# Controlar a descoberta e o uso de AMIs no Amazon EC2 com AMIs permitidas.
<a name="ec2-allowed-amis"></a>

Para controlar a descoberta e o uso de imagens de máquina da Amazon (AMIs) pelos usuários da sua Conta da AWS, é possível usar o atributo de *AMIs permitidas*. Você especifica os critérios que as AMIs devem atender para ficarem visíveis e disponíveis em sua conta. Quando os critérios são habilitados, os usuários que iniciam instâncias só verão e terão acesso às AMIs que estejam em conformidade com os critérios especificados. Por exemplo, é possível especificar uma lista de provedores de AMIs confiáveis como critério, e somente as AMIs desses provedores estarão visíveis e disponíveis para uso.

Antes de ativar as configurações de AMIs permitidas, é possível ativar o *modo de auditoria* para visualizar quais AMIs estarão ou não visíveis e disponíveis para uso. Isso permite que você refine os critérios conforme necessário para garantir que somente as AMIs pretendidas estejam visíveis e disponíveis para os usuários em sua conta. Além disso, use o comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) para encontrar as instâncias que foram iniciadas com AMIs que não atendiam aos critérios especificados. Essas informações podem orientar sua decisão de atualizar suas configurações de inicialização para usar AMIs em conformidade (por exemplo, especificar uma AMI diferente em um modelo de inicialização) ou ajustar seus critérios para permitir essas AMIs.

Você especifica as configurações de AMIs permitidas no nível da conta, diretamente na conta ou usando uma política declarativa. Essas configurações devem ser definidas em cada Região da AWS onde você deseja controlar o uso de AMIs. O uso de uma política declarativa permite que você aplique as configurações em várias regiões simultaneamente, bem como em várias contas simultaneamente. Quando uma política declarativa está em uso, você não pode modificar as configurações diretamente em uma conta. Este tópico descreve como ajustar as configurações diretamente em uma conta. Para obter informações sobre o uso de políticas declarativas, consulte [Políticas declarativas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) no *Guia do usuário do AWS Organizations*.

**nota**  
O atributo AMIs permitidas controla somente a descoberta e o uso de AMIs públicas ou AMIs compartilhadas com sua conta. Ele não restringe as AMIs pertencentes à sua conta. Independentemente dos critérios definidos, as AMIs criadas pela sua conta sempre poderão ser descobertas e usadas pelos usuários da sua conta.

**Principais benefícios das AMIs permitidas**
+ **Conformidade e segurança**: os usuários só podem descobrir e usar AMIs que atendam aos critérios especificados, reduzindo o risco de uso de AMIs fora de conformidade.
+ **Gerenciamento eficiente**: ao reduzir o número de AMIs permitidas, o gerenciamento das demais se torna mais fácil e eficiente.
+ **Implementação centralizada em nível de conta**: defina as configurações de AMIs permitidas no nível da conta, diretamente na conta ou por meio de uma política declarativa. Isso fornece uma maneira centralizada e eficiente de controlar o uso de AMIs em toda a conta.

**Topics**
+ [

## Como funcionam as AMIs permitidas
](#how-allowed-amis-works)
+ [

## Práticas recomendadas para a implementação de AMIs permitidas
](#best-practice-for-implementing-allowed-amis)
+ [

## Permissões obrigatórias do IAM
](#iam-permissions-for-allowed-amis)
+ [

# Gerenciar as configurações de AMIs permitidas
](manage-settings-allowed-amis.md)

## Como funcionam as AMIs permitidas
<a name="how-allowed-amis-works"></a>

Para controlar quais AMIs podem ser detectadas e usadas em sua conta, defina um conjunto de critérios de avaliação de AMIs. Os critérios são compostos de um ou mais `ImageCriterion`, como mostra o diagrama a seguir. Uma explicação se segue ao diagrama.

![\[A hierarquia da configuração de ImageCriteria de AMIs Permitidas.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/ami_allowed-amis-imagecriteria.png)


A configuração tem três níveis:
+ **1** – valores dos parâmetros
  + Parâmetros com vários valores:
    + `ImageProviders`
    + `ImageNames`
    + `MarketplaceProductCodes`

      Uma AMI pode atender a *qualquer* valor dentro de um parâmetro para ser permitida.

      Exemplo: `ImageProviders` = `amazon` **OU** conta `111122223333` **OU** conta `444455556666` (a lógica de avaliação de valores dos parâmetros não é mostrada no diagrama.)
  + Parâmetros de valor único:
    + `CreationDateCondition`
    + `DeprecationTimeCondition`
+ **2**: `ImageCriterion`
  + Agrupa vários parâmetros com a lógica **E**.
  + Uma AMI deve atender a *todos* os parâmetros dentro de um `ImageCriterion` para ser permitida.
  + Exemplo: `ImageProviders` = `amazon` **E** `CreationDateCondition` = 300 dias ou menos
+ **3**: `ImageCriteria`
  + Agrupa vários `ImageCriterion` com a lógica **OU**.
  + Uma AMI pode atender a *qualquer* `ImageCriterion` para ser permitida.
  + Forma a configuração completa em relação à qual as AMIs são avaliadas. 

**Topics**
+ [

### Parâmetros de AMIs permitidas
](#allowed-amis-criteria)
+ [

### Configuração de AMIs permitidas
](#allowed-amis-json-configuration)
+ [

### Como os critérios são avaliados
](#how-allowed-amis-criteria-are-evaluated)
+ [

### Limites
](#allowed-amis-json-configuration-limits)
+ [

### Operações de AMIs permitidas
](#allowed-amis-operations)

### Parâmetros de AMIs permitidas
<a name="allowed-amis-criteria"></a>

Os seguintes parâmetros podem ser configurados para criar `ImageCriterion`:

`ImageProviders`  
Os provedores de AMIs cujas AMIs são permitidas.  
Os valores válidos são aliases definidos pela AWS, e IDs de Conta da AWS, da seguinte forma:  
+ `amazon`: um alias que identifica as AMIs criadas pela Amazon ou por provedores verificados
+ `aws-marketplace`: um alias que identifica AMIs criadas por provedores verificados no AWS Marketplace
+ `aws-backup-vault`: um alias que identifica AMIs de backup que residem em contas do cofre de backup da AWS logicamente isoladas. Se você usar o atributo de cofre logicamente isolado de backup da AWS, certifique-se de que esse alias esteja incluído como provedor de AMI.
+ IDs de Conta da AWS: um ou mais IDs de Conta da AWS de 12 dígitos
+ `none`: indica que somente as AMIs criadas pela sua conta podem ser descobertas e usadas. AMIs públicas ou compartilhadas não podem ser descobertas e usadas. Quando especificado, nenhum outro critério pode ser especificado.

`ImageNames`  
Os nomes das AMIs permitidas, usando correspondências exatas ou curingas (`?` ou `*`).

`MarketplaceProductCodes`  
Os códigos de produto do AWS Marketplace para as AMIs permitidas.

`CreationDateCondition`  
A idade máxima das AMIs permitidas.

`DeprecationTimeCondition`  
O período máximo desde a obsolescência para as AMIs permitidas.

Para ver os valores e as restrições válidas para cada critério, consulte [ImageCriterionRequest](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImageCriterionRequest.html) na *Amazon EC2 API Reference*.

### Configuração de AMIs permitidas
<a name="allowed-amis-json-configuration"></a>

A configuração básica das AMIs permitidas é a configuração de `ImageCriteria` que define os critérios para as AMIs permitidas. A seguinte estrutura JSON mostra os parâmetros que podem ser especificados:

```
{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}
```

#### Exemplo de ImageCriteria
<a name="allowed-amis-json-configuration-example"></a>

O exemplo de `ImageCriteria` a seguir configura quatro `ImageCriterion`. Uma AMI será permitida se atender a um desses `ImageCriterion`. Para obter informações sobre como os critérios são avaliados, consulte [Como os critérios são avaliados](#how-allowed-amis-criteria-are-evaluated).

```
{
    "ImageCriteria": [
        // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}
```

### Como os critérios são avaliados
<a name="how-allowed-amis-criteria-are-evaluated"></a>

A seguinte tabela explica as regras de avaliação que determinam se uma AMI é permitida, mostrando como o operador `AND` ou `OR` é aplicado em cada nível:


| Nível de avaliação | Operador | Requisito para ser uma AMI permitida | 
| --- | --- | --- | 
| Valores de parâmetros para ImageProviders, ImageNames e MarketplaceProductCodes | OR | A AMI deve atender a pelo menos um valor de cada lista de parâmetros | 
| ImageCriterion | AND | A AMI deve atender a todos os parâmetros de cada ImageCriterion | 
| ImageCriteria | OR | A AMI deve atender a um dos ImageCriterion | 

Usando as regras de avaliação anteriores, vamos ver como aplicá-las ao [Exemplo de ImageCriteria](#allowed-amis-json-configuration-example):
+ `ImageCriterion` 1: permite AMIs que tenham o código de produto de AWS Marketplace `abcdefg1234567890`

  `OR`
+ `ImageCriterion` 2: permite AMIs que atendam a estes dois critérios:
  + Pertencente à conta `123456789012` `OR` `123456789013`
    + `AND`
  + Criada nos últimos 300 dias

  `OR`
+ `ImageCriterion` 3: permite AMIs que atendam a estes dois critérios:
  + Pertencente à conta `123456789014`
    + `AND`
  + Nomeada com o padrão `golden-ami-*`

  `OR`
+ `ImageCriterion` 4: permite AMIs que atendam a estes dois critérios:
  + Publicada pela Amazon ou por fornecedores verificados (especificado pelo alias `amazon`)
    + `AND`
  + Não obsoletas (o número máximo de dias desde a obsolescência é `0`)

### Limites
<a name="allowed-amis-json-configuration-limits"></a>

O `ImageCriteria` podem incluir até:
+ 10 `ImageCriterion`

Cada `ImageCriterion` pode incluir até:
+ 200 valores para `ImageProviders`
+ 50 valores para `ImageNames` 
+ 50 valores para `MarketplaceProductCodes` 

**Exemplo de limites**

Usando o [Exemplo de ImageCriteria](#allowed-amis-json-configuration-example) anterior:
+ Existem 4 `ImageCriterion`. Podem ser adicionados até 6 à solicitação para atingir o limite de 10.
+ No primeiro `ImageCriterion`, há 1 valor para `MarketplaceProductCodes`. Podem ser adicionados até 49 a esse `ImageCriterion` para atingir o limite de 50.
+ No segundo `ImageCriterion`, há 2 valores para `ImageProviders`. Podem ser adicionados até 198 a esse `ImageCriterion` para atingir o limite de 200.
+ No terceiro `ImageCriterion`, há 1 valor para `ImageNames`. Podem ser adicionados até 49 a esse `ImageCriterion` para atingir o limite de 50.

### Operações de AMIs permitidas
<a name="allowed-amis-operations"></a>

O atributo AMIs permitidas tem três estados operacionais para gerenciamento dos critérios de imagem: **habilitado**, **desabilitado** e **modo de auditoria**. Esses modos permitem que você habilite ou desabilite os critérios de imagem, ou os revise conforme necessário.

**Habilitado**

Quando as AMIs permitidas estão habilitadas: 
+ Os `ImageCriteria` são aplicados.
+ Somente as AMIs permitidas podem ser descobertas no console do EC2 e por APIs que usam imagens (por exemplo, que descrevem, copiam, armazenam ou executam outras ações que usam imagens).
+ As instâncias só podem ser iniciadas usando AMIs permitidas.

**Desabilitado**

Quando as AMIs permitidas estão desabilitadas: 
+ As `ImageCriteria` não são aplicadas.
+ Nenhuma restrição é imposta à descoberta ou ao uso da AMI. 

**Modo de auditoria**

 No modo de auditoria:
+ Os `ImageCriteria` são aplicados, mas nenhuma restrição é imposta à descoberta ou ao uso da AMI.
+ No console do EC2, para cada AMI, o campo **Imagem permitida** exibe **Sim** ou **Não** para indicar se a AMI será detectável e estará disponível para os usuários na conta quando AMIs permitidas estiver habilitado.
+ Na linha de comando, a resposta para a operação `describe-image` inclui `"ImageAllowed": true` ou `"ImageAllowed": false` para indicar se a AMI será detectável e estará disponível para os usuários na conta quando AMIs permitidas estiver habilitado.
+ No console do EC2, o Catálogo de AMIs exibirá **Não permitido** ao lado de AMIs que não serão detectáveis ou estarão disponíveis para os usuários na conta quando AMIs permitidas estiver habilitado.

## Práticas recomendadas para a implementação de AMIs permitidas
<a name="best-practice-for-implementing-allowed-amis"></a>

Ao implementar AMIs permitidas, considere estas práticas recomendadas para garantir uma transição tranquila e minimizar possíveis interrupções em seu ambiente da AWS.

1. **Habilitar o modo de auditoria**

   Comece ativando AMIs permitidas no modo de auditoria. Esse estado permite que você veja quais são as AMIs que seriam afetadas por seus critérios sem realmente restringir o acesso, fornecendo um período de avaliação sem riscos.

1. **Definir critérios de AMIs permitidas**

   Estabeleça cuidadosamente quais provedores de AMI estão alinhados com as políticas de segurança, os requisitos de conformidade e as necessidades operacionais da sua organização.
**nota**  
Ao usar serviços gerenciados da AWS, como Amazon ECS ou o Amazon EKS ou as instâncias gerenciadas do AWS Lambda, recomendamos especificar o alias da `amazon` para permitir as AMIs criadas pela AWS. Esses serviços dependem das AMIs publicadas pela Amazon para iniciar instâncias.   
Tenha cuidado ao definir restrições de `CreationDateCondition` para as AMIs. Definir condições de data excessivamente restritivas (por exemplo, as AMIs devem ter menos de 5 dias) pode causar falhas na inicialização da instância se as AMIs da AWS ou de outros provedores não forem atualizadas dentro do prazo especificado.  
Recomendamos emparelhar `ImageNames` com `ImageProviders` para ter mais controle e especificidade. O uso de `ImageNames` sozinho pode não identificar exclusivamente uma AMI.

1. **Verificar o impacto nos processos de negócios esperados**

   É possível usar o console ou a CLI para identificar instâncias que foram iniciadas com AMIs e que não atendem aos critérios especificados. Essas informações podem orientar sua decisão de atualizar suas configurações de inicialização para usar AMIs em conformidade (por exemplo, especificar uma AMI diferente em um modelo de inicialização) ou ajustar seus critérios para permitir essas AMIs.

   Console: use a regra [ec2-instance-launched-with-allowed-ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) do AWS Config para verificar se as instâncias em execução ou paradas foram iniciadas com AMIs que atendem aos seus critérios de AMIs permitidas. A regra é **NON\$1COMPLIANT** quando uma AMI não atende aos critérios de AMIs permitidas e **COMPLIANT** quando atende. A regra apenas funciona quando a configuração de AMIs permitidas está definida como **habilitada** ou **modo de auditoria**.

   CLI: execute o comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) e filtre a resposta para identificar quaisquer instâncias que foram iniciadas com AMIs que não atendem aos critérios especificados.

   Para obter instruções sobre o console e a CLI, consulte [Encontrar instâncias inicializadas de AMIs que não são permitidas](manage-settings-allowed-amis.md#identify-instances-with-allowed-AMIs).

1. **Habilitar AMIs permitidas**

   Depois de confirmar que os critérios não afetarão de forma adversa os processos de negócios esperados, habilite AMIs permitidas.

1. **Monitorar as execuções de instâncias**

   Continue monitorando as execuções de instâncias a partir de AMIs em ssuas aplicações e nos serviços da AWS gerenciados que você usa, como o Amazon EMR, Amazon ECR, Amazon EKS e AWS Elastic Beanstalk. Verifique se há problemas inesperados e faça os ajustes necessários nos critérios de AMIs permitidas.

1. **Testar novas AMIs**

   Para testar AMIs de terceiros que não estejam em conformidade com suas configurações atuais de AMIs permitidas, a AWS recomenda as abordagens a seguir:
   + Use uma Conta da AWS separada: crie uma conta sem acesso aos recursos essenciais para os seus negócios. Garanta que a configuração de AMIs permitidas não esteja habilitada nessa conta ou que as AMIs que você deseja testar sejam explicitamente permitidas, para que você possa testá-las. 
   + Teste em outra Região da AWS: use uma região em que as AMIs de terceiros estejam disponíveis, mas em que você ainda não tenha habilitado as configurações de AMIs permitidas. 

   Essas abordagens ajudam a garantir que seus recursos essenciais para os negócios permaneçam seguros durante o teste de novas AMIs.

## Permissões obrigatórias do IAM
<a name="iam-permissions-for-allowed-amis"></a>

Para usar o atributo de AMIs permitidas, você precisa das seguintes permissões do IAM:
+ `GetAllowedImagesSettings`
+ `EnableAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`

# Gerenciar as configurações de AMIs permitidas
<a name="manage-settings-allowed-amis"></a>

É possível gerenciar as configurações de AMIs permitidas. Essas configurações são por região, por conta.

**Topics**
+ [

## Habilitar AMIs permitidas
](#enable-allowed-amis-criteria)
+ [

## Definir os critérios de AMIs permitidas
](#update-allowed-amis-criteria)
+ [

## Desabilitar AMIs permitidas
](#disable-allowed-amis-criteria)
+ [

## Obter os critérios de AMIs permitidas
](#identify-allowed-amis-state-and-criteria)
+ [

## Localizar AMIs que são permitidas
](#identify-amis-that-meet-allowed-amis-criteria)
+ [

## Encontrar instâncias inicializadas de AMIs que não são permitidas
](#identify-instances-with-allowed-AMIs)

## Habilitar AMIs permitidas
<a name="enable-allowed-amis-criteria"></a>

É possível habilitar AMIs permitidas e especificar critérios para AMIs permitidas. Recomendamos que você comece no modo de auditoria, que mostra quais AMIs seriam afetadas pelos critérios sem realmente restringir o acesso.

------
#### [ Console ]

**Para habilitar AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, escolha **Gerenciar**.

1. Em **Configurações de AMIs permitidas**, escolha **Modo de auditoria** ou **Habilitado**. Recomendamos que você comece no modo de auditoria, teste os critérios e retorne a essa etapa para habilitar as AMIs permitidas.

1. (Opcional) Em **Critérios de AMI**, verifique os critérios no formato JSON.

1. Selecione **Atualizar**.

------
#### [ AWS CLI ]

**Para habilitar AMIs permitidas**  
Use o comando [enable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-allowed-images-settings.html).

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled
```

Para habilitar o modo de auditoria em vez disso, especifique `audit-mode` em vez de `enabled`.

```
aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
```

------
#### [ PowerShell ]

**Para habilitar AMIs permitidas**  
Use o cmdlet [Enable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2AllowedImagesSetting.html).

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled
```

Para habilitar o modo de auditoria em vez disso, especifique `audit-mode` em vez de `enabled`.

```
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
```

------

## Definir os critérios de AMIs permitidas
<a name="update-allowed-amis-criteria"></a>

Depois de habilitar as AMIs permitidas, será possível definir ou substituir os critérios de AMIs permitidas.

Para obter a configuração correta e valores válidos, consulte [Configuração de AMIs permitidas](ec2-allowed-amis.md#allowed-amis-json-configuration) e [Parâmetros de AMIs permitidas](ec2-allowed-amis.md#allowed-amis-criteria).

------
#### [ Console ]

**Para definir os critérios de AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, escolha **Gerenciar**.

1. Em **Critérios de AMI**, verifique os critérios no formato JSON.

1. Selecione **Atualizar**.

------
#### [ AWS CLI ]

**Para definir os critérios de AMIs permitidas**  
Use o comando [replace-image-criteria-in-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-image-criteria-in-allowed-images-settings.html) e especifique o arquivo JSON que contém os critérios para AMIs permitidas.

```
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
```

------
#### [ PowerShell ]

**Para definir os critérios de AMIs permitidas**  
Use o cmdlet [Set-EC2ImageCriteriaInAllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2ImageCriteriaInAllowedImagesSetting.html) e especifique o arquivo JSON que contém os critérios para AMIs permitidas.

```
$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json
Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
```

------

## Desabilitar AMIs permitidas
<a name="disable-allowed-amis-criteria"></a>

É possível desabilitar as AMIs permitidas da seguinte maneira.

------
#### [ Console ]

**Para desabilitar AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, escolha **Gerenciar**.

1. Em **Configurações de AMIs permitidas**, escolha **Desabilitado**.

1. Selecione **Atualizar**.

------
#### [ AWS CLI ]

**Para desabilitar AMIs permitidas**  
Use o comando [disable-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-allowed-images-settings.html).

```
aws ec2 disable-allowed-images-settings
```

------
#### [ PowerShell ]

**Para desabilitar AMIs permitidas**  
Use o cmdlet [Disable-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2AllowedImagesSetting.html).

```
Disable-EC2AllowedImagesSetting
```

------

## Obter os critérios de AMIs permitidas
<a name="identify-allowed-amis-state-and-criteria"></a>

É possível obter o estado atual da configuração de AMIs permitidas e os critérios de AMIs permitidas.

------
#### [ Console ]

**Para obter o estado e os critérios das AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Painel**.

1. No cartão **Atributos da conta**, em **Configurações**, escolha **AMIs permitidas**.

1. Na guia **AMIs permitidas**, as **Configurações de AMIs permitidas** estarão definidas como **Habilitado**, **Desabilitado** ou **Modo de auditoria**.

1. Se o estado das AMIs permitidas for **Habilitado** ou **Modo de auditoria**, os **Critérios da AMI** exibirão os critérios da AMI no formato JSON.

------
#### [ AWS CLI ]

**Para obter o estado e os critérios das AMIs permitidas**  
Use o comando [get-allowed-images-settings](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-allowed-images-settings.html).

```
aws ec2 get-allowed-images-settings
```

Na exemplo de saída a seguir, o estado é `audit-mode` e os critérios de imagem são definidos na conta.

```
{
    "State": "audit-mode",
    "ImageCriteria": [
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ],
    "ManagedBy": "account"
}
```

------
#### [ PowerShell ]

**Para obter o estado e os critérios das AMIs permitidas**  
Use o cmdlet [Get-EC2AllowedImagesSetting](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AllowedImagesSetting.html).

```
Get-EC2AllowedImagesSetting | Select-Object `
    State, `
    ManagedBy, `
    @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, `
    @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, `
    @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, `
    @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, `
    @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}
```

Na exemplo de saída a seguir, o estado é `audit-mode` e os critérios de imagem são definidos na conta.

```
State      : audit-mode
ManagedBy  : account
ImageProviders            : {123456789012, 123456789013, 123456789014, amazon}
MarketplaceProductCodes   : {abcdefg1234567890}
ImageNames                : {golden-ami-*}
MaximumDaysSinceCreated  : 300
MaximumDaysSinceDeprecated: 0
```

------

## Localizar AMIs que são permitidas
<a name="identify-amis-that-meet-allowed-amis-criteria"></a>

É possível encontrar as AMIs que são permitidas ou não são permitidas pelos critérios atuais de AMIs permitidas.

**nota**  
As AMIs permitidas precisam estar no modo de auditoria.

------
#### [ Console ]

**Para identificar se uma AMI atende aos critérios de AMIs permitidas**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **AMIs**.

1. Selecione a AMI.

1. Na guia **Detalhes** (se você marcou a caixa de seleção) ou na área de resumo (se você selecionou o ID da AMI), encontre o campo **Imagem permitida**.
   + **Sim**: a AMI atende aos critérios de AMIs permitidas. Essa AMI estará disponível para os usuários em sua conta depois que você habilitar as AMIs permitidas.
   + **Não**: a AMI não atende aos critérios de AMIs permitidas.

1. No painel de navegação, escolha **AMI Catalog** (Catálogo de AMIs).

   Uma AMI marcada como **Não permitida** indica uma AMI que não atende aos critérios de AMIs permitidas. Essa AMI não estará visível ou disponível para os usuários em sua conta quando as AMIs permitidas estiverem habilitadas.

------
#### [ AWS CLI ]

**Para identificar se uma AMI atende aos critérios de AMIs permitidas**  
Use o comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --image-id ami-0abcdef1234567890 \
    --query Images[].ImageAllowed \
    --output text
```

O seguinte é um exemplo de saída.

```
True
```

**Para encontrar AMIs que atendam aos critérios de AMIs permitidas**  
Use o comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --filters "Name=image-allowed,Values=true" \
    --max-items 10 \
    --query Images[].ImageId
```

O seguinte é um exemplo de saída.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------
#### [ PowerShell ]

**Para identificar se uma AMI atende aos critérios de AMIs permitidas**  
Use o cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed
```

O seguinte é um exemplo de saída.

```
True
```

**Para encontrar AMIs que atendam aos critérios de AMIs permitidas**  
Use o cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).

```
Get-EC2Image `
    -Filter @{Name="image-allows";Values="true"} `
    -MaxResult 10 | `
    Select ImageId
```

O seguinte é um exemplo de saída.

```
ami-000eaaa8be2fd162a
ami-000f82db25e50de8e
ami-000fc21eb34c7a9a6
ami-0010b876f1287d7be
ami-0010b929226fe8eba
ami-0010957836340aead
ami-00112c992a47ba871
ami-00111759e194abcc1
ami-001112565ffcafa5e
ami-0011e45aaee9fba88
```

------

## Encontrar instâncias inicializadas de AMIs que não são permitidas
<a name="identify-instances-with-allowed-AMIs"></a>

É possível identificar as instâncias que foram iniciadas com uma AMI que não atende aos critérios de AMIs permitidas.

------
#### [ Console ]

**Para verificar se uma instância foi iniciada usando uma AMI que não é permitida**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Instances (Instâncias)**.

1. Selecione a instância.

1. Na guia **Detalhes**, em **Detalhes da instância**, encontre **Imagem permitida**.
   + **Sim**: a AMI atende aos critérios de AMIs permitidas.
   + **Não**: a AMI não atende aos critérios de AMIs permitidas.

------
#### [ AWS CLI ]

**Para encontrar instâncias inicializadas usando AMIs que não são permitidas**  
Use o comando [describe-instance-image-metadata](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-image-metadata.html) com o filtro `image-allowed`.

```
aws ec2 describe-instance-image-metadata \
    --filters "Name=image-allowed,Values=false" \
    --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \
    --output table
```

O seguinte é um exemplo de saída.

```
--------------------------------------------------
|          DescribeInstanceImageMetadata         |
+----------------------+-------------------------+
|  i-08fd74f3f1595fdbd |  ami-09245d5773578a1d6  |
|  i-0b1bf24fd4f297ab9 |  ami-07cccf2bd80ed467f  |
|  i-026a2eb590b4f7234 |  ami-0c0ec0a3a3a4c34c0  |
|  i-006a6a4e8870c828f |  ami-0a70b9d193ae8a799  |
|  i-0781e91cfeca3179d |  ami-00c257e12d6828491  |
|  i-02b631e2a6ae7c2d9 |  ami-0bfddf4206f1fa7b9  |
+----------------------+-------------------------+
```

------
#### [ PowerShell ]

**Para encontrar instâncias inicializadas usando AMIs que não são permitidas**  
Use o cmdlet [Get-EC2InstanceImageMetadata](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceImageMetadata.html).

```
Get-EC2InstanceImageMetadata `
    -Filter @{Name="image-allowed";Values="false"} | `
    Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}
```

O seguinte é um exemplo de saída.

```
InstanceId          ImageId
----------          -------
i-08fd74f3f1595fdbd ami-09245d5773578a1d6
i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f
i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0
i-006a6a4e8870c828f ami-0a70b9d193ae8a799
i-0781e91cfeca3179d ami-00c257e12d6828491
i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
```

------
#### [ AWS Config ]

É possível adicionar a regra **ec2-instance-launched-with-allowed-ami** do AWS Config, configurá-la de acordo com seus requisitos e usá-la para avaliar suas instâncias.

Para obter mais informações, consulte [Adicionar regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_add-rules.html) e [ec2-instance-launched-with-allowed-ami](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-launched-with-allowed-ami.html) no *Guia do desenvolvedor do AWS Config*.

------