Amazon EC2 推出允许的 AMI 以加强 AMI 监管

发布于: 2024年12月1日

Amazon EC2 引入了允许的 AMI，这是一项新的账户范围的设置，可让您限制在 AWS 账户内发现和使用亚马逊机器映像 (AMI)。现在，您只需指定账户内允许的 AMI 所有者账户或 AMI 所有者别名，只有这些所有者的 AMI 才对您可见并可用于启动 EC2 实例。

在此之前，您可以使用与您的账户明确共享的任何 AMI 或任何公用 AMI，而不考虑其来源或可信度，这会使您面临意外使用不符合组织合规要求的 AMI 的风险。现在，借助允许的 AMI，您的管理员可以指定允许在 AWS 环境中发现和使用其 AMI 的账户或所有者别名。这种简化的方法提供了防护机制，可降低无意间使用不合规或未经授权的 AMI 的风险。允许的 AMI 还支持审计模式功能，用于识别使用此设置不允许的 AMI 启动的 EC2 实例，从而帮助您在应用该设置之前识别不合规的实例。您可以使用声明性策略将此设置应用于 AWS Organizations 和组织单位，从而可以大规模地管理和执行此设置。

允许的 AMI 设置仅适用于公有 AMI 和与您的 AWS 账户明确共享的 AMI。默认情况下，所有 AWS 账户均禁用此设置。您可以使用 AWS CLI、SDK 或控制台启用此设置。要了解更多信息，请查看我们的文档。