View a markdown version of this page

Gestion des paramètres pour les AMI autorisées - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des paramètres pour les AMI autorisées

Vous pouvez gérer les paramètres des AMI autorisées. Ces paramètres sont définis par région et par compte.

Activer le paramètre AMI autorisées

Vous pouvez activer les AMI autorisées et spécifier les critères des AMI autorisées. Nous vous recommandons de commencer en mode d’audit, qui vous montre quelles AMI seraient affectées par les critères sans pour autant restreindre l’accès.

Console
Pour activer les AMI autorisées
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).

  3. Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.

  4. Dans l’onglet AMI autorisées, choisissez Gérer.

  5. Pour Paramètres des AMI autorisées, sélectionnez Mode d’audit ou le Activé. Nous vous recommandons de commencer en mode d’audit, de tester les critères, puis de revenir à cette étape pour activer les AMI autorisées.

  6. (Facultatif) Pour Critères AMI, saisissez les critères au format JSON.

  7. Choisissez Mettre à jour.

AWS CLI
Pour activer les AMI autorisées

Utilisez la commande enable-allowed-images-settings.

aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabled

Pour activer le mode d’audit à la place, spécifiez audit-mode au lieu de enabled.

aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode
PowerShell
Pour activer les AMI autorisées

Utilisez l’applet de commande Enable-EC2AllowedImagesSetting.

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabled

Pour activer le mode d’audit à la place, spécifiez audit-mode au lieu de enabled.

Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode

Définition des critères des AMI autorisées

Après avoir activé les AMI autorisées, vous pouvez définir ou remplacer les critères des AMI autorisées.

Pour obtenir la configuration correcte et les valeurs valides, consultez les sections Configuration des AMI autorisées et Paramètres des AMI autorisés.

Console
Pour définir les critères des AMI autorisées
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).

  3. Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.

  4. Dans l’onglet AMI autorisées, choisissez Gérer.

  5. Pour Critères AMI, saisissez les critères au format JSON.

  6. Choisissez Mettre à jour.

AWS CLI
Pour définir les critères des AMI autorisées

Utilisez la commande replace-image-criteria-in-allowed-images-settings et spécifiez le fichier JSON contenant les critères des AMI autorisées.

aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json
PowerShell
Pour définir les critères des AMI autorisées

Utilisez l'Set-EC2ImageCriteriaInAllowedImagesSettingapplet de commande et spécifiez le fichier JSON contenant les critères des AMI autorisées.

$imageCriteria = Get-Content -Path .\file_name.json | ConvertFrom-Json Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria

Désactiver les AMI autorisées

Vous pouvez désactiver les AMI autorisées en procédant comme suit.

Console
Pour désactiver les AMI autorisées
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).

  3. Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.

  4. Dans l’onglet AMI autorisées, choisissez Gérer.

  5. Pour les paramètres des AMI autorisées, sélectionnez Désactivées.

  6. Choisissez Mettre à jour.

AWS CLI
Pour désactiver les AMI autorisées

Utilisez la commande disable-allowed-images-settings.

aws ec2 disable-allowed-images-settings
PowerShell
Pour désactiver les AMI autorisées

Utilisez l’applet de commande Disable-EC2AllowedImagesSetting.

Disable-EC2AllowedImagesSetting

Obtention des critères des AMI autorisées

Vous pouvez obtenir l’état actuel des paramètres et des critères des AMI autorisées.

Console
Pour obtenir l’état et les critères des AMI autorisées
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).

  3. Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.

  4. Dans l’onglet AMI autorisées, Paramètres des AMI autorisées est défini sur Activé, Désactivé ou Mode d’audit.

  5. Si l’état des AMI autorisées est Activé ou Mode d’audit, Critères AMI affiche les critères AMI au format JSON.

AWS CLI
Pour obtenir l’état et les critères des AMI autorisées

Utilisez la commande get-allowed-images-settings.

aws ec2 get-allowed-images-settings

Dans l’exemple de sortie suivant, l’état est audit-mode et les critères d’image sont définis dans le compte.

{ "State": "audit-mode", "ImageCriteria": [ { "MarketplaceProductCodes": [ "abcdefg1234567890" ] }, { "ImageProviders": [ "123456789012", "123456789013" ], "CreationDateCondition": { "MaximumDaysSinceCreated": 300 } }, { "ImageProviders": [ "123456789014" ], "ImageNames": [ "golden-ami-*" ] }, { "ImageProviders": [ "amazon" ], "DeprecationTimeCondition": { "MaximumDaysSinceDeprecated": 0 } } ], "ManagedBy": "account" }
PowerShell
Pour obtenir l’état et les critères des AMI autorisées

Utilisez l’applet de commande Get-EC2AllowedImagesSetting.

Get-EC2AllowedImagesSetting | Select-Object ` State, ` ManagedBy, ` @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, ` @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, ` @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, ` @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, ` @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}

Dans l’exemple de sortie suivant, l’état est audit-mode et les critères d’image sont définis dans le compte.

State : audit-mode ManagedBy : account ImageProviders : {123456789012, 123456789013, 123456789014, amazon} MarketplaceProductCodes : {abcdefg1234567890} ImageNames : {golden-ami-*} MaximumDaysSinceCreated : 300 MaximumDaysSinceDeprecated: 0

Recherche des AMI autorisées

Vous pouvez rechercher les AMI autorisées ou non selon les critères des AMI autorisées actuels.

Note

Les AMI autorisées doivent être en mode d’audit.

Console
Pour déterminer si une AMI répond aux critères des AMI autorisées
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez AMI.

  3. Sélectionnez l’AMI.

  4. Dans l’onglet Détails (si vous avez sélectionné la case à cocher) ou dans la zone de résumé (si vous avez sélectionné l’identifiant de l’AMI), recherchez le champ Image autorisée.

    • Oui : l’AMI répond aux critères des AMI autorisées. Cette AMI sera disponible pour les utilisateurs de votre compte après avoir activé les AMI autorisées.

    • Non : l’AMI ne répond pas aux critères des AMI autorisées.

  5. Dans le panneau de navigation, sélectionnez Catalogue AMI.

    Une AMI marquée comme Non autorisée indique une AMI qui ne répond pas aux critères des AMI autorisées. Cette AMI ne sera pas visible ou disponible pour les utilisateurs de votre compte lorsque les AMI autorisées sont activées.

AWS CLI
Pour déterminer si une AMI répond aux critères des AMI autorisées

Utilisez la commande describe-images.

aws ec2 describe-images \ --image-id ami-0abcdef1234567890 \ --query Images[].ImageAllowed \ --output text

Voici un exemple de sortie.

True
Pour rechercher les AMI qui répondent aux critères des AMI autorisées

Utilisez la commande describe-images.

aws ec2 describe-images \ --filters "Name=image-allowed,Values=true" \ --max-items 10 \ --query Images[].ImageId

Voici un exemple de sortie.

ami-000eaaa8be2fd162a ami-000f82db25e50de8e ami-000fc21eb34c7a9a6 ami-0010b876f1287d7be ami-0010b929226fe8eba ami-0010957836340aead ami-00112c992a47ba871 ami-00111759e194abcc1 ami-001112565ffcafa5e ami-0011e45aaee9fba88
PowerShell
Pour déterminer si une AMI répond aux critères des AMI autorisées

Utilisez l’applet de commande Get-EC2Image.

(Get-EC2Image -ImageId ami-0abcdef1234567890).ImageAllowed

Voici un exemple de sortie.

True
Pour rechercher les AMI qui répondent aux critères des AMI autorisées

Utilisez l’applet de commande Get-EC2Image.

Get-EC2Image ` -Filter @{Name="image-allows";Values="true"} ` -MaxResult 10 | ` Select ImageId

Voici un exemple de sortie.

ami-000eaaa8be2fd162a ami-000f82db25e50de8e ami-000fc21eb34c7a9a6 ami-0010b876f1287d7be ami-0010b929226fe8eba ami-0010957836340aead ami-00112c992a47ba871 ami-00111759e194abcc1 ami-001112565ffcafa5e ami-0011e45aaee9fba88

Recherche des instances lancées à partir d’AMI non autorisées

Vous pouvez identifier les instances qui ont été lancées à l’aide d’une AMI qui ne répond pas aux critères des AMI autorisées.

Console
Pour vérifier si une instance a été lancée à l’aide d’une AMI non autorisée
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance.

  4. Dans l’onglet Détails, sous Détails de l’instance, recherchez Image autorisée.

    • Oui : l’AMI répond aux critères des AMI autorisées.

    • Non : l’AMI ne répond pas aux critères des AMI autorisées.

AWS CLI
Pour rechercher les instances lancées à l’aide d’AMI qui ne sont pas autorisées

Utilisez la commande describe-instance-image-metadata avec le filtre image-allowed.

aws ec2 describe-instance-image-metadata \ --filters "Name=image-allowed,Values=false" \ --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \ --output table

Voici un exemple de sortie.

-------------------------------------------------- | DescribeInstanceImageMetadata | +----------------------+-------------------------+ | i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 | | i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f | | i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 | | i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 | | i-0781e91cfeca3179d | ami-00c257e12d6828491 | | i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 | +----------------------+-------------------------+
PowerShell
Pour rechercher les instances lancées à l’aide d’AMI qui ne sont pas autorisées

Utilisez l’applet de commande Get-EC2InstanceImageMetadata.

Get-EC2InstanceImageMetadata ` -Filter @{Name="image-allowed";Values="false"} | ` Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}

Voici un exemple de sortie.

InstanceId ImageId ---------- ------- i-08fd74f3f1595fdbd ami-09245d5773578a1d6 i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0 i-006a6a4e8870c828f ami-0a70b9d193ae8a799 i-0781e91cfeca3179d ami-00c257e12d6828491 i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9
AWS Config

Vous pouvez ajouter la AWS Config règle ec2-instance-launched-with-allowed-ami, la configurer selon vos besoins, puis l'utiliser pour évaluer vos instances.

Pour plus d'informations, consultez Ajouter des AWS Config règles et ec2-instance-launched-with-allowed-ami dans le manuel du développeur.AWS Config