AWS Marketplace
针对 AWS Marketplace 提供商的用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

生成 AMI 的最佳实践

所有已生成并提交到 AWS Marketplace 的 AMI 都必须遵守所有产品政策。要共享 AMI 并验证它符合所有 AWS Marketplace 要求,请使用自助服务 AMI 扫描工具。下面提供了一些最佳实践和参考信息,可帮助您生成 AMI。

权利

您负责保护非免费 Linux 发行版的转售权,但 AWS 提供的 Amazon Linux、RHEL、SUSE 和 Windows AMI 除外。

构建 AMI

  • 确保您的 AMI 符合所有 AWS Marketplace 策略,包括禁用 root 登录。

  • 在美国东部(弗吉尼亚北部)地区中创建您的 AMI。

  • 从现有受到良好维护且由 Amazon EBS 支持的 AMI 创建产品,并且产品必须具有由可信、可靠来源(例如,AWS Marketplace)提供的明确定义的生命周期。

  • 使用最新的操作系统、程序包和软件构建 AMI。

  • 所有 AMI 都必须以一个使用硬件虚拟机 (HVM) 虚拟化和 64 位架构的公有 AMI 作为起点。

  • 制定一个用于构建、更新和重新发布 AMI 的可重复过程。

  • 跨所有版本和产品使用一致的操作系统用户名。我们建议您使用 ec2-user

  • 根据所需的最终用户体验从最终 AMI 配置一个运行实例,并测试所有安装、功能和性能,然后 提交给 AWS Marketplace。

  • 确保对于基于 Linux 的 AMI,有效的 SSH 端口处于打开状态(默认为 22);而对于基于 Windows 的 AMI,RDP 端口处于打开状态(默认为 3389)。WINRM(端口 5985)对于 10.0.0.0/16 必须处于打开状态。

资源:

Amazon EC2 用户指南(适用于 Linux 实例) 中的创建您自己的 AMI

Amazon EC2 用户指南(适用于 Windows 实例)中的创建自定义 Windows AMI

Amazon Linux AMI

Linux 论坛

Amazon EC2 实例类型实例类型

保护 AMI

  • 设计 AMI 的架构以便将其部署为最小安装,从而减小攻击面。禁用或删除不必要的服务和程序。

  • 只要可能,就使用端到端加密来保护网络流量。例如,使用安全套接字层 (SSL) 来保护您与客户之间的 HTTP 会话。确保您的服务只使用有效且最新的证书。

  • 使用安全组控制入站流量对您实例的访问。确保您的安全组配置为仅允许访问为服务提供必需功能所需的最少一组端口。允许对所需的最少一组端口和源 IP 地址范围进行管理访问。

  • 考虑定期对您的 AWS 计算环境执行渗透测试;或考虑利用第三方代表您进行此类测试。有关更多信息,包括渗透测试申请表单,请参阅 AWS 渗透测试

  • 注意 Web 应用程序的十大漏洞并相应地构建您的应用程序。要了解更多信息,请访问开源 Web 应用程序安全计划 (OWASP) – 十大 Web 应用程序安全风险。当发现新的 Internet 漏洞时,迅速更新您的 AMI 中随附的任何 Web 应用程序。有关包含此信息的资源的示例,请参阅 SecurityFocusNIST 国家漏洞数据库

资源:

本页内容: