Controlla la scoperta e l'uso di AMIs in Amazon EC2 con Allowed AMIs - Amazon Elastic Compute Cloud
Come funziona Allowed AMIs Le migliori pratiche per l'implementazione di Allowed AMIsAutorizzazioni IAM richieste

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla la scoperta e l'uso di AMIs in Amazon EC2 con Allowed AMIs

Per controllare il rilevamento e l'uso di Amazon Machine Images (AMIs) da parte degli utenti del tuo account Account AWS, puoi utilizzare la AMIs funzione Allowed. Specifichi i criteri che AMIs devono soddisfare per essere visibili e disponibili nel tuo account. Quando i criteri sono abilitati, gli utenti che avviano le istanze visualizzeranno e avranno accesso solo a quelle AMIs che soddisfano i criteri specificati. Ad esempio, puoi specificare un elenco di provider AMI affidabili come criteri e solo AMIs da questi provider saranno visibili e disponibili per l'uso.

Prima di abilitare le AMIs impostazioni Consentiti, puoi abilitare la modalità di controllo per visualizzare in anteprima quali AMIs saranno o meno visibili e disponibili per l'uso. Ciò ti consente di perfezionare i criteri in base alle esigenze per garantire che solo gli elementi desiderati AMIs siano visibili e disponibili per gli utenti del tuo account. Inoltre, utilizza il describe-instance-image-metadatacomando per trovare le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs

È possibile specificare le AMIs impostazioni consentite a livello di account, direttamente nell'account o utilizzando una politica dichiarativa. Queste impostazioni devono essere configurate in ogni Regione AWS in cui si desidera controllare l’utilizzo delle AMI. L'utilizzo di una policy dichiarativa consente di applicare le impostazioni contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare le impostazioni direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione delle impostazioni direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta Policy dichiarative nella Guida per l'utente di AWS Organizations .

Nota

La AMIs funzione Consentito controlla solo l'individuazione e l'uso di contenuti pubblici AMIs o AMIs condivisi con l'account. Non limita la AMIs proprietà del tuo account. Indipendentemente dai criteri impostati, i AMIs file creati dal tuo account sono sempre individuabili e utilizzabili dagli utenti del tuo account.

Principali vantaggi di Allowed AMIs

  • Conformità e sicurezza: gli utenti possono scoprire e utilizzare solo quelli AMIs che soddisfano i criteri specificati, riducendo il rischio di utilizzo di AMI non conformi.

  • Gestione efficiente: riducendo il numero di quelli consentiti AMIs, la gestione di quelli rimanenti diventa più semplice ed efficiente.

  • Implementazione centralizzata a livello di account: configura le AMIs impostazioni consentite a livello di account, direttamente all'interno dell'account o tramite una politica dichiarativa. Ciò fornisce un modo centralizzato ed efficiente per controllare l'utilizzo delle AMI sull'intero account.

Indice

Come funziona Allowed AMIs

Per controllare quali AMIs elementi possono essere rilevati e utilizzati nel tuo account, definisci una serie di criteri in base ai quali valutare il AMIs. I criteri sono costituiti da uno o più ImageCriterion, come mostra il diagramma seguente. Il diagramma è seguito da una spiegazione.

La gerarchia AMIs ImageCriteria di configurazione consentita.

La configurazione ha tre livelli:

  • 1 – Valori dei parametri

    • Parametri con più valori:

      • ImageProviders

      • ImageNames

      • MarketplaceProductCodes

        Un’AMI può corrispondere a qualsiasi valore entro un parametro per essere consentita.

        Esempio: ImageProviders = amazon OR account 111122223333 OR account 444455556666 (La logica di valutazione dei valori dei parametri non è riportata nel diagramma).

    • Parametri a valore singolo:

      • CreationDateCondition

      • DeprecationTimeCondition

  • 2ImageCriterion

    • Raggruppa più parametri con logica AND.

    • Un’AMI deve corrispondere a tutti i parametri all’interno di un ImageCriterion per essere consentita.

    • Esempio: ImageProviders = amazon AND CreationDateCondition = 300 giorni o meno

  • 3ImageCriteria

    • Raggruppa più ImageCriterion con logica OR.

    • Un’AMI può corrispondere qualsiasi ImageCriterion per essere consentita.

    • Forma la configurazione completa rispetto alla quale AMIs vengono valutati.

Parametri consentiti AMIs

Puoi configurare i seguenti parametri per creare ImageCriterion:

ImageProviders

I provider AMI AMIs autorizzati.

I valori validi sono alias definiti da e AWS Account AWS IDs, come segue:

  • amazon— Un alias che identifica AMIs creato da Amazon o da fornitori verificati

  • aws-marketplace— Un alias identificativo AMIs creato da fornitori verificati nel Marketplace AWS

  • aws-backup-vault— Un alias che identifica i backup AMIs che risiedono in account Backup vault con accesso AWS logico. Se utilizzi la funzionalità AWS Backup logically air-gapped vault, assicurati che questo alias sia incluso come provider AMI.

  • Account AWS IDs — Una o più cifre a 12 cifre Account AWS IDs

  • none— Indica che solo le creazioni AMIs create dal tuo account possono essere scoperte e utilizzate. Pubblico o condiviso non AMIs può essere scoperto e utilizzato. Quando specificato, non è possibile specificare altri criteri.

ImageNames

I nomi di allowed AMIs, che utilizzano corrispondenze esatte o caratteri jolly (?o*).

MarketplaceProductCodes

I codici dei Marketplace AWS prodotti sono AMIs consentiti.

CreationDateCondition

L'età massima consentita AMIs.

DeprecationTimeCondition

Il periodo massimo di deprecazione consentito. AMIs

Per i valori e i vincoli validi per ogni criterio, consulta Amazon API ImageCriterionRequestReference. EC2

Configurazione consentita AMIs

La configurazione principale di Allowed AMIs è la ImageCriteria configurazione che definisce i criteri per Allowed AMIs. La seguente struttura JSON indica i parametri che possono essere specificati:

{
    "State": "enabled" | "disabled" | "audit-mode",  
    "ImageCriteria" : [
        {
            "ImageProviders": ["string",...],
            "MarketplaceProductCodes": ["string",...],           
            "ImageNames":["string",...],
            "CreationDateCondition" : {
                "MaximumDaysSinceCreated": integer
            },
            "DeprecationTimeCondition" : {
                "MaximumDaysSinceDeprecated": integer
            }
         },
         ...
}

ImageCriteria esempio

Il seguente esempio ImageCriteria configura quattro ImageCriterion. Un’AMI è consentita se corrisponde a uno di questi ImageCriterion. Per informazioni su come vengono valutati i criteri, consulta Come vengono valutati i criteri.

{
    "ImageCriteria": [
        // ImageCriterion 1: Allow Marketplace AWS AMIs with product code "abcdefg1234567890"
        {
            "MarketplaceProductCodes": [
                "abcdefg1234567890"
            ]
        },
        // ImageCriterion 2: Allow AMIs from providers whose accounts are
        // "123456789012" OR "123456789013" AND AMI age is less than 300 days
        {
            "ImageProviders": [
                "123456789012",
                "123456789013"
            ],
            "CreationDateCondition": {
                "MaximumDaysSinceCreated": 300
            }
        },
        // ImageCriterion 3: Allow AMIs from provider whose account is "123456789014" 
        // AND with names following the pattern "golden-ami-*"
        {
            "ImageProviders": [
                "123456789014"
            ],
            "ImageNames": [
                "golden-ami-*"
            ]
        },
        // ImageCriterion 4: Allow AMIs from Amazon or verified providers 
        // AND which aren't deprecated
        {
            "ImageProviders": [
                "amazon"
            ],
            "DeprecationTimeCondition": {
                "MaximumDaysSinceDeprecated": 0
            }
        }
    ]
}

Come vengono valutati i criteri

La seguente tabella illustra le regole di valutazione che determinano se un’AMI è consentita, mostrando come l’operatore AND o OR viene applicato a ciascun livello:

Livello di valutazione Operatore Requisito per essere un’AMI consentita
Valori dei parametri per ImageProviders, ImageNames e MarketplaceProductCodes OR L’AMI deve corrispondere almeno a un valore in ogni elenco di parametri
ImageCriterion AND L’AMI deve corrispondere a tutti i parametri di ogni ImageCriterion
ImageCriteria OR L’AMI deve rispettare uno qualsiasi dei ImageCriterion

Utilizzando le regole di valutazione precedenti, vediamo come applicarle all’ImageCriteria esempio:

  • ImageCriterion1: consente AMIs di avere il codice Marketplace AWS prodotto abcdefg1234567890

    OR

  • ImageCriterion2: Consente AMIs che soddisfino entrambi questi criteri:

    • Di proprietà di uno degli account 123456789012 OR 123456789013

      • AND

    • Creato negli ultimi 300 giorni

    OR

  • ImageCriterion3: Consente AMIs che soddisfino entrambi questi criteri:

    • Di proprietà dell’account 123456789014

      • AND

    • Denominato con il modello golden-ami-*

    OR

  • ImageCriterion4: Consente AMIs che soddisfino entrambi questi criteri:

    • Pubblicato da Amazon o da fornitori verificati (specificato dall’alias amazon)

      • AND

    • Non obsoleto (massimo giorni dalla data di obsolescenza 0)

Limits

I ImageCriteria possono includere fino a:

  • 10 ImageCriterion

Ogni ImageCriterion può includere fino a:

  • 200 valori per ImageProviders

  • 50 valori per ImageNames

  • 50 valori per MarketplaceProductCodes

Esempio di limiti

Utilizzando i ImageCriteria esempio precedenti:

  • Ci sono 4 ImageCriterion. È possibile aggiungere fino a 6 ulteriori richieste per raggiungere il limite di 10.

  • Nel primo ImageCriterion, c’è 1 valore per MarketplaceProductCodes. È possibile aggiungere fino a 49 elementi a questo ImageCriterion per raggiungere il limite di 50.

  • Nel secondo ImageCriterion, ci sono 2 valori per ImageProviders. È possibile aggiungere fino a 198 elementi a questo ImageCriterion per raggiungere il limite di 200.

  • Nel terzo ImageCriterion, c’è 1 valore per ImageNames. È possibile aggiungere fino a 49 elementi a questo ImageCriterion per raggiungere il limite di 50.

AMIs Operazioni consentite

La AMIs funzione Consentito ha tre stati operativi per la gestione dei criteri relativi all'immagine: abilitato, disabilitato e modalità di controllo. Queste consentono di abilitare o disabilitare i criteri relativi alle immagini o di rivederli secondo necessità.

Abilitato

Quando Allowed AMIs è abilitata:

  • Vengono applicati i ImageCriteria.

  • Solo le immagini consentite AMIs sono individuabili nella EC2 console e quindi APIs utilizzano immagini (ad esempio, che descrivono, copiano, archiviano o eseguono altre azioni che utilizzano immagini).

  • Le istanze possono essere avviate solo utilizzando allowed. AMIs

Disabilitato

Quando l'opzione Consentito AMIs è disabilitata:

  • Non vengono applicati i ImageCriteria.

  • Non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.

Modalità di controllo

Nella modalità di controllo:

  • Vengono applicati i ImageCriteria, ma non viene posta alcuna restrizione alla rilevabilità o all'utilizzo delle AMI.

  • Nella EC2 console, per ogni AMI, il campo Immagine consentita visualizza o No per indicare se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando Allowed AMIs è abilitato.

  • Nella riga di comando, la risposta all'describe-imageoperazione include "ImageAllowed": true o "ImageAllowed": false indica se l'AMI sarà rilevabile e disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Allowed.

  • Nella EC2 console, viene visualizzato il messaggio Catalogo AMI non consentito accanto al quale AMIs non sarà rilevabile o disponibile per gli utenti dell'account quando AMIs è abilitata l'opzione Consentito.

Le migliori pratiche per l'implementazione di Allowed AMIs

Nell'implementazione di Allowed AMIs, prendi in considerazione queste best practice per garantire una transizione fluida e ridurre al minimo le potenziali interruzioni AWS dell'ambiente.

  1. Abilitare la modalità di controllo

    Inizia abilitando Allowed AMIs in modalità di controllo. Questo stato ti consente di vedere quali AMIs sarebbero gli elementi interessati dai tuoi criteri senza limitare effettivamente l'accesso, garantendo un periodo di valutazione privo di rischi.

  2. Imposta i criteri consentiti AMIs

    Stabilire con attenzione quali provider di AMI sono in linea con le politiche di sicurezza, i requisiti di conformità e le esigenze operative della tua organizzazione.

    Nota

    Quando utilizzi servizi AWS gestiti come Amazon ECS o Amazon EKS, ti consigliamo di specificare l'amazonalias da consentire AMIs la creazione da. AWS Questi servizi dipendono dalle istanze pubblicate AMIs da Amazon per lanciare.

    Fai attenzione quando CreationDateCondition imposti restrizioni per qualcuno. AMIs L'impostazione di condizioni di data eccessivamente restrittive (ad esempio, AMIs deve avere meno di 5 giorni) può causare errori di avvio delle istanze se le istanze AMIs, provenienti da AWS o da altri provider, non vengono aggiornate entro l'intervallo di tempo specificato.

    Consigliamo di abbinare ImageNames con ImageProviders per un controllo e una specificità migliori. Utilizzare ImageNames da solo potrebbe non identificare in modo univoco un’AMI.

  3. Verificare l'impatto sui processi aziendali previsti

    Puoi utilizzare la console o la CLI per identificare tutte le istanze avviate con AMIs che non soddisfano i criteri specificati. Queste informazioni possono aiutarti a decidere se aggiornare le configurazioni di lancio per utilizzarle come conformi AMIs (ad esempio, specificando un'AMI diversa in un modello di lancio) o modificare i criteri per consentirle. AMIs

    Console: utilizza la AWS Config regola ec2- instance-launched-with-allowed -ami per verificare se sono state avviate istanze in esecuzione o interrotte che soddisfano i criteri consentiti. AMIs AMIs La regola è NON_COMPLIANT se un AMI non soddisfa i AMIs criteri consentiti e COMPLIANT in caso affermativo. La regola funziona solo quando l' AMIs impostazione Allowed è impostata sulla modalità abilitata o di controllo.

    CLI: esegui il describe-instance-image-metadatacomando e filtra la risposta per identificare le istanze avviate con AMIs che non soddisfano i criteri specificati.

    Per le istruzioni relative a console e CLI, consulta Trova le istanze avviate da AMIs cui non è consentito.

  4. Abilita consentito AMIs

    Dopo aver confermato che i criteri non influiranno negativamente sui processi aziendali previsti, abilita Consentito AMIs.

  5. Monitorare gli avvii delle istanze

    Continua a monitorare i lanci di istanze da AMIs tutte le tue applicazioni e dai servizi AWS gestiti che utilizzi, come Amazon EMR, Amazon ECR, Amazon EKS e. AWS Elastic Beanstalk Verifica la presenza di eventuali problemi imprevisti e apporta le modifiche necessarie ai criteri consentiti. AMIs

  6. Pilota nuovo AMIs

    Per testare terze parti AMIs che non rispettano le attuali AMIs impostazioni Consentite, AWS consiglia i seguenti approcci:

    • Utilizza un account separato Account AWS: crea un account senza accesso alle tue risorse aziendali critiche. Assicurati che l' AMIs impostazione Consentito non sia abilitata in questo account o che le informazioni che AMIs desideri testare siano esplicitamente consentite, in modo da poterle testare.

    • Esegui il test in un'altra regione Regione AWS: utilizza una regione in cui AMIs sono disponibili terze parti, ma in cui non hai ancora abilitato le AMIs impostazioni consentite.

    Questi approcci aiutano a garantire che le risorse aziendali critiche rimangano sicure mentre ne testate di nuove. AMIs

Autorizzazioni IAM richieste

Per utilizzare la AMIs funzionalità Allowed, sono necessarie le seguenti autorizzazioni IAM:

  • GetAllowedImagesSettings

  • EnableAllowedImagesSettings

  • DisableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings