Gerenciar o compartilhamento de uma AMI com uma organização ou uma UO
Você pode gerenciar o compartilhamento de AMIs com organizações e unidades organizacionais (UO) para controlar se elas podem executar instâncias do Amazon EC2.
Veja as organizações e as UOs com as quais uma AMI é compartilhada
É possível usar o console do Amazon EC2 ou a AWS CLI para verificar com quais organizações e UOs você compartilhou sua AMI.
- Console
-
- AWS CLI
-
Usando o comando describe-image-attribute (AWS CLI) e o atributo launchPermission, é possível verificar com quais organizações e UOs você compartilhou sua AMI.
Para verificar com quais organizações e UOs você compartilhou sua AMI usando a AWS CLI
O comando describe-image-attribute descreve o atributo launchPermission para a AMI especificada e retorna as organizações e as UOs com as quais você compartilhou a AMI.
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
O seguinte é um exemplo de resposta.
{
"ImageId": "ami-0abcdef1234567890",
"LaunchPermissions": [
{
"OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example"
}
]
}
Compartilhar uma AMI com uma organização ou uma UO
É possível usar o console do Amazon EC2 ou a AWS CLI para compartilhar uma AMI com uma organização ou UO.
Você não precisa compartilhar os snapshots do Amazon EBS aos quais a AMI faz referência para compartilhar a AMI. Apenas a própria AMI precisa ser compartilhada, e o sistema fornece automaticamente acesso à instância aos snapshots do Amazon EBS referenciados para o início. No entanto, é necessário compartilhar todas as chaves do KMS usadas para criptografar os snapshots referenciados pela AMI. Para obter mais informações, consulte Permitir que organizações e UOs usem uma chave do KMS.
- Console
-
Para compartilhar uma AMI com uma organização ou uma UO usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, selecione AMIs.
-
Selecione sua AMI na lista e escolha Actions (Ações), Edit AMI permissions (Editar permissões de AMI).
-
Em AMI availability (Disponibilidade da AMI), escolha Private (Privado).
-
Próximo a Shared organizations/OUs (Organizações/UOs compartilhadas), escolha Add organization/OU ARN (Adicionar ARN de organização/UO).
-
Em Organization/OU ARN (ARN de organização/UO), insira o ARN da organização ou o ARN da UO com o qual você deseja compartilhar a AMI e, em seguida, escolha Share AMI (Compartilhar AMI). Observe que especifique o ARN completo, e não apenas o ID.
Para compartilhar essa AMI com várias organizações ou UOs, repita essa etapa até adicionar todas as organizações ou UOs necessárias.
-
Após terminar, escolha Save changes (Salvar alterações).
-
(Opcional) Para visualizar as organizações ou UOs com as quais você compartilhou a AMI, selecione a AMI na lista, escolha a guia Permissions (Permissões) e role para baixo até Shared organizations/OUs Organizações/UOs compartilhadas. Para localizar as AMIs que são compartilhadas com você, consulte Encontre AMIs compartilhadas para usar em instâncias do Amazon EC2.
- AWS CLI
-
Use o comando modify-image-attribute (AWS CLI) para compartilhar uma AMI.
Compartilhar uma AMI com uma organização usando a AWS CLI
O comando modify-image-attribute concede permissões de execução para a AMI especificada para a organização especificada. Observe que especifique o ARN completo, e não apenas o ID.
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para compartilhar uma AMI com uma UO usando a AWS CLI
O comando modify-image-attribute concede permissões de execução para a AMI especificada à UO especificada. Observe que especifique o ARN completo, e não apenas o ID.
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
- PowerShell
-
Use o comando Edit-EC2ImageAttribute (Tools for Windows PowerShell) para compartilhar uma AMI conforme exibido nos exemplos a seguir.
Para compartilhar uma AMI com uma organização ou uma UO
O comando a seguir concede permissões de execução para a AMI especificada à organização especificada.
PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para interromper o compartilhamento de uma AMI com uma organização ou uma UO
O comando a seguir remove as permissões de execução para a AMI especificada da organização especificada:
PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
Para interromper o compartilhamento de uma AMI com todas as organizações, UOs e Contas da AWS
O comando a seguir remove todas as permissões de execução explícita e pública da AMI especificada. Observe que o proprietário da AMI sempre tem permissões de execução e, portanto, não é afetado por este comando.
PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission
Interromper o compartilhamento de uma AMI com uma organização ou uma UO
É possível usar o console do Amazon EC2 ou a AWS CLI para parar de compartilhar uma AMI com uma organização ou UO.
Você não pode interromper o compartilhamento de uma AMI com uma conta específica se ela estiver em uma organização ou UO com a qual uma AMI é compartilhada. Se você tentar parar de compartilhar a AMI removendo as permissões de execução da conta, o Amazon EC2 retornará uma mensagem de êxito. Porém, a AMI continua sendo compartilhada com a conta.
- Console
-
Para interromper o compartilhamento de uma AMI com uma organização ou uma UO
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, selecione AMIs.
-
Selecione sua AMI na lista e escolha Actions (Ações), Edit AMI permissions (Editar permissões de AMI).
-
Em Shared organizations/OUs (Organizações/UOs compartilhadas), selecione as organizações ou UOs com as quais você deseja parar de compartilhar a AMI e, em seguida, escolha Remove selected (Remover selecionado).
-
Após terminar, escolha Save changes (Salvar alterações).
-
(Opcional) Para confirmar que você parou de compartilhar a AMI com as organizações ou UOs, selecione a AMI na lista, escolha a guia Permissions (Permissões) e role para baixo até Shared organizations/OUs (Organizações/UOs compartilhadas).
- AWS CLI
-
Use os comandos modify-image-attribute ou reset-image-attribute (AWS CLI) para interromper o compartilhamento de uma AMI.
Para interromper o compartilhamento uma AMI com uma organização ou uma UO usando a AWS CLI
O comando modify-image-attribute remove as permissões de execução para a AMI especificada da organização especificada. Observe que especifique o ARN.
aws ec2 modify-image-attribute \
--image-id ami-0abcdef1234567890 \
--launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
Para interromper o compartilhamento de uma AMI com todas as organizações, UOs e Contas da AWS usando a AWS CLI
O comando reset-image-attribute remove todas as permissões de execução explícita e pública da AMI especificada. Observe que o proprietário da AMI sempre tem permissões de execução e, portanto, não é afetado por este comando.
aws ec2 reset-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute launchPermission
