Cómo funciona EC2 Image Builder

Al utilizar el asistente de consola de canalización EC2 Image Builder para crear una imagen personalizada, un asistente le guiará por los pasos siguientes.

1. Especifique los detalles de la canalización: introduzca la información sobre la canalización, como el nombre, la descripción, las etiquetas y una programación para ejecutar compilaciones automatizadas. Si lo prefiere, puede elegir compilaciones manuales.

2. Elija la receta: elija entre crear una AMI o crear una imagen de contenedor. Para ambos tipos de imágenes de salida, introduzca un nombre y una versión para la receta, seleccione una imagen base y elija los componentes que desee añadir para su creación y prueba. También puede elegir el control de versiones automático para asegurarse de utilizar siempre la última versión disponible del sistema operativo (SO) para su imagen base. Las recetas de contenedores también definen Dockerfiles y el repositorio Amazon ECR de destino para la imagen de contenedor de Docker de salida.

   nota

   Los componentes son los bloques básicos que consume una receta de imagen o una receta de contenedor. Por ejemplo, paquetes para la instalación, pasos de refuerzo de la seguridad y pruebas. La imagen base y los componentes seleccionados forman una receta de imagen.

3. Defina la configuración de la infraestructura: Image Builder lanza instancias de EC2 en su cuenta para personalizar las imágenes y ejecutar pruebas de validación. Los ajustes de configuración de la infraestructura especifican los detalles de la infraestructura de las instancias que se ejecutarán en usted Cuenta de AWS durante el proceso de compilación.

4. Defina la configuración de distribución: elija las AWS regiones en las que desea distribuir la imagen una vez que la compilación se haya completado y haya superado todas las pruebas. La canalización distribuye automáticamente la imagen a la región en la que se ejecuta la compilación, y tú puedes añadir la distribución de imágenes para otras regiones.

Las imágenes que cree a partir de su imagen base personalizada están en su Cuenta de AWS. Puede configurar la canalización de imágenes para producir versiones actualizadas y parcheadas de la imagen introduciendo un cronograma de creación. Cuando la compilación esté completa, puede recibir una notificación a través de Amazon Simple Notification Service (SNS). Además de producir una imagen final, el asistente de consola Image Builder genera una receta que se puede utilizar con los sistemas de control de versiones existentes y con las canalizaciones de integración continua o implementación continua (CI/CD) para una automatización repetible. Puede compartir y crear nuevas versiones de su receta.

Contenidos de la sección

• Elementos de las AMI
• Cuotas predeterminadas
• AWS Regiones y puntos finales
• Administración de componentes
• Control de versiones semántico
• Recursos creados
• Distribución
• Uso compartido de recursos
• Conformidad

Elementos de las AMI

Una Imagen de máquina de Amazon (AMI) es una imagen de máquina virtual (VM) preconfigurada que contiene el sistema operativo y el software para implementar instancias de EC2.

Una AMI incluye los siguientes elementos:

• Una plantilla para el volumen raíz de la máquina virtual. Cuando se lanza una Amazon EC2 VM, el volumen de dispositivo raíz contiene la imagen utilizada para arrancar dicha instancia. Cuando se utiliza el almacén de instancias, el dispositivo raíz es un volumen de almacén de instancias creado a partir de una plantilla de Amazon S3. Para más información, consulte Volumen de dispositivo raíz de Amazon EC2.

• Cuando se utiliza Amazon EBS, el dispositivo raíz es un volumen de EBS creado a partir de una instantánea de EBS.

• Permisos de lanzamiento que determinan qué máquinas virtuales pueden lanzar con la AMI. Cuentas de AWS

• Datos de Asignación de dispositivos de bloques que especifican los volúmenes que se van a adjuntar a la instancia cuando se lance.

• Un identificador de recursos único para cada región y para cada cuenta.

• Cargas útiles de metadatos, como etiquetas, y propiedades como la región, el sistema operativo, la arquitectura, el tipo de dispositivo raíz, el proveedor, los permisos de inicio, el almacenamiento del dispositivo raíz y el estado de la firma.

• Una firma AMI para las imágenes de Windows para protegerlas contra la manipulación no autorizada. Para obtener más información, consulte Documentos de identidad de instancias.

Cuotas predeterminadas

Para ver las cuotas predeterminadas de Image Builder, consulte Puntos finales y cuotas de Image Builder.

AWS Regiones y puntos finales

Para ver las cuotas predeterminadas de Image Builder, consulte Puntos finales y cuotas de Image Builder.

Administración de componentes

EC2 Image Builder utiliza una Ejecutor y orquestador de tareas de AWS aplicación de administración de componentes TOE de AWS() que le ayuda a organizar flujos de trabajo complejos, modificar las configuraciones del sistema y probar los sistemas con componentes de script basados en YAML. Como TOE de AWS es una aplicación independiente, no requiere ninguna configuración adicional. Se puede ejecutar en cualquier infraestructura de nube y en las instalaciones. Para empezar a TOE de AWS utilizarla como aplicación independiente, consulte. Comience con TOE de AWS

Image Builder se utiliza TOE de AWS para realizar todas las actividades en la instancia. Estas incluyen crear y validar la imagen antes de tomar una instantánea y probar la instantánea para asegurarse de que funciona como se espera antes de crear la imagen final. Para obtener más información acerca de cómo Image TOE de AWS Builder administra sus componentes, consulteAdministración de componentes con Image Builder. Para obtener más información sobre cómo crear componentes con TOE de AWS, consulte Ejecutor y orquestador de tareas de AWS administrador de componentes.

Pruebas de imágenes

Puede usar componentes de TOE de AWS prueba para validar la imagen y asegurarse de que funciona como se espera antes de crear la imagen final.

Por lo general, cada componente de prueba consta de un documento YAML que contiene un script de prueba, un binario de prueba y metadatos de prueba. El script de prueba contiene los comandos de orquestación para iniciar el binario de prueba, que se puede escribir en cualquier lenguaje compatible con el sistema operativo. Los códigos de estado de salida indican el resultado de la prueba. Los metadatos de la prueba describen la prueba y su comportamiento; por ejemplo, el nombre, la descripción, las rutas al binario de la prueba y la duración prevista.

Recursos creados

Al crear una canalización, no se crea ningún recurso externo a Image Builder, a menos que se cumpla lo siguiente:

• Cuando se crea una imagen mediante el cronograma de canalización

• Al elegir Ejecutar canalización en el menú Acciones de la consola de Image Builder

• Cuando ejecutas cualquiera de estos comandos desde la API o AWS CLI: StartImagePipelineExecution o CreateImage

Los siguientes recursos se crean durante el proceso de creación de la imagen:

Canalizaciones de imágenes AMI

• Instancia EC2 (temporal)

• Asociación de inventario de Systems Manager (a través de Systems Manager State Manager si EnhancedImageMetadata está habilitada) en la instancia EC2

• AMI de Amazon EC2

• La instantánea de Amazon EBS asociada a la AMI de Amazon EC2

Canalizaciones de imágenes de contenedor

• Contenedor Docker que se ejecuta en una instancia EC2 (temporal)

• Asociación de inventario de Systems Manager (a través de Systems Manager State Manager si EnhancedImageMetadata está habilitado) en la instancia EC2

• Imagen de contenedor de Docker

• Dockerfile

Una vez creada la imagen, se eliminan todos los recursos temporales.

Distribución

EC2 Image Builder puede distribuir AMI o imágenes de contenedores en AWS cualquier región. La imagen se copia en cada región que especifique en la cuenta utilizada para crear la imagen.

Para las imágenes de salida de la AMI, puede definir los permisos de lanzamiento de la AMI para controlar cuáles Cuentas de AWS están autorizados a lanzar instancias EC2 con la AMI creada. Por ejemplo, puede hacer que la imagen sea privada, pública o compartirla con cuentas específicas. Si distribuye la AMI a otras regiones y define los permisos de lanzamiento para otras cuentas, los permisos de lanzamiento se propagan a las AMI de todas las regiones en las que se distribuye la AMI.

También puede usar su AWS Organizations cuenta para imponer limitaciones a las cuentas de los miembros para lanzar instancias únicamente con AMI aprobadas y que cumplan con las normas. Para obtener más información, consulte Administrar Cuentas de AWS en su organización.

Para actualizar la configuración de distribución mediante la consola Image Builder, siga los pasos paraCreación de una nueva versión de una receta de imagen (consola) o Crear una nueva versión de una receta de contenedor con la consola..

Uso compartido de recursos

Para compartir componentes, recetas o imágenes con otras cuentas o dentro de ellas AWS Organizations, consulteCompartir los recursos de EC2 Image Builder.

Conformidad

Para CIS, EC2 Image Builder utiliza Amazon Inspector para evaluar la exposición, las vulnerabilidades y las desviaciones de las mejores prácticas y las normas de conformidad. Por ejemplo, Image Builder evalúa la accesibilidad no deseada de la red, los CVE sin parches, la conectividad pública a Internet y la activación del inicio de sesión raíz remoto. Amazon Inspector se ofrece como un componente de prueba que puedes añadir a tu receta de imagen. Para obtener más información acerca de Amazon Inspector, consulte Amazon Inspector Guía del Usuario. Para reforzar, EC2 Image Builder valida con STIG. Para obtener una lista completa de los componentes de STIG disponibles a través de Image Builder, consulte Componentes de endurecimiento de STIG administrados por Amazon para EC2 Image Builder. Para obtener más información, consulte los puntos de referencia del Center for Internet Security (CIS).