Использование частного AMI в сценарии CloudFormation

Question

У меня есть собственный AMI, созданный с использованием моей собственной учетной записи. Этот AMI я хочу, чтобы другие люди использовали (используя сценарий CLoudFormation, который я написал), чтобы встать на свои экземпляры EC2. Но я не могу сделать AMI общедоступным, он должен быть доступен только назначенным 100 людям.

Это можно сделать вручную, предоставив доступ к номеру учетной записи AWS, как указано в этой ссылке, но для 100 человек это слишком неудобно.

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html

Мой вопрос, есть ли способ, чтобы обеспечить свои счета АМС aws_access_key_id и aws_secret_access_key на CloudFormation скрипт, чтобы он смог использовать частный AMI?

Answer 1

Если у вас есть вопросы, можете ли вы предоставить ключи доступа к 100 людям, и они каким-то образом используют эти ключи для доступа к вашему AMI, это невозможно. Когда другие люди запускают шаблон CloudFormation в своей учетной записи, он запускается в контексте пользователя, связанного с их учетной записью. Если они используют ваши учетные данные для этого, он попытается создать стек CloudFormation в вашей учетной записи.

Кажется, ваш лучший вариант - это то, что предложил Макс, написать простой скрипт для совместного использования AMI со 100 учетными записями, которые у вас есть. Вот простой пример использования AWS CLI, если у вас есть файл с каждым номером учетной записи на отдельной строке.

#!/bin/bash 
ami="ami-11235813" 
file="accounts.txt" 
while read -r line 
do 
    account="${line}" 
    aws ec2 modify-image-attribute --image-id ${ami} --launch-permission "{\"Add\":[{\"UserId\":\"${ami}\"}]}" 
done < "${file}" 

Answer 2

Вы сказали, что добавление учетных записей по одному «слишком сложно», но как насчет написания простого сценария с использованием CLI или вашего любимого SDK для добавления учетных записей? Для меня это самый простой подход.