Encontrar AMIs compartilhadas
É possível usar o console do Amazon EC2 ou a linha de comando para encontrar AMIs compartilhadas.
As AMIs são um recurso regional. Ao pesquisar uma AMI compartilhada (pública ou privada), é necessário procurá-la na mesma região de onde ela é compartilhada. Para disponibilizar uma AMI em uma região diferente, copie a AMI para a região e compartilhe-a. Para ter mais informações, consulte Copiar um AMI.
Tópicos
Encontrar uma AMI compartilhada (console)
Para encontrar uma AMI privada usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, selecione AMIs.
-
No primeiro filtro, escolha Imagens privadas. Estarão na lista todas as AMIs compartilhadas com você. Para refinar sua pesquisa, escolha a barra Search (Pesquisar) e use as opções de filtro fornecidas no menu.
Para encontrar uma AMI pública usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, selecione AMIs.
-
No primeiro filtro, escolha Imagens públicas. Para refinar sua pesquisa, escolha o campo Search (Pesquisar) e use as opções de filtro fornecidas no menu.
Para encontrar AMIs públicas compartilhadas usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, selecione AMIs.
-
No primeiro filtro, escolha Imagens públicas.
-
Selecione o campo Pesquisar e, nas opções de menu exibidas, escolha Owner alias (Alias do proprietário), = e depois amazon para exibir somente as imagens públicas da Amazon.
Para encontrar uma AMI pública de um provedor verificado usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, escolha AMI Catalog (Catálogo de AMIs).
-
Escolha Community AMIs (AMIs da comunidade).
-
O rótulo de Provedor verificado indica as AMIs que são da Amazon ou de um parceiro verificado.
Localizar uma AMI compartilhada (AWS CLI)
Use o comando describe-images (AWS CLI) para listar as AMIs. É possível direcionar o escopo da lista para os tipos de AMI que lhe interessam, conforme exibido nos exemplos a seguir.
Exemplo: Listar todas as AMIs públicas
O comando a seguir lista todas as AMIs públicas, inclusive todas as AMIs públicas de sua propriedade.
aws ec2 describe-images --executable-users all
Exemplo: Listar AMIs permissões de execução explícita
O comando a seguir lista as AMIs para as quais você tenha permissões de execução explícita. Essa lista não inclui nenhuma AMI de sua propriedade.
aws ec2 describe-images --executable-users self
Exemplo: Listar AMIs pertencentes a fornecedores verificados
O comando a seguir lista as AMIs de propriedade de provedores verificados. As AMIs públicas de propriedade de fornecedores verificados (da Amazon ou de parceiros verificados) têm um proprietário com alias, que é exibido como amazon
ou aws-marketplace
no campo da conta. Isso ajuda você a encontrar facilmente AMIs de fornecedores verificados. Outros usuários não podem dar um alias às AMIs deles.
aws ec2 describe-images \ --owners amazon aws-marketplace \ --query 'Images[*].[ImageId]' \ --output text
Exemplo: Listar AMIs de propriedade de uma conta
O comando a seguir lista as AMIs de propriedade da Conta da AWS especificada.
aws ec2 describe-images --owners
123456789012
Exemplo: Definir escopo das AMIs usando um filtro
Para reduzir o número de AMIs exibidas, use um filtro para listar somente os tipos de AMI que lhe interessam. Por exemplo, use o filtro a seguir para exibir somente AMIs com EBS.
--filters "Name=root-device-type,Values=ebs"
Usar AMIs compartilhadas
Para que você use uma AMI compartilhada, execute as etapas a seguir para confirmar se não há credenciais pré-instaladas que permitam acesso indesejado à sua instância por terceiros e nenhum registro remoto pré-configurado que poderia transmitir dados confidenciais a terceiros. Verifique documentação da distribuição Linux usada pelas informações da AMI para obter informações sobre melhora da segurança do sistema.
Para garantir que você não perca acidentalmente acesso à sua instância, recomendamos que inicie duas sessões de SSH e mantenha a segunda sessão aberta até remover as credenciais que não reconhece e ter confirmado que ainda pode fazer login em sua instância usando SSH.
-
Identifique e desabilite todas as chaves SSH públicas não autorizadas. A única chave no arquivo deve ser aquela usada para executar as AMIs. O seguinte comando localiza os arquivos
authorized_keys
:[ec2-user ~]$
sudo find / -name "authorized_keys" -print -exec cat {} \;
-
Desabilita a autenticação baseada em senha para o usuário raiz. Abra o arquivo
sshd_config
e edite a linhaPermitRootLogin
da seguinte forma:PermitRootLogin without-password
Como alternativa, é possível desativar a capacidade de fazer login na instância como usuário raiz:
PermitRootLogin No
Reinicie o serviço sshd.
-
Verifique se há outros usuários que possam fazer login na sua instância. Usuários com privilégios de superusuário são particularmente perigosos. Remova ou bloqueie senha de todas as contas desconhecidas.
-
Verifique se há portas abertas que você não está usando e escuta de serviços de rede em execução para as conexões de entrada.
-
Para evitar o registro em log remoto pré-configurado, exclua o arquivo de configuração existente e reinicie o serviço
rsyslog
. Por exemplo:[ec2-user ~]$
sudo rm /etc/rsyslog.conf
[ec2-user ~]$
sudo service rsyslog restart
-
Verifique se todos os trabalhos cron são legítimos.
Se você descobrir uma AMI pública que sente que apresenta um risco de segurança, entre em contato com a equipe de segurança da AWS. Para obter informações, consulte o Centro de segurança da AWS