Steuern Sie die Entdeckung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs - Amazon Elastic Compute Cloud
So funktioniert „Zulässig“ AMIs Bewährte Methoden für die Implementierung von Allowed AMIsErforderliche IAM-Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie die Entdeckung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs

Um die Erkennung und Verwendung von Amazon Machine Images (AMIs) durch Benutzer in Ihrem zu kontrollieren AWS-Konto, können Sie die AMIs Funktion Zugelassen verwenden. Sie geben Kriterien an, die erfüllt sein AMIs müssen, damit sie in Ihrem Konto sichtbar und verfügbar sind. Wenn die Kriterien aktiviert sind, können Benutzer, die Instances starten, nur Instances sehen und AMIs darauf zugreifen, die den angegebenen Kriterien entsprechen. Sie können beispielsweise eine Liste vertrauenswürdiger AMI-Anbieter als Kriterien angeben, und nur AMIs von diesen Anbietern ist diese Liste sichtbar und kann verwendet werden.

Bevor Sie die AMIs Einstellungen „Zulässig“ aktivieren, können Sie den Überwachungsmodus aktivieren, um eine Vorschau anzuzeigen, welche AMIs Daten sichtbar oder nicht sichtbar und nutzbar sind. Auf diese Weise können Sie die Kriterien nach Bedarf verfeinern, um sicherzustellen, dass nur die beabsichtigten Kriterien sichtbar und für Benutzer in Ihrem Konto verfügbar AMIs sind. Verwenden Sie den describe-instance-image-metadataBefehl außerdem, um Instances zu finden, die mit AMIs denen gestartet wurden und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.

Sie geben die AMIs Einstellungen „Zulässig“ auf Kontoebene an, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Diese Einstellungen müssen in jeder AWS-Region konfiguriert werden, in denen Sie die Verwendung von AMIs steuern möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter Deklarative Richtlinien im AWS Organizations -Benutzerhandbuch.

Anmerkung

Die AMIs Funktion „Zulässig“ steuert nur die Erkennung und Nutzung von öffentlichen AMIs oder mit Ihrem Konto AMIs geteilten Dateien. Sie schränkt nicht die Inhalte ein, die Ihrem Konto AMIs gehören. Unabhängig von den von Ihnen festgelegten Kriterien sind die von Ihrem Konto AMIs erstellten Daten immer für Benutzer in Ihrem Konto auffindbar und nutzbar.

Die wichtigsten Vorteile von Allowed AMIs

  • Compliance und Sicherheit: Benutzer können nur diejenigen entdecken und verwenden AMIs , die die angegebenen Kriterien erfüllen, wodurch das Risiko einer nicht konformen AMI-Nutzung reduziert wird.

  • Effizientes Management: Durch die Reduzierung der zulässigen AMIs Anzahl wird die Verwaltung der verbleibenden Dateien einfacher und effizienter.

  • Zentralisierte Implementierung auf Kontoebene: Konfigurieren Sie die AMIs Einstellungen „Zulässig“ auf Kontoebene, entweder direkt im Konto oder über eine deklarative Richtlinie. Dies bietet eine zentrale und effiziente Möglichkeit, die AMI-Nutzung für das gesamte Konto zu kontrollieren.

Inhalt

So funktioniert „Zulässig“ AMIs

Um zu kontrollieren, welche Daten in Ihrem Konto entdeckt und verwendet werden AMIs können, definieren Sie eine Reihe von Kriterien, anhand derer die Daten bewertet werden sollen AMIs. Die Kriterien bestehen aus einem oder mehreren ImageCriterion, wie im folgenden Diagramm dargestellt. Eine Erklärung folgt dem Diagramm.

Die Hierarchie der zulässigen AMIs ImageCriteria Konfigurationen.

Die Konfiguration besteht aus drei Ebenen:

  • 1 – Parameterwerte

    • Parameter mit mehreren Werten

      • ImageProviders

      • ImageNames

      • MarketplaceProductCodes

        Ein AMI kann mit beliebigen Werten innerhalb eines Parameters übereinstimmen, um zulässig zu sein.

        Beispiel: ImageProviders = amazon ODER Konto 111122223333 ODER Konto 444455556666 (Die Bewertungslogik für Parameterwerte ist im Diagramm nicht dargestellt.)

    • Parameter mit einem Wert:

      • CreationDateCondition

      • DeprecationTimeCondition

  • 2 – ImageCriterion

    • Gruppiert mehrere Parameter mit UND-Logik.

    • Ein AMI muss allen Parametern innerhalb eines ImageCriterion entsprechen, um zulässig zu sein.

    • Beispiel: ImageProviders = amazon UND CreationDateCondition = 300 Tage oder weniger

  • 3 – ImageCriteria

    • Gruppiert mehrere ImageCriterion mit ODER-Logik.

    • Ein AMI kann einem beliebigen ImageCriterion entsprechen, um zulässig zu sein.

    • Bildet die vollständige Konfiguration, anhand derer AMIs bewertet wird.

Zulässige AMIs Parameter

Sie können die folgenden Parameter konfigurieren, um ImageCriterion zu erstellen:

ImageProviders

Die AMI-Anbieter, deren erlaubt AMIs sind.

Gültige Werte sind Aliase, die durch AWS und AWS-Konto IDs wie folgt definiert sind:

  • amazon— Ein Alias zur Identifizierung, das von Amazon oder verifizierten Anbietern AMIs erstellt wurde

  • aws-marketplace— Ein Alias, das sich identifiziert, AMIs erstellt von verifizierten Anbietern in AWS Marketplace

  • aws-backup-vault— Ein Alias, das Backup identifiziert, AMIs die sich in Backup-Tresor-Konten mit logischem Air-Gap befinden. AWS Wenn Sie die AWS Backup-Funktion Logically Air-Gapped Vault verwenden, stellen Sie sicher, dass dieser Alias als AMI-Anbieter enthalten ist.

  • AWS-Konto IDs — Eine oder mehrere 12-stellige Ziffern AWS-Konto IDs

  • none— Weist darauf hin, dass nur von Ihrem Konto AMIs erstellte Daten entdeckt und verwendet werden können. Öffentlich oder geteilt AMIs können nicht entdeckt und genutzt werden. Wenn angegeben, können keine anderen Kriterien angegeben werden.

ImageNames

Die Namen sind zulässig AMIs, wobei exakte Übereinstimmungen oder Platzhalter (?oder*) verwendet werden.

MarketplaceProductCodes

Die AWS Marketplace Produktcodes für erlaubt AMIs.

CreationDateCondition

Das Höchstalter für erlaubt AMIs.

DeprecationTimeCondition

Der maximale Zeitraum seit dem Verfallsdatum für zulässig. AMIs

Die gültigen Werte und Einschränkungen für jedes Kriterium finden Sie ImageCriterionRequestin der Amazon EC2 API-Referenz.

Zulässige AMIs Konfiguration

Die Kernkonfiguration für „Zulässig“ AMIs ist die ImageCriteria Konfiguration, die die Kriterien für „Zulässig“ definiert AMIs. Die folgende JSON-Struktur zeigt die Parameter, die angegeben werden können:

{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}

ImageCriteria Beispiel

Im folgenden ImageCriteria-Beispiel werden vier ImageCriterion konfiguriert. Ein AMI ist zulässig, wenn es mit einem dieser ImageCriterion übereinstimmt. Weitere Informationen über das Auswerten der Kriterien finden Sie unter So werden Kriterien bewertet.

{
    "ImageCriteria": [
        // ImageCriterion 1: Allow AWS Marketplace AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}

So werden Kriterien bewertet

In der folgenden Tabelle werden die Bewertungsregeln erläutert, mit denen festgelegt wird, ob ein AMI zulässig ist, und es wird gezeigt, wie der Operator AND bzw. OR auf jeder Ebene angewendet wird:

Auswertungsdaten Operator Anforderung für ein zulässiges AMI
Parameterwerte für ImageProviders, ImageNames und MarketplaceProductCodes OR AMI muss mit mindestens einem Wert in jeder Parameterliste übereinstimmen
ImageCriterion AND AMI muss allen Parametern in jedem ImageCriterion entsprechen
ImageCriteria OR AMI muss mit einem der ImageCriterion übereinstimmen

Sehen wir uns anhand der obigen Bewertungsregeln an, wie diese auf ImageCriteria Beispiel angewendet werden können:

  • ImageCriterion1: Erlaubt AMIs , die den AWS Marketplace Produktcode haben abcdefg1234567890

    OR

  • ImageCriterion2: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:

    • Gehört einem der Konten 123456789012 OR 123456789013

      • AND

    • In den letzten 300 Tagen erstellt

    OR

  • ImageCriterion3: AMIs Genehmigungen, die diese beiden Kriterien erfüllen:

    • Gehört dem Konto 123456789014

      • AND

    • Benannt nach dem Muster golden-ami-*

    OR

  • ImageCriterion4: Ermöglicht AMIs , die diese beiden Kriterien erfüllen:

    • Von Amazon oder verifizierten Anbietern veröffentlicht (durch den amazon-Alias angegeben)

      • AND

    • Nicht veraltet (die maximale Anzahl von Tagen seit der Außerbetriebnahme beträgt 0)

Einschränkungen

Das ImageCriteria enthält bis zu:

  • 10 ImageCriterion

Jedes ImageCriterion enthält bis zu:

  • 200 Werte für ImageProviders

  • 50 Werte für ImageNames

  • 50 Werte für MarketplaceProductCodes

Beispiel für Grenzwerte

Unter Verwendung des Vorhergehenden ImageCriteria Beispiel:

  • Es gibt 4 ImageCriterion. Bis zu 6 weitere können der Anforderung hinzugefügt werden, um das Limit von 10 zu erreichen.

  • Im ersten ImageCriterion gibt es 1 Wert für MarketplaceProductCodes. Bis zu 49 weitere können diesem ImageCriterion hinzugefügt werden, um das Limit von 50 zu erreichen.

  • Im zweiten ImageCriterion gibt es 2 Werte für ImageProviders. Bis zu 198 weitere können diesem ImageCriterion hinzugefügt werden, um das Limit von 200 zu erreichen.

  • Im dritten ImageCriterion gibt es 1 Wert für ImageNames. Bis zu 49 weitere können diesem ImageCriterion hinzugefügt werden, um das Limit von 50 zu erreichen.

Zulässige AMIs Operationen

Die AMIs Funktion „Zugelassen“ hat drei Betriebszustände für die Verwaltung der Bildkriterien: aktiviert, deaktiviert und Überwachungsmodus. Diese ermöglichen es Ihnen, die Image-Kriterien zu aktivieren oder zu deaktivieren oder sie nach Bedarf zu überprüfen.

Aktiviert

Wenn „ AMIs Zulässig“ aktiviert ist:

  • Die ImageCriteria werden angewendet.

  • Nur zulässige Bilder AMIs sind in der EC2 Konsole auffindbar und verwenden APIs dabei Bilder (zum Beispiel Bilder, die Bilder beschreiben, kopieren, speichern oder andere Aktionen ausführen).

  • Instanzen können nur mit der Option „Zugelassen“ gestartet werden. AMIs

Disabled

Wenn Allowed deaktiviert AMIs ist:

  • Die ImageCriteria werden nicht angewendet.

  • Es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.

Prüfmodus

Im Prüfmodus:

  • Die ImageCriteria sind aktiviert, aber es gibt keine Einschränkungen für die Auffindbarkeit oder Nutzung von AMIs.

  • In der EC2 Konsole wird im Feld Zulässiges Bild für jedes AMI entweder Ja oder Nein angezeigt, um anzugeben, ob das AMI für Benutzer im Konto auffindbar und verfügbar sein wird, wenn Allowed aktiviert AMIs ist.

  • In der Befehlszeile enthält die Antwort für den describe-image Vorgang "ImageAllowed": true oder gibt "ImageAllowed": false an, ob das AMI auffindbar und für Benutzer im Konto verfügbar sein wird, wenn Allowed aktiviert AMIs ist.

  • In der EC2 Konsole wird im AMI-Katalog neben der Option Nicht erlaubt angezeigt AMIs , wenn die Option Zulässig für Benutzer im Konto nicht auffindbar oder verfügbar AMIs ist.

Bewährte Methoden für die Implementierung von Allowed AMIs

Beachten Sie bei der Implementierung von Allowed diese bewährten Methoden AMIs, um einen reibungslosen Übergang zu gewährleisten und potenzielle Störungen in Ihrer AWS Umgebung zu minimieren.

  1. Prüfmodus aktivieren

    Aktivieren Sie zunächst die Option AMIs Zulässig im Überwachungsmodus. In diesem Status können Sie sehen, welche Kriterien von Ihren Kriterien betroffen AMIs wären, ohne den Zugriff tatsächlich einzuschränken, was einen risikofreien Testzeitraum ermöglicht.

  2. Legen Sie die zulässigen Kriterien fest AMIs

    Stellen Sie sorgfältig fest, welche AMI-Anbieter den Sicherheitsrichtlinien, Compliance-Anforderungen und betrieblichen Anforderungen Ihres Unternehmens entsprechen.

    Anmerkung

    Wenn Sie AWS verwaltete Services wie Amazon ECS oder Amazon EKS verwenden, empfehlen wir, den amazon Alias anzugeben, der AMIs erstellt von zugelassen werden soll AWS. Diese Dienste hängen davon ab, ob Amazon Instances veröffentlicht hat AMIs , um sie zu starten.

    Seien Sie vorsichtig, wenn Sie CreationDateCondition Einschränkungen für irgendwelche festlegen. AMIs Wenn Sie zu restriktive Datumsbedingungen festlegen (z. B. AMIs dürfen sie weniger als 5 Tage alt sein), kann dies zu Fehlern beim Starten von Instances führen, wenn die Daten AMIs, unabhängig davon, ob sie von AWS oder anderen Anbietern stammen, nicht innerhalb des angegebenen Zeitrahmens aktualisiert werden.

    Wir empfehlen die Kombination von ImageNames mit ImageProviders, um eine bessere Kontrolle und Spezifität zu gewährleisten. Durch die alleinige Verwendung von ImageNames kann ein AMI möglicherweise nicht eindeutig identifiziert werden.

  3. Prüfen Sie, ob sich dies auf die zu erwartenden Geschäftsprozesse auswirkt

    Sie können die Konsole oder die CLI verwenden, um alle Instances zu identifizieren, mit AMIs denen gestartet wurde und die die angegebenen Kriterien nicht erfüllen. Diese Informationen können Ihnen bei der Entscheidung helfen, entweder Ihre Startkonfigurationen so zu aktualisieren, dass sie konform sind AMIs (z. B. indem Sie ein anderes AMI in einer Startvorlage angeben) oder Ihre Kriterien so anzupassen, dass sie dies zulassen AMIs.

    Konsole: Verwenden Sie die ec2- instance-launched-with-allowed AWS Config -ami-Regel, um zu überprüfen, ob laufende oder gestoppte Instances gestartet wurden AMIs , die Ihren Zulassungskriterien entsprechen. AMIs Die Regel lautet NON_COMPLIANT, wenn ein AMI die AMIs Zulassungskriterien nicht erfüllt, und COMPLIANT, falls dies der Fall ist. Die Regel funktioniert nur, wenn die AMIs Einstellung „Zugelassen“ auf „Aktiviert“ oder „Überwachungsmodus“ gesetzt ist.

    CLI: Führen Sie den describe-instance-image-metadataBefehl aus und filtern Sie die Antwort, um alle Instances zu identifizieren, AMIs die mit gestartet wurden und die die angegebenen Kriterien nicht erfüllen.

    Informationen zur Verwendung der Konsole und der CLI finden Sie unter Suchen Sie nach InstancesAMIs , die von dort aus gestartet wurden, die nicht erlaubt sind.

  4. Zulässig aktivieren AMIs

    Sobald Sie bestätigt haben, dass sich die Kriterien nicht negativ auf die erwarteten Geschäftsprozesse auswirken, aktivieren Sie die Option Zulässig AMIs.

  5. Instance-Starts überwachen

    Überwachen Sie weiterhin Instance-Starts AMIs in all Ihren Anwendungen und den von Ihnen verwendeten AWS verwalteten Services wie Amazon EMR, Amazon ECR, Amazon EKS und. AWS Elastic Beanstalk Suchen Sie nach unerwarteten Problemen und nehmen Sie die erforderlichen Anpassungen an den Zulassungskriterien vor. AMIs

  6. Pilot neu AMIs

    Um Drittanbieter zu testen AMIs , die nicht Ihren aktuellen AMIs Einstellungen für „Zulässig“ entsprechen, AWS empfiehlt es sich, die folgenden Methoden anzuwenden:

    • Verwenden Sie ein separates Konto AWS-Konto: Erstellen Sie ein Konto ohne Zugriff auf Ihre geschäftskritischen Ressourcen. Stellen AMIs Sie sicher, dass die AMIs Einstellung Zulässig in diesem Konto nicht aktiviert ist oder dass die zu testenden Daten ausdrücklich zugelassen sind, damit Sie sie testen können.

    • Testen Sie in einem anderen AWS-Region: Verwenden Sie eine Region, in der Drittanbieter verfügbar AMIs sind, in der Sie die AMIs Einstellungen „Zulässig“ jedoch noch nicht aktiviert haben.

    Diese Ansätze tragen dazu bei, dass Ihre geschäftskritischen Ressourcen geschützt bleiben, während Sie neue Ressourcen testen. AMIs

Erforderliche IAM-Berechtigungen

Um die AMIs Funktion „Zugelassen“ verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen:

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings