Prácticas recomendadas para crear las AMI - AWS Marketplace
Garantizar los derechos de reventaCreación de una AMIPreparación y protección de su AMI para AWS MarketplaceEscaneo de la AMI para comprobar los requisitos de publicaciónVerificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para crear las AMI

En este tema se proporcionan algunas prácticas recomendadas y referencias que le ayudarán a crear Amazon Machine Images (AMI) para utilizarlas con AWS Marketplace. Las AMI creadas y enviadas AWS Marketplace deben cumplir con todas las políticas del AWS Marketplace producto.

Garantizar los derechos de reventa

Usted es responsable de garantizar los derechos de reventa de las distribuciones de Linux que no sean libres, con la excepción de las AMI de AWS Amazon Linux, RHEL, SUSE y Windows proporcionadas.

Creación de una AMI

Utilice las siguientes directrices para crear las AMI:

  • Asegúrese de que su AMI cumpla con todas AWS Marketplace las políticas, incluida la desactivación del inicio de sesión root.

  • Cree su AMI en la región Este de EE. UU. (Norte de Virginia).

  • Cree productos a partir de AMI con respaldo de Amazon Elastic Block Store (Amazon EBS) existentes y bien mantenidas, con un ciclo de vida claramente definido proporcionado por fuentes de buen reputación y confianza como AWS Marketplace.

  • Cree las AMI con la mayoría de los sistemas up-to-date operativos, paquetes y software.

  • Asegúrese de que todas las AMI comiencen por una AMI pública que utilice una virtualización de máquina virtual de hardware (HVM) y una arquitectura de 64 bits.

  • Desarrolle un proceso repetible para crear, actualizar y volver a publicar las AMI.

  • Utilice un nombre de usuario del sistema operativo (SO) coherente en todas las versiones y los productos. Le recomendamos ec2-user.

  • Configure una instancia en ejecución desde la AMI final hasta la experiencia de usuario final que desee y pruebe todos los métodos de instalación, las características y el desempeño antes de realizar el envío a AWS Marketplace.

  • Compruebe la configuración del puerto de la siguiente manera:

    • AMI basadas en Linux: asegúrese de que haya un puerto SSH válido abierto. El puerto SSH predeterminado es el 22.

    • AMI basadas en Windows: asegúrese de que haya un puerto RDP abierto. El puerto RDP predeterminado es 3389. Además, el puerto de WinRM (5985 de forma predeterminada) debe estar abierto para 10.0.0.0/16 y 10.2.0.0/16.

Para obtener más información acerca de la creación de una AMI, consulte los siguientes recursos:

Creación de su propia AMI en la guía del usuario de Amazon EC2

Creación de una AMI de Windows personalizada en la Guía del usuario de Amazon EC2

¿Cómo puedo crear una imagen de máquina de Amazon (AMI) a partir de una instancia con respaldo de EBS?

AMI de Amazon Linux

Tipos de instancias Amazon EC2 y tipos de instancias

Preparación y protección de su AMI para AWS Marketplace

Recomendamos las siguientes directrices para crear AMI seguras:

  • Utilice las directrices para las AMI de Linux compartidas de la Guía del usuario de Amazon EC2

  • Construya la AMI para que se implemente como una instalación mínima para reducir la superficie expuesta a ataques. Deshabilite o elimine los servicios y programas innecesarios.

  • Siempre que sea posible, utilice el end-to-end cifrado para el tráfico de red. Por ejemplo, utilice la capa de conexión segura (SSL) para proteger las sesiones HTTP entre usted y sus compradores. Asegúrese de que su servicio utilice únicamente up-to-date certificados AND válidos.

  • Cuando agregue una nueva versión a su producto de AMI, configure los grupos de seguridad para controlar el acceso del tráfico entrante a la instancia. Asegúrese de que los grupos de seguridad estén configurados para permitir el acceso solo al conjunto mínimo de puertos necesarios para proporcionar la funcionalidad necesaria para sus servicios. Permita el acceso administrativo solo al conjunto mínimo de puertos y los rangos de direcciones IP de origen necesarios. Para obtener más información acerca de cómo agregar una versión nueva a su producto de AMI, consulte Agregar una nueva versión.

  • Considere la posibilidad de realizar una prueba de penetración en su entorno AWS informático a intervalos regulares o considere la posibilidad de contratar a un tercero para que realice dichas pruebas en su nombre. Para obtener más información, incluido el formulario de solicitud de pruebas de penetración, consulte Pruebas de penetración de AWS.

  • Tenga en cuenta las 10 principales vulnerabilidades de las aplicaciones web y cree sus aplicaciones en consecuencia. Para obtener más información, consulte el sitio sobre el Proyecto de seguridad de aplicaciones web abiertas (OWASP) - Los 10 principales riesgos para las aplicaciones web. Cuando se detecten nuevas vulnerabilidades de Internet, actualice sin dilación todas las aplicaciones web que se suministran con su AMI. Algunos ejemplos de recursos que incluyen esta información son la base SecurityFocusde datos nacional sobre vulnerabilidades del NIST.

Para obtener más información relacionada con la seguridad, consulte los siguientes recursos:

Escaneo de la AMI para comprobar los requisitos de publicación

Para ayudar a verificar su AMI antes de enviarla como un nuevo producto o versión, puede utilizar el escaneo de autoservicio. El escaneo de autoservicio comprobará si hay vulnerabilidades y exposiciones comunes (CVE) que no estén corregidas y verificará que se sigan las prácticas recomendadas de seguridad. Para obtener más información, consulte Preparación y protección de su AMI para AWS Marketplace

Desde AWS Marketplace Management Portal, selecciona Amazon Machine Image en el menú Activos. Seleccione Agregar AMI para iniciar el proceso de digitalización. Para ver el estado del escaneo de las AMI, vuelva a esta página.

nota

Para obtener información sobre cómo dar AWS Marketplace acceso a su AMI, consulteDa AWS Marketplace acceso a tu AMI.

Verificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Es posible que desee que su software compruebe en tiempo de ejecución que se está ejecutando en una instancia de Amazon EC2 creada a partir de su producto de AMI.

Para comprobar que la instancia de Amazon EC2 se haya creado a partir de su producto de AMI, utilice el servicio de metadatos de instancias integrado en Amazon EC2. Los siguientes pasos le guiarán a través de esta validación. Para obtener información sobre el uso del servicio de metadatos, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon Elastic Compute Cloud.

  1. Obtenga el documento de identidad de la instancia

    Cada instancia en ejecución tiene un documento de identidad al que se puede acceder desde la instancia y que proporciona datos sobre la propia instancia. En el siguiente ejemplo, se muestra el uso de curl de la instancia para recuperar el documento de identidad de la instancia.

    curl http://169.254.169.254/latest/dynamic/instance-identity/document
{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. Verifique el documento de identidad de la instancia

    Puede comprobar que la identidad de la instancia es correcta mediante la firma. Para obtener más información sobre este proceso, consulte Documentos de identidad de las instancias en la Guía del usuario de Amazon Elastic Compute Cloud.

  3. Verifique el código del producto

    Cuando envía por primera vez su producto de AMI para su publicación, se le asigna un código de producto por parte de AWS Marketplace. Puede verificar el código de producto consultando el campo marketplaceProductCodes del documento de identidad de la instancia o puede obtenerlo directamente del servicio de metadatos:

    curl http://169.254.169.254/latest/meta-data/product-codes
0vg0000000000000000000000

    Si el código de producto coincide con el de su producto de AMI, significa que la instancia se creó a partir de su producto.

Es posible que también desee verificar otra información del documento de identidad de la instancia, como el instanceId y la privateIp de la instancia.