Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le migliori pratiche per la creazione di AMI
Questo argomento fornisce alcune best practice e riferimenti per aiutarti a creare Amazon Machine Images (AMI) da utilizzare con Marketplace AWS. Le AMI create e inviate Marketplace AWS devono rispettare tutte le Marketplace AWS politiche di prodotto.
Garantire i diritti di rivendita
L'utente è responsabile della protezione dei diritti di rivendita per le distribuzioni Linux non libere, ad eccezione delle AMI AWS Amazon Linux, RHEL, SUSE e Windows fornite.
Creazione di un AMI
Utilizza le seguenti linee guida per la creazione di AMI:
-
Assicurati che la tua AMI soddisfi tutte le Marketplace AWS policy, inclusa la disabilitazione dell'accesso root.
-
Crea il tuo AMI nella regione Stati Uniti orientali (Virginia settentrionale).
-
Crea prodotti da AMI esistenti e ben gestite supportate da Amazon Elastic Block Store (Amazon EBS) con un ciclo di vita chiaramente definito fornito da fonti affidabili e affidabili come. Marketplace AWS
-
Crea AMI utilizzando la maggior parte dei up-to-date sistemi operativi, pacchetti e software.
-
Assicurati che tutte le AMI debbano iniziare con un'AMI pubblica che utilizzi la virtualizzazione della macchina virtuale hardware (HVM) e l'architettura a 64 bit.
-
Sviluppa un processo ripetibile per la compilazione, l'aggiornamento e la ripubblicazione delle AMI.
-
Utilizza un nome utente del sistema operativo (OS) coerente per tutte le versioni e i prodotti. Consigliamo ec2-user.
-
Configura un'istanza in esecuzione dall'AMI finale all'esperienza utente finale che desideri e testa tutti i metodi di installazione, le funzionalità e le prestazioni prima di inviarla a. Marketplace AWS
-
Controlla le impostazioni delle porte come segue:
-
AMI basate su Linux: assicurati che sia aperta una porta SSH valida. La porta SSH predefinita è 22.
-
AMI basate su Windows: assicuratevi che una porta RDP sia aperta. La porta RDP predefinita è 3389. Inoltre, la porta WinRM (5985 per impostazione predefinita) deve essere aperta alle versioni 10.0.0.0/16 e 10.2.0.0/16.
-
Per ulteriori informazioni sulla creazione di un'AMI, consulta le seguenti risorse:
Creazione di una propria AMI nella Guida per l'utente di Amazon EC2
Creazione di un'AMI Windows personalizzata nella Guida per l'utente di Amazon EC2
Come posso creare un'Amazon Machine Image (AMI) da un'istanza supportata da EBS?
Tipi di istanze e tipi di istanze Amazon EC2
Preparazione e protezione dell'AMI per Marketplace AWS
Consigliamo le seguenti linee guida per creare AMI sicure:
-
Utilizza le linee guida per le AMI Linux condivise nella Guida per l'utente di Amazon EC2
-
Progetta il tuo AMI in modo da utilizzarlo come installazione minima per ridurre la superficie di attacco. Disattiva o rimuovi servizi e programmi non necessari.
-
Quando possibile, utilizza end-to-end la crittografia per il traffico di rete. Ad esempio, utilizza Secure Sockets Layer (SSL) per proteggere le sessioni HTTP tra te e i tuoi acquirenti. Assicurati che il tuo servizio utilizzi solo certificati e up-to-date validi.
-
Quando aggiungi una nuova versione al tuo prodotto AMI, configura i gruppi di sicurezza per controllare l'accesso al traffico in entrata alla tua istanza. Assicurati che i tuoi gruppi di sicurezza siano configurati in modo da consentire l'accesso solo al set minimo di porte richiesto per fornire le funzionalità necessarie per i tuoi servizi. Consenti l'accesso amministrativo solo al set minimo di porte e agli intervalli di indirizzi IP di origine necessari. Per ulteriori informazioni su come aggiungere una nuova versione al prodotto AMI, consultaAggiungi una nuova versione.
-
Valuta la possibilità di eseguire un test di penetrazione sull'ambiente AWS informatico a intervalli regolari oppure di affidare tali test a una terza parte per eseguire tali test per tuo conto. Per ulteriori informazioni, incluso un modulo di richiesta per i test di penetrazione, consulta Penetration Testing.AWS
-
Sii consapevole delle 10 principali vulnerabilità delle applicazioni web e crea le tue applicazioni di conseguenza. Per ulteriori informazioni, consulta Open Web Application Security Project (OWASP) - I 10 principali rischi per la sicurezza delle applicazioni Web
. Quando vengono scoperte nuove vulnerabilità di Internet, aggiorna immediatamente tutte le applicazioni Web incluse nella tua AMI. Esempi di risorse che includono queste informazioni sono il NIST National SecurityFocus Vulnerability Database.
Per ulteriori informazioni relative alla sicurezza, consulta le seguenti risorse:
Scansione dell'AMI per i requisiti di pubblicazione
Per verificare l'AMI prima di inviarla come nuovo prodotto o versione, puoi utilizzare la scansione self-service. Lo scanner self-service verificherà la presenza di vulnerabilità ed esposizioni comuni (CVE) prive di patch e verificherà che vengano seguite le migliori pratiche di sicurezza. Per ulteriori informazioni, consulta Preparazione e protezione dell'AMI per Marketplace AWS
Da Portale di gestione Marketplace AWS, scegli Amazon Machine Image dal menu Assets. Scegli Aggiungi AMI per avviare il processo di scansione. Puoi vedere lo stato di scansione delle AMI tornando a questa pagina.
Nota
Per maggiori informazioni su come concedere Marketplace AWS l'accesso alla tua AMI, consultaConsenti Marketplace AWS l'accesso al tuo AMI.
Verifica che il software sia in esecuzione sull'AMI Marketplace AWS
Potresti voler far verificare al tuo software in fase di esecuzione che sia in esecuzione su un'istanza Amazon EC2 creata dal tuo prodotto AMI.
Per verificare che l'istanza Amazon EC2 sia stata creata dal tuo prodotto AMI, utilizza il servizio di metadati dell'istanza integrato in Amazon EC2. I seguenti passaggi ti guidano attraverso questa convalida. Per ulteriori informazioni sull'utilizzo del servizio di metadati, consulta Metadati dell'istanza e dati utente nella Amazon Elastic Compute Cloud User Guide.
-
Ottieni il documento di identità dell'istanza
Ogni istanza in esecuzione dispone di un documento di identità accessibile dall'istanza che fornisce dati sull'istanza stessa. L'esempio seguente mostra l'utilizzo di curl dall'istanza per recuperare il documento di identità dell'istanza.
curl http://169.254.169.254/latest/dynamic/instance-identity/document { "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" } -
Verifica il documento di identità dell'istanza
È possibile verificare che l'identità dell'istanza sia corretta utilizzando la firma. Per dettagli su questo processo, consulta Documenti di identità dell'istanza nella guida per l'utente di Amazon Elastic Compute Cloud.
-
Verifica il codice del prodotto
Quando invii inizialmente il tuo prodotto AMI per la pubblicazione, al prodotto viene assegnato un codice prodotto da Marketplace AWS. Puoi verificare il codice del prodotto controllando il
marketplaceProductCodescampo nel documento di identità dell'istanza oppure puoi ottenerlo direttamente dal servizio di metadati:curl http://169.254.169.254/latest/meta-data/product-codes 0vg0000000000000000000000Se il codice prodotto corrisponde a quello del tuo prodotto AMI, l'istanza è stata creata dal tuo prodotto.
Potresti anche voler verificare altre informazioni contenute nel documento di identità dell'istanza, come l'istanza instanceId e l'istanzaprivateIp.
