Identifica le tue risorse facendo riferimento a quanto specificato AMIs - Amazon Elastic Compute Cloud
Risorse supportateCome funzionano i controlli dei riferimenti AMIAutorizzazioni IAM richiesteFasi per verificare i riferimenti AMI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identifica le tue risorse facendo riferimento a quanto specificato AMIs

Puoi identificare AWS le tue risorse che fanno riferimento ad Amazon Machine Images (AMIs) specificate, indipendentemente dal fatto che AMIs siano pubbliche o private o da chi le possiede. Questa visibilità ti aiuta a garantire che le tue risorse utilizzino le più recenti normative AMIs.

Vantaggi principali

Controllare i riferimenti AMI ti aiuta a:

  • Verifica l'utilizzo di AMIs nel tuo account.

  • Controlla dove si fa riferimento a qualcosa di specifico AMIs .

  • Mantieni la conformità aggiornando le tue risorse in modo che facciano riferimento alle ultime novitàAMIs.

 

Risorse supportate

I riferimenti all’AMI possono essere controllati in:

  • EC2 istanze

  • Modelli di avvio

  • Parametri SSM

  • ricette di immagini Image Builder

  • ricette di container Image Builder

Come funzionano i controlli dei riferimenti AMI

Funzionamento di base

Quando esegui un controllo dei riferimenti AMI:

  • Specificare quali AMIs controllare.

  • Scegli i tipi di risorse da scansionare.

  • Ricevi un elenco delle tue risorse che fanno riferimento a quanto specificato AMIs.

Selezione dei tipi di risorsa

Nella console, selezioni i tipi di risorsa da scansionare.

Nella CLI, specifichi i tipi di risorse da scansionare utilizzando uno o entrambi i seguenti parametri CLI:

  • IncludeAllResourceTypes: esegue la scansione di tutti i tipi di risorse supportati.

  • ResourceTypes: esegue la scansione dei tipi di risorse specificati.

Ambito di risposta

È possibile definire l'ambito della risposta per EC2 le istanze e avviare i modelli personalizzando ResourceTypeOptions i valori utilizzando il ResourceTypes parametro. Sia la console che il parametro IncludeAllResourceTypes utilizzano i valori delle opzioni predefiniti. Quando ResourceTypes e IncludeAllResourceTypes vengono utilizzati insieme, i valori dell’opzione ResourceTypes hanno la precedenza sui valori predefiniti.

Di seguito sono riportati i valori predefiniti:

Tipo di risorsa Opzione di definizione dell’ambito (OptionName) Scopo Valori predefiniti per OptionValue e console
EC2 istanze state-name Filtra per stato dell’istanza pending, running, shutting-down, terminated, stopping, stopped (tutti gli stati)
Modelli di avvio version-depth Specifica il numero di versioni del modello di avvio da controllare (a partire dalla versione più recente) 10 (versioni più recenti)

Autorizzazioni IAM richieste

Per utilizzare l'DescribeImageReferencesAPI per identificare le risorse con riferimento specificato AMIs, sono necessarie le seguenti autorizzazioni IAM per descrivere le risorse:

  • ec2:DescribeInstances

  • ec2:DescribeLaunchTemplates

  • ec2:DescribeLaunchTemplateVersions

  • ssm:DescribeParameters

  • ssm:GetParameters

  • imagebuilder:ListImageRecipes

  • imagebuilder:ListContainerRecipes

  • imagebuilder:GetContainerRecipe

Esempio di policy IAM per l’uso o dell’API DescribeImageReferences

La seguente politica di esempio concede le autorizzazioni per utilizzare l'DescribeImageReferencesAPI, che include le autorizzazioni per descrivere EC2 istanze, modelli di avvio, parametri di Systems Manager, ricette di immagini Image Builder e ricette di contenitori Image Builder.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "ec2:DescribeImageReferences",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeLaunchTemplates",
				"ec2:DescribeLaunchTemplateVersions",
				"ssm:DescribeParameters",
				"ssm:GetParameters",
				"imagebuilder:ListImageRecipes",
				"imagebuilder:ListContainerRecipes",
				"imagebuilder:GetContainerRecipe"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"ec2-images.amazonaws.com"
					]
				}
			}
		}
	]
}
Importante

Si consiglia vivamente di utilizzare la politica AWS gestita AmazonEC2ImageReferencesAccessPolicyanziché crearla autonomamente. Creare una policy IAM personalizzata che fornisca solo le autorizzazioni necessarie richiede tempo e competenze specifiche e richiederà aggiornamenti man mano che saranno disponibili nuovi tipi di risorse.

La policy gestita AmazonEC2ImageReferencesAccessPolicy

  • Concede tutte le autorizzazioni necessarie per utilizzare l'DescribeImageReferencesAPI (tra cui le autorizzazioni per descrivere EC2 istanze, modelli di avvio, parametri di Systems Manager e ricette di immagini e contenitori Image Builder).

  • Supporta automaticamente nuovi tipi di risorse non appena diventano disponibili (particolarmente importante quando si utilizza il parametro IncludeAllResourceTypes).

Puoi associare la policy AmazonEC2ImageReferencesAccessPolicy alle identità IAM (utenti, gruppi e ruoli).

Per vedere le autorizzazioni incluse in questa policy, consulta AmazonEC2ImageReferencesAccessPolicy nella Guida di riferimento sulle policy gestite da AWS .

Fasi per verificare i riferimenti AMI

Utilizzate le seguenti procedure per identificare a quali risorse si riferisce il AWS riferimento specificato. AMIs

Console
Per identificare le risorse che fanno riferimento a quelle specificate AMIs

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel pannello di navigazione, scegli AMIs.

  3. Selezionane uno o più AMIs per verificare la presenza di riferimenti.

  4. Seleziona Azioni, Utilizzo delle AMI, Visualizza risorse di riferimento.

  5. Nella AMIs pagina Visualizza risorse che fanno riferimento a una selezione:

    1. Per Tipi di risorsa, seleziona uno o più tipi di risorse.

    2. Seleziona Visualizza risorse.

  6. Viene visualizzata la AMIs sezione Risorse che fanno riferimento a una selezione. L'elenco mostra le risorse che fanno riferimento a quanto specificato. AMIs Ogni riga fornisce le seguenti informazioni:

    • ID dell’AMI: l’ID dell’AMI a cui viene fatto riferimento.

    • Tipo di risorsa: il tipo di risorsa che fa riferimento all’AMI.

    • ID della risorsa: l’ID della risorsa che fa riferimento all’AMI.

AWS CLI
Per controllare i riferimenti alle AMI per tipi di risorse specifici

Usa il comando describe-image-references con il parametro --resource-types. L'esempio seguente controlla EC2 le istanze (ambito per stato dell'istanza), i modelli di avvio (con riferimento alle 20 versioni più recenti dei modelli di lancio) e altri tipi di risorse specifici.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --resource-types \
        'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]' \
        'ResourceType=ec2:LaunchTemplate,ResourceTypeOptions=[{OptionName=version-depth,OptionValues=[20]}]' \
        'ResourceType=ssm:Parameter' \
        'ResourceType=imagebuilder:ImageRecipe' \
        'ResourceType=imagebuilder:ContainerRecipe'

Di seguito è riportato un output di esempio.

{
    "ImageReferences": [
        {
            "ImageId": "ami-0abcdef1234567890",
            "ResourceType": "ec2:Instance",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
        },
        {
            "ImageId": "ami-1234567890abcdef0",
            "ResourceType": "ec2:LaunchTemplate",
            "Arn": "arn:aws:ec2:us-east-1:123456789012:launch-template/lt-1234567890abcdef0"
        }
    ]
}
Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati

Usa il comando describe-image-references con il parametro --include-all-resource-types.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types
Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati e opzioni specifiche

Utilizzate il describe-image-referencescomando con entrambi i parametri and. --include-all-resource-types --resource-types Questo esempio controlla tutti i tipi di risorse mentre definisce l'ambito della risposta delle istanze alle EC2 istanze in esecuzione o in sospeso.

aws ec2 describe-image-references \
    --image-ids ami-0abcdef1234567890 ami-1234567890abcdef0 \
    --include-all-resource-types \
    --resource-types 'ResourceType=ec2:Instance,ResourceTypeOptions=[{OptionName=state-name,OptionValues=[running,pending]}]'
PowerShell
Per controllare i riferimenti alle AMI per tipi di risorse specifici

Utilizzare il Get-EC2ImageReferencecmdlet con il parametro. -ResourceType L'esempio seguente controlla EC2 le istanze (ambito per stato dell'istanza), i modelli di avvio (con riferimento alle 20 versioni più recenti dei modelli di lancio) e altri tipi di risorse specifici.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        },
        @{
            ResourceType = 'ec2:LaunchTemplate'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'version-depth'
                    OptionValues = @('20')
                }
            )
        },
        @{
            ResourceType = 'ssm:Parameter'
        },
        @{
            ResourceType = 'imagebuilder:ImageRecipe'
        },
        @{
            ResourceType = 'imagebuilder:ContainerRecipe'
        }
    )
Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati

Utilizzare il Get-EC2ImageReferencecmdlet con il parametro. -IncludeAllResourceTypes

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes
Per controllare i riferimenti alle AMI per tutti i tipi di risorse supportati e opzioni specifiche

Utilizzare il Get-EC2ImageReferencecmdlet con entrambi i parametri e. -IncludeAllResourceTypes -ResourceType Questo esempio controlla tutti i tipi di risorse mentre definisce l'ambito della risposta per le istanze alle EC2 istanze in esecuzione o in sospeso.

Get-EC2ImageReference `
    -ImageId 'ami-0abcdef1234567890', 'ami-1234567890abcdef0' `
    -IncludeAllResourceTypes `
    -ResourceType @(
        @{
            ResourceType = 'ec2:Instance'
            ResourceTypeOptions = @(
                @{
                    OptionName = 'state-name'
                    OptionValues = @('running', 'pending')
                }
            )
        }
    )