基於 AMI 的產品要求 - AWS Marketplace

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基於 AMI 的產品要求

AWS Marketplace維護中所有亞馬遜機器映像 (AMI) 產品和產品的下列政策AWS Marketplace。這些政策為我們的客戶提供了一個安全,可靠和值得信賴的平台。

提交所有產品及其相關中繼資料時都會進行審核,以確保產品符合或超過目前的AWS Marketplace政策。這些政策經過審核和調整,以符合不斷發展的安全指引。 AWS Marketplace持續掃描您的產品,以確認產品是否符合安全性準則的變更。如果產品不合規,AWS Marketplace將與您聯繫以更新 AMI 產品以符合新標準。同樣,如果發現新發現的漏洞會影響 AMI,我們將要求您提供具有相關更新的更新的 AMI。在提交 AMI 之前,您必須使用自助 AMI 掃描工具。此工具有助於確保 AMI 符合AWS Marketplace政策。

安全政策

所有 AMI 都必須遵守以下安全策略:

  • AMI 不得包含任何由自助 AMI 掃描工具或AWS安全性偵測到的已知弱點、惡意軟體或病毒。

  • AMI 必須使用目前支援的作業系統和其他軟體套件。任何具有生命週期結束 (EOL) 作業系統或其他軟體套件的 AMI 版本將從AWS Marketplace. 您可以使用更新的套件建立新 AMI,並將其作為新版本發佈到AWS Marketplace.

  • 即使使用者在啟動時產生、重設或定義密碼,所有執行個體驗證都必須使用 key pair 存取權,而非以密碼為基礎的驗證。AMI 不得因任何原因包含密碼、驗證金鑰、金鑰配對、安全性金鑰或其他認證。

  • AMI 不得要求或使用使用者的存取或秘密金鑰來存取AWS資源。如果您的 AMI 應用程式需要存取使用者,則必須透過實例化的AWS Identity and Access Management (IAM) 角色來實現AWS CloudFormation,該角色會建立執行個體並關聯適當的角色。針對具有AWS CloudFormation交付方法的產品啟用單一 AMI 啟動時,對應的使用指示必須包含建立最低權限 IAM 角色的明確指引。如需詳細資訊,請參閱基於 AMI 的交付使用 AWS CloudFormation

  • 以 Linux 為基礎的 AMI 不得允許安全殼層密碼驗證。PasswordAuthentication將設定為,透過sshd_config檔案停用密碼驗證NO

存取政策

存取原則有三種類別:一般、特定於 Linux 和 Windows 特定的原則。

一般存取政策

所有 AMI 都必須遵守以下一般存取政策:

  • AMI 必須允許作業系統 (OS) 層級的管理功能,以允許符合性需求、弱點更新和記錄檔存取。以 Linux 為基礎的 AMI 使用安全殼層,而以視窗為基礎的 AMI 則使用 RDP。

  • AMI 不得包含授權密碼或授權金鑰。

  • AMI 不得使用固定密碼進行管理存取。AMI 必須改用隨機密碼。另一種實作是擷取執行個體中繼資料,並使用instance_id做為密碼。在允許設定或變更自己的認證之前,系統必須提示管理員輸入此隨機密碼。如需有關擷取執行個體中繼資料的資訊,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的執行個體中繼資料。

  • 您不能存取客戶執行中的執行個體。客戶必須明確啟用任何外部存取,並且 AMI 內建的任何協助工具預設都必須關閉。

Linux 特定磁碟區限制政策

Linux 型 AMI 必須遵守下列存取原則以及一般存取原則:

  • Linux 型 AMI 必須停用以密碼為基礎的遠端登入才能進行 root 存取,並且只允許 sudo 透過使用者存取。使用者無法使用根存取權。Sudo 存取權允許管理員控制允許哪些使用者執行根功能。它也會記錄稽核記錄的活動。AMI 不得包含授權密碼或授權金鑰。

  • 以 Linux 為基礎的 AMI 不得有空白或空白的根密碼。

Windows 特定存取政策

以 Windows 為基礎的 AMI 必須遵守下列存取原則以及一般存取原則:

  • 適用於 Windows Server 2016 及更新版本的版本,請使用EC2Launch

  • 對於 Windows 伺服器 2012 R2 及更早版本,請使用最新版本的Ec2ConfigService和啟用Ec2SetPasswordEc2WindowsActivate、和Ec2HandleUserData

  • 移除訪客帳戶和遠端桌面使用者,這些使用者都不允許。

客戶資料政策

所有 AMI 都必須遵守以下客戶資訊政策:

  • 除非 BYOL (自攜授權) 要求,否則「軟體」不得在未經客戶知情並明確同意的情況下收集或匯出客戶資料。收集或匯出客戶資料的應用程式必須遵循下列準則:

    • 客戶數據的收集必須是自助服務,自動化和安全的。買家不需要等待賣家批准部署軟件。

    • 客戶數據的要求必須在列表的描述或使用說明中清楚說明。這包括收集的內容,客戶數據的存儲位置以及將如何使用它們。例如,本產品會收集您的姓名和電子郵件地址。此資訊會傳送至並儲存<company name>。這些資料只會用來聯絡買家。 <product name>

    • 不得收集付款資訊。

產品使用政策

所有 AMI 都必須遵守以下產品使用政策:

  • 產品不得依時間、使用者人數或其他限制來限制對產品或產品功能的存取。不支援 Beta 版和售前發布產品,或其唯一目的是提供試用或評估功能的產品。支援商業軟體的開發人員、社群和 BYOL 版本,但前提是在中也提供同等的付費版本AWS Marketplace。

  • 所有 AMI 必須與「從網站啟動」體驗或透過以 AMI 為基礎的交付相容AWS CloudFormation。對於從網站啟動,AMI 無法要求在建立執行個體時的客戶或使用者資料正常運作。

  • AMI 及其軟體必須以自助服務的方式部署,且不需要額外的付款方式或費用。在部署上需要外部相依性的應用程式必須遵循下列準則:

    • 有關要求必須在列表的描述或使用說明中披露。例如,本產品需要網際網路連線才能正確部署。下列套件會在部署時下載:。 <list of package>

    • 賣方負責使用並確保所有外部依賴項的可用性和安全性。

    • 如果外部相依性不再可用,也必須將產品從中AWS Marketplace移除。

    • 外部依賴項不得需要額外的付款方式或費用。

  • 需要持續連線至不受買家直接控制的外部資源 (例如外部 API 或由賣方或第三方AWS 服務管理) 的 AMI 必須遵循下列準則:

    • 有關要求必須在列表的描述或使用說明中披露。例如,本產品需要持續的互聯網連接。需要以下持續的外部服務才能正常運作:。 <list of resources>

    • 賣方負責使用並確保所有外部資源的可用性和安全性。

    • 如果外部資源不再可用,則也必須將產品從中AWS Marketplace移除。

    • 外部資源不得需要額外的付款方式或費用,連接的設置必須自動化。

  • 產品軟體和中繼資料不得包含會將使用者重新導向至其他雲端平台、其他產品或追加銷售服務的語言,這些語言不得在中使用AWS Marketplace。

  • 如果您的產品是其他產品或其他 ISV 產品的附加元件,您的產品說明必須指出其他產品的功能已擴充,如果沒有產品,則您的產品的效用程式非常有限。例如, 該產品擴展的功能和沒有它, 該產品具有非常有限的效用. <product name> 請注意,此清單可能需要自己的授權才能使用完整功能。 <product name>

架構政策

所有 AMI 都必須遵守下列架構原則:

  • AWS Marketplace必須在美國東部 (維吉尼亞北部) 區域提供的來源 AMI。

  • AMI 必須使用 HVM 虛擬化。

  • AMI 必須使用 64 位元或 64 位元 ARM 架構。

  • AMI 必須由 Amazon EBS Elastic Block Store (Amazon EBS) 支援。我們不支援 Amazon SSimple Storage Service (Amazon S3) 支援的 AMI。

  • AMI 不得使用加密的 EBS 快照。

  • AMI 不得使用加密的檔案系統系統。

  • AMI 必須構建,以便它們可以在所有運行AWS 區域並且與區域無關。不允許針對不同區域建置不同的 AMI。

AMI 產品使用說明

為 AMI 產品創建使用說明時,請按照中的步驟和指南進行操作AMI 和容器產品使用說明