Condividi le risorse di EC2 Image Builder - EC2 Image Builder
Utilizzo delle risorse condivisePrerequisiti per la condivisione di componenti, immagini e ricetteServizi correlatiCondivisione tra regioniCondivisione di un componente, un'immagine o una ricettaAnnullamento della condivisione di un componente, un'immagine o una ricetta condivisiIdentificazione di un componente, un'immagine o una ricetta condivisiAutorizzazioni condivise per componenti, immagini e ricetteFatturazione e misurazioneLimiti delle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi le risorse di EC2 Image Builder

EC2 Image Builder AWS Resource Access Manager si integra AWS RAM con () per consentire di condividere determinate risorse Account AWS con chiunque o tramite. AWS Organizations Le risorse di EC2 Image Builder che possono essere condivise sono:

  • Componenti

  • Immagini

  • Ricette

Questa sezione fornisce informazioni per aiutarti a condividere queste risorse di EC2 Image Builder.

Utilizzo di componenti, immagini e ricette condivisi in EC2 Image Builder

La condivisione di componenti, immagini e ricette consente ai proprietari delle risorse di condividere le configurazioni software con altri Account AWS o all'interno di un'organizzazione. AWS È possibile gestire la condivisione delle risorse centralmente e definire un set di account con cui condividere la configurazione.

In questo modello, il Account AWS proprietario del componente, dell'immagine o della ricetta (proprietari) lo condivide con altri Account AWS (consumatori). I consumatori possono associare un componente condiviso alle proprie pipeline di immagini per utilizzare automaticamente gli aggiornamenti del componente, dell'immagine o della ricetta condivisi.

Il proprietario di un componente, di un'immagine o di una ricetta può condividere queste risorse con:

  • Specifico Account AWS all'interno o all'esterno della sua organizzazione in AWS Organizations.

  • Un'unità organizzativa (OU) all'interno della sua organizzazione in AWS Organizations.

  • L'intera organizzazione in AWS Organizations.

  • AWS Organizations o unità organizzative esterne alla propria organizzazione.

Prerequisiti per la condivisione di componenti, immagini e ricette

Per condividere un componente, un'immagine o una ricetta di Image Builder:

  • Devi possedere il componente, l'immagine o la ricetta del tuo Account AWS. Non puoi condividere risorse che sono state condivise con te.

  • La chiave AWS Key Management Service (AWS KMS) associata alle risorse crittografate deve essere condivisa in modo esplicito con gli account, le organizzazioni o le unità organizzative di destinazione.

  • Per condividere le risorse di Image Builder AWS Organizations e le unità organizzative che le utilizzano AWS RAM, è necessario abilitare la condivisione. Per ulteriori informazioni, consulta Abilita la condivisione con AWS Organizations nella Guida per l'utente AWS RAM .

  • Se distribuisci un'immagine crittografata AWS KMS tra account in diverse regioni, devi creare una chiave KMS e un alias in ciascuna regione di destinazione. Inoltre, le persone che avvieranno le istanze in quelle regioni dovranno accedere alla chiave KMS specificata tramite la Key Policy.

Le seguenti risorse che Image Builder crea dalla build della pipeline non sono considerate risorse Image Builder, ma sono risorse esterne che Image Builder distribuisce nel tuo account e agli account e alle organizzazioni o unità organizzative (OU) specificate nella configurazione di distribuzione. Regioni AWS

  • Amazon Machine Images (AMI)

  • Immagini di container che risiedono in Amazon ECR

Per ulteriori informazioni sulle impostazioni di distribuzione per l'AMI, consultaCrea e aggiorna le configurazioni di distribuzione AMI. Per ulteriori informazioni sulle impostazioni di distribuzione per l'immagine del contenitore in Amazon ECR, consultaCrea e aggiorna le impostazioni di distribuzione per le immagini dei contenitori.

Per ulteriori informazioni sulla condivisione dell'AMI con AWS Organizations e delle unità organizzative, consulta Condivisione di un'AMI con organizzazioni o unità organizzative.

AWS Resource Access Manager

La condivisione di componenti, immagini e ricette si integra con AWS Resource Access Manager (AWS RAM). AWS RAM è un servizio che ti consente di condividere AWS le tue risorse con qualsiasi AWS account o tramite AWS Organizations. Con AWS RAM, condividi le risorse di tua proprietà creando una condivisione di risorse. Una condivisione di risorse specifica le risorse da condividere e i consumatori con cui condividerle. I consumatori possono essere singoli individui Account AWS, unità organizzative o un'intera organizzazione. AWS Organizations

Per ulteriori informazioni in merito AWS RAM, consulta la Guida AWS RAM per l'utente.

Condivisione tra regioni

I componenti, le immagini e le ricette condivisi possono essere condivisi solo in una AWS regione specificata. Quando condividi queste risorse, non verranno replicate tra le regioni.

Condivisione di un componente, un'immagine o una ricetta

Per condividere un componente, un'immagine o una ricetta di Image Builder, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse è una AWS RAM risorsa che consente di condividere le risorse tra AWS account. Una condivisione di risorse specifica le risorse da condividere e i consumatori con cui vengono condivise. Per aggiungere il componente, l'immagine o la ricetta a una nuova condivisione di risorse, devi prima creare la condivisione di risorse utilizzando la AWS RAM console.

Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai consumatori dell'organizzazione viene automaticamente concesso l'accesso al componente, all'immagine o alla ricetta condivisi. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso alla risorsa condivisa dopo aver accettato l'invito.

Le seguenti opzioni sono disponibili per condividere le tue risorse:.

Opzione 1: Crea una condivisione di risorse RAM

Quando crei una condivisione di risorse RAM, puoi condividere un componente, un'immagine o una ricetta di tua proprietà in un unico passaggio. Utilizza uno dei seguenti metodi per creare la tua condivisione di risorse:

Opzione 2: applicare una politica delle risorse e passare a una condivisione di risorse RAM

La seconda opzione per condividere le risorse prevede due passaggi, ovvero l'esecuzione dei comandi in entrambi AWS CLI i casi. Il primo passaggio utilizza i comandi Image Builder AWS CLI per applicare politiche basate sulle risorse alla risorsa condivisa. Il secondo passaggio promuove la risorsa in una condivisione di risorse RAM utilizzando il promote-resource-share-created-from-policy AWS RAM comando in AWS CLI per garantire che la risorsa sia visibile a tutti i principali con cui l'hai condivisa.

  1. Applica la politica delle risorse

    Per applicare correttamente la politica delle risorse, devi assicurarti che l'account con cui stai condividendo sia autorizzato ad accedere a tutte le risorse sottostanti.

    Scegliete la scheda corrispondente al tipo di risorsa per il comando applicabile.

    Image

    È possibile applicare una politica delle risorse a un'immagine per consentire ad altri di utilizzarla come immagine di base nelle proprie ricette.

    Esegui il comando put-image-policy Image Builder in AWS CLI, per identificare AWS i principali con cui condividere l'immagine.

    aws imagebuilder put-image-policy --image-arn arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": ["imagebuilder:GetImage", "imagebuilder:ListImages"], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image/my-example-image/2019.12.03/1" ] } ] }'
    Component

    È possibile applicare una politica delle risorse a un componente di compilazione o test per abilitare la condivisione tra account. Questo comando concede agli altri account il permesso di utilizzare il componente nelle loro ricette. Per applicare correttamente la politica delle risorse, devi assicurarti che l'account con cui stai condividendo sia autorizzato ad accedere a tutte le risorse a cui fa riferimento il componente condiviso, come i file ospitati in archivi privati.

    Esegui il comando put-component-policy Image Builder in AWS CLI, per identificare AWS i principali con cui condividere il componente.

    aws imagebuilder put-component-policy --component-arn arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetComponent", "imagebuilder:ListComponents" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.03/1" ] } ] }'
    Image recipe

    È possibile applicare una politica delle risorse a una ricetta di immagini per abilitare la condivisione tra account. Questo comando autorizza gli altri account a utilizzare la tua ricetta per creare immagini nei loro account. Per applicare correttamente la politica delle risorse, devi assicurarti che l'account con cui stai condividendo sia autorizzato ad accedere a tutte le risorse a cui fa riferimento la ricetta, come l'immagine di base o i componenti selezionati.

    Esegui il comando put-image-recipe-policy Image Builder in AWS CLI, per identificare AWS i principali con cui condividere l'immagine.

    aws imagebuilder put-image-recipe-policy --image-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetImageRecipe", "imagebuilder:ListImageRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:image-recipe/my-example-image-recipe/2019.12.03" ] } ] }'
    Container recipe

    È possibile applicare una politica delle risorse a una ricetta contenitore per abilitare la condivisione tra account. Questo comando autorizza gli altri account a utilizzare la tua ricetta per creare immagini nei loro account. Per applicare correttamente la politica delle risorse, devi assicurarti che l'account con cui stai condividendo sia autorizzato ad accedere a tutte le risorse a cui fa riferimento la ricetta, come l'immagine di base o i componenti selezionati.

    Esegui il comando put-container-recipe-policy Image Builder in AWS CLI, per identificare AWS i principali con cui condividere l'immagine.

    aws imagebuilder put-container-recipe-policy --container-recipe-arn arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03 --policy '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "123456789012" ] }, "Action": [ "imagebuilder:GetContainerRecipe", "imagebuilder:ListContainerRecipes" ], "Resource": [ "arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-container-recipe/2021.12.03" ] } ] }'
    Nota

    Per impostare le politiche corrette per condividere e annullare la condivisione di una risorsa, il proprietario della risorsa deve disporre delle autorizzazioni. imagebuilder:put*

  2. Promuovi come condivisione di risorse RAM

    Per assicurarti che la risorsa sia visibile a tutti i principali destinatari con cui l'hai condivisa, esegui il promote-resource-share-created-from-policy AWS RAM comando in. AWS CLI

Annullamento della condivisione di un componente, un'immagine o una ricetta condivisi

Per annullare la condivisione di un componente, un'immagine o una ricetta condivisa di tua proprietà, devi rimuoverla dalla condivisione di risorse. Puoi farlo utilizzando la AWS Resource Access Manager console o il AWS CLI.

Nota

Per annullare la condivisione di un componente, un'immagine o una ricetta, il consumatore non può dipendere da essi. Il consumatore deve rimuovere qualsiasi dipendenza dalle risorse condivise prima che il proprietario possa annullarne la condivisione.

Per annullare la condivisione di un componente, un'immagine o una ricetta condivisi di tua proprietà utilizzando la console AWS Resource Access Manager

Consulta Aggiornamento di una condivisione di risorse in Guida per l'utente di AWS RAM .

Per annullare la condivisione di un componente, un'immagine o una ricetta condivisi di tua proprietà utilizzando il AWS CLI

Utilizzate il disassociate-resource-share comando per interrompere la condivisione della risorsa.

Identificazione di un componente, un'immagine o una ricetta condivisi

I proprietari e i consumatori possono identificare componenti, immagini e ricette di immagini condivisi utilizzando i comandi Image Builder in. AWS CLI

Identifica un componente condiviso

Esegui il comando list-components per ottenere un elenco dei componenti che possiedi e dei componenti che sono condivisi con te. Il comando get-component mostra l' Account AWS ID del proprietario del componente.

Identifica un'immagine condivisa

Esegui il comando list-images per ottenere un elenco delle immagini che possiedi e delle immagini condivise con te. Il comando get-image mostra l' Account AWS ID del proprietario dell'immagine.

Identifica un'immagine di contenitore condivisa

Esegui il comando list-images per ottenere un elenco delle immagini che possiedi e delle immagini condivise con te. Il comando get-image mostra l' Account AWS ID del proprietario dell'immagine.

Identifica la ricetta di un'immagine condivisa

Esegui il list-image-recipescomando per ottenere un elenco delle ricette di immagini che possiedi e delle ricette di immagini che sono condivise con te. Il get-image-recipecomando mostra l' Account AWS ID del proprietario della ricetta dell'immagine.

Identifica una ricetta contenitore condivisa

Esegui il list-container-recipescomando per ottenere un elenco delle ricette del contenitore di tua proprietà e delle ricette del contenitore che sono condivise con te. Il get-container-recipecomando mostra l' Account AWS ID del proprietario della ricetta del contenitore.

Autorizzazioni condivise per componenti, immagini e ricette

Autorizzazioni per i proprietari

I proprietari non possono eliminare un componente, un'immagine o una ricetta di immagini condivisi finché non sono più condivisi. Un proprietario non può annullare la condivisione di queste risorse finché nessuno dei consumatori non dipende da esse.

Autorizzazioni per gli utenti

I consumatori possono leggere un componente, un'immagine o una ricetta di immagini, ma non possono modificarli in alcun modo. Non possono visualizzare o modificare queste risorse se sono di proprietà di altri consumatori o del proprietario della risorsa. I consumatori possono utilizzare componenti e immagini condivisi nelle ricette di immagini per creare immagini personalizzate. I consumatori possono utilizzare ricette di immagini condivise per creare le proprie immagini personalizzate.

Fatturazione e misurazione

L'utilizzo di EC2 Image Builder è gratuito.

Limiti delle risorse

I componenti, le immagini e le ricette di immagini condivisi vengono conteggiati solo per i limiti di risorse corrispondenti del proprietario. I limiti di risorse dei consumatori non sono influenzati dalle risorse che sono state condivise con loro.