Praktik terbaik untuk membangun AMIs - AWS Marketplace
Mengamankan hak jual kembaliMembangun AMIMempersiapkan dan mengamankan AMI Anda AWS MarketplaceMemindai AMI Anda untuk persyaratan penerbitanMemverifikasi perangkat lunak Anda berjalan di perangkat AWS Marketplace AMI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk membangun AMIs

Topik ini memberikan beberapa praktik dan referensi terbaik untuk membantu Anda membuat Amazon Machine Images (AMI) untuk digunakan AWS Marketplace. AMI yang dibangun dan diserahkan AWS Marketplace harus mematuhi semua kebijakan AWS Marketplace produk.

Mengamankan hak jual kembali

Anda bertanggung jawab untuk mengamankan hak jual kembali untuk distribusi Linux yang tidak bebas, dengan pengecualian AWS Amazon Linux, RHEL, SUSE, dan AMI Windows yang disediakan.

Membangun AMI

Gunakan pedoman berikut untuk membangun AMIS:

  • Pastikan AMI Anda memenuhi semua AWS Marketplace kebijakan, termasuk menonaktifkan login root.

  • Buat AMI Anda di US East (N. Virginia).

  • Buat produk dari yang ada, terawat dengan baik AMI didukung oleh Amazon Elastic Block Store (Amazon EBS) dengan siklus hidup yang jelas disediakan oleh terpercaya, sumber terkemuka seperti AWS Marketplace.

  • Bangun AMI menggunakan sebagian besar sistem up-to-date operasi, paket, dan perangkat lunak.

  • Pastikan bahwa semua AMI harus dimulai dengan AMI publik yang menggunakan hardware virtual machine (HVM) virtualisasi dan 64-bit arsitektur.

  • Kembangkan proses yang dapat diulang untuk membangun, memperbarui, dan menerbitkan ulang AMI.

  • Gunakan nama pengguna sistem operasi (OS) yang konsisten di semua versi dan produk. Kami merekomendasikanec2-user.

  • Mengkonfigurasi contoh berjalan dari AMI akhir Anda pengalaman pengguna akhir yang Anda inginkan, dan menguji semua metode instalasi, fitur, dan kinerjasebelumpengajuan ke AWS Marketplace.

  • Periksa pengaturan port sebagai berikut:

    • Linux berbasis AMIS - Pastikan bahwa port SSH valid terbuka. Port default RDS adalah 22.

    • AMIS berbasis Windows - Pastikan bahwa port RDP terbuka. Port default RDS adalah 3389. Juga, port WinRM (5985 secara default) harus terbuka ke 10.0.0.0/16 dan 10.2.0.0/16.

Untuk informasi selengkapnya tentang izin dan tentang pembuatan kebijakan, lihat sumber daya berikut:

Membuat AMI Anda Sendiri di Panduan Pengguna Amazon EC2

Membuat AMI Windows Kustom di Panduan Pengguna Amazon EC2

Bagaimana cara membuat Amazon Machine Image (AMI) dari instans yang didukung EBS?

Amazon Linux AMI

Tipe Instans Amazon EC2danTipe instans

Mempersiapkan dan mengamankan AMI Anda AWS Marketplace

Kami merekomendasikan panduan berikut untuk membuat AMI aman:

  • Gunakan Pedoman untuk AMI Linux Bersama di Panduan Pengguna Amazon EC2

  • Arsitek AMI Anda untuk men-deploy sebagai instalasi minimum untuk mengurangi permukaan serangan. Nonaktifkan atau hapus layanan dan program yang tidak perlu.

  • Bila memungkinkan, gunakan end-to-end enkripsi untuk lalu lintas jaringan. Misalnya, gunakan Secure Sockets Layer (SSL) untuk mengamankan sesi HTTP antara Anda dan pembeli Anda. Pastikan bahwa layanan Anda hanya menggunakan up-to-date sertifikat dan valid.

  • Saat menambahkan versi baru ke produk AMI Anda, konfigurasikan grup keamanan untuk mengontrol akses kemudian lintas masuk ke instans Anda. Pastikan bahwa grup keamanan Anda dikonfigurasi untuk mengizinkan akses hanya ke kumpulan minimum port yang diperlukan untuk menyediakan fungsionalitas yang diperlukan untuk layanan Anda. Memungkinkan akses administratif hanya untuk set minimum port dan sumber alamat IP rentang yang diperlukan. Untuk informasi selengkapnya tentang cara menambahkan versi baru untuk produk AMI Anda, lihatTambahkan versi baru.

  • Pertimbangkan untuk melakukan tes penetrasi terhadap lingkungan AWS komputasi Anda secara berkala, atau pertimbangkan untuk mempekerjakan pihak ketiga untuk melakukan pengujian tersebut atas nama Anda. Untuk informasi selengkapnya, termasuk formulir permintaan pengujian penetrasi, lihatAWS Pengujian penetrasi.

  • Sadarilah 10 kerentanan teratas untuk aplikasi web, dan bangun aplikasi Anda sesuai dengan itu. Untuk mempelajari lebih lanjut, lihatProyek Keamanan Aplikasi Web Terbuka (OWASP) - Top 10 Web Aplikasi Risiko Keamanan. Saat kerentanan internet baru ditemukan, segera memperbarui aplikasi web yang dikirimkan di AMI Anda. Contoh sumber daya yang mencakup informasi ini adalah SecurityFocusdan Database Kerentanan Nasional NIST.

Untuk informasi selengkapnya terkait keamanan, lihat sumber daya berikut:

Memindai AMI Anda untuk persyaratan penerbitan

Untuk membantu memverifikasi AMI Anda sebelum mengirimkannya sebagai produk atau versi baru, Anda dapat menggunakan pemindaian swalayan. Pemindai swalayan akan memeriksa kerentanan dan eksposur umum yang belum ditambal (CVE) dan memverifikasi praktik terbaik keamanan diikuti. Untuk informasi selengkapnya, lihat Mempersiapkan dan mengamankan AMI Anda AWS Marketplace

Dari Portal Manajemen AWS Marketplace, pilih Amazon Machine Image dari menu Assets. Pilih Tambahkan AMI untuk memulai proses pemindaian. Anda dapat melihat status pemindaian AMI dengan kembali ke halaman ini.

catatan

Untuk mempelajari tentang memberikan AWS Marketplace akses ke AMI Anda, lihatBerikan AWS Marketplace akses ke AMI.

Memverifikasi perangkat lunak Anda berjalan di perangkat AWS Marketplace AMI

Anda mungkin ingin memiliki perangkat lunak Anda memverifikasi pada saat runtime bahwa itu berjalan pada contoh Amazon EC2 dibuat dari produk AMI Anda.

Untuk memverifikasi contoh Amazon EC2 dibuat dari produk AMI Anda, menggunakan layanan metadata contoh dibangun ke Amazon EC2. Langkah-langkah berikut membawa Anda melalui validasi ini. Untuk informasi selengkapnya tentang penggunaan layanan metadata, lihatMetadata instance dan data penggunadiPanduan Pengguna Amazon Elastic Compute Cloud.

  1. Dapatkan dokumen identitas instance

    Setiap contoh berjalan memiliki dokumen identitas yang dapat diakses dari contoh yang menyediakan data tentang contoh itu sendiri. Contoh berikut menunjukkan menggunakan curl dari contoh untuk mengambil dokumen identitas contoh.

    curl http://169.254.169.254/latest/dynamic/instance-identity/document
{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. Verifikasi dokumen identitas instance

    Anda dapat memverifikasi bahwa identitas contoh benar menggunakan tanda tangan. Untuk detail tentang proses ini, lihatDokumen identitas instancediPanduan Pengguna Amazon Elastic Compute Cloud.

  3. Verifikasi kode produk

    Saat Anda awalnya mengirimkan produk AMI Anda untuk dipublikasikan, produk Anda diberiKode Produkoleh AWS Marketplace. Anda dapat memverifikasi kode produk dengan memeriksamarketplaceProductCodesdi dokumen identitas contoh, atau Anda bisa mendapatkannya langsung dari layanan metadata:

    curl http://169.254.169.254/latest/meta-data/product-codes
0vg0000000000000000000000

    Jika kode produk cocok dengan satu untuk produk AMI Anda, maka instans dibuat dari produk Anda.

Anda juga dapat memverifikasi informasi lain dari dokumen identitas instans, sepertiinstanceIddan instanceprivateIp.