发布于: Jan 8, 2025
Amazon EC2 推出了 Allowed AMI,这是一项新的全账户设置,您可以通过这项设置在亚马逊云科技账户中限制亚马逊机器映像(AMI)的发现和使用。现在,您只需指定账户中允许的 AMI 所有者账户或 AMI 所有者别名,只有这些所有者的 AMI 才可见,可供您启动 EC2 实例。
今天之前,您可以使用与您的账户明确共享的任何 AMI 或任何公共 AMI,而不会考虑其来源或可信度,这会使您面临意外使用不符合组织合规要求的 AMI 的风险。现在,借助 Allowed AMI,您的管理员可以指定账户或所有者别名,允许在您的亚马逊云科技环境中发现并使用这些账户或所有者别名的 AMI。这种简化的方法提供了护栏,可以降低无意中使用不合规或未经授权 AMI 的风险。Allowed AMI 还支持审计模式功能,用于识别使用此设置不允许的 AMI 启动的 EC2 实例,从而帮助您在应用该设置之前识别不合规的实例。您可以使用声明性策略将此设置应用于亚马逊云科技组织和组织单位,从而可以大规模管理并强制执行此设置。
Allowed AMI 设置仅适用于公共 AMI 和明确与您的账户共享的 AMI。默认情况下,所有账户的此设置均处于禁用状态。您可以使用 Amazon CLI、SDK 或控制台将其启用。要了解更多信息,请访问我们的文档。