与组织和组织单位共享 AMI
Amazon Organizations 是一项账户管理服务,可让您将多个 Amazon Web Services 账户 整合到您创建并集中管理的组织中。除了与特定账户共享 AMI 之外,您还可以与您创建的企业或企业部门 (OU) 共享 AMI。
组织是指您创建用于整合和集中管理您的 Amazon Web Services 账户 的实体。您可以以分层树状结构来组织账户,将根放在树顶部,并将组织单位嵌套在组织根下。每个账户都可以直接添加到根中,也可以放在层次结构的其中一个 OU 中。有关更多信息,请参阅《Amazon 用户指南》https://docs.amazonaws.cn/organizations/latest/userguide/orgs_getting-started_concepts.html中的 Amazon Organizations Organizations 术语和概念。
当您与企业或 OU 共享 AMI 时,所有子账户都可以访问该 AMI。例如,在下图中,AMI 与顶层 OU 共享(由数字 1 处的箭头指示)。嵌套在该顶层 OU 下面的所有 OU 和账户(由数字 2 处的虚线指示)还可以访问 AMI。组织中的账户和 OU 在虚线之外的账户(由数字 3 指示)没有访问该 AMI 的权限,因为它们不是 AMI 共享的 OU 的子级账户。
注意事项
在与特定企业或企业部门共享 AMI 时,请考虑以下事项。
-
所有权 – 若要共享 AMI,您的 Amazon Web Services 账户 必须拥有 AMI。
-
共享限制 – AMI 拥有者可以与任何组织或 OU 共享 AMI,包括他们不是其成员的组织和 OU。
有关某一区域内可以共享 AMI 的最大实体数量,请参阅 Amazon EC2 服务限额。
-
标签 – 您无法共享用户定义的标签(附加到 AMI 的标签)。共享 AMI 时,与其共享 AMI 的组织或 OU 中的 Amazon Web Services 账户 的任何用户均无法使用用户定义的标签。
-
ARN 格式 – 在命令中指定企业或 OU 时,请确保使用正确的 ARN 格式。如果只指定 ID,例如,如果您仅指定
o-123example或ou-1234-5example,则会出现错误。正确的 ARN 格式:
-
企业 ARN:
arn:aws:organizations::account-id:organization/organization-id -
OU ARN:
arn:aws:organizations::account-id:ou/organization-id/ou-id
其中:
-
account-id123456789012。如果您不知道管理账号,您可以描述企业或企业部门以获取 ARN,其中包括管理账号。有关更多信息,请参阅 获取组织或组织单位的 ARN。 -
organization-ido-123example。 -
ou-idou-1234-5example。
有关 ARN 格式的更多信息,请参阅 IAM 用户指南中的 Amazon 资源名称(ARN)。
-
-
加密和密钥 – 您可以共享由未加密和加密快照支持的 AMI。
-
加密快照必须使用客户托管式密钥加密。您无法共享由使用默认 Amazon 托管式密钥加密的快照支持的 AMI。
-
如果您共享由加密快照支持的 AMI,则必须允许企业或 OU 使用用于加密快照的客户托管式密钥。有关更多信息,请参阅允许企业和 OU 使用 KMS 密钥。
-
-
区域 – AMI 是一种区域性资源。当您共享 AMI 时,则它只能在您共享该 AMI 的区域使用。要使 AMI 能够在其他区域使用,请将该 AMI 复制到该区域并进行共享。有关更多信息,请参阅 复制 Amazon EC2 AMI。
-
使用 – 当您共享 AMI 时,用户只能从该 AMI 启动实例。他们无法删除、共享或修改实例。但是,在他们使用您的 AMI 启动实例后,他们可以从其启动的实例创建 AMI。
-
账单 – 当其他 Amazon Web Services 账户 使用您的 AMI 启动实例时,您无需付费。使用 AMI 启动实例的账户将为它们启动的实例付费。