AMI セキュリティポリシー - AWS Marketplace

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMI セキュリティポリシー

AWS Marketplaceは、のすべてのAmazon Machine Image (AMI) 製品およびサービスについて以下のポリシーを維持しますAWS Marketplace。ポリシーは、お客様のために安全、セキュアな、そして信頼できるプラットフォームを促進します。

すべての製品とその関連メタデータは、送信時にレビューされて、現在の製品を満たしているか、上回っているかを確認しますAWS Marketplaceポリシー。これらのポリシーは、進化するセキュリティガイドラインに合わせて見直され調整されます。AWS Marketplace は継続的に製品をスキャンして、セキュリティガイドラインの変更に適合していることを確認します。製品が規格に準拠していない場合はAWS Marketplaceは、新しい規格を満たすように AMI 製品を更新するために、お客様に連絡します。同様に、新たに発見された脆弱性が AMI に影響を与えることが判明した場合は、適切な更新を加えた最新の AMI を提供するようにお客様に販売者へのアップデートを提供するようにお客様に求められます。AMI を送信する前に、セルフサービス AMI スキャンツールを使用する必要があります。このツールは、AMI を確実に満たすことができますAWS Marketplaceポリシー。

セキュリティポリシー

すべての AMI は、次のセキュリティポリシーに従う必要があります。

  • AMI には、セルフサービス AMI スキャンツールまたは AWS セキュリティによって検出された既知の脆弱性、マルウェア、またはウイルスが含まれていてはなりません。

  • AMI は、現在サポートされているオペレーティングシステムとその他のソフトウェアパッケージを使用する必要があります。サポート終了 (EoL) オペレーティングシステムまたはその他のソフトウェアパッケージを搭載した AMI のバージョンは、AWS Marketplace。更新されたパッケージで新しい AMI を構築し、新しいバージョンとしてAWS Marketplace。

  • すべてのインスタンス認証では、起動時にパスワードが生成、リセット、または定義されていても、パスワードベースの認証は使用せず、キーペアのアクセスを使用する必要があります。AMI には、どのような理由でも、パスワード、認証キー、キーペア、セキュリティキー、またはその他の認証情報が含まれていてはなりません。

  • AMI は、AWS リソースにアクセスするためにユーザーからのアクセス/シークレットキーを要求または使用してはなりません。AMI アプリケーションからお客様のアカウントへのアクセスが必要である場合は、AWS Identity and Access Management(IAM) ロールがインスタンス化されるAWS CloudFormationこれにより、インスタンスが作成され、適切なロールが関連付けられます。単一 AMI の起動がAWS CloudFormation配信方法、対応する使用方法の説明書には、最小限の特権を持つ IAM ロールを作成するための明確なガイダンスを含める必要があります。詳細については、「AWS CloudFormation を使用した AMI ベース配信」を参照してください。

  • Linux ベースの AMI は SSH パスワード認証を許可してはなりません。PasswordAuthenticationNO に設定して、sshd_config ファイルによるパスワード認証を無効にします。

アクセスポリシー

アクセスポリシーには、一般的なポリシー、Linux 固有ポリシー、および Windows 固有ポリシーの 3 つのカテゴリがあります。

一般的なアクセスポリシー

すべての AMI は、次の一般的なアクセスポリシーを順守する必要があります。

  • AMI は、コンプライアンス要件、脆弱性の更新、およびログファイルへのアクセスを可能にするために、オペレーティングシステム (OS) レベルの管理機能を許可する必要があります。Linux ベースの AMI は SSH を使用し、Windows ベースの AMI は RDP を使用します。

  • 承認されたパスワードまたは承認されたキーを AMI に含めることはできません。

  • AMI は管理アクセスに固定パスワードを使用できません。AMI は代わりにランダムなパスワードを使用する必要があります。代替の実装としてインスタンスメタデータを取得し、パスワードとして instance_id を使用します。管理者は、自身の資格情報を設定または変更することを許可される前に、このランダム化されたパスワードの入力を求められる必要があります。インスタンスのメタデータの取得については、「」を参照してください。インスタンスメタデータとユーザーデータLinux インスタンス用 Amazon EC2 ユーザーガイド

  • お客様の実行中のインスタンスにアクセスすることはできません。お客様は、外部アクセスを明示的に有効にする必要があり、AMI に組み込まれているアクセシビリティはデフォルトでは無効にする必要があります。

Linux 固有のアクセスポリシー

Linux ベースの AMI は、以下のアクセスポリシーと一般的なアクセスポリシーを順守する必要があります。

  • Linux ベースの AMI は次が必要ですパスワードベースのリモートログインを無効にするはrootアクセスで、sudo アクセスのみをユーザーアカウント (rootではなく) で許可します。ユーザーはユーザーアカウントで sudo アクセスを使用する必要があり、root アクセスは使用できません。Sudo アクセスにより、管理者はどのユーザーに root 機能の実行を許可するかを制御できます。監査証跡のアクティビティもログに記録されます。承認されたパスワードまたは承認されたキーを AMI に含めることはできません。

  • Linux ベースの AMI は、ルートパスワードが空白または null であってはいけません。

Windows 固有のアクセスポリシー

Windows ベースの AMI は、以下のアクセスポリシーと一般的なアクセスポリシーを順守する必要があります。

  • Windows Server 2016 以降をお使いの場合は、「EC2Launch」を参照してください。

  • Windows Server 2012 R2 以前では、最新バージョンの Ec2ConfigService を使用し、Ec2SetPasswordEc2WindowsActivate、および Ec2HandleUserData を有効にします。

  • ゲストアカウントとリモートデスクトップユーザーを削除 (許可されていない) します。

顧客情報ポリシー

すべての AMI は、次のお客様情報ポリシーを順守する必要があります。

  • ソフトウェアは、BYOL (自分のライセンスを使用する) で要求されている場合を除き、お客様の知識と明示的な同意なしにお客様のデータを収集したりしてはなりません。顧客データを収集またはエクスポートするアプリケーションは、次のガイドラインに従う必要があります。

    • 顧客データの収集は、セルフサービスで、自動化され、安全でなければなりません。買い手は、売り手がソフトウェアの展開を承認するのを待つ必要はありません。

    • 顧客データの要件は、リストの説明または使用説明書に明確に記載されている必要があります。これには、収集されるもの、顧客データが保存される場所、およびその使用方法が含まれます。例:この製品は、お客様の名前とメールアドレスを収集します。この情報は、に送信され、によって保存されます<company name>。この情報は、に関して購入者に連絡するためにのみ使用されます<product name>。

    • 支払い情報を収集してはなりません。

製品使用ポリシー

すべての AMI は、次の製品使用ポリシーを順守する必要があります。

  • 製品は、製品または製品機能へのアクセスを時間、ユーザーの数または他の制限事項によって制限してはなりません。ベータ版およびプレリリース版の製品、あるいはトライアルまたは評価機能を提供することのみを目的とした製品はサポートされていません。同等の有料バージョンもで入手可能である場合、開発者、コミュニティ、および BYOL エディションがサポートされていますAWS Marketplace。

  • すべての AMI は、ウェブサイトからの起動または AWS CloudFormation を介した AMI ベースの配信のいずれかと互換性がある必要があります。ウェブサイトから起動する場合、AMI はインスタンス作成時にお客様データまたはユーザーのデータを正しく機能させることを要求できません。

  • AMI とそのソフトウェアは、セルフサービス方式で展開可能でなければならず、追加の支払い方法や費用を必要としないものでなければなりません。展開時に外部依存関係を必要とするアプリケーションは、次のガイドラインに従う必要があります。

    • 要件は、リストの説明または使用説明書に開示する必要があります。例:この製品を正しく展開するには、インターネット接続が必要です。次のパッケージがデプロイ時にダウンロードされます:<list of package>。

    • 売り手は、すべての外部依存関係を使用し、可用性とセキュリティを確保する責任があります。

    • 外部依存関係が利用できなくなった場合は、製品をAWS Marketplace同じように。

    • 外部依存関係には、追加の支払い方法や費用が必要であってはなりません。

  • BYOL を除くすべての製品の場合、履行プロセスは AWS Marketplace からの退出を要求してはいけません。

  • 購入者の直接の管理下にない外部リソースへの継続的な接続を必要とする AMI (外部 API やAWS のサービス出品者または第三者が管理。次のガイドラインに従う必要があります。

    • 要件は、リストの説明または使用説明書に開示する必要があります。例:この製品には継続的なインターネット接続が必要です。適切に機能するには、次の継続的な外部サービスが必要です:<list of resources>.

    • 売り手は、すべての外部リソースの使用と可用性とセキュリティを確保する責任があります。

    • 外部リソースが使用できなくなった場合は、製品をAWS Marketplace同じように。

    • 外部リソースは追加の支払い方法や費用を必要とせず、接続の設定を自動化する必要があります。

  • 製品ソフトウェアとメタデータには、では利用できない他のクラウドプラットフォーム、追加の製品、またはアップセルサービスにユーザーをリダイレクトする言葉を含めてはいけませんAWS Marketplace。

  • 製品が別の製品または別のISV製品のアドオンである場合、製品の説明には、他の製品の機能を拡張するものであり、それがないと、製品の有用性が非常に限定的であることを示す必要があります。例:この製品は、<product name>この製品の機能を拡張します。この製品の有用性は非常に限られています。<product name>このリストのすべての機能を使用するには、独自のライセンスが必要になる場合があることに注意してください。

アーキテクチャポリシー

すべての AMI は、次のアーキテクチャーポリシーを順守する必要があります。

  • ソース AMIAWS Marketplaceは、米国東部 (バージニア北部) リージョンで提供する必要があります。

  • AMI は、HVM 仮想化を使用する必要があります。

  • AMI は、64 ビットアーキテクチャーまたは 64 ビット ARM アーキテクチャーを使用する必要があります。

  • AMI は、Amazon Elastic Block Store (Amazon EBS) によってバックアップされた AMI である必要があります。Amazon Simple Storage Service (Amazon S3) に裏打ちされた AMI はサポートしていません。

  • AMI は暗号化された EBS スナップショットを使用してはなりません。

  • AMI は暗号化されたファイルシステムを使用してはなりません。

  • AMI は、すべてで実行できるように構築する必要がありますAWSリージョンとは、リージョンに依存しません。リージョンごとに異なる構築をした AMI は許可されません。