Bonnes pratiques en matière de construction AMIs - AWS Marketplace
Sécurisation des droits de reventeConstruire un AMIPréparation et sécurisation AMI de votre AWS MarketplaceNumérisation de vos données AMI pour les besoins de publicationVérifier que votre logiciel s'exécute sur votre AWS Marketplace AMI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques en matière de construction AMIs

Cette rubrique fournit des bonnes pratiques et des références pour vous aider à créer Amazon Machine Images (AMIs) à utiliser avec AWS Marketplace. AMIsconstruits et soumis à AWS Marketplace doivent respecter toutes les politiques relatives aux AWS Marketplace produits.

Sécurisation des droits de revente

Vous êtes responsable de l'obtention des droits de revente pour les distributions Linux non libres, à l'exception des distributions Amazon LinuxRHEL,,SUSE, et Windows AWS fournies. AMIs

Construire un AMI

Suivez les directives suivantes pour la construction AMIs :

  • Assurez-vous que vous respectez AMI toutes les AWS Marketplace politiques, y compris la désactivation de la connexion root.

  • Créez votre AMI dans la région USA Est (Virginie du Nord).

  • Créez des produits à partir de produits existants et bien entretenus, AMIs soutenus par Amazon Elastic Block Store (AmazonEBS) avec un cycle de vie clairement défini fourni par des sources fiables et réputées telles que AWS Marketplace.

  • Créez AMIs en utilisant le plus grand up-to-date nombre de systèmes d'exploitation, de packages et de logiciels.

  • Assurez-vous que tout AMIs doit commencer par un public AMI qui utilise la virtualisation matérielle (machine virtuelleHVM) et une architecture 64 bits.

  • Développez un processus reproductible pour la création, la mise à jour et la AMIs republication.

  • Utilisez un nom d'utilisateur du système d'exploitation (SE) cohérent dans toutes les versions et tous les produits. Nous recommandons ec2-user.

  • Configurez une instance en cours d'exécution, de votre expérience finale AMI à celle de l'utilisateur final que vous souhaitez, et testez toutes les méthodes, fonctionnalités et performances d'installation avant de la soumettre à AWS Marketplace.

  • Vérifiez les paramètres du port comme suit :

    • Basé sur Linux AMIs : assurez-vous qu'un SSH port valide est ouvert. Le SSH port par défaut est 22.

    • Basé sur Windows AMIs : assurez-vous qu'un RDP port est ouvert. Le RDP port par défaut est 3389. De plus, le port WinRM (5985 par défaut) doit être ouvert aux versions 10.0.0.0/16 et 10.2.0.0/16.

Pour plus d'informations sur la création d'unAMI, consultez les ressources suivantes :

Créez le vôtre AMI dans le guide de EC2 l'utilisateur Amazon

Création d'une fenêtre personnalisée AMI dans le guide de EC2 l'utilisateur Amazon

Comment créer une Amazon Machine Image (AMI) à partir d'une instance basée sur EBS -backed ?

Amazon Linux AMI

Types d'EC2instances Amazon et types d'instances

Préparation et sécurisation AMI de votre AWS Marketplace

Nous vous recommandons de suivre les directives suivantes pour créer une solution sécurisée AMIs :

  • Utilisez les directives relatives au Linux partagé AMIs dans le guide de EC2 l'utilisateur Amazon

  • Architectez votre installation AMI de manière à ce qu'elle soit déployée au minimum afin de réduire la surface d'attaque. Désactivez ou supprimez les services et programmes inutiles.

  • Dans la mesure du possible, utilisez end-to-end le chiffrement pour le trafic réseau. Par exemple, utilisez Secure Sockets Layer (SSL) pour sécuriser les HTTP sessions entre vous et vos acheteurs. Assurez-vous que votre service utilise uniquement des up-to-date certificats et certificats valides.

  • Lorsque vous ajoutez une nouvelle version à votre AMI produit, configurez des groupes de sécurité pour contrôler l'accès du trafic entrant à votre instance. Veillez à ce que vos groupes de sécurité soient configurés de façon à autoriser uniquement l'accès à l'ensemble minimal de ports requis pour assurer les fonctionnalités nécessaires de vos services. N'autorisez l'accès administratif qu'à l'ensemble minimal de ports et de plages d'adresses IP source nécessaires. Pour plus d'informations sur la façon d'ajouter une nouvelle version à votre AMI produit, consultezAjouter une nouvelle version.

  • Envisagez d'effectuer un test d'intrusion dans votre environnement AWS informatique à intervalles réguliers, ou envisagez de faire appel à un tiers pour effectuer de tels tests en votre nom. Pour plus d'informations, y compris un formulaire de demande de test d'intrusion, voir Tests d'AWS intrusion.

  • Soyez conscient des 10 principales vulnérabilités des applications web et développez vos applications en conséquence. Pour en savoir plus, voir Open Web Application Security Project (OWASP) - Les 10 principaux risques liés à la sécurité des applications Web. Lorsque de nouvelles vulnérabilités Internet sont découvertes, mettez rapidement à jour toutes les applications Web qui vous sont livréesAMI. La base de données NIST nationale sur les vulnérabilités est un exemple SecurityFocusde ressources contenant ces informations.

Pour plus d'informations sur la sécurité, consultez les ressources suivantes :

Numérisation de vos données AMI pour les besoins de publication

Pour vous aider à vérifier votre produit AMI avant de le soumettre en tant que nouveau produit ou version, vous pouvez utiliser le scan en libre-service. Le scanner en libre-service vérifiera la présence de vulnérabilités et d'expositions courantes non corrigées (CVEs) et vérifiera que les meilleures pratiques de sécurité sont respectées. Pour plus d’informations, consultez Préparation et sécurisation AMI de votre AWS Marketplace.

Dans le menu Ressources Portail de gestion AWS Marketplace, sélectionnez Amazon Machine Image. Choisissez Ajouter AMI pour démarrer le processus de numérisation. Vous pouvez voir l'état de numérisation de AMIs en revenant sur cette page.

Note

Pour en savoir plus sur AWS Marketplace l'octroi de l'accès à votreAMI, consultezDonnez AWS Marketplace accès à votre AMI.

Vérifier que votre logiciel s'exécute sur votre AWS Marketplace AMI

Vous souhaiterez peut-être que votre logiciel vérifie au moment de l'exécution qu'il s'exécute sur une EC2 instance Amazon créée à partir de votre AMI produit.

Pour vérifier que l'EC2instance Amazon est créée à partir de votre AMI produit, utilisez le service de métadonnées d'instance intégré à AmazonEC2. Les étapes suivantes vous permettent de procéder à cette validation. Pour plus d'informations sur l'utilisation du service de métadonnées, consultez la section Métadonnées d'instance et données utilisateur dans le guide de l'utilisateur Amazon Elastic Compute Cloud.

  1. Obtenir le document d'identité de l'instance

    Chaque instance en cours d'exécution possède un document d'identité accessible depuis l'instance qui fournit des données sur l'instance elle-même. L'exemple suivant montre comment utiliser curl depuis l'instance pour récupérer le document d'identité de l'instance.

    curl http://169.254.169.254/latest/dynamic/instance-identity/document
{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. Vérifiez le document d'identité de l'instance

    Vous pouvez vérifier que l'identité de l'instance est correcte à l'aide de la signature. Pour en savoir plus sur ce processus, consultez les documents d'identité des instances dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

  3. Vérifiez le code du produit

    Lorsque vous soumettez votre AMI produit pour publication pour la première fois, un code produit lui est attribué par AWS Marketplace. Vous pouvez vérifier le code du produit en vérifiant le marketplaceProductCodes champ du document d'identité de l'instance, ou vous pouvez l'obtenir directement auprès du service de métadonnées :

    curl http://169.254.169.254/latest/meta-data/product-codes
0vg0000000000000000000000

    Si le code du produit correspond à celui de votre AMI produit, l'instance a été créée à partir de votre produit.

Vous souhaiterez peut-être également vérifier d'autres informations contenues dans le document d'identité de l'instance, telles que le instanceId et l'instanceprivateIp.