti di copia dell'immagine con `Encrypted` e `KmsKeyId` impostati**
+ Uno snapshot non crittografato viene copiato su uno snapshot crittografato dalla Chiave KMS specificata.
+ Uno snapshot crittografato viene copiato su uno snapshot crittografato non sulla Chiave KMS originale, ma sulla Chiave KMS specificata.

L'invio di `KmsKeyId` senza l'impostazione del parametro `Encrypted` causa un errore.

La seguente sezione offre un esempio della copia di un'AMI utilizzando parametri di crittografia non predefiniti, il che porta a una modifica dello stato di crittografia.

Per istruzioni dettagliate sull'utilizzo della console, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).

### Crittografia di un'immagine non crittografata durante la copia
<a name="copy-unencrypted-to-encrypted"></a>

In questo scenario, un'AMI supportata da uno snapshot di root non crittografato viene copiato in un'AMI con uno snapshot di root crittografato. L'operazione `CopyImage` viene richiamata con due parametri di crittografia, inclusa una chiave gestita dal cliente. Di conseguenza, lo stato di crittografia dello snapshot root cambia, in modo che l'AMI di destinazione sia supportata da uno snapshot root contenente gli stessi dati dello snapshot di origine, ma crittografato utilizzando la chiave specificata. In entrambi AMIs i casi sono previsti costi di storage per le istantanee e addebiti per tutte le istanze avviate da una delle due AMI.

**Nota**  
L'abilitazione della crittografia per impostazione predefinita ha lo stesso effetto dell'impostazione del parametro `Encrypted` a `true` per tutti gli snapshot nell'AMI.

![\[Copiare AMI e crittografare snapshot in modo immediato\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-to-ami-convert.png)


L'impostazione del parametro `Encrypted` consente di crittografare il singolo snapshot per questa istanza. Se non specifichi il parametro `KmsKeyId`, per crittografare la copia snapshot viene utilizzata la chiave gestita dal cliente di default.

**Nota**  
Puoi inoltre copiare un'immagine con più snapshot e configurare lo stato di crittografia di ognuno.

# Informazioni sull'utilizzo delle AMI condivise in Amazon EC2
<a name="sharing-amis"></a>

Un'*AMI condivisa* è un'AMI creata da uno sviluppatore e resa disponibile per gli altri sviluppatori. Uno dei modi più semplici per iniziare a familiarizzare con Amazon EC2, consiste nell'utilizzare un'AMI condivisa con i componenti necessari e procedere poi all'aggiunta dei contenuti personalizzati. Puoi anche crearne di tuoi AMIs e condividerli con altri. 

Utilizza le AMI condivise a tuo rischio e pericolo. Amazon non può garantire l'integrità o la sicurezza delle AMI condivise da altri utenti Amazon EC2. Pertanto, dovresti trattare shared AMIs come qualsiasi codice esterno che potresti prendere in considerazione di implementare nel tuo data center ed eseguire la dovuta diligenza. Ti consigliamo di scaricare le AMI da un'origine attendibile, come un provider verificato.

## Fornitore verificato
<a name="verified-ami-provider"></a>

Nella console Amazon EC2, gli utenti pubblici di proprietà AMIs di Amazon o di un partner Amazon verificato sono contrassegnati come provider **verificato**.

Puoi anche utilizzare il AWS CLI comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) per identificare il pubblico proveniente da un AMIs provider verificato. Le immagini pubbliche di Amazon o di un partner verificato hanno un proprietario con alias, `amazon`, `aws-backup-vault` o `aws-marketplace`. Nell'output della CLI, vengono visualizzati questi valori per `ImageOwnerAlias`. Gli altri utenti non possono assegnare alias ai propri. AMIs In questo modo puoi trovarli facilmente AMIs da Amazon o da partner verificati.

Per diventare un fornitore verificato, è necessario registrarsi come venditore sul Marketplace AWS. Una volta effettuata la registrazione, è possibile inserire l'AMI nell'elenco di Marketplace AWS. Per ulteriori informazioni, consulta [Nozioni di base sui rivenditori](https://docs.aws.amazon.com/marketplace/latest/userguide/user-guide-for-sellers.html) e [Prodotti basati su AMI](https://docs.aws.amazon.com/marketplace/latest/userguide/ami-products.html) nella *Guida per i rivenditori di Marketplace AWS *.

**Topics**
+ [Fornitore verificato](#verified-ami-provider)
+ [Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md)
+ [Preparati a usare shared AMIs per Linux](usingsharedamis-confirm.md)
+ [Controlla l'individuazione e l'uso delle AMI in Amazon EC2 con Allowed AMIs](ec2-allowed-amis.md)
+ [Rendi la tua AMI disponibile pubblicamente per l'utilizzo in Amazon EC2](sharingamis-intro.md)
+ [Comprendi come bloccare l'accesso pubblico per AMIs](block-public-access-to-amis.md)
+ [Condivisione di un'AMI con organizzazioni e unità organizzative](share-amis-with-organizations-and-OUs.md)
+ [Condivisione di un'AMI con AWS account specifici](sharingamis-explicit.md)
+ [Annulla la condivisione di un AMI con il tuo Account AWS](cancel-sharing-an-AMI.md)
+ [Consigli per la creazione di Linux condiviso AMIs](building-shared-amis.md)

**Se stai cercando informazioni su altri argomenti**
+ Per informazioni sulla creazione di un'AMI, consulta [Creare un’AMI supportata da Amazon S3](creating-an-ami-instance-store.md) o [Creare un'AMI supportata da Amazon EBS](creating-an-ami-ebs.md).
+ Per ulteriori informazioni sulla creazione, la distribuzione e la gestione delle applicazioni in Marketplace AWS, consulta la [Documentazione di Marketplace AWS](https://docs.aws.amazon.com/marketplace/).

# Trova AMI condivise da usare per le istanze Amazon EC2
<a name="usingsharedamis-finding"></a>

Puoi utilizzare la console Amazon EC2 o la riga di comando per cercare AMI condivise pubbliche o private da usare con le tue istanze Amazon EC2.

AMIs sono una risorsa regionale. Quindi, quando cerchi un'AMI condivisa (pubblica o privata), devi cercarla nella stessa regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).

------
#### [ Console ]

La console fornisce un campo filtro AMI. Puoi anche restringere le tue ricerche utilizzando i filtri forniti nel campo **Cerca**.

**Per cercare un’AMI condivisa**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Nel primo filtro, scegli una delle seguenti opzioni:
   + **Immagini private**: elenca tutto AMIs ciò che viene condiviso con te.
   + **Immagini pubbliche**: elenca tutte le immagini pubbliche AMIs.

1. (Facoltativo) Per visualizzare solo le immagini pubbliche di Amazon, seleziona il campo **Cerca**, quindi, dalle opzioni del menu, seleziona **Alias proprietario**, quindi **=** e infine **amazon**.

1. (Facoltativo) Aggiungi filtri per definire l'ambito della ricerca in AMIs modo da soddisfare le tue esigenze.

**Per trovare un’AMI pubblica condivisa da un [fornitore verificato](sharing-amis.md#verified-ami-provider)**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione seleziona **AMI Catalog** (catalogo AMI).

1. Scegli **Community AMIs**.

1. Nel riquadro **Affina risultati**, seleziona **Fornitore verificato**. L'etichetta del **fornitore verificato** indica AMIs che proviene da Amazon o da un partner verificato.

------
#### [ AWS CLI ]

Usa il comando [describe-images per elencare](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). AMIs Puoi definire l'elenco in base ai tipi AMIs che ti interessano, come illustrato negli esempi seguenti.

**Per elencare tutti i tipi di pubblico AMIs**  
Il comando seguente elenca tutto il pubblico AMIs, incluso il pubblico di AMIs cui sei proprietario.

```
aws ec2 describe-images --executable-users all
```

**Da elencare AMIs con autorizzazioni di avvio esplicite**  
Il comando seguente elenca le autorizzazioni di avvio AMIs per le quali si dispone di autorizzazioni di avvio esplicite. Questo elenco non include quelli AMIs che possiedi.

```
aws ec2 describe-images --executable-users self
```

**All'elenco AMIs di proprietà di fornitori verificati**  
Il comando seguente elenca quelli AMIs di proprietà [dei provider verificati](sharing-amis.md#verified-ami-provider). La AMIs proprietà pubblica di fornitori verificati (Amazon o partner verificati) ha un proprietario con alias, che appare come `amazon``aws-backup-vault`, o `aws-marketplace` nel campo dell'account. Questo ti aiuta a trovare AMIs facilmente fornitori verificati. Gli altri utenti non possono assegnare un alias ai propriAMIs.

```
aws ec2 describe-images \
    --owners amazon aws-marketplace \
    --query 'Images[*].[ImageId]' \
    --output text
```

**Alla lista AMIs di proprietà di un account**  
Il comando seguente elenca il file AMIs di proprietà dell'oggetto specificato Account AWS.

```
aws ec2 describe-images --owners 123456789012
```

**Elaborare AMIs l'ambito utilizzando un filtro**  
Per ridurre il numero di visualizzazioni AMIs, utilizza un filtro per elencare solo i tipi AMIs che ti interessano. Ad esempio, utilizzate il seguente filtro per visualizzare solo quelli supportati da EBS AMIs.

```
--filters "Name=root-device-type,Values=ebs"
```

------
#### [ PowerShell ]

Utilizzare il [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet (Tools for Windows PowerShell) per elencare. AMIs È possibile definire l'elenco in base ai tipi AMIs di interesse, come illustrato negli esempi seguenti.

**Per elencare tutti i tipi di pubblico AMIs**  
Il comando seguente elenca tutto il pubblico AMIs, incluso il pubblico di AMIs cui sei proprietario.

```
Get-EC2Image -ExecutableUser all
```

**Da elencare AMIs con autorizzazioni di avvio esplicite**  
Il comando seguente elenca le autorizzazioni di avvio AMIs per le quali si dispone di autorizzazioni di avvio esplicite. Questo elenco non include quelli AMIs che possiedi.

```
Get-EC2Image -ExecutableUser self
```

**All'elenco AMIs di proprietà di fornitori verificati**  
Il comando seguente elenca quelli AMIs di proprietà [dei provider verificati](sharing-amis.md#verified-ami-provider). La AMIs proprietà pubblica di fornitori verificati (Amazon o partner verificati) ha un proprietario con alias, che appare come `amazon``aws-backup-vault`, o `aws-marketplace` nel campo dell'account. Questo ti aiuta a trovare AMIs facilmente fornitori verificati. Gli altri utenti non possono assegnare un alias ai propriAMIs.

```
Get-EC2Image -Owner amazon aws-marketplace
```

**Alla lista AMIs di proprietà di un account**  
Il comando seguente elenca il file AMIs di proprietà dell'oggetto specificato Account AWS.

```
Get-EC2Image -Owner 123456789012
```

**Elaborare AMIs l'ambito utilizzando un filtro**  
Per ridurre il numero di visualizzazioni AMIs, utilizza un filtro per elencare solo i tipi AMIs che ti interessano. Ad esempio, utilizzate il seguente filtro per visualizzare solo quelli supportati da EBS AMIs.

```
-Filter @{Name="root-device-type"; Values="ebs"}
```

------

# Preparati a usare shared AMIs per Linux
<a name="usingsharedamis-confirm"></a>

Prima di utilizzare un'AMI per Linux condivisa, completa le fasi seguenti per verificare che non siano presenti credenziali preinstallate che consentirebbero l'accesso indesiderato di una terza parte all'istanza e che non sia stato preconfigurato l'accesso remoto che potrebbe consentire l'invio di dati sensibili a una terza parte. Controlla la documentazione della distribuzione Linux utilizzata dall'AMI per informazioni su come migliorare la sicurezza del sistema.

Per assicurarti di non perdere accidentalmente l'accesso all'istanza, ti consigliamo di avviare due sessioni SSH e di tenere la seconda sessione aperta finché non hai rimosso le credenziali che non riconosci e finché non hai verificato di poter accedere all'istanza tramite SSH.

1. Identificare e disabilitare le chiavi SSH pubbliche non autorizzate. L'unica chiave presente nel file deve essere quella utilizzata per avviare l'AMI. Il comando seguente consente di individuare i file `authorized_keys`:

   ```
   [ec2-user ~]$ sudo find / -name "authorized_keys" -print -exec cat {} \;
   ```

1. Disabilitare l'autenticazione basata su password per l'utente root. Aprire il file `sshd_config` e modificare la riga `PermitRootLogin` come segue:

   ```
   PermitRootLogin without-password
   ```

   In alternativa, è possibile disabilitare la funzione di accesso all'istanza come utente root:

   ```
   PermitRootLogin No
   ```

   Riavviare il servizio sshd.

1. Controllare la presenza di altri utenti in grado di accedere all'istanza. Gli utenti con privilegi superuser sono particolarmente pericolosi. Rimuovere o bloccare la password degli account sconosciuti.

1. Verificare la presenza di porte aperte inutilizzate e con in esecuzione servizi di rete in attesa di connessioni in entrata.

1. Per impedire la registrazione remota preconfigurata, elimina il file di configurazione esistente e riavviare il servizio `rsyslog`. Esempio:

   ```
   [ec2-user ~]$ sudo rm /etc/rsyslog.conf
   [ec2-user ~]$ sudo service rsyslog restart
   ```

1. Verifica che tutti i processi cron siano legittimi.

Se rilevi un'AMI pubblica che ritieni rappresentare un rischio per la sicurezza, contatta il team di sicurezza AWS . Per ulteriori informazioni, visita il [Centro di Sicurezza AWS](https://aws.amazon.com/security/).

# Controlla l'individuazione e l'uso delle AMI in Amazon EC2 con Allowed AMIs
<a name="ec2-allowed-amis"></a>

Per controllare il rilevamento e l'uso di Amazon Machine Images (AMIs) da parte degli utenti del tuo account Account AWS, puoi utilizzare la AMIs funzione *Allowed*. Specifichi i criteri che AMIs devono soddisfare per essere visibili e disponibili nel tuo account. Quando i criteri sono abilitati, gli utenti che avviano le istanze visualizzeranno e avranno accesso solo a quelle AMIs che soddisfano i criteri specificati. Ad esempio, puoi specificare un elenco di provider AMI affidabili come criteri e solo AMIs da questi provider saranno visibili e disponibili per l'uso.

Prima di abilitare le AMIs impostazioni Consentiti, puoi abilitare la *modalità di controllo* per visualizzare in anteprima quali AMIs saranno o meno visibili e disponibili per l'uso. Ciò ti consente di perfezionare i criteri in base alle esigenze per garantire che solo gli elementi desiderati AMIs siano visibili e disponibili per gli utenti del tuo account. Inoltre, utilizza il [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)comando per trovare le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs

È possibile specificare le AMIs impostazioni consentite a livello di account, direttamente nell'account o utilizzando una politica dichiarativa. Queste impostazioni devono essere configurate in ogni Regione AWS in cui si desidera controllare l’utilizzo delle AMI. L'utilizzo di una policy dichiarativa consente di applicare le impostazioni contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare le impostazioni direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione delle impostazioni direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.

**Nota**  
La AMIs funzione Consentito controlla solo l'individuazione e l'uso di contenuti pubblici AMIs o AMIs condivisi con l'account. Non limita la AMIs proprietà del tuo account. Indipendentemente dai criteri impostati, i AMIs file creati dal tuo account sono sempre individuabili e utilizzabili dagli utenti del tuo account.

**Principali vantaggi di Allowed AMIs**
+ **Conformità e sicurezza**: gli utenti possono scoprire e utilizzare solo quelli AMIs che soddisfano i criteri specificati, riducendo il rischio di utilizzo di AMI non conformi.
+ **Gestione efficiente**: riducendo il numero di quelli consentiti AMIs, la gestione di quelli rimanenti diventa più semplice ed efficiente.
+ **Implementazione centralizzata a livello di account**: configura le AMIs impostazioni consentite a livello di account, direttamente all'interno dell'account o tramite una politica dichiarativa. Ciò fornisce un modo centralizzato ed efficiente per controllare l'utilizzo delle AMI sull'intero account.

**Topics**
+ [Come funziona Allowed AMIs](#how-allowed-amis-works)
+ [Le migliori pratiche per l'implementazione di Allowed AMIs](#best-practice-for-implementing-allowed-amis)
+ [Autorizzazioni IAM richieste](#iam-permissions-for-allowed-amis)
+ [Gestisci le impostazioni per Allowed AMIs](manage-settings-allowed-amis.md)

## Come funziona Allowed AMIs
<a name="how-allowed-amis-works"></a>

Per controllare quali AMIs elementi possono essere rilevati e utilizzati nel tuo account, definisci una serie di criteri in base ai quali valutare il AMIs. I criteri sono costituiti da uno o più `ImageCriterion`, come mostra il diagramma seguente. Il diagramma è seguito da una spiegazione.

![\[La gerarchia AMIs ImageCriteria di configurazione consentita.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)


La configurazione ha tre livelli:
+ **1** – Valori dei parametri
  + Parametri con più valori:
    + `ImageProviders`
    + `ImageNames`
    + `MarketplaceProductCodes`

      Un’AMI può corrispondere a *qualsiasi* valore entro un parametro per essere consentita.

      Esempio: `ImageProviders` = `amazon` **OR** account `111122223333` **OR** account `444455556666` (La logica di valutazione dei valori dei parametri non è riportata nel diagramma).
  + Parametri a valore singolo:
    + `CreationDateCondition`
    + `DeprecationTimeCondition`
+ **2** – `ImageCriterion`
  + Raggruppa più parametri con logica **AND**.
  + Un’AMI deve corrispondere a *tutti* i parametri all’interno di un `ImageCriterion` per essere consentita.
  + Esempio: `ImageProviders` = `amazon` **AND** `CreationDateCondition` = 300 giorni o meno
+ **3** – `ImageCriteria`
  + Raggruppa più `ImageCriterion` con logica **OR**.
  + Un’AMI può corrispondere *qualsiasi* `ImageCriterion` per essere consentita.
  + Forma la configurazione completa rispetto alla quale AMIs vengono valutati. 

**Topics**
+ [Parametri consentiti AMIs](#allowed-amis-criteria)
+ [Configurazione consentita AMIs](#allowed-amis-json-configuration)
+ [Come vengono valutati i criteri](#how-allowed-amis-criteria-are-evaluated)
+ [Limits](#allowed-amis-json-configuration-limits)
+ [AMIs Operazioni consentite](#allowed-amis-operations)

### Parametri consentiti AMIs
<a name="allowed-amis-criteria"></a>

Puoi configurare i seguenti parametri per creare `ImageCriterion`:

`ImageProviders`  
I provider AMI che AMIs sono autorizzati.  
I valori validi sono alias definiti da e AWS Account AWS IDs, come segue:  
+ `amazon`— Un alias che identifica AMIs creato da Amazon o da fornitori verificati
+ `aws-marketplace`— Un alias che identifica AMIs creato da fornitori verificati nel Marketplace AWS
+ `aws-backup-vault`— Un alias che identifica i backup AMIs che risiedono in account Backup vault con accesso AWS logico. Se utilizzi la funzionalità AWS Backup logically air-gapped vault, assicurati che questo alias sia incluso come provider AMI.
+ Account AWS IDs — Una o più cifre a 12 cifre Account AWS IDs
+ `none`— Indica che solo le creazioni AMIs create dal tuo account possono essere scoperte e utilizzate. Pubblico o condiviso non AMIs può essere scoperto e utilizzato. Quando specificato, non è possibile specificare altri criteri.

`ImageNames`  
I nomi di allowed AMIs, che utilizzano corrispondenze esatte o caratteri jolly (`?`o`*`).

`MarketplaceProductCodes`  
I codici dei Marketplace AWS prodotti sono AMIs consentiti.

`CreationDateCondition`  
L'età massima consentita AMIs.

`DeprecationTimeCondition`  
Il periodo massimo di deprecazione consentito. AMIs

*Per i valori e i vincoli validi per ogni criterio, consulta il riferimento alle API di [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html)Amazon EC2.*

### Configurazione consentita AMIs
<a name="allowed-amis-json-configuration"></a>

La configurazione principale di Allowed AMIs è la `ImageCriteria` configurazione che definisce i criteri per Allowed AMIs. La seguente struttura JSON indica i parametri che possono essere specificati:

```
{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}
```

#### ImageCriteria esempio
<a name="allowed-amis-json-configuration-example"></a>

Il seguente esempio `ImageCriteria` configura quattro `ImageCriterion`. Un’AMI è consentita se corrisponde a uno di questi `ImageCriterion`. Per informazioni su come vengono valutati i criteri, consulta [Come vengono valutati i criteri](#how-allowed-amis-criteria-are-evaluated).

```
{
    "ImageCriteria": [
        // ImageCriterion 1: Allow Marketplace AWS AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}
```

### Come vengono valutati i criteri
<a name="how-allowed-amis-criteria-are-evaluated"></a>

La seguente tabella illustra le regole di valutazione che determinano se un’AMI è consentita, mostrando come l’operatore `AND` o `OR` viene applicato a ciascun livello:


| Livello di valutazione | Operatore | Requisito per essere un’AMI consentita | 
| --- | --- | --- | 
| Valori dei parametri per ImageProviders, ImageNames e MarketplaceProductCodes | OR | L’AMI deve corrispondere almeno a un valore in ogni elenco di parametri | 
| ImageCriterion | AND | L’AMI deve corrispondere a tutti i parametri di ogni ImageCriterion | 
| ImageCriteria | OR | L’AMI deve rispettare uno qualsiasi dei ImageCriterion | 

Utilizzando le regole di valutazione precedenti, vediamo come applicarle all’[ImageCriteria esempio](#allowed-amis-json-configuration-example):
+ `ImageCriterion`1: consente di AMIs avere il codice Marketplace AWS del prodotto `abcdefg1234567890`

  `OR`
+ `ImageCriterion`2: Consente AMIs che soddisfino entrambi questi criteri:
  + Di proprietà di uno degli account `123456789012` `OR` `123456789013`
    + `AND`
  + Creato negli ultimi 300 giorni

  `OR`
+ `ImageCriterion`3: Consente AMIs che soddisfino entrambi questi criteri:
  + Di proprietà dell’account `123456789014`
    + `AND`
  + Denominato con il modello `golden-ami-*`

  `OR`
+ `ImageCriterion`4: Consente AMIs che soddisfino entrambi questi criteri:
  + Pubblicato da Amazon o da fornitori verificati (specificato dall’alias `amazon`)
    + `AND`
  + Non obsoleto (massimo giorni dalla data di obsolescenza `0`)

### Limits
<a name="allowed-amis-json-configuration-limits"></a>

I `ImageCriteria` possono includere fino a:
+ 10 `ImageCriterion`

Ogni `ImageCriterion` può includere fino a:
+ 200 valori per `ImageProviders`
+ 50 valori per `ImageNames` 
+ 50 valori per `MarketplaceProductCodes` 

**Esempio di limiti**

Utilizzando i [ImageCriteria esempio](#allowed-amis-json-configuration-example) precedenti:
+ Ci sono 4 `ImageCriterion`. È possibile aggiungere fino a 6 ulteriori richieste per raggiungere il limite di 10.
+ Nel primo `ImageCriterion`, c’è 1 valore per `MarketplaceProductCodes`. È possibile aggiungere fino a 49 elementi a questo `ImageCriterion` per raggiungere il limite di 50.
+ Nel secondo `ImageCriterion`, ci sono 2 valori per `ImageProviders`. È possibile aggiungere fino a 198 elementi a questo `ImageCriterion` per raggiungere il limite di 200.
+ Nel terzo `ImageCriterion`, c’è 1 valore per `ImageNames`. È possibile aggiungere fino a 49 elementi a questo `ImageCriterion` per raggiungere il limite di 50.

### AMIs Operazioni consentite
<a name="allowed-amis-operations"></a>

La AMIs funzione Consentito ha tre stati operativi per la gestione dei criteri relativi all'immagine: **abilitato**, **disabilitato** e **modalità di controllo**. Queste consentono di abilitare o disabilitare i criteri relativi alle immagini o di rivederli secondo necessità.

**Abilitato**

Quando l'opzione Allowed AMIs è abilitata: 
+ Vengono applicati i `ImageCriteria`.
+ Solo le AMI consentite sono individuabili nella console EC2 e quindi utilizzano immagini (ad esempio, APIs che descrivono, copiano, archiviano o eseguono altre azioni che utilizzano immagini).
+ Le istanze possono essere avviate solo utilizzando allowed. AMIs

**Disabilitato**

Quando l'opzione Consentito AMIs è disabilitata: 
+ Non vengono applicati i `ImageCriteria`.
+ Non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI. 

**Modalità di controllo**

 Nella modalità di controllo:
+ Vengono applicati i `ImageCriteria`, ma non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.
+ Nella console EC2, per ogni AMI, il campo **Immagine consentita** mostra **Sì** o **No** per indicare se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando Allowed AMIs è abilitato.
+ Nella riga di comando, la risposta all'`describe-image`operazione include `"ImageAllowed": true` o `"ImageAllowed": false` indica se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Allowed.
+ Nella console EC2, il catalogo AMI mostra il messaggio **Non consentito** accanto al AMIs quale non sarà rilevabile o disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Consentito.

## Le migliori pratiche per l'implementazione di Allowed AMIs
<a name="best-practice-for-implementing-allowed-amis"></a>

Nell'implementazione di Allowed AMIs, prendi in considerazione queste best practice per garantire una transizione fluida e ridurre al minimo le potenziali interruzioni AWS dell'ambiente.

1. **Abilitare la modalità di controllo**

   Inizia abilitando Allowed AMIs in modalità di controllo. Questo stato ti consente di vedere quali AMIs sarebbero gli elementi interessati dai tuoi criteri senza limitare effettivamente l'accesso, garantendo un periodo di valutazione privo di rischi.

1. **Imposta i criteri consentiti AMIs **

   Stabilire con attenzione quali provider di AMI sono in linea con le politiche di sicurezza, i requisiti di conformità e le esigenze operative della tua organizzazione.
**Nota**  
Quando utilizzi servizi AWS gestiti, come Amazon ECS, Amazon EKS o AWS Lambda Managed Instances, ti consigliamo di specificare `amazon` l'alias da cui consentire la creazione. AMIs AWS Questi servizi dipendono dalle istanze pubblicate AMIs da Amazon per lanciare.   
Fai attenzione quando `CreationDateCondition` imposti restrizioni per qualcuno. AMIs L'impostazione di condizioni di data eccessivamente restrittive (ad esempio, AMIs deve avere meno di 5 giorni) può causare errori di avvio delle istanze se le istanze AMIs, provenienti da AWS o da altri provider, non vengono aggiornate entro l'intervallo di tempo specificato.  
Consigliamo di abbinare `ImageNames` con `ImageProviders` per un controllo e una specificità migliori. Utilizzare `ImageNames` da solo potrebbe non identificare in modo univoco un’AMI.

1. **Verificare l'impatto sui processi aziendali previsti**

   Puoi utilizzare la console o la CLI per identificare tutte le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs

   Console: utilizza la AWS Config regola [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) per verificare se sono state avviate istanze in esecuzione o interrotte che soddisfano i criteri consentiti. AMIs AMIs La regola è **NON\$1COMPLIANT se** un AMI non soddisfa i AMIs criteri consentiti e **COMPLIANT** in caso affermativo. ****La regola funziona solo quando l' AMIs impostazione Allowed è impostata sulla modalità abilitata o di controllo.****

   CLI: esegui il [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html)comando e filtra la risposta per identificare le istanze avviate con AMIs che non soddisfano i criteri specificati.

   Per le istruzioni relative a console e CLI, consulta [Trova le istanze avviate da AMIs cui non è consentito](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).

1. **Abilita consentito AMIs**

   Dopo aver confermato che i criteri non influiranno negativamente sui processi aziendali previsti, abilita Consentito AMIs.

1. **Monitorare gli avvii delle istanze**

   Continua a monitorare i lanci di istanze da AMIs tutte le tue applicazioni e dai servizi AWS gestiti che utilizzi, come Amazon EMR, Amazon ECR, Amazon EKS e. AWS Elastic Beanstalk Verifica la presenza di eventuali problemi imprevisti e apporta le modifiche necessarie ai criteri consentiti. AMIs 

1. **Pilota nuovo AMIs**

   Per testare terze parti AMIs che non rispettano le attuali AMIs impostazioni Consentite, AWS consiglia i seguenti approcci:
   + Utilizza un account separato Account AWS: crea un account senza accesso alle tue risorse aziendali critiche. Assicurati che l' AMIs impostazione Consentito non sia abilitata in questo account o che le informazioni che AMIs desideri testare siano esplicitamente consentite, in modo da poterle testare. 
   + Esegui il test in un'altra regione Regione AWS: utilizza una regione in cui AMIs sono disponibili terze parti, ma in cui non hai ancora abilitato le AMIs impostazioni consentite. 

   Questi approcci aiutano a garantire che le risorse aziendali critiche rimangano sicure mentre ne testate di nuove. AMIs

## Autorizzazioni IAM richieste
<a name="iam-permissions-for-allowed-amis"></a>

Per utilizzare la AMIs funzionalità Allowed, sono necessarie le seguenti autorizzazioni IAM:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`

# Gestisci le impostazioni per Allowed AMIs
<a name="manage-settings-allowed-amis"></a>

È possibile gestire le impostazioni per Consentito AMIs. Queste impostazioni sono specifiche per ogni regione e per ogni account.

**Topics**
+ [Abilita Consentito AMIs](#enable-allowed-amis-criteria)
+ [Imposta i AMIs criteri consentiti](#update-allowed-amis-criteria)
+ [Disabilita Consentito AMIs](#disable-allowed-amis-criteria)
+ [Ottieni i AMIs criteri consentiti](#identify-allowed-amis-state-and-criteria)
+ [Scopri AMIs che sono consentiti](#identify-amis-that-meet-allowed-amis-criteria)
+ [Trova le istanze avviate da AMIs cui non è consentito](#identify-instances-with-allowed-AMIs)

## Abilita Consentito AMIs
<a name="enable-allowed-amis-criteria"></a>

È possibile abilitare Consentito AMIs e specificare AMIs i criteri Consentito. Ti consigliamo di iniziare con la modalità di controllo, che mostra quali AMIs sarebbero i criteri interessati senza limitare effettivamente l'accesso.

------
#### [ Console ]

**Per abilitare Consentito AMIs**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.

1.  AMIsNella scheda **Consentiti**, scegli **Gestisci**.

1. Per ** AMIs Impostazioni consentite**, scegli la **modalità di controllo** o **Attivata**. Ti consigliamo di iniziare in modalità di controllo, testare i criteri e quindi tornare a questo passaggio per abilitare Consentito AMIs.

1. (Facoltativo) Per i **criteri delle AMI**, inserisci i criteri in formato JSON.

1. Scegliere **Aggiorna**.

------
#### [ AWS CLI ]

**Per abilitare Consentito AMIs**  
Utilizza il comando [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```

Per abilitare la modalità di controllo, invece, specifica `audit-mode` invece di `enabled`.

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```

------
#### [ PowerShell ]

**Per abilitare Consentito AMIs**  
Utilizza il cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```

Per abilitare la modalità di controllo, invece, specifica `audit-mode` invece di `enabled`.

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```

------

## Imposta i AMIs criteri consentiti
<a name="update-allowed-amis-criteria"></a>

Dopo aver abilitato Consentito AMIs, è possibile impostare o sostituire i AMIs criteri Consentiti.

Per la corretta configurazione e i valori validi, consulta [Configurazione consentita AMIs](ec2-allowed-amis.md#allowed-amis-json-configuration) e [Parametri consentiti AMIs](ec2-allowed-amis.md#allowed-amis-criteria).

------
#### [ Console ]

**Per impostare i AMIs criteri Consentiti**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.

1.  AMIsNella scheda **Consentiti**, scegli **Gestisci**.

1. Per i **criteri delle AMI**, inserisci i criteri in formato JSON.

1. Scegliere **Aggiorna**.

------
#### [ AWS CLI ]

**Per impostare i AMIs criteri consentiti**  
Utilizzate il allowed-images-settings comando [replace-image-criteria-in-](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) e specificate il file JSON che contiene i AMIs criteri consentiti.

```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```

------
#### [ PowerShell ]

**Per impostare i criteri consentiti AMIs**  
Utilizzare il [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html)cmdlet e specificare il file JSON che contiene i criteri Allowed. AMIs

```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```

------

## Disabilita Consentito AMIs
<a name="disable-allowed-amis-criteria"></a>

È possibile disabilitare Consentito AMIs come segue.

------
#### [ Console ]

**Per disabilitare Allowed AMIs**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.

1.  AMIsNella scheda **Consentiti**, scegli **Gestisci**.

1. Per ** AMIs Impostazioni consentite**, scegli **Disabilitato**.

1. Scegliere **Aggiorna**.

------
#### [ AWS CLI ]

**Per disabilitare Consentito AMIs**  
Utilizza il comando [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).

```
aws ec2 disable-allowed-images-settings
```

------
#### [ PowerShell ]

**Per disabilitare Consentito AMIs**  
Utilizza il cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).

```
Disable-EC2AllowedImagesSetting
```

------

## Ottieni i AMIs criteri consentiti
<a name="identify-allowed-amis-state-and-criteria"></a>

È possibile ottenere lo stato corrente dell' AMIs impostazione Consentito e dei AMIs criteri Consentito.

------
#### [ Console ]

**Per ottenere lo AMIs stato e i criteri Consentiti**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Consentito AMIs**.

1.  AMIsNella scheda **Consentiti**, ** AMIs le impostazioni consentite sono** impostate sulla **modalità **Abilitata****, Disabilitata** o Controllo**.

1. Se lo stato di Allowed AMIs è **Enabled** o **Audit mode**, **AMI criteria** visualizza i criteri AMI in formato JSON.

------
#### [ AWS CLI ]

**Per ottenere AMIs lo stato e i criteri consentiti**  
Utilizza il comando [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).

```
aws ec2 get-allowed-images-settings
```

Nell’output dell’esempio seguente, lo stato è `audit-mode` e i criteri per le immagini sono impostati nell’account.

```
{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
```

------
#### [ PowerShell ]

**Per ottenere lo AMIs stato e i criteri consentiti**  
Utilizza il cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).

```
Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```

Nell’output dell’esempio seguente, lo stato è `audit-mode` e i criteri per le immagini sono impostati nell’account.

```
State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0
```

------

## Scopri AMIs che sono consentiti
<a name="identify-amis-that-meet-allowed-amis-criteria"></a>

Puoi trovare AMIs quelli consentiti o non consentiti in base AMIs ai criteri Consentiti correnti.

**Nota**  
L'opzione Consentito AMIs deve essere in modalità di controllo.

------
#### [ Console ]

**Per verificare se un AMI soddisfa i AMIs criteri consentiti**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona l’AMI.

1. Nella scheda **Dettagli** (se hai selezionato la casella di spunta) o nell'area di riepilogo (se hai selezionato l'ID dell'AMI), trova il campo **Immagine consentita**.
   + **Sì,** l'AMI soddisfa i AMIs criteri consentiti. Questo AMI sarà disponibile per gli utenti del tuo account dopo aver abilitato ConsentitoAMIs.
   + **No**: l'AMI non soddisfa i AMIs criteri consentiti.

1. Nel riquadro di navigazione seleziona **AMI Catalog** (catalogo AMI).

   Un AMI contrassegnato come **Non consentito** indica un AMI che non soddisfa i AMIs criteri Consentito. Questo AMI non sarà visibile o disponibile per gli utenti del tuo account quando AMIs è abilitata l'opzione Consentito.

------
#### [ AWS CLI ]

**Per verificare se un AMI soddisfa i AMIs criteri consentiti**  
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .

```
aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text
```

Di seguito è riportato un output di esempio.

```
True
```

**Per verificare AMIs che soddisfi i AMIs criteri Consentiti**  
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .

```
aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId
```

Di seguito è riportato un output di esempio.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------
#### [ PowerShell ]

**Per verificare se un AMI soddisfa i AMIs criteri consentiti**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```

Di seguito è riportato un output di esempio.

```
True
```

**Per verificare AMIs che soddisfi i AMIs criteri Consentiti**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId
```

Di seguito è riportato un output di esempio.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------

## Trova le istanze avviate da AMIs cui non è consentito
<a name="identify-instances-with-allowed-AMIs"></a>

Puoi identificare le istanze che sono state avviate utilizzando un'AMI che non soddisfa i AMIs criteri Consentiti.

------
#### [ Console ]

**Per verificare se un’istanza è stata avviata utilizzando un’AMI non consentita**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, seleziona **Instances (Istanze)**.

1. Selezionare l'istanza.

1. Nella scheda **Dettagli**, sotto **Dettagli istanza**, trova **Immagine consentita**.
   + **Sì,** l'AMI soddisfa i AMIs criteri consentiti.
   + **No**: l'AMI non soddisfa i AMIs criteri consentiti.

------
#### [ AWS CLI ]

**Per trovare le istanze avviate utilizzando istanze non AMIs consentite**  
Usa il comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) con il filtro `image-allowed`.

```
aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table
```

Di seguito è riportato un output di esempio.

```
--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
```

------
#### [ PowerShell ]

**Per trovare le istanze avviate utilizzando istanze non AMIs consentite**  
Utilizza il cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).

```
Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```

Di seguito è riportato un output di esempio.

```
InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```

------
#### [ AWS Config ]

Puoi aggiungere la AWS Config regola **ec2- instance-launched-with-allowed -ami**, configurarla in base alle tue esigenze e poi usarla per valutare le tue istanze.

*Per ulteriori informazioni, consulta [Adding AWS Config rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) and [ec2- instance-launched-with-allowed -ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) nella Guida per gli sviluppatori.AWS Config *

------

# Rendi la tua AMI disponibile pubblicamente per l'utilizzo in Amazon EC2
<a name="sharingamis-intro"></a>

Puoi rendere la tua AMI disponibile pubblicamente condividendola con tutti Account AWS.

Se desideri impedire la condivisione pubblica del tuo AMIs, puoi abilitare il *blocco dell'accesso pubblico per AMIs*. Ciò blocca qualsiasi tentativo di rendere pubblica un'AMI, contribuendo a prevenire l'accesso non autorizzato e il potenziale uso improprio dei dati dell'AMI. Tieni presente che l'abilitazione dell'accesso pubblico a blocchi non influisce sui tuoi AMIs account che sono già disponibili al pubblico; essi rimangono disponibili pubblicamente. Per ulteriori informazioni, consulta [Comprendi come bloccare l'accesso pubblico per AMIs](block-public-access-to-amis.md).

Per consentire a solo determinati account di utilizzare l'AMI per avviare le istanze, consulta [Condivisione di un'AMI con AWS account specifici](sharingamis-explicit.md).

**Topics**
+ [Considerazioni](#considerations-for-sharing-public-AMIs)
+ [Condividi un'AMI con tutti gli AWS account (condividi pubblicamente)](#share-an-ami-publicly)

## Considerazioni
<a name="considerations-for-sharing-public-AMIs"></a>

Considera quanto segue prima di rendere pubblica un'AMI.
+ **Proprietà**: per rendere pubblica un'AMI, è Account AWS necessario possederla.
+ **Regione**: AMIs sono una risorsa regionale. Quando un'AMI viene condivisa, questa sarà disponibile solo nella Regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
+ **Blocca l'accesso pubblico**: per condividere pubblicamente un'AMI, il [blocco dell'accesso pubblico AMIs](block-public-access-to-amis.md) deve essere disabilitato in ogni regione in cui l'AMI verrà condiviso pubblicamente. Dopo aver condiviso pubblicamente l'AMI, puoi riattivare l'accesso pubblico a blocchi AMIs per impedire un'ulteriore condivisione pubblica del tuo AMIs.
+ **Alcuni non AMIs possono essere resi pubblici**: se l'AMI include uno dei seguenti componenti, non è possibile renderlo pubblico (ma è possibile [condividere l'AMI con componenti specifici Account AWS](sharingamis-explicit.md)):
  + Volumi crittografati
  + Snapshot di volumi crittografati
  + Codici di prodotto
+ **Evita di esporre dati sensibili**: per evitare di esporre dati sensibili durante la condivisione di un'AMI, leggi le considerazioni di sicurezza in [Consigli per la creazione di Linux condiviso AMIs](building-shared-amis.md) e segui le operazioni consigliate.
+ **Utilizzo**: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo l'avvio di un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dall'istanza di avvio.
+ **Deprecazione automatica**: per impostazione predefinita, la data di obsolescenza di tutti gli utenti pubblici AMIs è impostata su due anni dalla data di creazione dell'AMI. È possibile impostare la data di obsolescenza prima dei due anni. [Per annullare la data di deprecazione o spostare la deprecazione a una data successiva, è necessario rendere privata l'AMI condividendola solo con utenti specifici. Account AWS](sharingamis-explicit.md)
+ **Rimuovi gli AMI obsoleti AMIs**: dopo che un'AMI pubblica raggiunge la data di obsolescenza, se non sono state lanciate nuove istanze dall'AMI per sei o più mesi, AWS rimuove la proprietà di condivisione pubblica in modo che quelle obsolete AMIs non compaiano negli elenchi di AMI pubblici.
+ **Fatturazione**: non ti viene addebitata alcuna fattura quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.

## Condividi un'AMI con tutti gli AWS account (condividi pubblicamente)
<a name="share-an-ami-publicly"></a>

Dopo aver reso pubblico un AMI, questo è disponibile nella **Community AMIs** nella console, a cui puoi accedere dal **catalogo AMI** nel navigatore sinistro della console EC2 o quando avvii un'istanza utilizzando la console. Tieni presente che può volerci un po' di tempo prima che un AMI appaia nella **Community AMIs** dopo averlo reso pubblico. 

------
#### [ Console ]

**Per rendere un'AMI pubblica**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona l'AMI nell'elenco e scegliere **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.

1. In **Disponibilità AMI**, scegli **Pubblica**.

1. Scegli **Save changes** (Salva modifiche).

------
#### [ AWS CLI ]

Ogni AMI ha una `launchPermission` proprietà che controlla chi Account AWS, oltre a quello del proprietario, può utilizzare quell'AMI per avviare le istanze. Modificando la `launchPermission` proprietà di un AMI, puoi renderlo pubblico (il che concede le autorizzazioni di avvio a tutti Account AWS) o condividerlo solo con Account AWS l'AMI specificato.

Puoi aggiungere o rimuovere account IDs dall'elenco degli account che dispongono delle autorizzazioni di avvio per un'AMI. Per rendere un'AMI pubblica, specifica il gruppo `all`. Puoi specificare i permessi di avvio sia espliciti che pubblici.

**Per rendere un'AMI pubblica**

1. Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) come riportato di seguito per aggiungere il gruppo `all` all'elenco `launchPermission` dell'AMI specificata.

   ```
   aws ec2 modify-image-attribute \
       --image-id ami-0abcdef1234567890 \
       --launch-permission "Add=[{Group=all}]"
   ```

1. Per verificare le autorizzazioni di avvio dell'AMI, utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html).

   ```
   aws ec2 describe-image-attribute \
       --image-id ami-0abcdef1234567890 \
       --attribute launchPermission
   ```

1. (Facoltativo) Per rendere nuovamente privata l'AMI, rimuovere il gruppo `all` dai relativi permessi di avvio. Tenere presente che il proprietario dell'AMI dispone sempre dei permessi di avvio e, di conseguenza, non è interessato da questo comando.

   ```
   aws ec2 modify-image-attribute \
       --image-id ami-0abcdef1234567890 \
       --launch-permission "Remove=[{Group=all}]"
   ```

------
#### [ PowerShell ]

Ogni AMI ha una `launchPermission` proprietà che controlla chi Account AWS, oltre a quello del proprietario, può utilizzare quell'AMI per avviare le istanze. Modificando la `launchPermission` proprietà di un AMI, puoi renderlo pubblico (il che concede le autorizzazioni di avvio a tutti Account AWS) o condividerlo solo con Account AWS l'AMI specificato.

Puoi aggiungere o rimuovere account IDs dall'elenco degli account che dispongono delle autorizzazioni di avvio per un'AMI. Per rendere un'AMI pubblica, specifica il gruppo `all`. Puoi specificare i permessi di avvio sia espliciti che pubblici.

**Per rendere un'AMI pubblica**

1. Utilizza il comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html) come riportato di seguito per aggiungere il gruppo `all` all'elenco `launchPermission` dell'AMI specificata.

   ```
   Edit-EC2ImageAttribute `
       -ImageId ami-0abcdef1234567890 `
       -Attribute launchPermission `
       -OperationType add `
       -UserGroup all
   ```

1. Per verificare le autorizzazioni di avvio dell'AMI, utilizza il seguente comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).

   ```
   Get-EC2ImageAttribute `
       -ImageId ami-0abcdef1234567890 `
       -Attribute launchPermission
   ```

1. (Facoltativo) Per rendere nuovamente privata l'AMI, rimuovere il gruppo `all` dai relativi permessi di avvio. Tenere presente che il proprietario dell'AMI dispone sempre dei permessi di avvio e, di conseguenza, non è interessato da questo comando.

   ```
   Edit-EC2ImageAttribute `
       -ImageId ami-0abcdef1234567890 `
       -Attribute launchPermission `
       -OperationType remove `
       -UserGroup all
   ```

------

# Comprendi come bloccare l'accesso pubblico per AMIs
<a name="block-public-access-to-amis"></a>

Per impedire la condivisione pubblica dei tuoi AMIs dati, puoi abilitare il *blocco dell'accesso pubblico AMIs* a livello di account.

Quando il blocco dell'accesso pubblico è abilitato, qualsiasi tentativo di rendere pubblica un'AMI viene automaticamente bloccato. Tuttavia, se ne hai già una versione pubblica AMIs, resterà disponibile al pubblico.

Per condividerli pubblicamente AMIs, devi disabilitare il blocco dell'accesso pubblico. Al termine della condivisione, è consigliabile riattivare il blocco dell'accesso pubblico per evitare qualsiasi condivisione pubblica involontaria dei tuoi dati. AMIs

**Nota**  
Questa impostazione è configurata a livello di account, direttamente nell'account o utilizzando una policy dichiarativa. Deve essere configurato in ogni Regione AWS luogo in cui desideri impedire la condivisione pubblica dei tuoi. AMIs L'utilizzo di una policy dichiarativa consente di applicare l'impostazione contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare l'impostazione direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione dell'impostazione direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations .*

Puoi limitare le autorizzazioni IAM a un utente amministratore in modo che solo lui possa abilitare o disabilitare il blocco dell'accesso pubblico per AMIs.

**Topics**
+ [Impostazioni predefinite](#block-public-access-to-amis-default-settings)
+ [Gestisci l'impostazione di blocco dell'accesso pubblico per AMIs](manage-block-public-access-for-amis.md)

## Impostazioni predefinite
<a name="block-public-access-to-amis-default-settings"></a>

L' AMIsimpostazione **Blocca l'accesso pubblico per** è abilitata o disabilitata per impostazione predefinita a seconda che l'account sia nuovo o esistente e che sia pubblico AMIs. Nella tabella seguente vengono elencate le impostazioni predefinite:


| AWS account | Blocca l'accesso pubblico per l' AMIs impostazione predefinita | 
| --- | --- | 
| Nuovi account | Abilitato | 
|  Account esistenti senza accesso al pubblico AMIs ¹  | Abilitato | 
|  Account esistenti con uno o più account pubblici AMIs  | Disabilitato | 

¹ Se il tuo account aveva uno o più account pubblici AMIs a partire dal 15 luglio 2023, l'opzione **Blocca accesso pubblico per AMIs** è disattivata per impostazione predefinita per il tuo account, anche se successivamente hai reso tutti gli account AMIs privati.

# Gestisci l'impostazione di blocco dell'accesso pubblico per AMIs
<a name="manage-block-public-access-for-amis"></a>

Puoi gestire l'impostazione di blocco dell'accesso pubblico per le tue AMI per controllare se possono essere condivise pubblicamente. Puoi abilitare, disabilitare o visualizzare lo stato attuale di blocco dell'accesso pubblico per le tue AMI utilizzando la console Amazon EC2 o AWS CLI.

## Visualizza lo stato del blocco dell'accesso pubblico per AMIs
<a name="get-block-public-access-state-for-amis"></a>

Per vedere se la condivisione pubblica del tuo account AMIs è bloccata, puoi visualizzare lo stato per cui bloccare l'accesso pubblico AMIs. È necessario visualizzare lo stato Regione AWS in cui si desidera verificare se la condivisione pubblica del proprio account AMIs è bloccata.

**Autorizzazioni richieste**  
Per ottenere l'attuale impostazione di accesso pubblico a blocchi per AMIs, devi disporre dell'autorizzazione `GetImageBlockPublicAccessState` IAM.

------
#### [ Console ]

**Per visualizzare lo stato del blocco dell'accesso pubblico AMIs nella regione specificata**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione (nella parte superiore dello schermo), seleziona la regione per la quale visualizzare lo stato di blocco dell'accesso pubblico AMIs.

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.

1. In **Blocca l'accesso pubblico per AMIs**, seleziona il campo **Accesso pubblico**. Il valore è **Nuova condivisione pubblica bloccata** o **Nuova condivisione pubblica consentita**.

------
#### [ AWS CLI ]

**Per ottenere lo stato di blocco dell'accesso pubblico per AMIs**  
Usa il comando [get-image-block-public-access-state](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-image-block-public-access-state.html). Il valore è `block-new-sharing` o `unblocked`.

**Esempio: per una regione specifica**

```
aws ec2 get-image-block-public-access-state --region us-east-1
```

Il campo `ManagedBy` indica l'entità che ha configurato l'impostazione. In questo esempio, `account` indica che l'impostazione è stata configurata direttamente nell'account. Il valore di `declarative-policy` indicherebbe che l'impostazione è stata configurata mediante una policy dichiarativa. Per ulteriori informazioni, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.

```
{
    "ImageBlockPublicAccessState": "block-new-sharing",
    "ManagedBy": "account"
}
```

**Esempio: per tutte le regioni del tuo account**

```
echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-image-block-public-access-state \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Di seguito è riportato un output di esempio.

```
Region           Public Access State
--------------   ----------------------
ap-south-1       block-new-sharing
eu-north-1       unblocked
eu-west-3        block-new-sharing
...
```

------
#### [ PowerShell ]

**Per ottenere lo stato di accesso pubblico a blocchi per AMIs**  
Utilizza il cmdlet [Get-EC2ImageBlockPublicAccessState](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageBlockPublicAccessState.html). Il valore è `block-new-sharing` o `unblocked`.

**Esempio: per una regione specifica**

```
Get-EC2ImageBlockPublicAccessState -Region us-east-1
```

Di seguito è riportato un output di esempio.

```
block-new-sharing
```

**Esempio: per tutte le regioni del tuo account**

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
        [PSCustomObject]@{
            Region   = $_
            PublicAccessState = (Get-EC2ImageBlockPublicAccessState -Region $_)
        }
} | `
Format-Table -AutoSize
```

Di seguito è riportato un output di esempio.

```
Region         PublicAccessState
------         -----------------
ap-south-1     block-new-sharing
eu-north-1     block-new-sharing
eu-west-3      block-new-sharing
...
```

------

## Abilita l'accesso pubblico a blocchi per AMIs
<a name="enable-block-public-access-for-amis"></a>

Per impedire la condivisione pubblica dei tuoi dati AMIs, abilita il blocco dell'accesso pubblico AMIs a livello di account. Devi abilitare il blocco dell'accesso pubblico per AMIs ogni Regione AWS area in cui desideri impedire la condivisione pubblica dei tuoi AMIs. Se li hai già resi pubblici AMIs, rimarranno disponibili al pubblico.

**Autorizzazioni richieste**  
Per abilitare l'impostazione di blocco dell'accesso pubblico per AMIs, devi disporre dell'autorizzazione `EnableImageBlockPublicAccess` IAM.

**Considerazioni**
+ La configurazione di questa impostazione può richiedere fino a 10 minuti. Durante questo periodo, se descrivi lo stato di accesso pubblico, la risposta è `unblocked`. Quando la configurazione sarà completata, la risposta sarà `block-new-sharing`.

------
#### [ Console ]

**Per abilitare il blocco dell'accesso pubblico AMIs nella regione specificata**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione (nella parte superiore dello schermo), seleziona la regione per la quale abilitare il blocco dell'accesso pubblico AMIs.

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.

1. In **Blocca l'accesso pubblico per AMIs**, scegli **Gestisci**.

1. Seleziona la casella di spunta **Blocca nuova condivisione pubblica** quindi scegli **Aggiorna**.

------
#### [ AWS CLI ]

**Per abilitare il blocco dell'accesso pubblico per AMIs**  
Usa il comando [enable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-image-block-public-access.html).

**Esempio: per una regione specifica**

```
aws ec2 enable-image-block-public-access \
--region us-east-1 \
--image-block-public-access-state block-new-sharing
```

Di seguito è riportato un output di esempio.

```
{ 
    "ImageBlockPublicAccessState": "block-new-sharing"
}
```

**Esempio: per tutte le regioni del tuo account**

```
echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 enable-image-block-public-access \
            --region $region \
            --image-block-public-access-state block-new-sharing \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Di seguito è riportato un output di esempio.

```
Region           Public Access State
--------------   ----------------------
ap-south-1       block-new-sharing
eu-north-1       block-new-sharing
eu-west-3        block-new-sharing
...
```

------
#### [ PowerShell ]

**Per abilitare il blocco dell'accesso pubblico per AMIs**  
Utilizza il comando [Enable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2ImageBlockPublicAccess.html).

**Esempio: per una regione specifica**

```
Enable-EC2ImageBlockPublicAccess `
    -Region us-east-1 `
    -ImageBlockPublicAccessState block-new-sharing
```

Di seguito è riportato un output di esempio.

```
Value
-----
block-new-sharing
```

**Esempio: per tutte le regioni del tuo account**

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region            = $_
        PublicAccessState = (
        Enable-EC2ImageBlockPublicAccess `
         -Region $_ `
         -ImageBlockPublicAccessState block-new-sharing)
    }
} | `
Format-Table -AutoSize
```

Di seguito è riportato un output di esempio.

```
Region         PublicAccessState
------         -----------------
ap-south-1     block-new-sharing
eu-north-1     block-new-sharing
eu-west-3      block-new-sharing
...
```

------

## Disabilitare l'accesso pubblico a blocchi per AMIs
<a name="disable-block-public-access-for-amis"></a>

Per consentire agli utenti del tuo account di condividere pubblicamente il tuo account AMIs, disabilita il blocco dell'accesso pubblico a livello di account. Devi disabilitare il blocco dell'accesso pubblico per AMIs ogni area Regione AWS in cui desideri consentire la condivisione pubblica dei tuoiAMIs.

**Autorizzazioni richieste**  
Per disabilitare l'impostazione di blocco dell'accesso pubblico per AMIs, devi disporre dell'autorizzazione `DisableImageBlockPublicAccess` IAM.

**Considerazioni**
+ La configurazione di questa impostazione può richiedere fino a 10 minuti. Durante questo periodo, se descrivi lo stato di accesso pubblico, la risposta è `block-new-sharing`. Quando la configurazione sarà completata, la risposta sarà `unblocked`.

------
#### [ Console ]

**Per disabilitare l'accesso pubblico AMIs a blocchi per la regione specificata**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dalla barra di navigazione (nella parte superiore dello schermo), seleziona la regione per la quale disabilitare il blocco dell'accesso pubblico AMIs.

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.

1. In **Blocca l'accesso pubblico per AMIs**, scegli **Gestisci**.

1. Deseleziona la casella di spunta **Blocca nuova condivisione pubblica** quindi scegli **Aggiorna**.

1. Quando viene richiesta la conferma, inserisci **confirm** e seleziona **Consenti condivisione pubblica**.

------
#### [ AWS CLI ]

**Per disabilitare il blocco dell'accesso pubblico per AMIs**  
Usa il comando [disable-image-block-public-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-image-block-public-access.html).

**Esempio: per una regione specifica**

```
aws ec2 disable-image-block-public-access --region us-east-1
```

Di seguito è riportato un output di esempio.

```
{
   "ImageBlockPublicAccessState": "unblocked"
}
```

**Esempio: per tutte le regioni del tuo account**

```
echo -e "Region   \t Public Access State" ; \
echo -e "-------------- \t ----------------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 disable-image-block-public-access \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Di seguito è riportato un output di esempio.

```
Region           Public Access State
--------------   ----------------------
ap-south-1       unblocked
eu-north-1       unblocked
eu-west-3        unblocked
...
```

------
#### [ PowerShell ]

**Per disabilitare l'accesso pubblico a blocchi per AMIs**  
Utilizza il cmdlet [Disable-EC2ImageBlockPublicAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2ImageBlockPublicAccess.html).

**Esempio: per una regione specifica**

```
Disable-EC2ImageBlockPublicAccess -Region us-east-1
```

Di seguito è riportato un output di esempio.

```
Value
-----
unblocked
```

**Esempio: per tutte le regioni del tuo account**

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region            = $_
        PublicAccessState = (Disable-EC2ImageBlockPublicAccess -Region $_)
    }
} | `
Format-Table -AutoSize
```

Di seguito è riportato un output di esempio.

```
Region         PublicAccessState
------         -----------------
ap-south-1     unblocked
eu-north-1     unblocked
eu-west-3      unblocked
...
```

------

# Condivisione di un'AMI con organizzazioni e unità organizzative
<a name="share-amis-with-organizations-and-OUs"></a>

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)è un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente. È possibile condividere un'AMI con un'organizzazione o un'unità organizzativa (UO) creata, oltre a [condividerla con account specifici](sharingamis-explicit.md).

Un'organizzazione è un'entità che viene creata per consolidare e gestire centralmente i propri Account AWS. È possibile organizzare gli account in una struttura gerarchica strutturata ad albero con una [radice](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root) nella parte superiore e unità [organizzative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit) sotto la radice dell'organizzazione. Ogni account può essere aggiunto direttamente alla cartella principale o inserito in uno dei punti della OUs gerarchia. Per ulteriori informazioni, consulta [Concetti e terminologia di AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) nella *Guida per l'utente di AWS Organizations *.

Quando un'AMI viene condivisa con un'organizzazione o un'unità organizzativa, tutti gli account figlio hanno accesso all'AMI. Ad esempio, nel diagramma seguente, l'AMI viene condivisa con un'unità organizzativa di primo livello (indicata dalla freccia sul numero **1**). Tutti gli account OUs e gli account annidati al di sotto dell'unità organizzativa di livello superiore (indicata dalla linea tratteggiata al numero **2**) hanno anch'essi accesso all'AMI. Gli account dell'organizzazione e dell'unità organizzativa al di fuori della linea tratteggiata (indicati dal numero **3**) non avranno accesso all'AMI perché non sono figli dell'UO con cui l'AMI è condivisa.

![\[L'AMI è condivisa con un'unità organizzativa e tutti i bambini OUs e gli account hanno accesso all'AMI.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ami-share-with-orgs-and-ous.png)


**Topics**
+ [Considerazioni](#considerations-org-ou)
+ [Ottenere l'ARN di un'organizzazione o un'unità organizzativa](get-org-ou-ARN.md)
+ [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md)
+ [Gestire la condivisione di un'AMI con un'organizzazione o un'unità organizzativa](share-amis-org-ou-manage.md)

## Considerazioni
<a name="considerations-org-ou"></a>

Quando condividi AMIs con organizzazioni o unità organizzative specifiche, tieni presente quanto segue.
+ **Proprietà**: per condividere un'AMI, il tuo Account AWS deve essere proprietario dell'AMI.
+ **Limiti di condivisione**: il proprietario dell'AMI può condividere un'AMI con qualsiasi organizzazione o unità organizzativa, incluse le organizzazioni di OUs cui non è membro.

  Per il numero massimo di entità con cui un'AMI può essere condivisa all'interno di una regione, consulta le [quote di servizio di Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tag**: non puoi condividere tag definiti dall'utente (tag che colleghi a un'AMI). Quando condividi un'AMI, i tag definiti dall'utente non sono disponibili per nessuna Account AWS organizzazione o unità organizzativa con cui è condiviso l'AMI.
+ **Formato ARN**: quando si specifica un'organizzazione o un'unità organizzativa in un comando, assicurarsi di utilizzare il formato ARN corretto. Se si specifica solo l'ID, ad esempio se si specifica solo `o-123example` o `ou-1234-5example`, viene restituito un errore.

  Formati ARN corretti:
  + ARN dell'organizzazione: `arn:aws:organizations::111122223333:organization/organization-id`
  + ARN dell'unità organizzativa: `arn:aws:organizations::111122223333:ou/organization-id/ou-id`

  Dove:
  + *`111122223333`* è un esempio di ID account a 12 cifre per l’account di gestione. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione o l'unità organizzativa in modo da ottenere l'ARN, che include il numero dell'account di gestione. Per ulteriori informazioni, consulta [Ottenere l'ARN di un'organizzazione o un'unità organizzativa](get-org-ou-ARN.md).
  + *`organization-id`* è l'ID dell'organizzazione, ad esempio, `o-123example`.
  + *`ou-id`* è l'ID dell'unità organizzativa, ad esempio, `ou-1234-5example`.

  Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) nella *IAM User Guide*.
+ **Crittografia e chiavi**: puoi condividerle con AMIs il supporto di istantanee crittografate e non crittografate.
  + Gli snapshot crittografati devono essere crittografati con una chiave gestita dal cliente. Non è possibile condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita AWS .
  + Se condividi un'AMI supportata da istantanee crittografate, devi consentire alle organizzazioni o OUs utilizzare le chiavi gestite dal cliente utilizzate per crittografare le istantanee. Per ulteriori informazioni, consulta [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md).
+ **Regione**: AMIs sono una risorsa regionale. Quando un'AMI viene condivisa, questa sarà disponibile solo nella Regione da cui viene condivisa. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
+ **Utilizzo**: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo l'avvio di un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dall'istanza di avvio.
+ **Fatturazione**: non ti viene addebitata alcuna fattura quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.

# Ottenere l'ARN di un'organizzazione o un'unità organizzativa
<a name="get-org-ou-ARN"></a>

L'organizzazione e l'unità organizzativa ARNs contengono il numero dell'account di gestione a 12 cifre. Se non si conosce il numero dell'account di gestione, è possibile descrivere l'organizzazione e l'unità organizzativa in modo da ottenere l'ARN. Negli esempi seguenti, `123456789012` è l’ID dell’account di gestione.

**Autorizzazioni richieste**  
Prima di poter ottenere il ARNs, è necessario disporre dell'autorizzazione necessaria per descrivere le organizzazioni e le unità organizzative. La seguente policy fornisce l'autorizzazione necessaria.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:Describe*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

------
#### [ AWS CLI ]

**Come ottenere l'ARN di un'organizzazione**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html). Aggiungi l’opzione `--query` per restituire solo l’ARN dell’organizzazione.

```
aws organizations describe-organization --query 'Organization.Arn'
```

Di seguito è riportato un output di esempio.

```
"arn:aws:organizations::123456789012:organization/o-1234567abc"
```

**Come ottenere l'ARN di una unità organizzativa**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html). Utilizza il parametro `--query` per restituire solo l’ARN dell’unità organizzativa.

```
aws organizations describe-organizational-unit \
    --organizational-unit-id ou-a123-b4567890 \
    --query 'OrganizationalUnit.Arn'
```

Di seguito è riportato un output di esempio.

```
"arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890"
```

------
#### [ PowerShell ]

**Come ottenere l'ARN di un'organizzazione**  
Utilizzare il ORGOrganization cmdlet [Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganization.html).

```
(Get-ORGOrganization).Arn
```

Di seguito è riportato un output di esempio.

```
arn:aws:organizations::123456789012:organization/o-1234567abc
```

**Come ottenere l'ARN di una unità organizzativa**  
Utilizzare il cmdlet [Get- ORGOrganizational Unit](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ORGOrganizationalUnit.html).

```
(Get-ORGOrganizationalUnit -OrganizationalUnitId "ou-a123-b4567890").Arn
```

Di seguito è riportato un output di esempio.

```
arn:aws:organizations::123456789012:ou/o-1234567abc/ou-a123-b4567890
```

------

# Consenti alle organizzazioni OUs di utilizzare una chiave KMS
<a name="allow-org-ou-to-use-key"></a>

Se condividi un'AMI supportata da istantanee crittografate, devi anche consentire alle organizzazioni o alle unità organizzative (OUs) di utilizzare le chiavi KMS utilizzate per crittografare le istantanee.

**Nota**  
Gli snapshot crittografati devono essere crittografati con una chiave *gestita dal cliente*. Non puoi condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita. AWS 

Per controllare l’accesso alla chiave KMS, nella [policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) puoi utilizzare le chiavi di condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) per consentire solo l’autorizzazione dei principali specifici alle azioni specificate. Un principale può essere un utente, un ruolo IAM, un utente federato o un utente Account AWS root.

Le chiavi di condizione vengono utilizzate nel modo seguente:
+ `aws:PrincipalOrgID` – Consente qualsiasi principale appartenente all'organizzazione rappresentato dall'ID specificato.
+ `aws:PrincipalOrgPaths`— Consente qualsiasi principale appartenente ai percorsi OUs rappresentati dai percorsi specificati.

Per concedere a un'organizzazione (inclusi OUs gli account che le appartengono) l'autorizzazione a utilizzare una chiave KMS, aggiungi la seguente dichiarazione alla politica chiave.

```
{
    "Sid": "Allow access for organization root",
    "Effect": "Allow",
    "Principal": "*",
    "Action": [
        "kms:Describe*",
        "kms:List*",
        "kms:Get*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:CreateGrant"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:PrincipalOrgID": "o-123example"
        }
    }
}
```

Per concedere l'autorizzazione specifica OUs (e agli account che ne fanno parte) all'uso di una chiave KMS, puoi utilizzare una politica simile all'esempio seguente.

```
{
        "Sid": "Allow access for specific OUs and their descendants",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "kms:Describe*",
            "kms:List*",
            "kms:Get*",
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:CreateGrant"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-123example"
            },
            "ForAnyValue:StringLike": {
                "aws:PrincipalOrgPaths": [
                    "o-123example/r-ab12/ou-ab12-33333333/*",
                    "o-123example/r-ab12/ou-ab12-22222222/*"
                ]
            }
        }
}
```

Per altri esempi di istruzioni delle condizioni, consulta [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths) nella *Guida per l'utente di IAM*. 

Per informazioni sull'accesso multi-account, consulta [Autorizzazione per gli utenti in altri account a utilizzare una chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

# Gestire la condivisione di un'AMI con un'organizzazione o un'unità organizzativa
<a name="share-amis-org-ou-manage"></a>

Puoi gestire la condivisione di un'AMI con organizzazioni o unità organizzative (OU) per controllare se possono avviare istanze Amazon EC2.

## Visualizza le organizzazioni e OUs con cui è condivisa un'AMI
<a name="decribe-ami-launch-permissions"></a>

Puoi trovare le organizzazioni OUs con cui hai condiviso la tua AMI.

------
#### [ Console ]

**Per verificare con quali organizzazioni e con quali organizzazioni OUs avete condiviso la vostra AMI**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona la tua AMI nell'elenco, scegli la scheda **Autorizzazioni** e scorri verso il basso fino a **OUsOrganizzazioni condivise/**.

   Per scoprire AMIs che sono condivise con te, consulta. [Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md)

------
#### [ AWS CLI ]

**Per verificare con quali organizzazioni e con quali organizzazioni OUs avete condiviso la vostra AMI**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html) con l’attributo `launchPermission`.

```
aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

Di seguito è riportata una risposta di esempio.

```
{
    "ImageId": "ami-0abcdef1234567890",
    "LaunchPermissions": [
        {
            "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
        }
    ]
}
```

------
#### [ PowerShell ]

**Per verificare con quali organizzazioni e con quali organizzazioni OUs avete condiviso la vostra AMI**  
Utilizza il cmdlet [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html).

```
Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

## Condividere un'AMI con un'organizzazione o una unità organizzativa
<a name="share-amis-org-ou"></a>

Puoi condividere un’AMI con un’organizzazione o un’unità organizzativa.

**Nota**  
Per condividere l'AMI, non è necessario condividere gli snapshot Amazon EBS a cui l'AMI fa riferimento. Occorre condividere soltanto l’AMI; il sistema fornisce automaticamente all’istanza l’accesso agli snapshot EBS a cui viene fatto riferimento per l’avvio. Tuttavia, è necessario condividere le chiavi KMS utilizzate per crittografare snapshot a cui l'AMI fa riferimento. Per ulteriori informazioni, consulta [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md).

------
#### [ Console ]

**Come condividere un'AMI con un'organizzazione o una unità organizzativa**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona l'AMI nell'elenco e scegli **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.

1. In **AMI availability (Disponibilità AMI)**, scegliere **Private (Privato)**.

1. **Accanto a **Organizzazioni condivise/OUs, scegli** Aggiungi ARN. organization/OU **

1. Per **Organization/OU ARN (Organizzazione/OU ARN)**, inserire l'ARN o l'ARN OU dell'organizzazione con cui condividere l'AMI, quindi scegliere **Share AMI (Condivisione di AMI)**. È necessario specificare l'ARN completo, non solo l'ID.

   Per condividere questo AMI con più organizzazioni o OUs ripetere questo passaggio finché non sono state aggiunte tutte le organizzazioni richieste oppure OUs.

1. Al termine, scegli **Save changes (Salva modifiche)**.

1. (Facoltativo) Per visualizzare le organizzazioni o OUs con cui hai condiviso l'AMI, seleziona l'AMI nell'elenco, scegli la scheda **Autorizzazioni** e scorri verso il basso fino a **OUsOrganizzazioni condivise/**. Per scoprire AMIs che sono condivise con te, consulta. [Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md)

------
#### [ AWS CLI ]

**Per condividere un'AMI con un'organizzazione**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) per concedere all’organizzazione specificata le autorizzazioni di avvio per l’AMI selezionata.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```

**Per condividere un'AMI con una unità organizzativa**  
Il [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)comando concede le autorizzazioni di avvio per l'AMI specificato all'unità organizzativa specificata. È necessario specificare l'ARN completo, non solo l'ID.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
```

------
#### [ PowerShell ]

Utilizzate il [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)comando (Strumenti per Windows PowerShell) per condividere un'AMI, come illustrato negli esempi seguenti.

**Come condividere un'AMI con un'organizzazione o una unità organizzativa**  
Il comando seguente concede all'organizzazione specificata le autorizzazioni di avvio per l'AMI selezionata.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType add `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**  
Il comando seguente rimuove le autorizzazioni di avvio per l'AMI specificata dall'organizzazione specificata:

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Per interrompere la condivisione di un'AMI con tutte le organizzazioni OUs, e Account AWS**  
Il comando seguente consente di rimuovere dall'AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

## Interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa
<a name="stop-sharing-amis-org-ou"></a>

Puoi interrompere la condivisione di un’AMI con un’organizzazione o una unità organizzativa.

**Nota**  
Non è possibile interrompere la condivisione di un'AMI con un account specifico se si trova in un'organizzazione o in una unità organizzativa con cui è condivisa un'AMI. Se si prova a interrompere la condivisione dell'AMI rimuovendo le autorizzazioni di avvio per l'account, Amazon EC2 restituirà un messaggio di riuscita dell'operazione. Tuttavia, l'AMI continuerà a essere condivisa con l'account.

------
#### [ Console ]

**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona l'AMI nell'elenco e scegli **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.

1. **In **Organizzazioni condivise/ OUs**, seleziona le organizzazioni OUs con cui desideri interrompere la condivisione dell'AMI, quindi scegli Rimuovi selezionato.**

1. Al termine, scegli **Save changes (Salva modifiche)**.

1. (Facoltativo) Per confermare di aver interrotto la condivisione dell'AMI con le organizzazioni oppureOUs, seleziona l'AMI nell'elenco, scegli la scheda **Autorizzazioni** e scorri verso il basso fino a **OUsOrganizzazioni condivise/**.

------
#### [ AWS CLI ]

**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**  
Utilizza il comando [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html). Questo esempio rimuove le autorizzazioni di avvio per l’AMI specificata dall’organizzazione specificata.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
```

**Per interrompere la condivisione di un'AMI con tutte le organizzazioni OUs, e Account AWS**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/reset-image-attribute.html). Questo esempio rimuove tutte le autorizzazioni di avvio pubbliche ed esplicite dall’AMI specificata. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.

```
aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

------
#### [ PowerShell ]

**Come interrompere la condivisione di un'AMI con un'organizzazione o una unità organizzativa**  
Utilizza il cmdlet [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html). Questo esempio rimuove le autorizzazioni di avvio per l’AMI specificata dall’organizzazione specificata.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission `
    -OperationType remove `
    -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
```

**Per interrompere la condivisione di un'AMI con tutte le organizzazioni OUs, e Account AWS**  
Utilizza il cmdlet [Reset-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Reset-EC2ImageAttribute.html). Questo esempio rimuove tutte le autorizzazioni di avvio pubbliche ed esplicite dall’AMI specificata. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute LaunchPermission
```

------

# Condivisione di un'AMI con AWS account specifici
<a name="sharingamis-explicit"></a>

È possibile condividere un'AMI con specifici utenti Account AWS senza renderla pubblica. Tutto ciò di cui hai bisogno sono i Account AWS IDs.

Un Account AWS ID è un numero di 12 cifre, ad esempio`012345678901`, che identifica in modo univoco un. Account AWS Per ulteriori informazioni, consulta la sezione [View Account AWS identifiers](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html) nella *Guida di riferimento di Gestione dell'account AWS *.



## Considerazioni
<a name="considerations-for-sharing-AMI-with-accounts"></a>

Considerate quanto segue quando condividete con persone specifiche. AMIs Account AWS
+ **Proprietà**: per condividere un'AMI, il tuo Account AWS deve essere proprietario dell'AMI.
+ **Limiti di condivisione**: per il numero massimo di entità con cui un'AMI può essere condivisa all'interno di una regione, consulta le [quote di servizio di Amazon EC2](https://docs.aws.amazon.com//general/latest/gr/ec2-service.html#limits_ec2).
+ **Tag**: non puoi condividere tag definiti dall'utente (tag che colleghi a un'AMI). Quando condividi un'AMI, i tag definiti dall'utente non sono disponibili per nessuno con Account AWS cui l'AMI è condiviso.
+ **Snapshot**: per condividere l’AMI, non è necessario condividere gli snapshot Amazon EBS a cui l’AMI fa riferimento. Puoi condividere solo l’AMI stessa; il sistema fornisce l’accesso dell’istanza agli snapshot EBS di riferimento per l’avvio. Tuttavia, devi condividere eventuali Chiavi KMS utilizzate per crittografare gli snapshot a cui l’AMI fa riferimento. Per ulteriori informazioni, consulta [Condividi uno snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-modifying-snapshot-permissions.html) nella *Guida per l'utente di Amazon EBS*.
+ **Crittografia e chiavi**: è possibile condividerle con AMIs il supporto di istantanee crittografate e non crittografate.
  + Gli snapshot crittografati devono essere crittografati con una chiave KMS. Non è possibile condividerle AMIs supportate da istantanee crittografate con la chiave gestita predefinita AWS .
  + Se condividi un'AMI supportata da istantanee crittografate, devi consentire loro di Account AWS utilizzare le chiavi KMS utilizzate per crittografare le istantanee. Per ulteriori informazioni, consulta [Consenti alle organizzazioni OUs di utilizzare una chiave KMS](allow-org-ou-to-use-key.md). Per configurare la policy chiave necessaria per avviare le istanze di Auto Scaling quando utilizzi una chiave gestita dal cliente per la crittografia, consulta la sezione [AWS KMS key Politica richiesta per l'uso con volumi crittografati nella Guida per l'utente](https://docs.aws.amazon.com/autoscaling/ec2/userguide/key-policy-requirements-EBS-encryption.html) di *Amazon EC2 Auto Scaling*. 
+ **Regione**: AMIs sono una risorsa regionale. Quando un'AMI viene condivisa, questa sarà disponibile solo in quella Regione. Per rendere un'AMI disponibile in un'altra regione, copiala nella regione desiderata e condividila. Per ulteriori informazioni, consulta [Copiare un'AMI Amazon EC2](CopyingAMIs.md).
+ **Utilizzo**: quando un'AMI viene condivisa, gli utenti possono soltanto avviare le istanze dall'AMI. Non possono eliminarle, condividerle o modificarle. Tuttavia, dopo aver avviato un'istanza utilizzando l'AMI condivisa, potranno creare un'AMI dalla loro istanza.
+ **Copia condivisa AMIs**: se gli utenti di un altro account desiderano copiare un'AMI condivisa, è necessario concedere loro le autorizzazioni di lettura per lo storage che supporta l'AMI. Per ulteriori informazioni, consulta [Copia tra account](how-ami-copy-works.md#copy-ami-across-accounts).
+ **Fatturazione**: non ti viene addebitata alcuna fattura quando il tuo AMI viene utilizzato da altri Account AWS per avviare istanze. Agli account che avviano le istanze tramite l'AMI saranno addebitate solo le istanze avviate.

------
#### [ Console ]

**Per concedere i permessi di avvio espliciti**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Selezionare l'AMI nell'elenco e scegli **Actions (Operazioni)**, quindi **Edit AMI permissions (Modifica autorizzazioni AMI)**.

1. Scegli **Private (Privato)**.

1. In **Shared accounts (Account condivisi)**, scegliere **Add account ID (Aggiungi ID account)**.

1. Per **Account AWS ID**, inserisci l' Account AWS ID con cui desideri condividere l'AMI, quindi scegli **Condividi AMI**.

   Per condividere questo AMI con più account, ripeti i passaggi 5 e 6 finché non hai aggiunto tutti gli account richiesti IDs.

1. Al termine, scegli **Save changes (Salva modifiche)**.

1. (Facoltativo) Per visualizzare l'AMI Account AWS IDs con cui hai condiviso l'AMI, seleziona l'AMI nell'elenco e scegli la scheda **Autorizzazioni**. Per scoprire AMIs che sono condivisi con te, consulta[Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md).

------
#### [ AWS CLI ]

Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html) per condividere un’AMI come illustrato negli esempi seguenti.

**Per concedere i permessi di avvio espliciti**  
L’esempio seguente concede all’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{UserId=123456789012}]"
```

**Per rimuovere i permessi di avvio da un account**  
L’esempio seguente consente di rimuovere dall’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{UserId=123456789012}]"
```

**Per rimuovere tutte le autorizzazioni di avvio**  
L’esempio seguente consente di rimuovere dall’AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.

```
aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission
```

------
#### [ PowerShell ]

Utilizzate il [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)comando (Strumenti per Windows PowerShell) per condividere un'AMI, come illustrato negli esempi seguenti.

**Per concedere i permessi di avvio espliciti**  
L’esempio seguente concede all’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 ` 
    -Attribute launchPermission `
    -OperationType add `
    -UserId "123456789012"
```

**Per rimuovere i permessi di avvio da un account**  
L’esempio seguente consente di rimuovere dall’ Account AWS specificato le autorizzazioni di avvio per l’AMI specificata.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission -OperationType remove `
    -UserId "123456789012"
```

**Per rimuovere tutte le autorizzazioni di avvio**  
L’esempio seguente consente di rimuovere dall’AMI specificata tutte le autorizzazioni di avvio esplicite e pubbliche. Considera che il proprietario dell'AMI dispone sempre delle autorizzazioni di avvio e, di conseguenza, questo comando non ha alcun effetto su di lui.

```
Reset-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute launchPermission
```

------

# Annulla la condivisione di un AMI con il tuo Account AWS
<a name="cancel-sharing-an-AMI"></a>

Un'Amazon Machine Image (AMI) può essere [condivisa con Account AWS specifici](sharingamis-explicit.md) aggiungendo gli account alle sue autorizzazioni di avvio. Se un'AMI è stata condivisa con il tuo Account AWS e non desideri più che venga condivisa con il tuo account, puoi rimuovere il tuo account dalle autorizzazioni di avvio dell'AMI. Puoi farlo eseguendo il `cancel-image-launch-permission` AWS CLI comando. Quando si esegue questo comando, le Account AWS autorizzazioni di avvio per l'AMI specificata vengono rimosse. Per trovare quelli AMIs che sono condivisi con il tuo Account AWS, vedi[Trova AMI condivise da usare per le istanze Amazon EC2](usingsharedamis-finding.md).

Potresti annullare la condivisione di un'AMI con il tuo account, ad esempio, per ridurre la probabilità di avviare un'istanza con un'AMI inutilizzata o obsoleta che è stata condivisa con te. Quando annulli la condivisione di un'AMI con il tuo account, questa non viene più visualizzata in nessun elenco di AMI della console EC2 o nell'output per [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

**Topics**
+ [Limitazioni](#cancel-sharing-an-AMI-limitations)
+ [Annullamento della condivisione di un'AMI con il tuo account](#cancel-image-launch-permission)

## Limitazioni
<a name="cancel-sharing-an-AMI-limitations"></a>
+ Puoi rimuovere il tuo account dalle autorizzazioni di avvio di un'AMI condivisa Account AWS solo con te. Non puoi utilizzare `cancel-image-launch-permission` per rimuovere il tuo account dalle autorizzazioni di avvio di un'[AMI condivisa con un'organizzazione o un'unità organizzativa (OU)](share-amis-with-organizations-and-OUs.md) o per rimuovere l'accesso al pubblico AMIs.
+ Non è possibile rimuovere definitivamente il tuo account dalle autorizzazioni di avvio di un'AMI. Il proprietario di un'AMI può condividerla nuovamente con il tuo account.
+ AMIs sono una risorsa regionale. Durante l'esecuzione di `cancel-image-launch-permission`, devi specificare la regione in cui si trova l'AMI. Specificate la regione nel comando o utilizzate la [variabile di AWS\$1DEFAULT\$1REGION ambiente](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html).
+ Solo gli SDK AWS CLI e supportano la rimozione del tuo account dalle autorizzazioni di avvio di un'AMI. Al momento la console EC2 non supporta questa operazione.

## Annullamento della condivisione di un'AMI con il tuo account
<a name="cancel-image-launch-permission"></a>

**Nota**  
L'annullamento della condivisione di un'AMI con il tuo account non è un'operazione annullabile. Per ottenere nuovamente l'accesso all'AMI, il proprietario dell'AMI dovrà condividerla con il tuo account.

------
#### [ AWS CLI ]

**Per annullare la condivisione di un’AMI con il tuo account**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/cancel-image-launch-permission.html).

```
aws ec2 cancel-image-launch-permission \
    --image-id ami-0abcdef1234567890 \
    --region us-east-1
```

------
#### [ PowerShell ]

**Per annullare la condivisione di un’AMI con il tuo account**  
Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/index.html](https://docs.aws.amazon.com/powershell/latest/reference/index.html).

```
Stop-EC2ImageLaunchPermission `
    -ImageId ami-0abcdef1234567890 `
    -Region us-east-1
```

------

# Consigli per la creazione di Linux condiviso AMIs
<a name="building-shared-amis"></a>

Utilizza le seguenti linee guida per ridurre la superficie di attacco e migliorare l'affidabilità del file AMIs che crei.

**Importante**  
Nessun elenco delle linee guida di sicurezza può essere esaustivo. Crea la tua condivisione AMIs con attenzione e dedica del tempo a considerare dove potresti esporre i dati sensibili.

**Topics**
+ [Disabilitazione degli accessi remoti basati su password per l'utente root](#public-amis-disable-password-logins-for-root)
+ [Disabilitazione dell'accesso root locale](#restrict-root-access)
+ [Rimozione delle coppie di chiavi dell'host SSH](#remove-ssh-host-key-pairs)
+ [Installazione delle credenziali di chiave pubblica](#public-amis-install-credentials)
+ [Disabilitare i controlli DNS sshd (facoltativo)](#public-amis-disable-ssh-dns-lookups)
+ [Rimuovere i dati sensibili](#public-amis-protect-yourself)

Se stai creando AMIs per Marketplace AWS, consulta [le migliori pratiche per la creazione AMIs](https://docs.aws.amazon.com/marketplace/latest/userguide/best-practices-for-building-your-amis.html) nella *Guida al Marketplace AWS venditore* per trovare linee guida, politiche e best practice.

## Disabilitazione degli accessi remoti basati su password per l'utente root
<a name="public-amis-disable-password-logins-for-root"></a>

L'uso di una password root fissa per le AMI pubbliche rappresenta un rischio per la sicurezza che può diventare noto rapidamente. Anche fare affidamento sul fatto che gli utenti modifichino la password dopo il primo accesso lascia aperta una piccola possibilità di potenziali usi illeciti. 

Per risolvere questo problema, disabilita gli accessi remoti basati su password per l'utente root.

**Per disabilitare gli accessi remoti basati su password per l'utente root**

1. Aprire il file `/etc/ssh/sshd_config` con un editor di testo e individuare la riga seguente:

   ```
   #PermitRootLogin yes
   ```

1. Modificare la riga in:

   ```
   PermitRootLogin without-password
   ```

   Il percorso di questo file di configurazione potrebbe essere diverso a seconda della distribuzione o se OpenSSH non è in esecuzione. In questo caso, consultare la relativa documentazione. 

## Disabilitazione dell'accesso root locale
<a name="restrict-root-access"></a>

Quando lavori con shared AMIs, una buona pratica consiste nel disabilitare gli accessi root diretti. Per farlo, accedi all'istanza in esecuzione ed esegui il comando seguente:

```
[ec2-user ~]$ sudo passwd -l root
```

**Nota**  
Questo comando non ha alcun impatto sull'uso di `sudo`.

## Rimozione delle coppie di chiavi dell'host SSH
<a name="remove-ssh-host-key-pairs"></a>

 Se intendi condividere un'AMI derivata da un'AMI pubblica, rimuovi le coppie di chiavi dell'host SSH esistenti posizionate in `/etc/ssh`. Ciò costringe SSH a generare nuove coppie di chiavi SSH uniche quando qualcuno avvia un'istanza utilizzando la tua AMI, migliorando la sicurezza e riducendo la probabilità di attacchi "». man-in-the-middle 

Rimuovi tutti i file di chiave seguenti presenti sul sistema.
+  ssh\$1host\$1dsa\$1key 
+  ssh\$1host\$1dsa\$1key.pub 
+  ssh\$1host\$1key 
+  ssh\$1host\$1key.pub 
+  ssh\$1host\$1rsa\$1key 
+  ssh\$1host\$1rsa\$1key.pub 
+ ssh\$1host\$1ecdsa\$1key
+ ssh\$1host\$1ecdsa\$1key.pub
+ ssh\$1host\$1ed25519\$1key
+ ssh\$1host\$1ed25519\$1key.pub

Puoi rimuovere in sicurezza tutti questi file con il comando seguente.

```
[ec2-user ~]$ sudo shred -u /etc/ssh/*_key /etc/ssh/*_key.pub
```

**avvertimento**  
Le utilità di eliminazione sicura, come **shred**, potrebbero non rimuovere tutte le copie di un file dai supporti di archiviazione. I file system di journaling (tra cui il file system ext4 predefinito di Amazon Linux), snapshot, backup, RAID e la cache temporanea potrebbero creare delle copie nascoste dei file. Per ulteriori informazioni, consulta la [documentazione sull’eliminazione](https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html).

**Importante**  
Se dimentichi di rimuovere le coppie di chiavi dell'host SSH esistenti dall'AMI pubblica, il nostro processo di controllo di routine invia una notifica a te e a tutti gli utenti che eseguono le istanze della tua AMI informandovi del potenziale rischio per la sicurezza. Dopo un breve periodo di tolleranza, contrassegneremo l'AMI come privata. 

## Installazione delle credenziali di chiave pubblica
<a name="public-amis-install-credentials"></a>

Dopo aver configurato l'AMI per impedire l'accesso tramite password, devi assicurarti che gli utenti possano accedervi mediante un altro meccanismo. 

Amazon EC2 consente agli utenti di specificare un nome di coppia di chiavi pubblica-privata al momento dell'avvio dell'istanza. Se viene specificato un nome della coppia di chiavi valido alla chiamata API `RunInstances` (o tramite gli strumenti API della riga di comando), la chiave pubblica (la porzione della coppia di chiavi che Amazon EC2 conserva sul server in seguito alla chiamata a `CreateKeyPair` o a `ImportKeyPair`) viene resa disponibile per l'istanza tramite una query HTTP sui metadati dell'istanza. 

Per accedere tramite SSH, l'AMI deve recuperare il valore di chiave al momento dell'avvio e aggiungerlo a `/root/.ssh/authorized_keys` (o all'equivalente per gli altri account utente sull'AMI). Gli utenti possono avviare le istanze dell'AMI con una coppia di chiavi e accedere senza bisogno di una password root. 

Molte distribuzioni, tra cui Amazon Linux e Ubuntu, utilizzano il pacchetto `cloud-init` per inserire le credenziali di chiave pubblica per un utente configurato. Se la distribuzione in uso non supporta `cloud-init`, puoi aggiungere il codice seguente a uno script di avvio del sistema (come `/etc/rc.local`) per inserire la chiave pubblica specificata al momento dell'avvio per l'utente root.

**Nota**  
Nell'esempio seguente, l'indirizzo IP http://169.254.169.254/ è un indirizzo locale del collegamento ed è valido solo dall'istanza.

------
#### [ IMDSv2 ]

```
if [ ! -d /root/.ssh ] ; then
        mkdir -p /root/.ssh
        chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
        cat /tmp/my-key >> /root/.ssh/authorized_keys
        chmod 700 /root/.ssh/authorized_keys
        rm /tmp/my-key
fi
```

------
#### [ IMDSv1 ]

```
if [ ! -d /root/.ssh ] ; then
        mkdir -p /root/.ssh
        chmod 700 /root/.ssh
fi
# Fetch public key using HTTP
curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key > /tmp/my-key
if [ $? -eq 0 ] ; then
        cat /tmp/my-key >> /root/.ssh/authorized_keys
        chmod 700 /root/.ssh/authorized_keys
        rm /tmp/my-key
fi
```

------

 Questa procedura è applicabile a tutti gli utenti e non è necessario limitarla all'utente `root`.

**Nota**  
Il nuovo raggruppamento di un'istanza basata su tale AMI include la chiave con la quale è stata avviata. Per impedire l'inclusione della chiave, è necessario eliminare il file `authorized_keys` o escluderlo dal nuovo raggruppamento. 

## Disabilitare i controlli DNS sshd (facoltativo)
<a name="public-amis-disable-ssh-dns-lookups"></a>

La disabilitazione dei controlli DNS sshd indebolisce leggermente la sicurezza sshd. Tuttavia, in caso di errori della risoluzione DNS, gli accessi SSH continueranno a funzionare. Se non disabiliti i controlli sshd, gli errori della risoluzione DNS impediranno tutti gli accessi. 

**Per disabilitare i controlli DNS sshd**

1. Aprire il file `/etc/ssh/sshd_config` con un editor di testo e individuare la riga seguente:

   ```
   #UseDNS yes
   ```

1. Modificare la riga in: 

   ```
   UseDNS no
   ```

**Nota**  
Il percorso di questo file di configurazione può essere diverso a seconda della distribuzione o se OpenSSH non è in esecuzione. In questo caso, consultare la relativa documentazione. 

## Rimuovere i dati sensibili
<a name="public-amis-protect-yourself"></a>

Ti sconsigliamo di archiviare dati sensibili o software sulle AMI che condividi. Gli utenti che avviano un'AMI condivisa potrebbero ricompilarla e registrarla come di loro proprietà. Segui queste linee guida per evitare rischi della sicurezza spesso sottovalutati: 
+ Ti consigliamo di utilizzare l'opzione `--exclude directory` su `ec2-bundle-vol` per saltare le directory e le sottodirectory contenenti informazioni segrete che non desideri includere nel bundle. In particolare, escludi tutte le coppie di public/private chiavi SSH e i file SSH di proprietà dell'utente durante il raggruppamento dell'`authorized_keys`immagine. Amazon li AMIs archivia pubblicamente `/root/.ssh` per l'utente root e `/home/user_name/.ssh/` per gli utenti normali. Per ulteriori informazioni, consulta [ec2-bundle-vol](ami-tools-commands.md#ami-bundle-vol).
+ Elimina sempre la cronologia della shell prima di effettuare il raggruppamento. Se tenti di effettuare più di un caricamento del bundle nella stessa AMI, la cronologia di shell (interprete di comandi) conterrà la tua chiave di accesso. L'esempio seguente riporta l'ultimo comando eseguito prima del raggruppamento effettuato dall'istanza.

  ```
  [ec2-user ~]$ shred -u ~/.*history
  ```
**avvertimento**  
Le limitazioni dell'utilità **shred** descritte nell'avviso riportato sopra si applicano anche in questo caso.   
Tieni presente che bash scrive la cronologia della sessione corrente sul disco al momento dell'uscita. Se ti disconnetti dall'istanza dopo avere eliminato `~/.bash_history` e ripeti l'accesso, scoprirai che `~/.bash_history` è stato ricreato e contiene tutti i comandi eseguiti durante la sessione precedente.  
Oltre a bash, anche altri programmi scrivono la cronologia sul disco; presta attenzione e rimuovi o escludi i file e le directory dot non necessari.
+ Il raggruppamento di un'istanza in esecuzione richiede la chiave privata e il certificato X.509. Inserisci queste e altre credenziali in un percorso non incluso nel bundle (come l'instance store).

# Monitora gli eventi AMI utilizzando Amazon EventBridge
<a name="monitor-ami-events"></a>

Quando lo stato di un'Amazon Machine Image (AMI) cambia, Amazon EC2 genera un evento che viene inviato ad Amazon EventBridge (precedentemente noto come Amazon CloudWatch Events). Gli eventi vengono inviati al bus di EventBridge eventi predefinito in formato JSON. Puoi usare Amazon EventBridge per rilevare e reagire a questi eventi. Puoi farlo creando regole EventBridge che attivano un'azione in risposta a un evento. Ad esempio, puoi creare una EventBridge regola che rileva quando il processo di creazione dell'AMI è completato e quindi richiama un argomento Amazon SNS per inviarti una notifica e-mail.

Amazon EC2 genera un `EC2 AMI State Change` evento quando un'AMI entra in uno dei seguenti stati:
+ `available`
+ `failed`
+ `deregistered`
+ `disabled`

Gli eventi vengono generati in base al miglior tentativo.

La tabella seguente elenca le operazioni AMI e gli stati che un'AMI può assumere. Nella tabella, **Sì** indica gli stati che l'AMI può assumere quando viene eseguita l'operazione corrispondente.


| Operazioni AMI | available | failed | deregistered | disabled | 
| --- | --- | --- | --- | --- | 
| CopyImage | Sì  | Sì |  |  | 
|  CreateImage  |  Sì  |  Sì  |  |  | 
|  CreateRestoreImageTask  | Sì | Sì |  |  | 
| DeregisterImage |  |  |  Sì  |  | 
|  DisableImage  |  |  |  |  Sì  | 
|  EnableImage  |  Sì  |  |  |  | 
| RegisterImage | Sì | Sì |  |  | 

**Eventi EC2 AMI State Change**
+ [Dettagli dell’evento](#ami-events)
+ [Eventi available](#ami-event-available)
+ [Eventi failed](#ami-event-failed)
+ [Eventi deregistered](#ami-event-deregistered)
+ [Eventi disabled](#ami-event-disabled)

## Dettagli dell’evento
<a name="ami-events"></a>

Puoi utilizzare i campi seguenti dell'evento per creare regole che attivano un'operazione:

`"source": "aws.ec2"`  
Indica che l'evento proviene da Amazon EC2.

`"detail-type": "EC2 AMI State Change"`  
Identifica il nome dell'evento.

`"detail": { "ImageId": "ami-0abcdef1234567890", "State": "available", }`  
Fornisce l'ID dell'AMI e lo stato dell'AMI (`available`, `failed`, `deregistered`, o `disabled`).

Per ulteriori informazioni, consulta quanto segue nella *Amazon EventBridge User Guide*:
+ [ EventBridge Eventi Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html)
+ [Modelli di EventBridge eventi Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)
+ [ EventBridge Regole di Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)

*Per un tutorial su come creare una funzione Lambda e una EventBridge regola che esegua la funzione Lambda, consulta [Tutorial: Log the state of an Amazon EC2 instance using EventBridge in the](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-log-ec2-instance-state.html) Developer Guide.AWS Lambda *

## Eventi available
<a name="ami-event-available"></a>

Di seguito è riportato un esempio di evento che Amazon EC2 genera quando l'AMI entra nello `available` stato a seguito di un'`EnableImage`operazione `CreateImage` `CopyImage``RegisterImage`,`CreateRestoreImageTask`, o riuscita.

`"State": "available"` indica che l'operazione è riuscita.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "available",
        "ErrorMessage": ""
    }
}
```

## Eventi failed
<a name="ami-event-failed"></a>

Di seguito è riportato un esempio di evento che Amazon EC2 genera quando l'AMI entra nello `failed` stato a seguito di un'`CreateRestoreImageTask`operazione `CreateImage` `CopyImage``RegisterImage`, o non riuscita.

I campi seguenti forniscono informazioni pertinenti:
+ `"State": "failed"`: indica che l'operazione non è riuscita.
+ `"ErrorMessage": ""`: fornisce il motivo dell'operazione non riuscita.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "failed",
        "ErrorMessage": "Description of failure"
    }
}
```

## Eventi deregistered
<a name="ami-event-deregistered"></a>

Di seguito è riportato un esempio di evento che Amazon EC2 genera quando l'AMI entra nello `deregistered` stato dopo un'`DeregisterImage`operazione riuscita. Se l'operazione ha esito negativo, non viene generato alcun evento. Qualsiasi errore viene comunicato immediatamente perché `DeregisterImage` è un'operazione sincrona.

`"State": "deregistered"` indica che l'operazione `DeregisterImage` è riuscita.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "deregistered",
        "ErrorMessage": ""
    }
}
```

## Eventi disabled
<a name="ami-event-disabled"></a>

Di seguito è riportato un esempio di evento che Amazon EC2 genera quando l'AMI entra nello `disabled` stato dopo un'`DisableImage`operazione riuscita. Se l'operazione ha esito negativo, non viene generato alcun evento. Qualsiasi errore viene comunicato immediatamente perché `DisableImage` è un'operazione sincrona.

`"State": "disabled"` indica che l'operazione `DisableImage` è riuscita.

```
{
    "version": "0",
    "id": "example-9f07-51db-246b-d8b8441bcdf0",
    "detail-type": "EC2 AMI State Change",
    "source": "aws.ec2",
    "account": "012345678901",
    "time": "yyyy-mm-ddThh:mm:ssZ",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1::image/ami-0abcdef1234567890"],
    "detail": {
        "RequestId": "example-9dcc-40a6-aa77-7ce457d5442b",
        "ImageId": "ami-0abcdef1234567890",
        "State": "disabled",
        "ErrorMessage": ""
    }
}
```

# Comprendere le informazioni di fatturazione AMI
<a name="ami-billing-info"></a>

Esistono molte Amazon Machine Images (AMIs) tra cui scegliere per avviare le istanze e supportano una varietà di piattaforme e funzionalità del sistema operativo. Per capire in che modo l'AMI che scegli all'avvio dell'istanza influisce sui profitti della AWS fattura, puoi cercare il sistema operativo, la piattaforma e le informazioni di fatturazione associate. Esegui questa operazione prima di avviare qualsiasi istanza on demand o Istanze spot o di acquistare una Istanza riservata. 

Ecco due esempi di come ricercare la tua AMI in anticipo può aiutarti a scegliere l'AMI più adatta alle tue esigenze:
+ Per Istanze spot, è possibile utilizzare i **Dettagli della piattaforma** per confermare che l'AMI è supportata per Istanze spot.
+ Al momento dell'acquisto di una Istanza riservata, è possibile assicurarsi di selezionare la piattaforma del sistema operativo (**Piattaforma**) mappata ai **Dettagli della piattaforma** AMI.

Per ulteriori informazioni sui prezzi delle istanze, consulta [ EC2 i prezzi di Amazon](https://aws.amazon.com/ec2/pricing/).

**Topics**
+ [Campi informativi di fatturazione AMI](billing-info-fields.md)
+ [Ricerca dei dettagli di fatturazione e utilizzo dell'AMI](view-billing-info.md)
+ [Verificare gli addebiti AMI in fattura](verify-ami-charges.md)

# Campi informativi di fatturazione AMI
<a name="billing-info-fields"></a>

I seguenti campi forniscono informazioni di fatturazione associate a un'AMI:

Dettagli della piattaforma  
 I dettagli della piattaforma associati al codice di fatturazione dell'AMI. Ad esempio, `Red Hat Enterprise Linux`.

Operazione di utilizzo  
Il funzionamento dell' EC2 istanza Amazon e il codice di fatturazione associato all'AMI. Ad esempio, `RunInstances:0010`. **L'operazione di utilizzo** [corrisponde alla colonna [LineItem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation) nel rapporto sui AWS costi e sull'utilizzo (CUR) e nell'API Price List.AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/price-changes.html)

Puoi visualizzare questi campi nella **AMIs**pagina **Istanze** o nella EC2 console Amazon o nella risposta restituita dal comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html). [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)

## Dati di esempio: operazione di utilizzo per piattaforma
<a name="billing-info"></a>

La tabella seguente elenca alcuni dettagli della piattaforma e valori delle operazioni di utilizzo che possono essere visualizzati nelle **istanze** o nelle **AMIs**pagine della EC2 console Amazon o nella risposta restituita dal comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) o. [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)


| Dettagli della piattaforma | Operazione di utilizzo 2 | 
| --- | --- | 
|  Linux/UNIX  |  RunInstances  | 
|  Red Hat BYOL Linux  |  RunInstances:00g03  | 
|  Red Hat Enterprise Linux  |  RunInstances:0010  | 
|  Red Hat Enterprise Linux with HA  |  RunInstances:1010  | 
|  Red Hat Enterprise Linux with SQL Server Standard and HA  |  RunInstances:1014  | 
|  Red Hat Enterprise Linux with SQL Server Enterprise and HA  |  RunInstances:1110  | 
|  Red Hat Enterprise Linux with SQL Server Standard  |  RunInstances:0014  | 
|  Red Hat Enterprise Linux with SQL Server Web  |  RunInstances:0210  | 
|  Red Hat Enterprise Linux with SQL Server Enterprise  |  RunInstances:0110  | 
|  SQL Server Enterprise  |  RunInstances:0100  | 
|  SQL Server Standard  |  RunInstances:0004  | 
|  SQL Server Web  |  RunInstances:0200  | 
|  SUSE Linux  |  RunInstances:000g  | 
| Ubuntu Pro |  RunInstances:0g00  | 
|  Windows  |  RunInstances:0002  | 
|  Windows BYOL  |  RunInstances:0800  | 
|  Windows with SQL Server Enterprise1  |  RunInstances:0102  | 
|  Windows with SQL Server Standard1  |  RunInstances:0006  | 
|  Windows with SQL Server Web1  |  RunInstances:0202  | 

1 Se due licenze software sono associate a un'AMI, il campo **Platform details** (Dettagli della piattaforma) mostra entrambe le licenze.

2 Se utilizzi istanze Spot, il valore riportato nel report [https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)sui AWS costi e sull'utilizzo potrebbe essere diverso dal valore dell'**operazione di utilizzo** elencato qui. Ad esempio, se `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)` viene visualizzato`RunInstances:0010:SV006`, significa che Amazon EC2 sta eseguendo Red Hat Enterprise Linux Spot Instance-hour negli Stati Uniti orientali (Virginia settentrionale) nella Zona 6.

3 Questo viene visualizzato come RunInstances (Linux/UNIX) nei report di utilizzo.

# Ricerca dei dettagli di fatturazione e utilizzo dell'AMI
<a name="view-billing-info"></a>

Le seguenti proprietà possono aiutarti a verificare gli addebiti AMI in fattura:
+ **Dettagli della piattaforma**
+ **Operazione di utilizzo**
+ **ID ISTANZA AMI**

------
#### [ Console ]

**Per trovare le informazioni di fatturazione per un’AMI**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel pannello di navigazione, scegli **AMIs**.

1. Seleziona l’AMI.

1. Nella scheda **Dettagli** trova i **Dettagli della piattaforma** e **Operazione di utilizzo**.

**Per trovare le informazioni di fatturazione per un’istanza**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, seleziona **Instances (Istanze)**.

1. Selezionare l'istanza.

1. Nella scheda **Dettagli**, espandi **Dettagli dell’istanza** e trova **Dettagli della piattaforma** e **Operazione di utilizzo**.

------
#### [ AWS CLI ]

**Per trovare le informazioni di fatturazione per un’AMI**  
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query "Images[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}"
```

Di seguito è riportato un output di esempio per un’AMI Linux.

```
[
    {
        "PlatformDetails": "Linux/UNIX",
        "UsageOperation": "RunInstances"
    }
]
```

**Per trovare le informazioni di fatturazione per un’istanza**  
Utilizzare il comando [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html).

```
aws ec2 describe-instances \
    --instance-ids i-1234567890abcdef0 \
    --query "Reservations[].Instances[].{PlatformDetails:PlatformDetails,UsageOperation:UsageOperation}"
```

Di seguito è riportato un esempio di istanza Windows.

```
[
    {
        "PlatformDetails": "Windows",
        "UsageOperation": "RunInstances:0002"
    }
]
```

------
#### [ PowerShell ]

**Per trovare le informazioni di fatturazione per un’AMI**  
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image `
    -ImageId ami-0abcdef1234567890 | `
    Format-List PlatformDetails, UsageOperation
```

Di seguito è riportato un output di esempio per un’AMI Linux.

```
PlatformDetails : Linux/UNIX
UsageOperation  : RunInstances
```

**Per trovare le informazioni di fatturazione per un’istanza**  
Utilizza il cmdlet [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html).

```
(Get-EC2Instance `
    -InstanceId i-1234567890abcdef0).Instances | `
    Format-List PlatformDetails, UsageOperation
```

Di seguito è riportato un esempio di istanza Windows.

```
PlatformDetails : Windows
UsageOperation  : RunInstances:0002
```

------

# Verificare gli addebiti AMI in fattura
<a name="verify-ami-charges"></a>

Per assicurarti di non sostenere costi imprevisti, puoi verificare che le informazioni di fatturazione per un'istanza nel tuo rapporto sui AWS costi e sull'utilizzo (CUR) corrispondano alle informazioni di fatturazione associate all'AMI che hai utilizzato per avviare l'istanza.

Per confermare le informazioni di fatturazione, trovare l'ID istanza nel CUR e controllare il valore corrispondente nella colonna `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. Il valore deve corrispondere al valore **Operazione di utilizzo** associato all'AMI.

Ad esempio, l'AMI `ami-0123456789EXAMPLE` dispone delle seguenti informazioni di fatturazione:
+ **Dettagli della piattaforma** = `Red Hat Enterprise Linux`
+ **Operazione di utilizzo** = `RunInstances:0010`

Se è stata avviata un'istanza utilizzando questa AMI, è possibile trovare l'ID istanza nel CUR e controllare il valore corrispondente nella colonna `[lineitem/Operation](https://docs.aws.amazon.com/cur/latest/userguide/Lineitem-columns.html#Lineitem-details-O-Operation)`. In questo esempio, il valore dovrebbe essere `RunInstances:0010`.

# Quote AMI in Amazon EC2
<a name="ami-quotas"></a>

Le seguenti quote si applicano alla creazione e alla condivisione. AMIs Le quote si applicano per Regione AWS.


****  

| Nome quota | Description | Quota predefinita per regione | 
| --- | --- | --- | 
| AMIs | Il numero massimo di risorse pubbliche e private AMIs consentite per regione. Questi includono quelli disponibili, in sospeso AMIs, disabilitati e AMIs nel Cestino. | 50.000 | 
| Pubblica AMIs | Il numero massimo di elementi pubblici AMIs, compresi quelli pubblici AMIs presenti nel Cestino, consentito per regione. | 5 | 
| Condivisione AMI | Il numero massimo di entità (organizzazioni, unità organizzative (OUs) e account) con cui è possibile condividere un AMI in una regione. Tieni presente che se condividi un'AMI con un'organizzazione o un'unità organizzativa, il numero di account nell'organizzazione o nell'unità organizzativa non viene conteggiato ai fini della quota. | 1.000 | 

Se superi le tue quote e desideri crearne o condividerne altre AMIs, puoi fare quanto segue:
+ Se superi la AMIs quota totale AMIs o pubblica, valuta la possibilità di annullare la registrazione delle immagini non utilizzate.
+ Se superi la tua AMIs quota pubblica, prendi in considerazione la possibilità di rendere private una o più di esse. AMIs
+ Se superi la quota di condivisione AMI, valuta la possibilità di condividerla AMIs con un'organizzazione o un'unità organizzativa anziché con account separati.
+ Richiedi un aumento della quota per AMIs.

## Richiedi un aumento della quota per AMIs
<a name="request-ami-quota-increase"></a>

Se hai bisogno di una quota superiore a quella predefinita AMIs, puoi richiedere un aumento della quota.

**Per richiedere un aumento della quota per AMIs**

1. Apri la console Service Quotas all'indirizzo [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/).

1. Nel pannello di navigazione, scegliere **servizi AWS **.

1. Scegli **Amazon Elastic Compute Cloud (Amazon EC2)** dall'elenco o digita il nome del servizio nella casella di ricerca.

1. Scegli la quota delle AMI per richiedere un aumento. Puoi scegliere tra:
   + AMIs
   + Pubblico AMIs
   + Condivisione AMI

1. Scegliere **Request quota increase (Richiedi aumento di quota)**.

1. Sotto **Change quota value** (Modifica il valore della quota), inserisci il nuovo valore della quota, quindi seleziona **Request** (Richiedi).

Per visualizzare eventuali richieste in sospeso o risolte di recente, scegliere **Dashboard** dal riquadro di navigazione. Per le richieste in sospeso, scegliere lo stato della richiesta per aprire la ricevuta della richiesta. Lo stato iniziale di una richiesta è **Pending** (In attesa). Quando la denominazione dello stato cambia in **Quota requested** (Quota richiesta), vedrai il numero della pratica al di sotto di **Support Center case number** (Numero del caso assegnato dal centro di supporto). Scegli il numero del caso per aprire il ticket della tua richiesta.

Dopo aver risolto la richiesta, il **valore della quota applicata** per la quota viene impostato sul nuovo valore.

Per maggiori informazioni, consulta [Guida per l'utente di Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).