Use marcas d'água da AMI para rastrear e identificar AMIs
Uma marca d'água de AMI é um identificador que você anexa às suas AMIs privadas para rastrear a proveniência e aplicar políticas de governança. As marcas d'água persistem em todo o ciclo de vida da AMI:
-
Se você criar uma nova AMI a partir de uma instância em execução que foi executada a partir de uma AMI com marca d'água, a nova AMI herdará a marca d'água.
-
Se você copiar uma AMI com marca d'água, a cópia carrega a marca d'água.
-
Se você armazenar uma AMI com marca d'água no S3 e restaurá-la, a AMI restaurada manterá a marca d'água.
-
Se você compartilhar uma AMI com marca d'água com outra conta, a marca d'água permanecerá visível para o destinatário.
Usar marcas d'água AMI ajuda você a:
Benefícios principais
-
Rastrear a proveniência entre contas e regiões: identifique quais AMIs derivam de suas imagens base aprovadas.
-
Filtre e encontre AMIs relacionadas em suas contas.
-
Ajude os consumidores de AMI a descobrir e identificar AMIs confiáveis associadas a um projeto ou organização.
Tópicos
Como funciona a marca d'água da AMI
As marcas d'água da AMI são identificadores estruturados que você anexa às suas AMIs. A seguir, descrevemos as principais características das marcas d'água:
-
Persiste: quando você anexa uma marca d'água a uma AMI, ela é transferida para todas as AMIs derivadas.
-
Somente proprietário: somente o proprietário da AMI pode anexar marcas d'água a uma AMI.
-
Visível para todos: qualquer pessoa com acesso à AMI pode ver suas marcas d'água.
-
Limite de 5: uma AMI pode ter até um total de 5 marcas d'água.
-
Não disponível em AMIs públicas: você não pode anexar marcas d'água a AMIs públicas nem tornar as AMIs públicas se elas tiverem uma marca d'água.
-
Filtrável: você pode filtrar AMIs por marca d'água ao usar
describe-images.
Formato da marca d'água
Uma marca d'água é um objeto estruturado com os seguintes campos:
-
WatermarkKey: o identificador exclusivo da marca d'água, composto por. A parte do ID da conta são os 12 dígitos do ID da conta da AWS do proprietário da AMI. A parte do nome da marca d'água é um nome especificado pelo cliente.account-id:watermark-name -
SourceImageRegion: a região da AMI à qual você originalmente anexou a marca d'água. -
SourceImageId: a AMI à qual você originalmente anexou a marca d'água. -
SourceImageCreationDate: a data de criação da AMI à qual você originalmente anexou a marca d'água. -
WatermarkCreationTime: a data e hora de quando você aplicou a marca d'água.
O nome da marca d'água deve ter de 3 a 128 caracteres e pode conter caracteres alfanuméricos, parênteses (()), colchetes ([]), espaços, pontos (.), barras (/), traços (-), aspas simples ('), sinais (@) ou sublinhados (_).
Permissões obrigatórias
Para usar o atributo de AMIs, você precisa das seguintes permissões do IAM:
-
ec2:AttachImageWatermark: para anexar uma marca d'água a uma AMI. -
ec2:DetachImageWatermark: para separar uma marca d'água de uma AMI. -
ec2:DescribeImages: para ver marcas d'água em AMIs.
Anexar uma marca d'água a uma AMI
Você pode anexar uma marca d'água a uma AMI usando o console, a AWS CLI ou o PowerShell.
Você pode adicionar até 5 marcas d'água a uma única AMI.
Desvincular uma marca d'água de uma AMI
Você pode desvincular uma marca d'água de uma AMI usando o console, a AWS CLI ou o PowerShell.
nota
Desvincular uma marca d'água de uma AMI não a remove das AMIs derivadas que já contêm a marca d'água. Para garantir que as marcas d'água permaneçam persistentes, conceda a permissão ec2:DetachImageWatermark somente a administradores confiáveis que precisem gerenciar marcas d'água.
Visualizar marcas d'água da AMI
Você pode visualizar as marcas d'água de uma AMI usando o console, a AWS CLI ou o PowerShell.
Filtrar AMIs por marca d'água
Você pode filtrar AMIs por marca d'água usando o console, a AWS CLI ou o PowerShell.