Cómo funciona EC2 Image Builder - EC2Image Builder

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona EC2 Image Builder

Al utilizar el asistente de consola EC2 Image Builder Pipeline para crear una imagen personalizada, un asistente le guiará por los pasos siguientes.

  1. Especifique los detalles de la canalización: introduzca la información sobre la canalización, como el nombre, la descripción, las etiquetas y una programación para ejecutar compilaciones automatizadas. Si lo prefiere, puede elegir compilaciones manuales.

  2. Elija la receta: elija entre crear una AMI imagen de contenedor o crear una imagen de contenedor. Para ambos tipos de imágenes de salida, introduzca un nombre y una versión para la receta, seleccione una imagen base y elija los componentes que desee añadir para su creación y prueba. También puede elegir el control de versiones automático para asegurarse de utilizar siempre la última versión disponible del sistema operativo (SO) para su imagen base. Las recetas de contenedores también definen Dockerfiles y el ECR repositorio de Amazon de destino para la imagen de contenedor de Docker de salida.

    nota

    Los componentes son los bloques básicos que consume una receta de imagen o una receta de contenedor. Por ejemplo, paquetes para la instalación, pasos de refuerzo de la seguridad y pruebas. La imagen base y los componentes seleccionados forman una receta de imagen.

  3. Defina la configuración de la infraestructura: Image Builder lanza EC2 instancias en su cuenta para personalizar las imágenes y ejecutar pruebas de validación. Los ajustes de configuración de la infraestructura especifican los detalles de la infraestructura de las instancias que se ejecutarán en su Cuenta de AWS durante el proceso de creación.

  4. Defina la configuración de distribución: elija la AWS Regiones en las que distribuir la imagen una vez que se haya completado la compilación y se hayan superado todas las pruebas. La canalización distribuye automáticamente la imagen a la región en la que se ejecuta la compilación, y puede añadir la distribución de imágenes para otras regiones.

Las imágenes que cree a partir de la imagen base personalizada se encuentran en su Cuenta de AWS. Puede configurar la canalización de imágenes para producir versiones actualizadas y parcheadas de la imagen introduciendo un cronograma de creación. Cuando se complete la compilación, podrá recibir una notificación a través de Amazon Simple Notification Service (SNS). Además de producir una imagen final, el asistente de consola Generador de Imágenes genera una receta que se puede utilizar con los sistemas de control de versiones existentes y con las canalizaciones de integración continua o implementación continua (CI/CD) para una automatización repetible. Puede compartir y crear nuevas versiones de su receta.

AMIelementos

Una imagen de máquina de Amazon (AMI) es una imagen de máquina virtual (VM) preconfigurada que contiene el sistema operativo y el software para implementar EC2 instancias.

E AMI incluye los siguientes elementos:

  • Una plantilla para el volumen raíz de la máquina virtual. Al lanzar una Amazon EC2 VM, el volumen del dispositivo raíz contiene la imagen para arrancar la instancia. Cuando se utiliza el almacén de instancias, el dispositivo raíz es un volumen de almacén de instancias creado a partir de una plantilla de Amazon S3. Para obtener más información, consulta Amazon EC2 Root Device Volume.

  • Cuando EBS se utiliza Amazon, el dispositivo raíz es un EBS volumen creado a partir de una EBSinstantánea.

  • Permisos de lanzamiento que determinen la Cuentas de AWS que se puede iniciar VMs conAMI.

  • Datos de Asignación de dispositivos de bloques que especifican los volúmenes que se van a adjuntar a la instancia cuando se lance.

  • Un identificador de recursos único para cada región y para cada cuenta.

  • Cargas útiles de metadatos, como etiquetas, y propiedades como la región, el sistema operativo, la arquitectura, el tipo de dispositivo raíz, el proveedor, los permisos de inicio, el almacenamiento del dispositivo raíz y el estado de la firma.

  • Una AMI firma para las imágenes de Windows para protegerlas contra la manipulación no autorizada. Para obtener más información, consulte Documentos de identidad de instancias.

Cuotas predeterminadas

Para ver las cuotas predeterminadas de Generador de Imágenes, consulte Puntos finales y cuotas de Generador de Imágenes.

AWS Regiones y puntos de conexión

Para ver los puntos de conexión de servicio de Generador de Imágenes, consulte Puntos finales y cuotas de Generador de Imágenes.

Administración de componentes

EC2Image Builder utiliza una aplicación de administración de componentes Ejecutor y orquestador de tareas de AWS (TOE de AWS) que le ayuda a organizar flujos de trabajo complejos, modificar las configuraciones del sistema y probarlos con componentes de scripts YAML basados en scripts. Porque TOE de AWS es una aplicación independiente, no requiere ninguna configuración adicional. Se puede ejecutar en cualquier infraestructura de nube y en las instalaciones. Para empezar a usar TOE de AWS como aplicación independiente, consulteConfiguración manual para desarrollar componentes personalizados con TOE de AWS.

Image Builder utiliza TOE de AWS para realizar todas las actividades en la instancia. Estas incluyen crear y validar la imagen antes de tomar una instantánea y probar la instantánea para asegurarse de que funciona como se espera antes de crear la imagen final. Para obtener más información sobre cómo utiliza Image Builder TOE de AWS para gestionar sus componentes, consulteUsa componentes para personalizar tu imagen de Image Builder. Para obtener más información sobre la creación de componentes con TOE de AWS, consulte Cómo utiliza Image Builder el Ejecutor y orquestador de tareas de AWS aplicación para gestionar componentes.

Pruebas de imágenes

Puede usar… TOE de AWS pruebe los componentes para validar la imagen y asegúrese de que funciona como se espera antes de crear la imagen final.

Por lo general, cada componente de prueba consiste en un YAML documento que contiene un script de prueba, un binario de prueba y metadatos de prueba. El script de prueba contiene los comandos de orquestación para iniciar el archivo binario de prueba, que se puede escribir en cualquier lenguaje compatible con el sistema operativo. Los códigos de estado de salida indican el resultado de la prueba. Los metadatos de la prueba describen la prueba y su comportamiento; por ejemplo, el nombre, la descripción, las rutas al archivo binario de la prueba y la duración prevista.

Recursos creados

Al crear una canalización, no se crea ningún recurso externo a Generador de Imágenes, a menos que se cumpla lo siguiente:

  • Cuando se crea una imagen mediante el cronograma de canalización.

  • Cuando se elige Ejecutar canalización en el menú Acciones de la consola de Generador de Imágenes.

  • Al ejecutar cualquiera de estos comandos desde API o AWS CLI: StartImagePipelineExecution o CreateImage

Los siguientes recursos se crean durante el proceso de creación de la imagen:

AMIcanalizaciones de imágenes
  • EC2instancia (temporal)

  • Asociación de inventario de Systems Manager (a través de Systems Manager State Manager si EnhancedImageMetadata está habilitada) en la EC2 instancia

  • Amazon EC2 AMI

  • La EBS instantánea de Amazon asociada a Amazon EC2 AMI

Canalizaciones de imágenes de contenedor
  • El contenedor Docker se ejecuta en una EC2 instancia (temporal)

  • La asociación de inventario de Systems Manager (a través de Systems Manager (State Manager) EnhancedImageMetadata está habilitada) en la EC2 instancia

  • Imagen de contenedor de Docker

  • Dockerfile

Una vez creada la imagen, se eliminan todos los recursos temporales.

Distribución

EC2Image Builder puede distribuir AMIs o almacenar imágenes en cualquier AWS Región. La imagen se copia en cada región que especifique en la cuenta utilizada para crear la imagen.

En el AMI caso de las imágenes de salida, puede definir los permisos de AMI lanzamiento para controlar cuáles Cuentas de AWS pueden lanzar EC2 instancias con las creadasAMI. Por ejemplo, puede hacer que la imagen sea privada, pública o compartirla con cuentas específicas. Si distribuyes los permisos de lanzamiento AMI a otras regiones y defines los permisos de lanzamiento para otras cuentas, los permisos de lanzamiento se propagan a todas las regiones en las que AMI se distribuyen. AMIs

También puedes usar tus AWS Organizations cuenta para imponer limitaciones a las cuentas de los miembros para lanzar instancias únicamente con instancias aprobadas y conformesAMIs. Para obtener más información, consulte Administrar el Cuentas de AWS en su organización.

Para actualizar los ajustes de distribución mediante la consola Generador de Imágenes, siga los pasos para Cree una nueva versión de la receta de imágenes desde la consola o Creación de una nueva versión de una receta de contenedor con la consola.

Uso compartido de recursos

Para compartir componentes, recetas o imágenes con otras cuentas o dentro de ellas AWS Organizations, consulte Comparta los recursos de Image Builder con AWS RAM.

Conformidad

Para Center for Internet Security (CIS) Benchmarks, EC2 Image Builder utiliza Amazon Inspector para evaluar la exposición, las vulnerabilidades y las desviaciones de las mejores prácticas y los estándares de cumplimiento. Por ejemplo, Image Builder evalúa la accesibilidad no deseada de la red, la conectividad pública a Internet sin parches CVEs y la activación del inicio de sesión raíz remoto. Amazon Inspector se ofrece como un componente de prueba que puede añadir a su receta de imagen. Para obtener más información sobre Amazon Inspector, consulta la Guía del usuario de Amazon Inspector. . Para obtener más información, consulte Center for Internet Security (CIS) Benchmarks.

Image Builder proporciona STIG componentes de refuerzo para ayudarle a crear de manera más eficiente imágenes compatibles con los STIG estándares básicos. Estos STIG componentes buscan configuraciones incorrectas y ejecutan un script de corrección. El uso STIG de componentes compatibles no conlleva cargos adicionales. Para obtener una lista completa de STIG los componentes disponibles a través de Image Builder, consulteAmazon gestionó el STIG endurecimiento de los componentes para Image Builder.