Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de création d'AMI
Cette rubrique fournit des bonnes pratiques et des références pour vous aider à créer des Amazon Machine Images (AMI) à utiliser avec AWS Marketplace. Les AMI créées et soumises AWS Marketplace doivent respecter toutes les politiques relatives aux AWS Marketplace produits.
Sécurisation des droits de revente
Vous êtes responsable de la sécurisation des droits de revente pour les distributions Linux non libres, à l'exception des AWS AMI Amazon Linux, RHEL, SUSE et Windows fournies.
Création d'une AMI
Suivez les instructions suivantes pour créer des AMI :
-
Assurez-vous que votre AMI respecte toutes les AWS Marketplace politiques, y compris la désactivation de la connexion root.
-
Créez votre AMI dans la région USA Est (Virginie du Nord).
-
Créez des produits à partir d'AMI existantes et bien entretenues soutenues par Amazon Elastic Block Store (Amazon EBS) avec un cycle de vie clairement défini fourni par des sources fiables et réputées telles que. AWS Marketplace
-
Créez des AMI en utilisant le plus grand up-to-date nombre de systèmes d'exploitation, de packages et de logiciels.
-
Assurez-vous que toutes les AMI commencent par une AMI publique qui utilise la virtualisation HVM (Hardware Virtual Machine) et l'architecture 64 bits.
-
Développez des processus pouvant être répétés pour créer, mettre à jour et republier des AMI.
-
Utilisez un nom d'utilisateur du système d'exploitation (SE) cohérent dans toutes les versions et tous les produits. Nous recommandons ec2-user.
-
Configurez une instance en cours d'exécution à partir de votre AMI finale en fonction de l'expérience utilisateur que vous souhaitez, et testez toutes les méthodes, fonctionnalités et performances d'installation avant de la soumettre à AWS Marketplace.
-
Vérifiez les paramètres du port comme suit :
-
AMI basées sur Linux : assurez-vous qu'un port SSH valide est ouvert. Le port SSH par défaut est 22.
-
AMI basées sur Windows : assurez-vous qu'un port RDP est ouvert. Le port RDP par défaut est 3389. De plus, le port WinRM (5985 par défaut) doit être ouvert aux versions 10.0.0.0/16 et 10.2.0.0/16.
-
Pour plus d'informations sur la création d'une AMI, consultez les ressources suivantes :
Création de votre propre AMI dans le guide de l'utilisateur Amazon EC2
Création d'une AMI Windows personnalisée dans le guide de l'utilisateur Amazon EC2
Comment créer une Amazon Machine Image (AMI) à partir d'une instance basée sur EBS ?
Types d'instance Amazon EC2
Préparation et sécurisation de votre AMI pour AWS Marketplace
Nous recommandons de suivre les directives suivantes pour créer des AMI sécurisées :
-
Utilisez les directives relatives aux AMI Linux partagées dans le guide de l'utilisateur Amazon EC2
-
Concevez l'architecture de votre AMI de façon à ce qu'elle se déploie comme une installation minimale afin de réduire la surface d'attaque. Désactivez ou supprimez les services et programmes inutiles.
-
Dans la mesure du possible, utilisez end-to-end le chiffrement pour le trafic réseau. Par exemple, utilisez SSL (Secure Socket Layer) pour sécuriser les sessions HTTP entre vous et vos acheteurs. Assurez-vous que votre service utilise uniquement des up-to-date certificats et certificats valides.
-
Lorsque vous ajoutez une nouvelle version à votre produit AMI, configurez des groupes de sécurité pour contrôler l'accès du trafic entrant à votre instance. Veillez à ce que vos groupes de sécurité soient configurés de façon à autoriser uniquement l'accès à l'ensemble minimal de ports requis pour assurer les fonctionnalités nécessaires de vos services. N'autorisez l'accès administratif qu'à l'ensemble minimal de ports et de plages d'adresses IP source nécessaires. Pour plus d'informations sur la façon d'ajouter une nouvelle version à votre produit AMI, consultezAjouter une nouvelle version.
-
Envisagez d'effectuer un test d'intrusion dans votre environnement AWS informatique à intervalles réguliers, ou envisagez de faire appel à un tiers pour effectuer de tels tests en votre nom. Pour plus d'informations, y compris un formulaire de demande de test d'intrusion, voir Tests d'AWS intrusion
. -
Soyez conscient des 10 principales vulnérabilités des applications web et développez vos applications en conséquence. Pour en savoir plus, voir Open Web Application Security Project (OWASP) - Les 10 principaux risques liés à la sécurité des applications Web
. Lorsque de nouvelles vulnérabilités Internet sont détectées, mettez rapidement à jour toutes les applications web fournies dans votre AMI. La base de données nationale sur les vulnérabilités du NIST est un exemple de ressources contenant ces informations. SecurityFocus
Pour plus d'informations sur la sécurité, consultez les ressources suivantes :
Analyse de votre AMI en fonction des exigences de publication
Pour vérifier votre AMI avant de la soumettre en tant que nouveau produit ou nouvelle version, vous pouvez utiliser le scan en libre-service. Le scanner en libre-service vérifiera la présence de vulnérabilités et d'expositions courantes (CVE) non corrigées et vérifiera que les meilleures pratiques de sécurité sont respectées. Pour plus d’informations, consultez Préparation et sécurisation de votre AMI pour AWS Marketplace.
Dans le menu Ressources Portail de gestion AWS Marketplace, sélectionnez Amazon Machine Image. Choisissez Ajouter une AMI pour démarrer le processus de numérisation. Vous pouvez consulter l'état de numérisation des AMI en retournant sur cette page.
Note
Pour en savoir plus sur AWS Marketplace l'autorisation d'accès à votre AMI, consultezDonnez AWS Marketplace accès à votre AMI.
Vérifier que le logiciel est en cours d'exécution sur votre AWS Marketplace AMI
Vous souhaiterez peut-être que votre logiciel vérifie au moment de l'exécution qu'il s'exécute sur une instance Amazon EC2 créée à partir de votre produit AMI.
Pour vérifier que l'instance Amazon EC2 est créée à partir de votre produit AMI, utilisez le service de métadonnées d'instance intégré à Amazon EC2. Les étapes suivantes vous permettent de procéder à cette validation. Pour plus d'informations sur l'utilisation du service de métadonnées, consultez la section Métadonnées d'instance et données utilisateur dans le guide de l'utilisateur Amazon Elastic Compute Cloud.
-
Obtenir le document d'identité de l'instance
Chaque instance en cours d'exécution possède un document d'identité accessible depuis l'instance qui fournit des données sur l'instance elle-même. L'exemple suivant montre comment utiliser curl depuis l'instance pour récupérer le document d'identité de l'instance.
curl http://169.254.169.254/latest/dynamic/instance-identity/document { "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" }
-
Vérifiez le document d'identité de l'instance
Vous pouvez vérifier que l'identité de l'instance est correcte à l'aide de la signature. Pour en savoir plus sur ce processus, consultez les documents d'identité des instances dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.
-
Vérifiez le code du produit
Lorsque vous soumettez votre produit AMI pour publication pour la première fois, un code produit lui est attribué par AWS Marketplace. Vous pouvez vérifier le code du produit en vérifiant le
marketplaceProductCodes
champ du document d'identité de l'instance, ou vous pouvez l'obtenir directement auprès du service de métadonnées :curl http://169.254.169.254/latest/meta-data/product-codes 0vg0000000000000000000000
Si le code produit correspond à celui de votre produit AMI, l'instance a été créée à partir de votre produit.
Vous souhaiterez peut-être également vérifier d'autres informations contenues dans le document d'identité de l'instance, telles que le instanceId
et l'instanceprivateIp
.