Praktik terbaik untuk membangun AMIs untuk digunakan dengan AWS Marketplace - AWS Marketplace

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk membangun AMIs untuk digunakan dengan AWS Marketplace

Topik ini memberikan praktik dan referensi terbaik untuk membantu Anda membuat Amazon Machine Images (AMIs) untuk digunakan AWS Marketplace. AMIsdibangun dan diserahkan AWS Marketplace harus mematuhi semua kebijakan AWS Marketplace produk. Untuk informasi selengkapnya, silakan lihat bagian-bagian berikut ini.

Mengamankan hak jual kembali

Anda bertanggung jawab untuk mengamankan hak jual kembali untuk distribusi Linux yang tidak bebas, dengan pengecualian AWS Amazon Linux,,, RHEL dan Windows yang disediakan. SUSE AMIs

Membangun sebuah AMI

Gunakan panduan berikut untuk membangunAMIs:

  • Pastikan Anda AMI memenuhi semua AWS Marketplace kebijakan, termasuk menonaktifkan login root.

  • Buat Anda AMI di Wilayah AS Timur (Virginia N.).

  • Buat produk dari yang sudah ada dan terpelihara dengan baik yang AMIs didukung oleh Amazon Elastic Block Store (AmazonEBS) dengan siklus hidup yang jelas yang disediakan oleh sumber tepercaya dan bereputasi baik seperti. AWS Marketplace

  • Bangun AMIs menggunakan sebagian besar sistem up-to-date operasi, paket, dan perangkat lunak.

  • Pastikan bahwa semua AMIs harus dimulai dengan publik AMI yang menggunakan perangkat keras virtual machine (HVM) virtualisasi dan arsitektur 64-bit.

  • Kembangkan proses berulang untuk membangun, memperbarui, dan menerbitkan ulangAMIs.

  • Gunakan nama pengguna sistem operasi (OS) yang konsisten di semua versi dan produk. Kami merekomendasikanec2-user.

  • Konfigurasikan instance yang sedang berjalan dari pengalaman akhir AMI hingga pengguna akhir yang Anda inginkan, dan uji semua metode instalasi, fitur, dan kinerja sebelum dikirimkan. AWS Marketplace

  • Periksa pengaturan port sebagai berikut:

    • Berbasis Linux AMIs — Pastikan SSH port yang valid terbuka. SSHPort default adalah 22.

    • Berbasis Windows AMIs — Pastikan RDP port terbuka. RDPPort default adalah 3389. Juga, port WinRM (5985 secara default) harus terbuka ke 10.0.0.0/16 dan 10.2.0.0/16.

Untuk informasi selengkapnya tentang membuatAMI, lihat sumber daya berikut:

Mempersiapkan dan mengamankan Anda untuk AMI AWS Marketplace

Kami merekomendasikan panduan berikut untuk membuat amanAMIs:

  • Gunakan Pedoman untuk Linux Bersama AMIs di Panduan EC2 Pengguna Amazon

  • Arsitek Anda AMI untuk digunakan sebagai instalasi minimum untuk mengurangi permukaan serangan. Nonaktifkan atau hapus layanan dan program yang tidak perlu.

  • Bila memungkinkan, gunakan end-to-end enkripsi untuk lalu lintas jaringan. Misalnya, gunakan Secure Sockets Layer (SSL) untuk mengamankan HTTP sesi antara Anda dan pembeli Anda. Pastikan bahwa layanan Anda hanya menggunakan up-to-date sertifikat dan valid.

  • Saat menambahkan versi baru ke AMI produk Anda, konfigurasikan grup keamanan untuk mengontrol akses lalu lintas masuk ke instans Anda. Pastikan bahwa grup keamanan Anda dikonfigurasi untuk mengizinkan akses hanya ke kumpulan minimum port yang diperlukan untuk menyediakan fungsionalitas yang diperlukan untuk layanan Anda. Memungkinkan akses administratif hanya untuk set minimum port dan sumber alamat IP rentang yang diperlukan. Untuk informasi selengkapnya tentang cara menambahkan versi baru ke AMI produk Anda, lihatTambahkan versi baru.

  • Pertimbangkan untuk melakukan tes penetrasi terhadap lingkungan AWS komputasi Anda secara berkala, atau pertimbangkan untuk mempekerjakan pihak ketiga untuk melakukan pengujian tersebut atas nama Anda. Untuk informasi selengkapnya, termasuk formulir permintaan pengujian penetrasi, lihatAWS Pengujian penetrasi.

  • Sadarilah 10 kerentanan teratas untuk aplikasi web, dan bangun aplikasi Anda sesuai dengan itu. Untuk mempelajari lebih lanjut, lihat Open Web Application Security Project (OWASP) - 10 Risiko Keamanan Aplikasi Web Teratas. Ketika kerentanan internet baru ditemukan, segera perbarui aplikasi web apa pun yang dikirimkan ke Anda. AMI Contoh sumber daya yang mencakup informasi ini adalah SecurityFocusdan Database Kerentanan NIST Nasional.

Untuk informasi selengkapnya terkait keamanan, lihat sumber daya berikut:

Memindai AMI persyaratan penerbitan Anda

Untuk membantu memverifikasi AMI sebelum mengirimkannya sebagai produk atau versi baru, Anda dapat menggunakan pemindaian swalayan. Pemindai swalayan akan memeriksa kerentanan dan eksposur umum yang belum ditambal (CVEs) dan memverifikasi praktik terbaik keamanan diikuti. Untuk informasi selengkapnya, silakan lihat Mempersiapkan dan mengamankan Anda untuk AMI AWS Marketplace

Dari Portal Manajemen AWS Marketplace, pilih Amazon Machine Image dari menu Assets. Pilih Tambah AMI untuk memulai proses pemindaian. Anda dapat melihat status pemindaian AMIs dengan kembali ke halaman ini.

catatan

Untuk mempelajari tentang memberikan AWS Marketplace akses ke AndaAMI, lihatMemberikan AWS Marketplace akses ke AMI.

Memverifikasi perangkat lunak Anda berjalan di AWS Marketplace AMI

Anda mungkin ingin agar perangkat lunak Anda memverifikasi saat runtime bahwa perangkat lunak tersebut berjalan pada EC2 instans Amazon yang dibuat dari AMI produk Anda.

Untuk memverifikasi EC2 instans Amazon dibuat dari AMI produk Anda, gunakan layanan metadata instans yang dibangun ke Amazon. EC2 Langkah-langkah berikut membawa Anda melalui validasi ini. Untuk informasi selengkapnya tentang penggunaan layanan metadata, lihatMetadata instance dan data penggunadiPanduan Pengguna Amazon Elastic Compute Cloud.

  1. Dapatkan dokumen identitas instance

    Setiap contoh berjalan memiliki dokumen identitas yang dapat diakses dari contoh yang menyediakan data tentang contoh itu sendiri. Contoh berikut menunjukkan menggunakan curl dari contoh untuk mengambil dokumen identitas contoh.

    curl http://169.254.169.254/latest/dynamic/instance-identity/document { "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" }
  2. Verifikasi dokumen identitas instance

    Anda dapat memverifikasi bahwa identitas contoh benar menggunakan tanda tangan. Untuk detail tentang proses ini, lihatDokumen identitas instancediPanduan Pengguna Amazon Elastic Compute Cloud.

  3. Verifikasi kode produk

    Ketika Anda awalnya mengirimkan AMI produk Anda untuk dipublikasikan, produk Anda diberi kode produk oleh AWS Marketplace. Anda dapat memverifikasi kode produk dengan memeriksamarketplaceProductCodesdi dokumen identitas contoh, atau Anda bisa mendapatkannya langsung dari layanan metadata:

    curl http://169.254.169.254/latest/meta-data/product-codes 0vg0000000000000000000000

    Jika kode produk cocok dengan yang untuk AMI produk Anda, maka instance dibuat dari produk Anda.

Anda juga dapat memverifikasi informasi lain dari dokumen identitas instans, sepertiinstanceIddan instanceprivateIp.