Requisitos de produto baseado em AMI - AWS Marketplace
Políticas de segurançaPolíticas de acessoPolíticas de informações do clientePolíticas de uso do produtoPolíticas de arquiteturaInstruções de uso de produtos de AMI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Requisitos de produto baseado em AMI

AWS Marketplace mantém as seguintes políticas para todos os produtos e ofertas da Amazon Machine Image (AMI) em AWS Marketplace. As políticas promovem uma plataforma segura e confiável para nossos clientes.

Todos os produtos e seus metadados relacionados são revisados quando são enviados para garantir que atendam ou excedam AWS Marketplace as políticas atuais. Essas políticas são revisadas e ajustadas para atender às diretrizes de segurança em evolução. AWS Marketplace examina continuamente seus produtos para verificar se eles atendem às mudanças nas diretrizes de segurança. Se os produtos não estiverem em conformidade, AWS Marketplace entraremos em contato com você para atualizar seu produto AMI para atender aos novos padrões. Da mesma forma, se uma vulnerabilidade recém-descoberta afetar a AMI, você deverá fornecer uma AMI atualizada com as atualizações em vigor. Você deve usar a ferramenta de verificação da AMI de autoatendimento antes de enviar sua AMI. Essa ferramenta ajuda a garantir que a AMI atenda às políticas do AWS Marketplace .

Políticas de segurança

Todas as AMIs devem estar em conformidade com as seguintes políticas de segurança:

  • As AMIs não devem conter nenhuma vulnerabilidade, malware ou vírus conhecidos, conforme detectado pela ferramenta AWS de verificação de AMI de autoatendimento ou pela segurança.

  • As AMIs devem usar sistemas operacionais e outros pacotes de software compatíveis atualmente. Qualquer versão de uma AMI com um sistema operacional de fim de vida útil (EoL) ou outros pacotes de software será excluída do AWS Marketplace. Você pode criar uma nova AMI com pacotes atualizados e publicá-la como uma nova versão no AWS Marketplace.

  • Toda autenticação de instância deve usar o acesso com par de chaves em vez de autenticação baseada em senha, mesmo que a senha seja gerada, redefinida ou definida pelo usuário no momento da inicialização. As AMIs não devem conter senhas, chaves de autenticação, pares de chaves, chaves de segurança ou outras credenciais por nenhum motivo.

  • As AMIs não devem solicitar ou usar chaves de acesso/secretas de usuários para acessar os recursos da AWS . Se seu aplicativo de AMI exigir acesso ao usuário, ele deverá ser obtido por meio de uma função AWS Identity and Access Management (IAM) instanciada por meio de AWS CloudFormation, que cria a instância e associa a função apropriada. Quando o lançamento de uma única AMI é habilitado para produtos com um método de AWS CloudFormation entrega, as instruções de uso correspondentes devem incluir orientações claras para a criação de funções de IAM com privilégios mínimos. Para ter mais informações, consulte Entrega baseada em AMI usando AWS CloudFormation.

  • As AMIs baseadas em Linux não devem permitir a autenticação por senha SSH. Desative a autenticação por senha por meio do arquivo sshd_config definindo PasswordAuthentication como NO.

Políticas de acesso

Existem três categorias de políticas de acesso: políticas gerais e específicas de Linux e Windows.

Políticas gerais de acesso

Todas as AMIs devem estar em conformidade com as políticas gerais de acesso a seguir:

  • As AMIs devem habilitar recursos de administração no nível do sistema operacional (SO) para permitir o acesso aos requisitos de conformidade, atualizações de vulnerabilidade e arquivos de log. AMIs baseadas em Linux usam SSH; AMIs baseadas em Windows usam RDP.

  • As AMIs não devem conter senhas autorizadas ou chaves autorizadas.

  • As AMIs não devem usar as senhas fixas para acesso administrativo. As AMIs devem usar uma senha aleatória. Uma implementação alternativa é recuperar metadados da instância e usar o instance_id como a senha. O administrador deve fornecer essa senha aleatória antes de definir ou alterar suas próprias credenciais. Para obter informações sobre como recuperar metadados da instância, consulte Metadados da instância e dados do usuário no Guia do usuário do Amazon EC2.

  • Você não deve ter acesso a instâncias em execução do cliente. O cliente deve permitir explicitamente qualquer acesso externo e qualquer acessibilidade integrada na AMI deve estar desativada por padrão.

Políticas de acesso específicas para Linux (ou semelhantes a UNIX)

As AMIs baseadas em Linux ou semelhantes a UNIX devem aderir às seguintes políticas de acesso, bem como às políticas gerais de acesso:

  • As AMIs devem desativar logins remotos baseados em senha.

  • As AMIs devem desativar logins remotos para root.

  • As AMIs devem permitir que os usuários obtenham controle de administrador para realizar a função raiz. Por exemplo, permita o sudo acesso ao sistema operacional baseado em Linux. Para outros sistemas, permita acesso total em nível privilegiado.

  • As AMIs devem registrar a atividade raiz para uma trilha de auditoria.

  • As AMIs não devem conter senhas autorizadas para usuários do sistema operacional.

  • As AMIs não devem conter chaves autorizadas.

  • As AMIs não devem ter senhas raiz em branco ou nulas.

Políticas de acesso específicas do Windows

As AMIs baseadas em Windows devem seguir estas políticas de acesso, bem como as políticas gerais de acesso:

  • Para o Windows Server 2016 e posterior, consulte EC2Launch.

  • Para o Windows Server 2012 R2 e anterior, use a versão mais recente do Ec2ConfigService e ative Ec2SetPassword, Ec2WindowsActivate e Ec2HandleUserData.

  • Não é permitido remover contas de convidado e usuários de desktop.

Políticas de informações do cliente

Todas as AMIs devem seguir estas políticas de informações do cliente:

  • O software não deve coletar ou exportar dados do cliente sem o conhecimento e o consentimento explícito do cliente, exceto conforme exigido por BYOL (traga a sua própria licença). Os aplicativos que coletam ou exportam dados de clientes devem seguir estas diretrizes:

    • A coleta dos dados do cliente deve ser de autoatendimento, automatizada e segura. Os compradores não precisam esperar que os vendedores aprovem a implantação do software.

    • Os requisitos de dados do cliente devem ser claramente indicados na descrição ou nas instruções de uso da lista. Isso inclui o que é coletado, o local onde os dados do cliente serão armazenados e como serão usados. Por exemplo, Este produto coleta seu nome e endereço de e-mail. Essas informações são enviadas e armazenadas pela <nome da empresa>. Essas informações serão usadas apenas para entrar em contato com o comprador em relação ao <nome do produto>.

    • As informações de pagamento não devem ser coletadas.

Políticas de uso do produto

Todas as AMIs devem estar de acordo com as seguintes políticas de uso do produto:

  • Os produtos não devem restringir o acesso ao produto ou à funcionalidade do produto por tempo, número de usuários ou outras restrições. Os produtos beta e de pré-lançamento ou produtos cujo único propósito é oferecer funcionalidade de teste ou avaliação não são compatíveis. As edições Developer, Community e BYOL do software comercial são compatíveis, desde que uma versão equivalente paga também esteja disponível no AWS Marketplace.

  • Todas as AMIs devem ser compatíveis com a experiência de início no site ou entrega com base na AMI por meio do AWS CloudFormation. Para início no site, a AMI não pode exigir que os dados do cliente ou usuário na criação da instância funcionem corretamente.

  • As AMIs e o software devem ser implantados de forma autossuficiente e não devem exigir métodos ou custos adicionais de pagamento. Os aplicativos que exigem dependências externas na implantação devem seguir estas diretrizes:

    • O requisito deve ser divulgado na descrição ou nas instruções de uso da lista. Por exemplo, Este produto requer uma conexão com a Internet para ser implantado corretamente. Os pacotes a seguir são baixados na implantação: <lista de pacotes>.

    • Os vendedores são responsáveis pelo uso e pela garantia da disponibilidade e segurança de todas as dependências externas.

    • Se as dependências externas não estiverem mais disponíveis, o produto AWS Marketplace também deverá ser removido.

    • As dependências externas não devem exigir métodos ou custos adicionais de pagamento.

  • As AMIs que exigem uma conexão contínua com recursos externos que não estão sob o controle direto do comprador — por exemplo, APIs externas ou Serviços da AWS gerenciadas pelo vendedor ou por terceiros — devem seguir estas diretrizes:

    • O requisito deve ser divulgado na descrição ou nas instruções de uso da lista. Por exemplo, Este produto requer uma conexão contínua com a Internet. Os seguintes serviços externos contínuos são necessários para funcionar adequadamente: <lista de recursos>.

    • Os vendedores são responsáveis pelo uso e pela garantia da disponibilidade e segurança de todos os recursos externos.

    • Se os recursos externos não estiverem mais disponíveis, o produto AWS Marketplace também deverá ser removido.

    • Os recursos externos não devem exigir métodos de pagamento ou custos adicionais e a configuração da conexão deve ser automatizada.

  • Os metadados e software do produto não devem conter linguagem que redirecione os usuários para outras plataformas de nuvem, produtos adicionais ou serviços de vendas adicionais que não estão disponíveis no AWS Marketplace.

  • Se o produto for um complemento de outro produto ou produto de outro ISV, a descrição do produto deverá indicar que ele amplia a funcionalidade do outro produto e que, sem ele, seu produto tem utilidade muito limitada. Por exemplo, Este produto amplia a funcionalidade de <nome do produto> e sem ele, este produto tem uma utilidade muito limitada. Observe que <nome do produto> pode exigir uma licença própria para a funcionalidade completa desta lista.

Políticas de arquitetura

Todas as AMIs devem seguir estas políticas de arquitetura:

  • As AMIs de origem AWS Marketplace devem ser fornecidas na região Leste dos EUA (Norte da Virgínia).

  • As AMIs devem usar virtualização de HVM.

  • As AMIs devem usar arquitetura de 64 bits ou ARM de 64 bits.

  • As AMIs devem ter o suporte do Amazon Elastic Block Store (Amazon EBS). Não oferecemos suporte a AMIs com o Amazon Simple Storage Service (Amazon S3).

  • As AMIs não devem usar instantâneos criptografados do EBS.

  • As AMIs não devem usar sistemas de arquivos criptografados.

  • As AMIs devem ser criadas de forma que possam ser executadas em todas as regiões Regiões da AWS e sejam independentes de região. As AMIs criadas de forma diferente para regiões distintas não são permitidas.

Instruções de uso de produtos de AMI

Ao criar as instruções de uso do produto de AMI, siga as etapas e as orientações em Instruções de uso de produtos de AMI e contêiner.