EC2 映像生成器 中的资源共享 - EC2 映像生成器
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

EC2 映像生成器 中的资源共享

EC2 映像生成器 与 AWS Resource Access Manager (AWS RAM) 集成在一起,以允许您与任何 AWS 账户之间或通过 AWS Organizations 共享某些资源。可以共享的 EC2 映像生成器 资源如下所示:

  • 组件

  • 镜像

  • 镜像配方

本节提供了一些信息以帮助您共享这些 EC2 映像生成器 资源。

在 EC2 映像生成器 中使用共享的组件、镜像和镜像配方

通过使用组件、镜像和镜像配方共享功能,资源所有者可以与其他 AWS 账户之间或在 AWS 组织内部共享软件配置。您可以集中管理资源共享,并定义一组可与您共享配置的账户。

在该模型中,拥有组件、镜像或镜像配方的 AWS 账户(所有者)与其他 AWS 账户(使用者)共享这些资源。使用者可以将共享的组件与其镜像管道相关联,以自动使用共享组件、镜像或镜像配方的更新。

组件、镜像或镜像配方所有者可以与以下实体共享这些资源:

  • AWS Organizations 中的所有者组织内部或外部的特定 AWS 账户

  • AWS Organizations 中的所有者组织内部的组织单位

  • AWS Organizations 中的整个所有者组织

共享组件、镜像和镜像配方的先决条件

要共享组件、镜像或镜像配方,必须满足以下条件:

  • 您必须在您的 AWS 账户中拥有该资源。您不能共享已与您共享的资源。

  • 不能对该资源进行加密。

  • 您必须允许与 AWS Organizations 共享,才能与您的组织或 AWS Organizations 中的组织单位共享这些资源。

  • 您有责任确保也与使用者共享这些资源外部的依赖项或在 AWS 外部管理的基础资源。EC2 映像生成器 不管理 EC2 映像生成器 外部的依赖项。

AWS Resource Access Manager

组件、镜像和镜像配方共享与 AWS Resource Access Manager (AWS RAM) 集成在一起。AWS RAM 是一项服务,允许您与任何 AWS 账户之间或通过 AWS Organizations 共享您的 AWS 资源。通过使用 AWS RAM,您可以创建资源共享以共享您拥有的资源。资源共享指定要共享的资源以及与您共享这些资源的使用者。使用者可能是单个 AWS 账户、组织单位或 AWS Organizations 中的整个组织。

跨区域共享

共享的组件、镜像和镜像配方只能在指定的 AWS 区域中进行共享。在共享这些资源时,不会在区域之间复制它们。

共享组件、镜像或镜像配方

要共享组件、镜像或镜像配方,您必须将其添加到资源共享中。资源共享是一种 AWS Resource Access Manager 资源,可用于在 AWS 账户之间共享您的资源。资源共享指定要共享的资源以及与您共享这些资源的使用者。要将组件、镜像或镜像配方添加到新的资源共享中,您必须先使用 AWS Resource Access Manager 控制台创建资源共享。

如果您属于 AWS Organizations 中的一个组织,并且在您的组织中启用了共享,将为您的组织中的使用者自动授予共享组件、镜像或镜像配方的访问权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后为其授予共享资源的访问权限。

您可以使用 AWS Resource Access Manager 控制台或 AWS CLI 共享您拥有的组件、镜像或镜像配方。

使用 AWS Resource Access Manager 控制台共享您拥有的组件、镜像或镜像配方

请参阅 AWS Resource Access Manager 用户指南中的“创建资源共享”

使用 AWS CLI 共享您拥有的组件、镜像或镜像配方

使用 create-resource-share 命令。

使用基于资源的策略共享组件、映像或映像配方

镜像生成器 服务提供的 PutImagePolicyPutComponentPolicyPutImageRecipePolicy API 允许您分别为映像、组件和映像配方定义资源策略。AWS RAM 利用这些 API 来定义正确的资源策略,以允许与其共享某个资源的使用者执行涉及此共享资源的 API 调用。为了使 AWS RAM 能够设置正确的策略来共享和取消共享某个资源,资源所有者必须具有 imagebuilder:put* 权限。

将共享的组件、镜像或镜像配方取消共享

要取消共享您拥有的共享组件、镜像或镜像配方,您必须将其从资源共享中删除。您可以使用 AWS Resource Access Manager 控制台或 AWS CLI 以执行该操作。

注意

要取消共享组件、镜像或镜像配方,使用者不能具有这些资源的任何依赖项。使用者必须先删除共享资源的任何依赖项,然后所有者才能取消共享这些资源。

使用 AWS Resource Access Manager 控制台取消共享您拥有的共享组件、镜像或镜像配方

请参阅 AWS Resource Access Manager 用户指南中的更新资源共享

使用 AWS CLI 取消共享您拥有的共享组件、镜像或镜像配方

使用 disassociate-resource-share 命令。

查找共享的组件、镜像或镜像配方

所有者和使用者可以使用 AWS CLI 查找共享的组件、镜像和镜像配方。

查找共享的组件

使用 list-components 命令。该命令返回您拥有的组件以及与您共享的组件。get-component 显示组件所有者的 AWS 账户 ID。

查找共享的镜像

使用 list-images 命令。该命令返回您拥有的镜像以及与您共享的镜像。get-image 显示镜像所有者的 AWS 账户 ID。

查找共享的镜像配方

使用 list-image-recipes 命令。该命令返回您拥有的镜像配方以及与您共享的镜像配方。get-image-recipe 显示镜像配方所有者的 AWS 账户 ID。

共享的组件、镜像和镜像配方权限

所有者的权限

所有者不能删除共享的组件、镜像或镜像配方,直到不再共享该资源。所有者不能取消共享这些资源,直到没有使用者依赖它们。

使用者的权限

使用者只能读取组件、镜像或镜像配方。使用者不能以任何方式修改它们;如果这些资源由其他使用者或资源所有者拥有,则使用者不能查看或修改它们。使用者可以在镜像配方中使用共享的组件和镜像以创建黄金镜像。使用者可以使用共享的镜像配方以创建黄金镜像。

计费和计量

使用 EC2 映像生成器 不会产生任何费用。

实例限制

共享的组件、镜像和镜像配方仅计入所有者的相应资源限制。使用者的资源限制不受已与他们共享的资源的影响。