Requisitos de producto basados en AMI - AWS Marketplace
Políticas de seguridadPolíticas de accesoPolíticas de información de clientesPolíticas de uso del productoPolíticas de arquitecturaInstrucciones de uso del producto AMI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos de producto basados en AMI

AWS Marketplace mantiene las siguientes políticas para todos los productos y ofertas de Amazon Machine Image (AMI) en AWS Marketplace. Las políticas promueven una plataforma segura y fiable para nuestros clientes.

Todos los productos y sus metadatos relacionados se revisan cuando se envían para garantizar que cumplen o superan AWS Marketplace las políticas actuales. Estas políticas se revisan y ajustan para cumplir con las pautas de seguridad en constante evolución. AWS Marketplace analiza continuamente sus productos para comprobar que cumplen con los cambios en las directrices de seguridad. Si los productos no cumplen con las normas, nos AWS Marketplace pondremos en contacto con usted para actualizar su producto AMI y adaptarlo a los nuevos estándares. Del mismo modo, si se encuentra que una vulnerabilidad recién descubierta afecta a la AMI, le solicitaremos que facilite una AMI actualizada con las actualizaciones pertinentes en vigor. Debe utilizar la herramienta de exploración de la AMI de autoservicio antes de enviar su AMI. Esta herramienta ayuda a garantizar que la AMI cumple las políticas de AWS Marketplace .

Políticas de seguridad

Todas las AMI deben cumplir las siguientes políticas de seguridad:

  • Las AMI no deben contener ninguna vulnerabilidad, malware o virus conocidos detectados por la herramienta de análisis de AMI de autoservicio o por el equipo de AWS seguridad.

  • Las AMI deben utilizar los sistemas operativos y otros paquetes de software compatibles actualmente. Se eliminará de la lista cualquier versión de una AMI con un sistema operativo al final de su vida útil (EoL) u otros paquetes de software del AWS Marketplace. Puede crear una AMI nueva con paquetes actualizados y publicarla como una nueva versión en AWS Marketplace.

  • Toda autenticación de instancia debe usar un acceso de par de claves, no una autenticación basada en contraseña, aunque sea el usuario quien genere, restablezca o defina la contraseña en el momento del lanzamiento. Las AMI no deben contener bajo ningún concepto contraseñas, claves de autenticación, pares de claves, claves de seguridad u otras credenciales.

  • Las AMI no deben solicitar ni usar claves secretas o de acceso a los usuarios para acceder a los recursos de AWS . Si su aplicación de AMI requiere acceso al usuario, debe lograrlo mediante una función AWS Identity and Access Management (IAM) instanciada mediante AWS CloudFormation la cual se crea la instancia y se asocia la función adecuada. Cuando se habilita el lanzamiento de una sola AMI para productos con un método de AWS CloudFormation entrega, las instrucciones de uso correspondientes deben incluir una guía clara para crear funciones de IAM con privilegios mínimos. Para obtener más información, consulte AMIentrega basada en AWS CloudFormation.

  • Las AMI basadas en Linux no deben permitir la autenticación de contraseñas SSH. Deshabilite la autenticación mediante contraseña a través del archivo sshd_config estableciendo PasswordAuthentication en NO.

Políticas de acceso

Hay tres categorías de políticas de acceso: políticas generales, específicas de Linux y específicas de Windows.

Políticas de acceso generales

Todas las AMI deben cumplir las siguientes políticas de acceso generales:

  • Las AMI deben permitir características de administración de nivel de sistema operativo para tener en cuenta los requisitos de cumplimiento, las actualizaciones de vulnerabilidades y el acceso a los archivos de registro. Las AMI basadas en Linux utilizan SSH y las AMI basadas en Windows usan RDP.

  • Las AMI no deben contener contraseñas autorizadas ni claves autorizadas.

  • Las AMI no deben utilizar contraseñas fijas para el acceso administrativo. Las AMI deben utilizar una contraseña aleatorizada en su lugar. Una implementación alternativa consiste en recuperar los metadatos de la instancia y utilizar instance_id como contraseña. Se debe solicitar al administrador esta contraseña aleatorizada antes de que se permita establecer o cambiar sus propias credenciales. Para obtener información sobre la recuperación de metadatos de instancias, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon EC2.

  • No debe tener acceso a las instancias en ejecución del cliente. El cliente tiene que habilitar de forma explícita todo acceso externo y toda accesibilidad integrada en la AMI debe estar desactivada de forma predeterminada.

Políticas de acceso específicas para Linux (o similares a Unix)

Las AMI basadas en Linux o similares a Unix deben cumplir las siguientes políticas de acceso, así como las políticas de acceso generales:

  • Las AMI deben deshabilitar los inicios de sesión remotos basados en contraseñas.

  • Las AMI deben deshabilitar los inicios de sesión remotos para el usuario root.

  • Las AMI deben permitir a los usuarios obtener el control de administrador para realizar la función root. Por ejemplo, permita el sudo acceso a un sistema operativo basado en Linux. En el caso de otros sistemas, permita el acceso total con privilegios.

  • Las AMI deben registrar la actividad raíz para crear un registro de auditoría.

  • Las AMI no deben contener contraseñas autorizadas para los usuarios del sistema operativo.

  • Las AMI no deben contener claves autorizadas.

  • Las AMI no deben tener contraseñas raíz vacías o nulas.

Políticas de acceso específicas de Windows

Las AMI basadas en Windows deben cumplir las siguientes políticas de acceso, así como las políticas de acceso generales:

  • Para Windows Server 2016 y versiones posteriores, utilice EC2Launch.

  • Para Windows Server 2012 R2 y versiones anteriores, utilice la versión más reciente de Ec2ConfigService y habilite Ec2SetPassword, Ec2WindowsActivate y Ec2HandleUserData.

  • Eliminar las cuentas de invitados y los usuarios de escritorio remoto (ninguno está autorizado), ninguno de los cuales está permitido.

Políticas de información de clientes

Todas las AMI deben cumplir las siguientes políticas de información del cliente:

  • El software no debe recopilar ni exportar datos del cliente sin su conocimiento y consentimiento expreso, tal y como exige BYOL (Bring Your Own License). Las aplicaciones que recopilan o exportan datos de clientes deben seguir estas pautas:

    • La recopilación de los datos de los clientes debe ser de tipo autoservicio, automatizada y segura. Los compradores no deben tener que esperar a que los vendedores aprueben la implementación del software.

    • Los requisitos relativos a los datos de los clientes deben estar claramente indicados en la descripción o en las instrucciones de uso del anuncio. En concreto, se deberá incluir la información que se recopila, la ubicación en la que se almacenarán los datos del cliente y cómo se utilizarán. Por ejemplo, este producto recopila su nombre y dirección de correo electrónico. Esta información es enviada y almacenada por <nombre de la empresa>. Esta información solo se utilizará para contactar con el comprador en relación con <nombre del producto>.

    • No se debe recopilar información de pago.

Políticas de uso del producto

Todas las AMI deben cumplir las siguientes las políticas de uso de productos:

  • Los productos no deben restringir el acceso al producto o la funcionalidad del producto por tiempo, número de usuarios u otras restricciones. Los productos beta y que aún no se han lanzado o los productos cuyo único objetivo es ofrecer una funcionalidad de prueba o de evaluación, no se admiten. Las ediciones de software comercial Developer, Community y BYOL se admiten, siempre que también haya una versión de pago equivalente disponible en AWS Marketplace.

  • Todas las AMI deben ser compatibles con la experiencia Lanzar desde sitio web o entrega basada en AMI a través de AWS CloudFormation. Para Lanzar desde sitio web, la AMI no puede requerir los datos de usuario o de cliente durante la creación de la instancia para funcionar correctamente.

  • Las AMI y su software deben poder implementarse en modo autoservicio y no deben requerir métodos de pago ni costos adicionales. Las aplicaciones que requieren dependencias externas durante la implementación deben seguir estas pautas:

    • El requisito debe indicarse en la descripción o en las instrucciones de uso del listado. Por ejemplo, este producto requiere una conexión a Internet para implementarse correctamente. Los siguientes paquetes se descargan durante la implementación: <lista del paquete>.

    • Los vendedores son responsables del uso, y de garantizar la disponibilidad y seguridad de todas las dependencias externas.

    • Si las dependencias externas ya no están disponibles, también se debe eliminar AWS Marketplace el producto.

    • Las dependencias externas no deben requerir métodos de pago ni costos adicionales.

  • Las AMI que requieren una conexión continua a recursos externos que no están bajo el control directo del comprador (por ejemplo, API externas o Servicios de AWS gestionadas por el vendedor o un tercero) deben seguir estas pautas:

    • El requisito debe indicarse en la descripción o en las instrucciones de uso del listado. Por ejemplo, Este producto requiere una conexión a Internet continua. Se requieren los siguientes servicios externos continuos para funcionar correctamente: <lista de recursos>.

    • Los vendedores son responsables del uso, y de garantizar la disponibilidad y seguridad de todos los recursos externos.

    • Si los recursos externos ya no están disponibles, también se debe retirar el producto. AWS Marketplace

    • Los recursos externos no deben requerir métodos de pago ni costos adicionales y la configuración de la conexión debe ser automática.

  • El software y los metadatos del producto no deben contener lenguaje que redirija a los usuarios a otras plataformas de nube, productos adicionales ni servicios de venta incremental que no estén disponibles en AWS Marketplace.

  • Si su producto es un complemento de otro producto o de un producto de otro proveedor de software independiente, la descripción del producto debe indicar que amplía la funcionalidad del otro producto y que, sin él, su utilidad es muy limitada. Por ejemplo, Este producto amplía la funcionalidad de <nombre del producto> y, sin él, su utilidad es muy limitada. Tenga en cuenta que es posible que <nombre del producto> necesite su propia licencia para obtener todas las funciones de este listado.

Políticas de arquitectura

Todas las AMI deben cumplir las siguientes políticas de arquitectura:

  • Las AMI de origen AWS Marketplace deben proporcionarse en la región EE.UU. Este (Norte de Virginia).

  • Las AMI deben utilizar virtualización HVM.

  • Las AMI deben utilizar 64 bits o arquitectura ARM de 64 bits.

  • Las AMI deben estar respaldadas por Amazon Elastic Block Store (Amazon EBS). No admitimos AMI respaldadas por Amazon Simple Storage Service (Amazon S3).

  • Las AMI no deben usar instantáneas de EBS cifradas.

  • Las AMI no deben utilizar sistemas de archivos cifrados.

  • Las AMI se deben crear de manera que puedan ejecutarse en todas las regiones Regiones de AWS y sean independientes de la región. Las AMI creadas de forma diferente para regiones diferentes no están permitidas.

Instrucciones de uso del producto AMI

Al crear las instrucciones de uso para su producto AMI, siga los pasos y las instrucciones que se encuentran en AMIinstrucciones de uso del producto y envase.