Melhores práticas para criar AMIs - AWS Marketplace
Proteção dos direitos de revendaCriação de uma AMIPreparando e protegendo sua AMI para AWS MarketplaceVerificação da AMI quanto aos requisitos de publicaçãoVerificar se o software está sendo executado na AMI do AWS Marketplace

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas para criar AMIs

Este tópico fornece algumas das melhores práticas e referências para ajudá-lo a criar Amazon Machine Images (AMIs) para uso com AWS Marketplace. As AMIs criadas e enviadas AWS Marketplace devem seguir todas as políticas AWS Marketplace do produto.

Proteção dos direitos de revenda

Você é responsável por garantir os direitos de revenda de distribuições Linux não gratuitas, com exceção das AMIs AWS Amazon Linux, RHEL, SUSE e Windows fornecidas.

Criação de uma AMI

Use as seguintes diretrizes para criar AMIs:

  • Certifique-se de que sua AMI atenda a todas AWS Marketplace as políticas, incluindo a desativação do login raiz.

  • Crie a AMI na região Leste dos EUA (Norte da Virgínia).

  • Crie produtos a partir de AMIs existentes e bem mantidas com suporte do Amazon Elastic Block Store (Amazon EBS) e com um ciclo de vida claramente definido e fornecido por fontes confiáveis e respeitáveis, como o AWS Marketplace.

  • Crie AMIs usando a maioria dos sistemas up-to-date operacionais, pacotes e software.

  • Garanta que todas as AMIs comecem com uma AMI pública que usa virtualização de máquina virtual de hardware (HVM) e arquitetura de 64 bits.

  • Desenvolva um processo repetível para criar, atualizar e republicar as AMIs.

  • Use um nome de usuário do sistema operacional (SO) consistente em todas as versões e produtos. Recomendamos ec2-user.

  • Configure uma instância em execução da AMI final para a experiência de usuário final desejada e teste todos os métodos de instalação, recursos e desempenho antes de enviá-la ao AWS Marketplace.

  • Verifique as configurações da porta da seguinte forma:

    • AMIs baseadas em Linux: verifique se uma porta SSH válida está aberta. A porta SSH padrão é 22.

    • AMIs baseadas em Windows: verifique se uma porta RDP está aberta. A porta RDP padrão é 3389. Além disso, a porta WinRM (5985 por padrão) deve estar aberta para 10.0.0.0/16 e 10.2.0.0/16.

Para obter mais informações sobre a criação de uma AMI, consulte os seguintes recursos:

Criando sua própria AMI no Guia do usuário do Amazon EC2

Criação de uma AMI personalizada do Windows no Guia do usuário do Amazon EC2

Como criar uma Imagem de máquina da Amazon (AMI) usando uma instância baseada em EBS?

Amazon Linux AMI

Tipos de instância do Amazon EC2 e Tipos de instância

Preparando e protegendo sua AMI para AWS Marketplace

Recomendamos as seguintes diretrizes para a criação de AMIs seguras:

  • Use as diretrizes para AMIs Linux compartilhadas no Guia do usuário do Amazon EC2

  • Projete sua AMI par implantação como instalação mínima para reduzir a superfície de ataque. Desative ou remova serviços e programas desnecessários.

  • Sempre que possível, use end-to-end criptografia para tráfego de rede. Por exemplo, use Secure Sockets Layer (SSL) para proteger sessões HTTP entre você e seus compradores. Certifique-se de que seu serviço use somente up-to-date certificados válidos.

  • Ao adicionar uma nova versão ao produto de AMI, configure grupos de segurança para controlar o acesso do tráfego de entrada à instância. Verifique se os grupos de segurança estão configurados para permitir acesso somente ao conjunto mínimo de portas necessárias para fornecer a funcionalidade necessária para os serviços. Conceda acesso administrativo somente ao conjunto mínimo de portas e intervalos de endereços IP de origem necessários. Para obter mais informações sobre como adicionar uma nova versão ao produto de AMI, consulte Adicionar uma nova versão.

  • Considere realizar um teste de penetração em seu ambiente de AWS computação em intervalos regulares ou considere contratar um terceiro para realizar esses testes em seu nome. Para obter mais informações, incluindo um formulário de solicitação de teste de penetração, consulte Testes de penetração da AWS.

  • Esteja ciente das dez principais vulnerabilidades para aplicativos web e crie seus aplicativos adequadamente. Para saber mais, consulte Open Web Application Security Project (OWASP) - Top 10 Web Application Security Risks. Quando novas vulnerabilidades da Internet são descobertas, atualize prontamente qualquer aplicativo web enviado na AMI. Exemplos de recursos que incluem essas informações são SecurityFocuse o Banco de Dados Nacional de Vulnerabilidades do NIST.

Para obter mais informações sobre segurança, consulte os seguintes recursos relacionados:

Verificação da AMI quanto aos requisitos de publicação

Para ajudar a verificar a AMI antes de enviá-la como um novo produto ou versão, você pode usar a verificação de autoatendimento. O scanner de autoatendimento verificará se há vulnerabilidades e exposições comuns (CVEs) não corrigidas e verificará se as práticas recomendadas de segurança estão sendo seguidas. Para mais informações, consulte Preparando e protegendo sua AMI para AWS Marketplace.

Portal de gerenciamento do AWS Marketplace Em, escolha Amazon Machine Image no menu Assets. Escolha Adicionar AMI para iniciar o processo de verificação. Você pode ver o status de verificação das AMIs retornando a esta página.

nota

Para saber mais sobre como dar AWS Marketplace acesso à sua AMI, consulteDê AWS Marketplace acesso ao seu AMI.

Verificar se o software está sendo executado na AMI do AWS Marketplace

Talvez você queira que seu software verifique em runtime se ele está sendo executado em uma instância do Amazon EC2 criada a partir do seu produto de AMI.

Para verificar se a instância do Amazon EC2 foi criada a partir do seu produto de AMI, use o serviço de metadados da instância incorporado ao Amazon EC2. As etapas a seguir conduzem você por essa validação. Para obter mais informações sobre como usar o serviço de metadados, consulte Metadados de instância e dados do usuário no Guia do usuário do Amazon Elastic Compute Cloud.

  1. Obter o documento de identidade da instância

    Cada instância em execução tem um documento de identidade acessível na instância que fornece dados sobre a própria instância. O exemplo a seguir mostra o uso do curl da instância para recuperar o documento de identidade da instância.

    curl http://169.254.169.254/latest/dynamic/instance-identity/document
{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. Verificar o documento de identidade da instância

    Você pode verificar se a identidade da instância está correta usando a assinatura. Para obter detalhes sobre esse processo, consulte Documentos de identidade da instância no Guia do usuário do Amazon Elastic Compute Cloud.

  3. Verificar o código do produto

    Quando você envia inicialmente seu produto de AMI para publicação, seu produto recebe um código de produto do AWS Marketplace. Você pode verificar o código do produto verificando o campo marketplaceProductCodes no documento de identidade da instância ou pode obtê-lo diretamente do serviço de metadados:

    curl http://169.254.169.254/latest/meta-data/product-codes
0vg0000000000000000000000

    Se o código do produto corresponder ao do produto de AMI, a instância foi criada a partir do seu produto.

Você também pode querer verificar outras informações do documento de identidade da instância, como o instanceId e o privateIp da instância.