Amazon EC2 推出了「允許的 AMI」來增強 AMI 管控

張貼日期: 2024年12月1日

Amazon EC2 推出了「允許的 AMI」設定，這是一種新的全帳戶範圍設定，可讓您限制 AWS 帳戶中對 Amazon Machine Image (AMI) 的發現和使用。您現在可以簡單地指定帳戶中允許的 AMI 擁有者帳戶或 AMI 擁有者別名，且只有來自這些擁有者的 AMI 才會顯示，並可用來啟動 EC2 執行個體。

在今天之前，您可以使用任何與您帳戶共用的 AMI 或公有 AMI，無論其來源或可信度如何，這可能會讓您不小心使用不符合組織合規性要求的 AMI，從而帶來風險。現在，您的管理員可以透過「允許的 AMI」，指定允許在您的 AWS 環境中發現和使用的 AMI 擁有者帳戶或擁有者別名。這種簡化的方法提供了防護機制，減少了不小心使用不符合規範或未授權 AMI 的風險。「允許的 AMI」還支援稽核模式功能，以識別使用未經此設定允許之 AMI 啟動的 EC2 執行個體，從而幫助您在套用該設定之前識別不符合規範的執行個體。您可以使用宣告性政策跨 AWS Organizations 和組織單位套用此設定，以讓您能夠大規模管理和強制執行此設定。

「允許的 AMI」設定僅適用於公有 AMI 和與您 AWS 帳戶共用的 AMI。預設情況下，所有 AWS 帳戶皆停用此設定。您可以使用 AWS CLI、SDK 或主控台來啟用它。若要進一步了解，請參閱我們的文件。