Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik untuk membangun AMIs untuk digunakan dengan AWS Marketplace
Topik ini memberikan praktik dan referensi terbaik untuk membantu Anda membuat Amazon Machine Images (AMIs) untuk digunakan AWS Marketplace. AMIsdibangun dan diserahkan AWS Marketplace harus mematuhi semua kebijakan AWS Marketplace produk. Untuk informasi selengkapnya, silakan lihat bagian-bagian berikut ini.
Topik
Mengamankan hak jual kembali
Anda bertanggung jawab untuk mengamankan hak jual kembali untuk distribusi Linux yang tidak bebas, dengan pengecualian AWS Amazon Linux,,, RHEL dan Windows yang disediakan. SUSE AMIs
Membangun sebuah AMI
Gunakan panduan berikut untuk membangunAMIs:
-
Pastikan Anda AMI memenuhi semua AWS Marketplace kebijakan, termasuk menonaktifkan login root.
-
Buat Anda AMI di Wilayah AS Timur (Virginia N.).
-
Buat produk dari yang sudah ada dan terpelihara dengan baik yang AMIs didukung oleh Amazon Elastic Block Store (AmazonEBS) dengan siklus hidup yang jelas yang disediakan oleh sumber tepercaya dan bereputasi baik seperti. AWS Marketplace
-
Bangun AMIs menggunakan sebagian besar sistem up-to-date operasi, paket, dan perangkat lunak.
-
Pastikan bahwa semua AMIs harus dimulai dengan publik AMI yang menggunakan perangkat keras virtual machine (HVM) virtualisasi dan arsitektur 64-bit.
-
Kembangkan proses berulang untuk membangun, memperbarui, dan menerbitkan ulangAMIs.
-
Gunakan nama pengguna sistem operasi (OS) yang konsisten di semua versi dan produk. Kami merekomendasikanec2-user.
-
Konfigurasikan instance yang sedang berjalan dari pengalaman akhir AMI hingga pengguna akhir yang Anda inginkan, dan uji semua metode instalasi, fitur, dan kinerja sebelum dikirimkan. AWS Marketplace
-
Periksa pengaturan port sebagai berikut:
-
Berbasis Linux AMIs — Pastikan SSH port yang valid terbuka. SSHPort default adalah 22.
-
Berbasis Windows AMIs — Pastikan RDP port terbuka. RDPPort default adalah 3389. Juga, port WinRM (5985 secara default) harus terbuka ke 10.0.0.0/16 dan 10.2.0.0/16.
-
Untuk informasi selengkapnya tentang membuatAMI, lihat sumber daya berikut:
-
Membuat Sendiri AMI di Panduan EC2 Pengguna Amazon
-
Membuat Windows Kustom AMI di Panduan EC2 Pengguna Amazon
-
Bagaimana cara membuat Amazon Machine Image (AMI) dari instance yang EBS didukung?
Mempersiapkan dan mengamankan Anda untuk AMI AWS Marketplace
Kami merekomendasikan panduan berikut untuk membuat amanAMIs:
-
Gunakan Pedoman untuk Linux Bersama AMIs di Panduan EC2 Pengguna Amazon
-
Arsitek Anda AMI untuk digunakan sebagai instalasi minimum untuk mengurangi permukaan serangan. Nonaktifkan atau hapus layanan dan program yang tidak perlu.
-
Bila memungkinkan, gunakan end-to-end enkripsi untuk lalu lintas jaringan. Misalnya, gunakan Secure Sockets Layer (SSL) untuk mengamankan HTTP sesi antara Anda dan pembeli Anda. Pastikan bahwa layanan Anda hanya menggunakan up-to-date sertifikat dan valid.
-
Saat menambahkan versi baru ke AMI produk Anda, konfigurasikan grup keamanan untuk mengontrol akses lalu lintas masuk ke instans Anda. Pastikan bahwa grup keamanan Anda dikonfigurasi untuk mengizinkan akses hanya ke kumpulan minimum port yang diperlukan untuk menyediakan fungsionalitas yang diperlukan untuk layanan Anda. Memungkinkan akses administratif hanya untuk set minimum port dan sumber alamat IP rentang yang diperlukan. Untuk informasi selengkapnya tentang cara menambahkan versi baru ke AMI produk Anda, lihatTambahkan versi baru.
-
Pertimbangkan untuk melakukan tes penetrasi terhadap lingkungan AWS komputasi Anda secara berkala, atau pertimbangkan untuk mempekerjakan pihak ketiga untuk melakukan pengujian tersebut atas nama Anda. Untuk informasi selengkapnya, termasuk formulir permintaan pengujian penetrasi, lihatAWS Pengujian penetrasi
. -
Sadarilah 10 kerentanan teratas untuk aplikasi web, dan bangun aplikasi Anda sesuai dengan itu. Untuk mempelajari lebih lanjut, lihat Open Web Application Security Project (OWASP) - 10 Risiko Keamanan Aplikasi Web Teratas
. Ketika kerentanan internet baru ditemukan, segera perbarui aplikasi web apa pun yang dikirimkan ke Anda. AMI Contoh sumber daya yang mencakup informasi ini adalah SecurityFocus dan Database Kerentanan NIST Nasional .
Untuk informasi selengkapnya terkait keamanan, lihat sumber daya berikut:
Memindai AMI persyaratan penerbitan Anda
Untuk membantu memverifikasi AMI sebelum mengirimkannya sebagai produk atau versi baru, Anda dapat menggunakan pemindaian swalayan. Pemindai swalayan akan memeriksa kerentanan dan eksposur umum yang belum ditambal (CVEs) dan memverifikasi praktik terbaik keamanan diikuti. Untuk informasi selengkapnya, silakan lihat Mempersiapkan dan mengamankan Anda untuk AMI AWS Marketplace
Dari Portal Manajemen AWS Marketplace, pilih Amazon Machine Image dari menu Assets. Pilih Tambah AMI untuk memulai proses pemindaian. Anda dapat melihat status pemindaian AMIs dengan kembali ke halaman ini.
catatan
Untuk mempelajari tentang memberikan AWS Marketplace akses ke AndaAMI, lihatMemberikan AWS Marketplace akses ke AMI.
Memverifikasi perangkat lunak Anda berjalan di AWS Marketplace AMI
Anda mungkin ingin agar perangkat lunak Anda memverifikasi saat runtime bahwa perangkat lunak tersebut berjalan pada EC2 instans Amazon yang dibuat dari AMI produk Anda.
Untuk memverifikasi EC2 instans Amazon dibuat dari AMI produk Anda, gunakan layanan metadata instans yang dibangun ke Amazon. EC2 Langkah-langkah berikut membawa Anda melalui validasi ini. Untuk informasi selengkapnya tentang penggunaan layanan metadata, lihatMetadata instance dan data penggunadiPanduan Pengguna Amazon Elastic Compute Cloud.
-
Dapatkan dokumen identitas instance
Setiap contoh berjalan memiliki dokumen identitas yang dapat diakses dari contoh yang menyediakan data tentang contoh itu sendiri. Contoh berikut menunjukkan menggunakan curl dari contoh untuk mengambil dokumen identitas contoh.
curl http://169.254.169.254/latest/dynamic/instance-identity/document { "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" }
-
Verifikasi dokumen identitas instance
Anda dapat memverifikasi bahwa identitas contoh benar menggunakan tanda tangan. Untuk detail tentang proses ini, lihatDokumen identitas instancediPanduan Pengguna Amazon Elastic Compute Cloud.
-
Verifikasi kode produk
Ketika Anda awalnya mengirimkan AMI produk Anda untuk dipublikasikan, produk Anda diberi kode produk oleh AWS Marketplace. Anda dapat memverifikasi kode produk dengan memeriksa
marketplaceProductCodes
di dokumen identitas contoh, atau Anda bisa mendapatkannya langsung dari layanan metadata:curl http://169.254.169.254/latest/meta-data/product-codes 0vg0000000000000000000000
Jika kode produk cocok dengan yang untuk AMI produk Anda, maka instance dibuat dari produk Anda.
Anda juga dapat memverifikasi informasi lain dari dokumen identitas instans, sepertiinstanceId
dan instanceprivateIp
.