與特定 AWS 帳戶共用 AMI - Amazon Elastic Compute Cloud
考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與特定 AWS 帳戶共用 AMI

您可以與特定 共用 AMI, AWS 帳戶 而無需公開 AMI。您只需要 AWS 帳戶 IDs。

AWS 帳戶 ID 是 12 位數字,例如 012345678901,可唯一識別 AWS 帳戶。如需詳細資訊,請參閱《AWS Account Management 參考指南》中的檢視 AWS 帳戶 識別符

考量事項

與特定 共用 AMIs 時,請考慮下列事項 AWS 帳戶。

  • 擁有權 – 若要共用 AMI,您的 AWS 帳戶 必須擁有 AMI。

  • 共用限制 – 如需區域內可共用 AMI 的實體數量上限,請參閱 Amazon EC2 服務配額

  • 標籤 – 您無法共用使用者定義的標籤 (您連接至 AMI 的標籤)。當您共用 AMI 時,使用者定義的標籤不適用於共用 AWS 帳戶 AMI 的任何 。

  • 加密和金鑰 – 您可以共用由未加密和加密快照支援的 AMIs。

    • 加密的快照必須使用 KMS 金鑰加密。您無法共用由使用預設 AWS 受管金鑰加密的快照支援的 AMIs。

    • 如果您共用由加密快照支援的 AMI,您必須允許 AWS 帳戶 使用用來加密快照的 KMS 金鑰。如需詳細資訊,請參閱 允許組織和 OUs 使用 KMS 金鑰。若要設定當您使用客戶受管金鑰進行加密時啟動 Auto Scaling 執行個體所需的金鑰政策,請參閱 Amazon EC2 Auto Scaling 使用者指南中的搭配使用加密磁碟區的必要 AWS KMS key 政策

  • 區域 – AMIs 是區域資源。當您共用 AMI 時,它只能在該區域中使用。若要讓 AMI 在不同區域中可用,請將 AMI 複製到 區域,然後共用。如需詳細資訊,請參閱複製 Amazon EC2 AMI

  • 用量 – 當您共用 AMI 時,使用者只能從 AMI 啟動執行個體。他們無法刪除、共用或修改它。不過,在他們使用您的 AMI 啟動執行個體之後,就可以從其執行個體建立 AMI。

  • 複製共用的 AMIs – 如果另一個帳戶中的使用者想要複製共用的 AMI,您必須授予他們 AMI 背後儲存體的讀取許可。如需詳細資訊,請參閱跨帳戶複製

  • 帳單 – 當 AMI 被其他人用來啟動執行個體時 AWS 帳戶 ,您不需要付費。使用 AMI 啟動執行個體的帳戶會針對其啟動的執行個體收取費用。

使用主控台授予明確啟動許可

  1. 在 EC2 開啟 Amazon https://console.aws.amazon.com/ec2/ 主控台。

  2. 在導覽窗格中,選擇 AMIs

  3. 在清單中選取您的 AMI,然後選擇動作編輯 AMI 許可

  4. 選擇 Private (私有)

  5. Shared accounts (共享帳戶) 中,選擇 Add account ID (新增帳戶 ID)。

  6. 針對 AWS 帳戶 ID,輸入您要與其共用 AMI 的 AWS 帳戶 ID,然後選擇共用 AMI

    若要與多個帳戶共用此 AMI,請重複步驟 5 和 6,直到您新增所有必要的帳戶 IDs。

    注意

    您不需要共用 AMI 參考的 Amazon EBS 快照,即可共用 AMI。只有 AMI 本身需要共用;系統會自動提供執行個體存取 參考的 Amazon EBS 快照以進行啟動。不過,您確實需要共用用於加密 KMS 參考之快照的任何 AMI 金鑰。如需詳細資訊,請參閱 Amazon EBS 使用者指南中的共用 Amazon Word 快照 EBS

  7. 完成後,請選擇 Save changes (儲存變更)。

  8. (選用) 若要檢視您已共用 AWS 帳戶 IDs 的 AMI,請在清單中選取 AMI,然後選擇許可索引標籤。若要尋找與您共用的 AMIs,請參閱 尋找要用於 Amazon AMIs 執行個體的共用 EC2

使用 modify-image-attribute 命令 (AWS CLI) 共用 AMI,如下列範例所示。

授予明確啟動許可

下列命令會將指定 AMI 的啟動許可授予指定的 AWS 帳戶。在下列範例中,將範例 AMI ID 取代為有效的 AMI ID,並以 account-id 12 位數 AWS 帳戶 ID 取代。

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Add=[{UserId=account-id}]"
注意

您不需要共用 AMI 參考的 Amazon EBS 快照,即可共用 AMI。只有 AMI 本身需要共用;系統會自動提供執行個體存取 參考的 Amazon EBS 快照以進行啟動。不過,您確實需要共用用於加密 KMS 參考之快照的任何 AMI 金鑰。如需詳細資訊,請參閱 Amazon EBS 使用者指南中的共用 Amazon Word 快照 EBS

移除帳戶的啟動許可

下列命令會從指定的 移除指定 AMI 的啟動許可 AWS 帳戶。在下列範例中,將範例 AMI ID 取代為有效的 AMI ID,並以 account-id 12 位數 AWS 帳戶 ID 取代。

aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --launch-permission "Remove=[{UserId=account-id}]"
移除所有的啟動許可

下列命令會從指定的 AMI 移除所有公開和明確的啟動許可。請注意,AMI 的擁有者一律具有啟動許可,因此不受此命令影響。在下列範例中,將範例 AMI ID 取代為有效的 AMI ID。

aws ec2 reset-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute launchPermission

使用 Edit-EC2ImageAttribute 命令 (適用於 Windows PowerShell 的工具) 共用 AMI,如下列範例所示。

授予明確啟動許可

下列命令會將指定 AMI 的啟動許可授予指定的 AWS 帳戶。在下列範例中,將範例 AMI ID 取代為有效的 AMI ID,並以 account-id 12 位數 AWS 帳戶 ID 取代。

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -UserId "account-id"
注意

您不需要共用 AMI 參考的 Amazon EBS 快照,即可共用 AMI。只有 AMI 本身需要共用;系統會自動提供執行個體存取 參考的 Amazon EBS 快照以進行啟動。不過,您確實需要共用用於加密 KMS 參考之快照的任何 AMI 金鑰。如需詳細資訊,請參閱 Amazon EBS 使用者指南中的共用 Amazon Word 快照 EBS

移除帳戶的啟動許可

下列命令會從指定的 移除指定 AMI 的啟動許可 AWS 帳戶。在下列範例中,將範例 AMI ID 取代為有效的 AMI ID,並以 account-id 12 位數 AWS 帳戶 ID 取代。

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -UserId "account-id"
移除所有的啟動許可

下列命令會從指定的 AMI 移除所有公開和明確的啟動許可。請注意,AMI 的擁有者一律具有啟動許可,因此不受此命令影響。在下列範例中,將範例 AMI ID 取代為有效的 AMI ID。

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission