AMI 기반 제품 요구 사항 - AWS Marketplace
보안 정책액세스 정책고객 정보 정책제품 사용 정책아키텍처 정책AMI 제품 사용 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMI 기반 제품 요구 사항

AWS Marketplace에서는 AWS Marketplace의 모든 Amazon Machine Image(AMI) 제품 및 제안에 대해 다음 정책을 유지합니다. 이러한 정책은 고객을 위해 플랫폼의 안전성, 보안 및 신뢰도를 향상합니다.

모든 제품과 메타데이터는 현재 적용되는 AWS Marketplace 정책에 부합하거나 그 이상의 수준을 유지할 수 있도록 제출 시 검토됩니다. 이러한 정책을 검토하고 변화하는 보안 지침을 충족하도록 조정합니다. AWS Marketplace는 제품을 지속적으로 검사하여 보안 지침의 변경 사항을 충족하는지 확인합니다. 제품이 규정을 준수하지 않는 경우 AWS Marketplace에서는 판매자에게 연락하여 새로운 표준을 충족하도록 AMI 제품을 업데이트할 것을 요청합니다. 마찬가지로 새롭게 발견된 취약성이 AMI에 영향을 미친다는 것이 확인되면 구매자는 관련 업데이트가 적용된 AMI를 제공해야 합니다. AMI를 제출하기 전에 셀프 서비스 AMI 스캐닝 도구를 사용해야 합니다. 이 도구는 AMI가 AWS Marketplace 정책을 충족하는 데 도움이 됩니다.

보안 정책

모든 AMI는 다음 보안 정책을 준수해야 합니다.

  • AMI에 셀프 서비스 AMI 스캐닝 도구 또는 AWS 보안을 통해 감지된 알려진 취약성, 맬웨어 또는 바이러스가 포함되어서는 안 됩니다.

  • AMI는 현재 지원되는 운영 체제 및 기타 소프트웨어 패키지를 사용해야 합니다. 수명 종료(EoL) 운영 체제 또는 기타 소프트웨어 패키지가 포함된 AMI 버전은 AWS Marketplace에서 삭제됩니다. 업데이트된 패키지로 새 AMI를 빌드하고 AWS Marketplace에 새 버전으로 게시할 수 있습니다.

  • 시작할 때 사용자가 암호를 생성하거나 재설정하거나 정의한 경우에도 모든 인스턴스 인증에 암호 기반 인증이 아닌 키 페어 액세스를 사용해야 합니다. 어떤 이유로든 AMI에 암호, 인증 키, 키 페어, 보안 키 또는 다른 자격 증명이 포함되어서는 안 됩니다.

  • AMI는 AWS 리소스에 액세스하기 위해 사용자로부터 액세스 또는 비밀 키를 요청하거나 사용해서는 안 됩니다. AMI 애플리케이션이 사용자 계정에 액세스해야 하는 경우 인스턴스를 생성하고 적절한 역할을 연결하는 AWS CloudFormation을 통해 인스턴스화된 AWS Identity and Access Management(IAM) 역할을 사용하여 액세스 권한을 얻어야 합니다. AWS CloudFormation 제공 방법을 통해 제품에 단일 AMI 시작이 활성화된 경우 해당 사용 지침에 최소 권한의 IAM 역할을 생성하는 방법에 대한 명확한 지침이 포함되어야 합니다. 자세한 내용은 AWS CloudFormation을 사용한 AMI 기반 제공 섹션을 참조하세요.

  • Linux 기반 AMI에서 SSH 암호 인증을 허용해서는 안 됩니다. PasswordAuthenticationNO로 설정하여 sshd_config 파일을 통해 암호 인증을 비활성화하십시오.

액세스 정책

일반, Linux 관련 및 Windows 관련 정책이라는 세 가지 범주의 접근성 정책이 있습니다.

일반 액세스 정책

모든 AMI는 다음과 같은 일반 액세스 정책을 준수해야 합니다.

  • AMI는 운영 체제(OS) 수준 관리 기능을 허용하여 규정 준수 요구 사항, 취약성 업데이트 및 로그 파일 액세스를 허용해야 합니다. Linux 기반 AMI는 SSH를 사용하고 Windows 기반 AMI는 RDP를 사용합니다.

  • AMI에 권한 있는 암호나 권한 있는 키가 있어서는 안 됩니다.

  • AMI는 관리 액세스를 위해 고정된 암호를 사용해서는 안 됩니다. AMI는 대신에 무작위 암호를 사용해야 합니다. 인스턴스 메타데이터를 검색하고 instance_id를 암호로 사용할 수도 있습니다. 관리자는 자격 증명 설정 또는 변경을 허용하려면 먼저 이 무작위 암호를 입력하라는 메시지를 표시해야 합니다. 인스턴스 메타데이터 검색에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서인스턴스 메타데이터 및 사용자 데이터를 참조하세요.

  • 고객의 실행 중인 인스턴스에 액세스해서는 안 됩니다. 고객은 모든 외부 액세스를 명시적으로 활성화해야 하며 AMI에 내장된 모든 액세스 가능성이 기본적으로 해제되어 있어야 합니다.

Linux 관련 액세스 정책

Linux 기반 AMI는 일반 액세스 정책뿐 아니라 다음과 같은 액세스 정책도 준수해야 합니다.

  • Linux 기반 AMI는 루트 액세스에 대한 암호 기반 원격 로그인을 비활성화해야 하며 사용자 계정을 통해서만 sudo 액세스를 허용해야 합니다. 사용자는 루트 액세스를 사용할 수 없습니다. 관리자는 sudo 액세스를 통해 루트 기능을 수행할 수 있는 사용자를 제어할 수 있습니다. 또한 감사 추적을 위해 활동을 기록합니다. AMI에 권한 있는 암호나 권한 있는 키가 있어서는 안 됩니다.

  • Linux 기반 AMI는 비어 있거나 null 루트 암호여서는 안 됩니다.

Windows 관련 액세스 정책

Windows 기반 AMI는 일반 액세스 정책뿐 아니라 다음과 같은 액세스 정책도 준수해야 합니다.

  • Windows Server 2016 이상인 경우에는 EC2Launch를 사용합니다.

  • Windows Server 2012 R2 이하의 경우, 최신 버전인 Ec2ConfigService를 사용하고 Ec2SetPassword, Ec2WindowsActivate, Ec2HandleUserData를 활성화합니다.

  • 게스트 계정 및 원격 데스크톱 사용자를 제거합니다(아무 것도 허용되지 않음).

고객 정보 정책

모든 AMI는 다음과 같은 고객 정보 정책을 준수해야 합니다.

  • 소프트웨어는 기존 보유 라이선스 사용(BYOL)에서 요구하는 경우를 제외하고 고객의 인지와 분명한 동의 없이 고객 데이터를 수집하거나 내보내면 안 됩니다. 고객 데이터를 수집하거나 내보내는 애플리케이션은 다음 지침을 준수해야 합니다.

    • 고객 데이터 수집은 셀프 서비스이고, 자동화되고, 안전해야 합니다. 구매자는 판매자가 소프트웨어 배포를 승인할 때까지 기다릴 필요가 없어야 합니다.

    • 고객 데이터에 대한 요구 사항은 목록의 설명 또는 사용 지침에 명확하게 명시되어야 합니다. 여기에는 수집되는 데이터, 고객 데이터가 저장되는 위치 및 사용 방법이 포함됩니다. 예: 이 제품은 사용자의 이름과 이메일 주소를 수집합니다. 이 정보는 <회사 이름>에서 전송하고 저장합니다. 이 정보는 <제품 이름> 제품과 관련하여 구매자에게 연락하는 용도로만 사용됩니다.

    • 결제 정보를 수집하면 안 됩니다.

제품 사용 정책

모든 AMI는 다음과 같은 제품 사용 정책을 준수해야 합니다.

  • 제품은 시간, 사용자 수 또는 그 밖의 제한 사항에 따라 제품이나 제품 기능에 대한 액세스를 제한해서는 안 됩니다. 베타 및 출시 전 제품이나, 시험판 또는 평가 기능을 제공하는 것이 유일한 목적인 제품은 지원되지 않습니다. AWS Marketplace에서 동일한 유료 버전을 사용할 수 있는 경우 상용 소프트웨어의 개발자, 커뮤니티 및 BYOL 에디션이 지원됩니다.

  • 모든 AMI는 웹 사이트에서 실행 환경 또는 AWS CloudFormation을 통한 AMI 기반 제공과 호환되어야 합니다. 웹 사이트에서 실행의 경우, AMI는 인스턴스를 생성할 때 올바르게 기능하기 위해 고객 또는 사용자 데이터를 요구할 수 없습니다.

  • AMI와 해당 소프트웨어는 셀프 서비스 방식으로 배포할 수 있어야 하며 추가 결제 방법이나 비용이 필요 없어야 합니다. 배포 시 외부 종속성이 필요한 애플리케이션은 다음 지침을 준수해야 합니다.

    • 요구 사항은 목록의 설명 또는 사용 지침에 명시되어야 합니다. 예: 이 제품을 올바르게 배포하려면 인터넷 연결이 필요합니다. 배포 시 <패키지 목록> 패키지가 다운로드됩니다.

    • 판매자는 모든 외부 종속성의 사용과 가용성 및 보안에 대한 책임이 있습니다.

    • 외부 종속성을 더 이상 사용할 수 없는 경우 해당 제품도 AWS Marketplace에서 제거해야 합니다.

    • 외부 종속성은 추가 결제 방법이나 비용이 필요 없어야 합니다.

  • 구매자가 직접 관리하지 않는 외부 리소스(예: 외부 API 또는 판매자나 타사가 관리하는 AWS 서비스)에 지속적으로 연결해야 하는 AMI는 다음 지침을 준수해야 합니다.

    • 요구 사항은 목록의 설명 또는 사용 지침에 명시되어야 합니다. 예: 이 제품은 지속적인 인터넷 연결이 필요합니다. 정상적으로 작동하려면 <리소스 목록>과 같은 지속적인 외부 서비스가 필요합니다.

    • 판매자는 모든 외부 리소스의 사용과 가용성 및 보안에 대한 책임이 있습니다.

    • 외부 리소스를 더 이상 사용할 수 없는 경우 해당 제품도 AWS Marketplace에서 제거해야 합니다.

    • 외부 리소스는 추가 결제 방법이나 비용이 필요 없어야 하며 연결 설정이 자동화되어야 합니다.

  • AWS Marketplace에서 사용할 수 없는 업셀 서비스, 추가 제품 또는 다른 클라우드 플랫폼으로 사용자를 유도하는 언어가 제품 소프트웨어 및 메타데이터에 포함되면 안 됩니다.

  • 제품이 다른 제품이나 다른 ISV 제품의 추가 기능인 경우 제품 설명에 해당 제품은 다른 제품의 기능을 확장한다는 내용과 다른 제품이 없으면 해당 제품의 유용성이 매우 제한된다는 내용을 명시해야 합니다. 예: 이 제품은 <제품 이름>의 기능을 확장하며, <제품 이름> 제품이 없으면 이 제품의 유용성이 매우 제한됩니다. 이 목록의 모든 기능을 사용하려면 <제품 이름>의 자체 라이선스가 필요할 수 있습니다.

아키텍처 정책

모든 AMI는 다음 아키텍처 정책을 준수해야 합니다.

  • AWS Marketplace의 소스 AMI는 미국 동부(버지니아 북부) 리전에 제공되어야 합니다.

  • AMI는 HVM 가상화를 사용해야 합니다.

  • AMI는 반드시 64비트 또는 64비트 ARM 아키텍처를 사용해야 합니다.

  • AMI는 Amazon Elastic Block Store(Amazon EBS)에서 지원하는 AMI여야 합니다. Amazon Simple Storage Service(S3)가 지원하는 AMI는 지원되지 않습니다.

  • AMI는 암호화된 EBS 스냅샷을 사용하면 안 됩니다.

  • AMI는 암호화된 파일 시스템을 사용하면 안 됩니다.

  • 모든 AWS 리전에서 실행할 수 있고 리전과 무관하도록 AMI를 빌드해야 합니다. 리전에 따라 다르게 빌드된 AMI는 허용되지 않습니다.

AMI 제품 사용 지침

AMI 제품에 대한 사용 지침을 생성할 때에는 AMI 및 컨테이너 제품 사용 지침의 단계와 지침을 따릅니다.