本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与共享 Image Builder 资源 AWS RAM
EC2Image Builder 与 AWS Resource Access Manager (AWS RAM) 集成,因此您可以与任何人 AWS 账户 或通过任何人共享以下类型的图像生成器资源 AWS Organizations。
-
组件
-
映像
-
配方
要通过共享资源 AWS RAM,必须创建资源共享。资源共享指定要共享的资源以及与您共享这些资源的使用者。消费者可以是个人 AWS 账户、组织单位或中的整个组织 AWS Organizations。以下列表包括您可以与之共享资源的账户和组织类型。
-
具体在其组织 AWS 账户 内部或外部 AWS Organizations。
-
AWS Organizations中的组织内部的组织单元 (OU)。
-
AWS Organizations中的整个组织。
-
AWS Organizations 或在其组织OUs之外。
在此模型中 AWS 账户 ,拥有资源的人(所有者)与同一区域内的其他人 AWS 账户 或通过 AWS Organizations (消费者)共享资源。共享资源更新后,使用者会自动获得这些更新。
注意
共享的组件、映像和映像配方仅计入所有者的相应资源限制。使用者的资源限制不受已与他们共享的资源的影响。
资源所有者
Image Builder 资源只能 AWS 区域 在创建地共享。在共享这些资源时,不会在区域之间复制它们。
要获取您拥有并可以共享的 Image Builder 资源列表,请在控制台中指定所有权筛选条件,或指定何时在 AWS CLI中运行命令。
有关的更多信息 AWS RAM,请参阅《AWS RAM 用户指南》。
共享 Image Builder 资源的先决条件
要共享 Image Builder 资源(例如组件、映像或配方),必须满足以下条件:
-
您 AWS 账户 必须拥有要共享的 Image Builder 资源。您不能共享已与您共享的资源。
-
必须与目标账户、组织或明确共享与加密资源关联的 AWS Key Management Service (AWS KMS) 密钥OUs。
-
要与您共享 AWS Organizations 并OUs使用您的 Image Builder 资源 AWS RAM,您必须启用共享。有关更多信息,请参阅AWS RAM 《用户指南》中的允许与 AWS Organizations 共享。
-
如果您在不同区域的账户 AWS KMS 之间分发使用加密的图像,则必须在每个目标区域中创建KMS密钥和别名。此外,将在这些地区启动实例的人员需要访问通过KMS密钥政策指定的密钥。
Image Builder 通过您的管道构建创建的以下资源不被视为 Image Builder 资源,而是 Image Builder 在您的账户中分配的外部资源,以及您在分配配置中指定的账户、组织或组织单位 (OUs) 的外部资源。 AWS 区域
-
Amazon 机器映像 (AMIs)
-
位于 Amazon 中的容器镜像 ECR
有关您的分发设置的更多信息AMI,请参阅创建和更新AMI分发配置。有关您的容器图片在 Amazon 中的分发设置的更多信息ECR,请参阅创建和更新容器映像的分配设置。
有关AMI与 AWS Organizations 和共享您的内容的更多信息OUs,请参阅AMI与组织共享或OUs。
资源使用者
使用者可以使用共享资源,但不能以任何方式修改资源。在创建 Image Builder 配方时,他们可以将共享映像指定为基础映像,还可以添加共享组件。他们还可以在创建 Image Builder 映像管道或在 AWS CLI中使用 create-image 命令时指定共享配方。
如果您属于中的某个组织 AWS Organizations,并且启用了组织内的共享,则系统会自动授予您组织中的消费者访问共享资源的权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后为其授予共享资源的访问权限。
