AWS Marketplace
针对 AWS Marketplace 提供商的用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AMI 安全政策

AWS Marketplace 对 AWS Marketplace 上提供的所有产品和服务实行以下政策,以便为我们的客户提供安全、可靠且值得信赖的平台。

将在提交时检查所有产品和元数据,以确保它们符合或超过当前的 AWS Marketplace 政策。将检查和调整这些政策,以满足不断变化的安全准则。AWS Marketplace 持续扫描您的产品,以验证它是否符合不断变化的安全准则。如果产品不符合要求,我们可能会要求您更新 AMI 产品以符合新标准。同样,如果找到新发现的漏洞而影响 AMI,则会要求您提供更新的 AMI 并部署了相关的更新。在提交 AMI 之前,您必须使用自助 AMI 扫描工具。这有助于确保 AMI 符合 AWS Marketplace 政策。

安全性

所有 AMI 必须符合以下安全政策:

  • AMI 不得包含自助 AMI 扫描工具或 AWS Security 检测到的任何已知漏洞、恶意软件或病毒。

  • 所有实例身份验证都必须使用密钥对访问权限,而非基于密码的身份验证,即使用户在启动时生成、重置或定义了密码也是如此。AMI 不得出于任何原因包含密码、身份验证密钥、密钥对、安全密钥或其他凭证。

  • AMI 不得向用户请求或使用访问密钥或私有密钥以访问 AWS 资源。如果您的 AMI 应用程序需要访问用户账户,则必须使用通过 AWS CloudFormation 实例化的 IAM 角色实现该功能,该角色创建实例并关联相应的角色。如果为具有 AWS CloudFormation 交付方式的产品启用了单 AMI 启动,相应的使用说明必须包含创建最低权限的 IAM 角色的明确指导。有关更多信息,请参阅 使用 AWS CloudFormation 的基于 AMI 的交付

  • 基于 Linux 的 AMI 不得允许 SSH 密码身份验证。可以通过 sshd_config 文件将 PasswordAuthentication 设置为 NO 以禁用密码身份验证。

可访问性

可访问性政策分为三类:通用政策、Linux 特定政策以及 Windows 特定政策。

通用可访问性政策

所有 AMI 必须符合以下政策:

  • AMI 必须允许操作系统级别管理功能,以满足合规性要求,执行漏洞更新以及访问日志文件。基于 Linux 的 AMI 使用 SSH,而基于 Windows 的 AMI 使用 RDP。

  • AMI 不得包含授权的密码或授权的密钥。

  • AMI 不得使用固定的密码进行管理访问。AMI 必须使用随机的密码。一种替代的实施是检索实例元数据并将 instance_id 作为密码。在允许管理员设置或更改自己的凭证之前,必须提示管理员输入该随机密码。有关检索实例元数据的信息,请参阅 Amazon EC2 用户指南(适用于 Linux 实例) 中的实例元数据和用户数据

  • 您不得具有访问客户的运行实例的权限。客户必须显式启用任何外部访问权限,默认情况下,AMI 内置的可访问性必须关闭。

Linux 特定政策

基于 Linux 的 AMI 必须符合以下政策以及通用可访问性政策:

  • 基于 Linux 的 AMI 必须为 root 禁用基于密码的远程登录,并且仅允许通过用户账户进行 sudo 访问,而不允许 root 访问。用户必须通过用户账户使用 sudo 访问,而不能使用 root 访问。sudo 访问允许管理员控制允许哪些用户执行 root 功能。它还记录审核跟踪的活动。AMI 不得包含授权的密码或授权的密钥。

  • 基于 Linux 的 AMI 不得具有空白或 Null root 密码。

Windows 特定政策

基于 Windows 的 AMI 必须符合以下政策以及通用可访问性政策:

  • 对于 Windows Server 2012 R2 和更早版本,请使用最新版本的 Ec2ConfigService 并启用 Ec2SetPasswordEc2WindowsActivateEc2HandleUserData

  • 对于 Windows Server 2016 和更高版本,请使用 EC2Launch

  • 删除来宾账户或远程桌面用户,不允许使用其中的任何账户或用户。

客户信息

所有 AMI 必须符合以下客户信息政策:

  • 除非 BYOL(自带许可)产品要求,否则,AMI 产品不得要求客户在卖方网站中注册或要求客户提供任何身份信息以使用该产品。

  • 未经客户了解和明确同意,软件不得要求、收集或导出客户数据。

产品使用

所有 AMI 必须符合以下产品使用政策:

  • 产品不得按时间、用户数或其他条件限制对产品或产品功能的访问。不支持测试版和预发布产品,也不支持唯一目的是提供试用或评估功能的产品。支持开发人员、社区和 BYOL 版本的商业软件,但前提是在 AWS Marketplace 上还提供了等效的付费版本。

  • 所有 AMI 必须与通过网站启动体验或通过 AWS CloudFormation 的基于 AMI 的交付兼容。对于从网站启动,AMI 不能在创建实例时要求提供客户或用户数据以正常运行。

  • 每个 AMI 必须包含订阅者使用该软件所需的所有内容,包括任何客户端应用程序。

  • 对于 BYOL 以外的所有产品,产品交付流程不得要求客户退出 AWS Marketplace。

  • AMI 不得要求提供订阅 API 或从 AWS Marketplace 外部启动。

  • 产品软件和元数据不得包含将用户重定向到 AWS Marketplace 中未提供的其他云平台、其他产品或追加销售服务的语言。

架构

所有 AMI 必须符合以下架构政策:

  • 必须在 美国东部(弗吉尼亚北部)地区 中提供 AWS Marketplace 的源 AMI。

  • AMI 必须使用 HVM 虚拟化。

  • AMI 必须使用 64 位或 64 位 ARM 架构。

  • AMI 必须是 Amazon EBS 支持的 AMI。我们不支持由 Amazon S3 支持的 AMI。

  • AMI 必须使用支持的文件系统才能通过自助 AMI 扫描工具验证。受支持的文件系统包括:Ext2、Ext3、Ext4、Xfs、Vfat、Lvm 和 NTFS。不支持加密的文件系统。

  • 必须从基于 Linux 的操作系统中构建 FreeBSD 产品。

  • 必须构建 AMI,以便它们可以在所有区域中运行,而与区域无关。不允许为不同区域构建不同的 AMI。