共有 Windows AMI のベストプラクティス
攻撃対象領域を縮小し、作成する AMI の信頼性を向上させるためには、次のガイドラインを使用します。
-
セキュリティのガイドラインのリストは、いずれも完全ではありません。共有 AMI を注意深く作成し、機密データが漏洩される可能性について十分考慮してください。
-
AMI の構築、更新、再公開のための繰り返し可能なプロセスを開発します。
-
最新のオペレーティングシステム、パッケージ、およびソフトウェアを使用して AMI を構築します。
-
現在の世代の AMI から起動されるインスタンスについては、最新の起動エージェントがインストールされていることを確認してください。詳細については、「Amazon EC2 インスタンスの起動設定を構成する」を参照してください。
Windows 2016 より前の Windows オペレーティングシステムを実行しているレガシーインスタンスについては、「EC2Config の最新バージョンのインストール」を参照してください。ただし、最新の起動エージェント (Windows Server 2016 以降) をサポートするオペレーティングシステムバージョンの AMI に移行することをお勧めします。
-
起動エージェントの設定を確認して、管理者アカウントのパスワードが設定されていること、Windows がアクティブ化されていること、ユーザーデータが処理されていることを確認してください。エージェントにより、設定は次のように異なります。
-
EC2Launch v2 —
setAdminAccount
およびactivateWindows
のタスクを設定します。ユーザーデータはデフォルトで処理されます。 -
EC2Launch v1 —
adminPasswordType
およびhandleUserData
を設定します。アクティベーションはデフォルトで実行されます。 -
EC2Config —
Ec2SetPassword
、Ec2WindowsActivate
、およびEc2HandleUserData
の設定を有効にします。
-
-
ゲストアカウントまたはリモートデスクトップのユーザーアカウントが存在しないことを確認します。
-
AMI の攻撃対象領域を縮小するために、不要なサービスとプログラムを無効にするか削除します。
-
(AMI にキーペアを格納した場合) キーペアなどのインスタンスの認証情報を AMI から削除します。認証情報を安全な場所に保存します。
-
管理者パスワードとその他のアカウントのパスワードが共有に適した値に設定されていることを確認してください。これらのパスワードは、共有 AMI を起動するユーザーはだれでも使用することができます。
-
AMI を共有する前にテストします。