Amazon EC2 führt Allowed AMIs ein, um die AMI-Governance zu verbessern
Amazon EC2 führt Allowed AMIs ein, eine neue kontoweite Einstellung, mit der Sie die Erkennung und Verwendung von Amazon Machine Images (AMIs) in Ihren AWS-Konten einschränken können. Sie können jetzt die in Ihrem Konto zulässigen AMI-Besitzerkonten oder AMI-Besitzeraliase angeben. Nur AMIs dieser Besitzer sind sichtbar und stehen Ihnen zum Starten von EC2-Instances zur Verfügung.
Bis dato konnten Sie jedes AMI verwenden, das explizit mit Ihrem Konto geteilt wurde, oder jedes öffentliche AMI, unabhängig von Herkunft oder Vertrauenswürdigkeit. Dadurch waren Sie dem Risiko ausgesetzt, versehentlich ein AMI zu verwenden, das nicht den Compliance-Anforderungen Ihres Unternehmens entsprach. Mit Allowed AMIs können Ihre Administratoren jetzt die Konten oder Eigentümeraliase angeben, deren AMIs in Ihrer AWS-Umgebung erkannt und verwendet werden dürfen. Dieser verbesserte Ansatz ist eine Schutzmaßnahme, um das Risiko zu verringern, versehentlich nicht richtlinienkonforme oder nicht autorisierte AMIs zu verwenden. Allowed AMIs unterstützt auch eine Auditmodus-Funktion zur Identifizierung von EC2-Instances, die mit AMIs gestartet wurden, die für diese Einstellung nicht zulässig sind. So lassen sich nicht konforme Instances identifizieren, bevor die Einstellung angewendet wird. Sie können diese Einstellung mithilfe deklarativer Richtlinien auf alle AWS Organizations und Organisationseinheiten anwenden und so in großem Umfang verwalten und durchsetzen.
Die Allowed AMI-Einstellung gilt nur für öffentliche AMIs und AMIs, die explizit mit Ihren AWS-Konten geteilt werden. Diese Einstellung ist standardmäßig für alle AWS-Konten deaktiviert. Sie können sie über die AWS CLI, die SDKs oder die Konsole aktivieren. Weitere Informationen finden Sie in unserer Dokumentation.