Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des paramètres pour les AMI autorisées
Vous pouvez gérer les paramètres des AMI autorisées. Ces paramètres sont définis par région et par compte.
Tâches
Activer le paramètre AMI autorisées
Vous pouvez activer les AMI autorisées et spécifier les critères des AMI autorisées. Nous vous recommandons de commencer en mode d’audit, qui vous montre quelles AMI seraient affectées par les critères sans pour autant restreindre l’accès.
- Console
-
Pour activer les AMI autorisées
-
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).
-
Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.
-
Dans l’onglet AMI autorisées, choisissez Gérer.
-
Pour Paramètres des AMI autorisées, sélectionnez Mode d’audit ou le Activé. Nous vous recommandons de commencer en mode d’audit, de tester les critères, puis de revenir à cette étape pour activer les AMI autorisées.
-
(Facultatif) Pour Critères AMI, saisissez les critères au format JSON.
-
Choisissez Mettre à jour.
-
- AWS CLI
-
Pour activer les AMI autorisées
Utilisez la commande enable-allowed-images-settings.
aws ec2 enable-allowed-images-settings --allowed-images-settings-state enabledPour activer le mode d’audit à la place, spécifiez
audit-modeau lieu deenabled.aws ec2 enable-allowed-images-settings --allowed-images-settings-state audit-mode - PowerShell
-
Pour activer les AMI autorisées
Utilisez l’applet de commande Enable-EC2AllowedImagesSetting.
Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState enabledPour activer le mode d’audit à la place, spécifiez
audit-modeau lieu deenabled.Enable-EC2AllowedImagesSetting -AllowedImagesSettingsState audit-mode
Définition des critères des AMI autorisées
Après avoir activé les AMI autorisées, vous pouvez définir ou remplacer les critères des AMI autorisées.
Pour obtenir la configuration correcte et les valeurs valides, consultez les sections Configuration des AMI autorisées et Paramètres des AMI autorisés.
- Console
-
Pour définir les critères des AMI autorisées
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).
-
Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.
-
Dans l’onglet AMI autorisées, choisissez Gérer.
-
Pour Critères AMI, saisissez les critères au format JSON.
-
Choisissez Mettre à jour.
- AWS CLI
-
Pour définir les critères des AMI autorisées
Utilisez la commande replace-image-criteria-in-allowed-images-settings et spécifiez le fichier JSON contenant les critères des AMI autorisées.
aws ec2 replace-image-criteria-in-allowed-images-settings --cli-input-json file://file_name.json - PowerShell
-
Pour définir les critères des AMI autorisées
Utilisez l'Set-EC2ImageCriteriaInAllowedImagesSettingapplet de commande et spécifiez le fichier JSON contenant les critères des AMI autorisées.
$imageCriteria = Get-Content -Path .\file_name.json| ConvertFrom-Json Set-EC2ImageCriteriaInAllowedImagesSetting -ImageCriterion $imageCriteria
Désactiver les AMI autorisées
Vous pouvez désactiver les AMI autorisées en procédant comme suit.
- Console
-
Pour désactiver les AMI autorisées
-
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).
-
Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.
-
Dans l’onglet AMI autorisées, choisissez Gérer.
-
Pour les paramètres des AMI autorisées, sélectionnez Désactivées.
-
Choisissez Mettre à jour.
-
- AWS CLI
-
Pour désactiver les AMI autorisées
Utilisez la commande disable-allowed-images-settings.
aws ec2 disable-allowed-images-settings - PowerShell
-
Pour désactiver les AMI autorisées
Utilisez l’applet de commande Disable-EC2AllowedImagesSetting.
Disable-EC2AllowedImagesSetting
Obtention des critères des AMI autorisées
Vous pouvez obtenir l’état actuel des paramètres et des critères des AMI autorisées.
- Console
-
Pour obtenir l’état et les critères des AMI autorisées
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sélectionnez Dashboard (Tableau de bord).
-
Sur la fiche Attributs du compte, sous Paramètres, sélectionnez AMI autorisées.
-
Dans l’onglet AMI autorisées, Paramètres des AMI autorisées est défini sur Activé, Désactivé ou Mode d’audit.
-
Si l’état des AMI autorisées est Activé ou Mode d’audit, Critères AMI affiche les critères AMI au format JSON.
- AWS CLI
-
Pour obtenir l’état et les critères des AMI autorisées
Utilisez la commande get-allowed-images-settings.
aws ec2 get-allowed-images-settingsDans l’exemple de sortie suivant, l’état est
audit-modeet les critères d’image sont définis dans le compte.{ "State": "audit-mode", "ImageCriteria": [ { "MarketplaceProductCodes": [ "abcdefg1234567890" ] }, { "ImageProviders": [ "123456789012", "123456789013" ], "CreationDateCondition": { "MaximumDaysSinceCreated": 300 } }, { "ImageProviders": [ "123456789014" ], "ImageNames": [ "golden-ami-*" ] }, { "ImageProviders": [ "amazon" ], "DeprecationTimeCondition": { "MaximumDaysSinceDeprecated": 0 } } ], "ManagedBy": "account" } - PowerShell
-
Pour obtenir l’état et les critères des AMI autorisées
Utilisez l’applet de commande Get-EC2AllowedImagesSetting.
Get-EC2AllowedImagesSetting | Select-Object ` State, ` ManagedBy, ` @{Name='ImageProviders'; Expression={($_.ImageCriteria.ImageProviders)}}, ` @{Name='MarketplaceProductCodes'; Expression={($_.ImageCriteria.MarketplaceProductCodes)}}, ` @{Name='ImageNames'; Expression={($_.ImageCriteria.ImageNames)}}, ` @{Name='MaximumDaysSinceCreated'; Expression={($_.ImageCriteria.CreationDateCondition.MaximumDaysSinceCreated)}}, ` @{Name='MaximumDaysSinceDeprecated'; Expression={($_.ImageCriteria.DeprecationTimeCondition.MaximumDaysSinceDeprecated)}}Dans l’exemple de sortie suivant, l’état est
audit-modeet les critères d’image sont définis dans le compte.State : audit-mode ManagedBy : account ImageProviders : {123456789012, 123456789013, 123456789014, amazon} MarketplaceProductCodes : {abcdefg1234567890} ImageNames : {golden-ami-*} MaximumDaysSinceCreated : 300 MaximumDaysSinceDeprecated: 0
Recherche des AMI autorisées
Vous pouvez rechercher les AMI autorisées ou non selon les critères des AMI autorisées actuels.
Note
Les AMI autorisées doivent être en mode d’audit.
- Console
-
Pour déterminer si une AMI répond aux critères des AMI autorisées
-
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sélectionnez AMI.
-
Sélectionnez l’AMI.
-
Dans l’onglet Détails (si vous avez sélectionné la case à cocher) ou dans la zone de résumé (si vous avez sélectionné l’identifiant de l’AMI), recherchez le champ Image autorisée.
-
Oui : l’AMI répond aux critères des AMI autorisées. Cette AMI sera disponible pour les utilisateurs de votre compte après avoir activé les AMI autorisées.
-
Non : l’AMI ne répond pas aux critères des AMI autorisées.
-
-
Dans le panneau de navigation, sélectionnez Catalogue AMI.
Une AMI marquée comme Non autorisée indique une AMI qui ne répond pas aux critères des AMI autorisées. Cette AMI ne sera pas visible ou disponible pour les utilisateurs de votre compte lorsque les AMI autorisées sont activées.
-
- AWS CLI
-
Pour déterminer si une AMI répond aux critères des AMI autorisées
Utilisez la commande describe-images.
aws ec2 describe-images \ --image-idami-0abcdef1234567890\ --query Images[].ImageAllowed \ --output textVoici un exemple de sortie.
TruePour rechercher les AMI qui répondent aux critères des AMI autorisées
Utilisez la commande describe-images.
aws ec2 describe-images \ --filters "Name=image-allowed,Values=true" \ --max-items 10 \ --query Images[].ImageIdVoici un exemple de sortie.
ami-000eaaa8be2fd162a ami-000f82db25e50de8e ami-000fc21eb34c7a9a6 ami-0010b876f1287d7be ami-0010b929226fe8eba ami-0010957836340aead ami-00112c992a47ba871 ami-00111759e194abcc1 ami-001112565ffcafa5e ami-0011e45aaee9fba88 - PowerShell
-
Pour déterminer si une AMI répond aux critères des AMI autorisées
Utilisez l’applet de commande Get-EC2Image.
(Get-EC2Image -ImageIdami-0abcdef1234567890).ImageAllowedVoici un exemple de sortie.
TruePour rechercher les AMI qui répondent aux critères des AMI autorisées
Utilisez l’applet de commande Get-EC2Image.
Get-EC2Image ` -Filter @{Name="image-allows";Values="true"} ` -MaxResult 10 | ` Select ImageIdVoici un exemple de sortie.
ami-000eaaa8be2fd162a ami-000f82db25e50de8e ami-000fc21eb34c7a9a6 ami-0010b876f1287d7be ami-0010b929226fe8eba ami-0010957836340aead ami-00112c992a47ba871 ami-00111759e194abcc1 ami-001112565ffcafa5e ami-0011e45aaee9fba88
Recherche des instances lancées à partir d’AMI non autorisées
Vous pouvez identifier les instances qui ont été lancées à l’aide d’une AMI qui ne répond pas aux critères des AMI autorisées.
- Console
-
Pour vérifier si une instance a été lancée à l’aide d’une AMI non autorisée
-
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, choisissez Instances.
-
Sélectionnez l’instance.
-
Dans l’onglet Détails, sous Détails de l’instance, recherchez Image autorisée.
-
Oui : l’AMI répond aux critères des AMI autorisées.
-
Non : l’AMI ne répond pas aux critères des AMI autorisées.
-
-
- AWS CLI
-
Pour rechercher les instances lancées à l’aide d’AMI qui ne sont pas autorisées
Utilisez la commande describe-instance-image-metadata avec le filtre
image-allowed.aws ec2 describe-instance-image-metadata \ --filters "Name=image-allowed,Values=false" \ --query "InstanceImageMetadata[*].[InstanceId,ImageMetadata.ImageId]" \ --output tableVoici un exemple de sortie.
-------------------------------------------------- | DescribeInstanceImageMetadata | +----------------------+-------------------------+ | i-08fd74f3f1595fdbd | ami-09245d5773578a1d6 | | i-0b1bf24fd4f297ab9 | ami-07cccf2bd80ed467f | | i-026a2eb590b4f7234 | ami-0c0ec0a3a3a4c34c0 | | i-006a6a4e8870c828f | ami-0a70b9d193ae8a799 | | i-0781e91cfeca3179d | ami-00c257e12d6828491 | | i-02b631e2a6ae7c2d9 | ami-0bfddf4206f1fa7b9 | +----------------------+-------------------------+ - PowerShell
-
Pour rechercher les instances lancées à l’aide d’AMI qui ne sont pas autorisées
Utilisez l’applet de commande Get-EC2InstanceImageMetadata.
Get-EC2InstanceImageMetadata ` -Filter @{Name="image-allowed";Values="false"} | ` Select InstanceId, @{Name='ImageId'; Expression={($_.ImageMetadata.ImageId)}}Voici un exemple de sortie.
InstanceId ImageId ---------- ------- i-08fd74f3f1595fdbd ami-09245d5773578a1d6 i-0b1bf24fd4f297ab9 ami-07cccf2bd80ed467f i-026a2eb590b4f7234 ami-0c0ec0a3a3a4c34c0 i-006a6a4e8870c828f ami-0a70b9d193ae8a799 i-0781e91cfeca3179d ami-00c257e12d6828491 i-02b631e2a6ae7c2d9 ami-0bfddf4206f1fa7b9 - AWS Config
-
Vous pouvez ajouter la AWS Config règle ec2-instance-launched-with-allowed-ami, la configurer selon vos besoins, puis l'utiliser pour évaluer vos instances.
Pour plus d'informations, consultez Ajouter des AWS Config règles et ec2-instance-launched-with-allowed-ami dans le manuel du développeur.AWS Config