Requisiti di prodotto basati su AMI - Marketplace AWS
Policy di sicurezzaPolicy di accessoPolitiche relative alle informazioni ai clientiPolitiche di utilizzo del prodottoPolitiche di architetturaIstruzioni per l'uso dei prodotti AMI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Requisiti di prodotto basati su AMI

Marketplace AWS mantiene le seguenti politiche per tutti i prodotti e le offerte Amazon Machine Image (AMI) in Marketplace AWS. Le politiche promuovono una piattaforma sicura e affidabile per i nostri clienti.

Tutti i prodotti e i relativi metadati vengono esaminati al momento dell'invio per garantire che soddisfino o superino le politiche attuali Marketplace AWS . Queste politiche vengono riviste e adattate per soddisfare le linee guida sulla sicurezza in evoluzione. Marketplace AWS analizza continuamente i prodotti per verificare che soddisfino le modifiche alle linee guida di sicurezza. Se i prodotti non sono conformi, ti Marketplace AWS contatteremo per aggiornare il tuo prodotto AMI in modo che soddisfi i nuovi standard. Allo stesso modo, se viene rilevata una vulnerabilità appena scoperta che interessa l'AMI, ti chiederemo di fornire un'AMI aggiornata con gli aggiornamenti pertinenti. È necessario utilizzare lo strumento di scansione AMI self-service prima di inviare l'AMI. Questo strumento aiuta a garantire che l'AMI soddisfi Marketplace AWS le politiche.

Policy di sicurezza

Tutte le AMI devono rispettare le seguenti politiche di sicurezza:

  • Le AMI non devono contenere vulnerabilità, malware o virus noti, rilevati dallo strumento AWS di scansione self-service delle AMI o da Security.

  • Le AMI devono utilizzare i sistemi operativi e altri pacchetti software attualmente supportati. Qualsiasi versione di un'AMI con un sistema operativo End-of-Life (EoL) o altri pacchetti software verrà rimossa da. Marketplace AWS Puoi creare una nuova AMI con pacchetti aggiornati e pubblicarla come nuova versione su Marketplace AWS.

  • L'autenticazione di tutte le istanze deve utilizzare l'accesso tramite key pair, non l'autenticazione basata su password, anche se la password viene generata, reimpostata o definita dall'utente all'avvio. Le AMI non devono contenere password, chiavi di autenticazione, coppie di chiavi, chiavi di sicurezza o altre credenziali per nessun motivo.

  • Le AMI non devono richiedere o utilizzare chiavi di accesso o segrete degli utenti per accedere alle risorse. AWS Se l'applicazione AMI richiede l'accesso all'utente, ciò deve essere ottenuto tramite un ruolo AWS Identity and Access Management (IAM) istanziato tramite AWS CloudFormation, che crea l'istanza e associa il ruolo appropriato. Quando il lancio di un'AMI singola è abilitato per prodotti con un metodo di AWS CloudFormation distribuzione, le istruzioni di utilizzo corrispondenti devono includere linee guida chiare per la creazione di ruoli IAM con privilegi minimi. Per ulteriori informazioni, consulta Distribuzione basata su AMI tramite AWS CloudFormation.

  • Le AMI basate su Linux non devono consentire l'autenticazione tramite password SSH. Disattiva l'autenticazione tramite password tramite il tuo sshd_config file impostando su. PasswordAuthentication NO

Policy di accesso

Esistono tre categorie di politiche di accesso: politiche generali, specifiche per Linux e politiche specifiche per Windows.

Politiche di accesso generali

Tutte le AMI devono rispettare le seguenti politiche di accesso generali:

  • Le AMI devono consentire funzionalità di amministrazione a livello di sistema operativo (OS) per consentire i requisiti di conformità, gli aggiornamenti delle vulnerabilità e l'accesso ai file di registro. Le AMI basate su Linux utilizzano SSH, mentre le AMI basate su Windows utilizzano RDP.

  • Le AMI non devono contenere password o chiavi autorizzate.

  • Le AMI non devono utilizzare password fisse per l'accesso amministrativo. Le AMI devono invece utilizzare una password casuale. Un'implementazione alternativa consiste nel recuperare i metadati dell'istanza e utilizzarli come password. instance_id È necessario che all'amministratore venga richiesta questa password casuale prima di poter impostare o modificare le proprie credenziali. Per informazioni sul recupero dei metadati dell'istanza, consulta Instance Metadata and User Data nella Amazon EC2 User Guide.

  • Non devi avere accesso alle istanze in esecuzione del cliente. Il cliente deve abilitare esplicitamente qualsiasi accesso esterno e qualsiasi accessibilità integrata nell'AMI deve essere disattivata per impostazione predefinita.

Politiche di accesso specifiche per Linux (o simili a Unix)

Le AMI basate su Linux o simili a UNIX devono rispettare le seguenti politiche di accesso, oltre alle politiche di accesso generali:

  • Le AMI devono disabilitare gli accessi remoti basati su password.

  • Le AMI devono disabilitare gli accessi remoti per root.

  • Le AMI devono consentire agli utenti di ottenere il controllo dell'amministratore per eseguire la funzione root. Ad esempio, consentire sudo l'accesso ai sistemi operativi basati su Linux. Per altri sistemi, consenti l'accesso completo a livello di privilegi.

  • Le AMI devono registrare l'attività principale per un audit trail.

  • Le AMI non devono contenere password autorizzate per gli utenti del sistema operativo.

  • Le AMI non devono contenere chiavi autorizzate.

  • Le AMI non devono avere password root vuote o nulle.

Politiche di accesso specifiche per Windows

Le AMI basate su Windows devono rispettare le seguenti politiche di accesso, nonché le politiche di accesso generali:

  • Per Windows Server 2016 e versioni successive, utilizzare. EC2Launch

  • Per Windows Server 2012 R2 e versioni precedenti, utilizza la versione più recente di Ec2ConfigService e abilita Ec2SetPasswordEc2WindowsActivate, eEc2HandleUserData.

  • Rimuovi gli account guest e gli utenti di desktop remoto, nessuno dei quali è consentito.

Politiche relative alle informazioni ai clienti

Tutte le AMI devono rispettare le seguenti politiche in materia di informazioni per i clienti:

  • Il software non deve raccogliere o esportare i dati dei clienti a insaputa del cliente e senza il suo consenso esplicito, ad eccezione di quanto richiesto da BYOL (Bring Your Own License). Le applicazioni che raccolgono o esportano i dati dei clienti devono seguire queste linee guida:

    • La raccolta dei dati dei clienti deve essere self-service, automatizzata e sicura. Gli acquirenti non devono attendere che i venditori approvino l'implementazione del software.

    • I requisiti relativi ai dati dei clienti devono essere chiaramente indicati nella descrizione o nelle istruzioni d'uso dell'inserzione. Ciò include ciò che viene raccolto, il luogo in cui verranno archiviati i dati del cliente e il modo in cui verranno utilizzati. Ad esempio, questo prodotto raccoglie il tuo nome e indirizzo email. <company name>Queste informazioni vengono inviate e archiviate da. Queste informazioni verranno utilizzate solo per contattare l'acquirente in merito a. <product name>

    • Le informazioni di pagamento non devono essere raccolte.

Politiche di utilizzo del prodotto

Tutte le AMI devono rispettare le seguenti politiche di utilizzo del prodotto:

  • I prodotti non devono limitare l'accesso al prodotto o alle funzionalità del prodotto in base al tempo, al numero di utenti o ad altre restrizioni. I prodotti beta e in versione non definitiva, o i prodotti il cui unico scopo è offrire funzionalità di prova o di valutazione, non sono supportati. Sono supportate le edizioni Developer, Community e BYOL del software commerciale, a condizione che sia disponibile anche una versione equivalente a pagamento in. Marketplace AWS

  • Tutte le AMI devono essere compatibili con l'esperienza Launch from Website o con la distribuzione basata su AMI. AWS CloudFormation Per Launch from Website, l'AMI non può richiedere che i dati del cliente o dell'utente al momento della creazione dell'istanza funzionino correttamente.

  • Le AMI e il relativo software devono essere implementabili in modalità self-service e non devono richiedere metodi o costi di pagamento aggiuntivi. Le applicazioni che richiedono dipendenze esterne per la distribuzione devono seguire queste linee guida:

    • Il requisito deve essere indicato nella descrizione o nelle istruzioni d'uso dell'elenco. Ad esempio, questo prodotto richiede una connessione Internet per essere distribuito correttamente. I seguenti pacchetti vengono scaricati durante la distribuzione:. <list of package>

    • I venditori sono responsabili dell'uso e della garanzia della disponibilità e della sicurezza di tutte le dipendenze esterne.

    • Se le dipendenze esterne non sono più disponibili, è necessario rimuovere anche il prodotto da Marketplace AWS .

    • Le dipendenze esterne non devono richiedere metodi o costi di pagamento aggiuntivi.

  • Le AMI che richiedono una connessione continua a risorse esterne non sotto il controllo diretto dell'acquirente, ad esempio API esterne o AWS servizi gestite dal venditore o da una terza parte, devono seguire queste linee guida:

    • Il requisito deve essere indicato nella descrizione o nelle istruzioni d'uso dell'inserzione. Ad esempio, questo prodotto richiede una connessione Internet continua. I seguenti servizi esterni continui sono necessari per funzionare correttamente:. <list of resources>

    • I venditori sono responsabili dell'uso e della garanzia della disponibilità e della sicurezza di tutte le risorse esterne.

    • Se le risorse esterne non sono più disponibili, è necessario rimuovere anche Marketplace AWS il prodotto.

    • Le risorse esterne non devono richiedere metodi o costi di pagamento aggiuntivi e la configurazione della connessione deve essere automatizzata.

  • Il software e i metadati del prodotto non devono contenere un linguaggio che reindirizza gli utenti ad altre piattaforme cloud, prodotti aggiuntivi o servizi di upselling non disponibili in. Marketplace AWS

  • Se il prodotto è un componente aggiuntivo di un altro prodotto o di un altro prodotto ISV, la descrizione del prodotto deve indicare che estende le funzionalità dell'altro prodotto e che senza di essa l'utilità del prodotto è molto limitata. Ad esempio, questo prodotto estende le funzionalità di e senza di esso, ha un'utilità molto limitata<product name>. Tieni presente che potrebbe essere necessaria una licenza propria per la piena funzionalità di questo elenco. <product name>

Politiche di architettura

Tutte le AMI devono rispettare le seguenti politiche di architettura:

  • Le AMI di origine Marketplace AWS devono essere fornite nella regione Stati Uniti orientali (Virginia settentrionale).

  • Le AMI devono utilizzare la virtualizzazione HVM.

  • Le AMI devono utilizzare un'architettura ARM a 64 o 64 bit.

  • Le AMI devono essere AMI supportate da Amazon Elastic Block Store (Amazon EBS). Non supportiamo AMI supportate da Amazon Simple Storage Service (Amazon S3).

  • Le AMI non devono utilizzare snapshot EBS crittografati.

  • Le AMI non devono utilizzare file system crittografati.

  • Le AMI devono essere create in modo da poter essere eseguite ovunque Regioni AWS e siano indipendenti dalla regione. Le AMI create in modo diverso per regioni diverse non sono consentite.

Istruzioni per l'uso dei prodotti AMI

Quando crei le istruzioni per l'uso del tuo prodotto AMI, segui i passaggi e le indicazioni che trovi inAMI e istruzioni per l'uso del prodotto in contenitore.