基於 AMI 的產品要求 - AWS Marketplace
安全政策存取政策客戶資訊政策產品使用政策架構政策AMI 產品使用說明

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基於 AMI 的產品要求

AWS Marketplace 維護中所有 Amazon 機器映像 (AMI) 產品和產品的下列政策 AWS Marketplace。這些政策為我們的客戶提供了一個安全,可靠和值得信賴的平台。

提交所有產品及其相關中繼資料時都會進行審核,以確保產品符合或超過目前的 AWS Marketplace 政策。這些政策經過審核和調整,以符合不斷發展的安全指引。 AWS Marketplace 持續掃描您的產品,以確認產品是否符合安全性準則的變更。如果產品不合規, AWS Marketplace 將與您聯繫以更新 AMI 產品以符合新標準。同樣,如果發現新發現的漏洞會影響 AMI,我們將要求您提供具有相關更新的更新的 AMI。在提交 AMI 之前,您必須使用自助 AMI 掃描工具。此工具有助於確保 AMI 符合 AWS Marketplace 政策。

安全政策

所有 AMI 都必須遵守以下安全策略:

  • AMI 不得包含任何由自助 AMI 掃描工具或 AWS 安全性偵測到的已知弱點、惡意軟體或病毒。

  • AMI 必須使用目前支援的作業系統和其他軟體套件。任何具有生命週期結束 (EOL) 作業系統或其他軟體套件的 AMI 版本將從. AWS Marketplace您可以使用更新的套件建立新的 AMI,並將其作為新版本發佈到 AWS Marketplace.

  • 即使使用者在啟動時產生、重設或定義密碼,所有執行個體驗證都必須使用 key pair 存取權,而非以密碼為基礎的驗證。AMI 不得因任何原因包含密碼、驗證金鑰、金鑰配對、安全性金鑰或其他認證。

  • AMI 不得要求或使用使用者的存取或秘密金鑰來存取 AWS 資源。如果您的 AMI 應用程式需要存取使用者,則必須透過實例化的 AWS Identity and Access Management (IAM) 角色來實現 AWS CloudFormation,這會建立執行個體並關聯適當的角色。針對具有 AWS CloudFormation 交付方法的產品啟用單一 AMI 啟動時,對應的使用指示必須包含建立最低權限 IAM 角色的明確指引。如需詳細資訊,請參閱 基於 AMI 的交付使用 AWS CloudFormation

  • 以 Linux 為基礎的 AMI 不得允許安全殼層密碼驗證。PasswordAuthentication將設定為,透過sshd_config檔案停用密碼驗證NO

存取政策

存取原則有三種類別:一般、特定於 Linux 和 Windows 特定的原則。

一般存取政策

所有 AMI 都必須遵守以下一般存取政策:

  • AMI 必須允許作業系統 (OS) 層級的管理功能,以允許符合性需求、弱點更新和記錄檔存取。以 Linux 為基礎的 AMI 使用安全殼層,而以視窗為基礎的 AMI 則使用 RDP。

  • AMI 不得包含授權密碼或授權金鑰。

  • AMI 不得使用固定密碼進行管理存取。AMI 必須改為使用隨機密碼。另一種實作是擷取執行個體中繼資料,並使用instance_id做為密碼。在允許設定或變更自己的認證之前,系統必須提示管理員輸入此隨機密碼。有關擷取執行個體中繼資料的資訊,請參閱 Amazon EC2 使用者指南中的執行個體中繼資料和使用者

  • 您不能存取客戶執行中的執行個體。客戶必須明確啟用任何外部存取,並且 AMI 內建的任何協助工具預設都必須關閉。

Linux 特定 (或類 Unix) 存取原則

Linux 型或類似 UNIX 的 AMI 必須遵守下列存取原則以及一般存取原則:

  • AMI 必須停用以密碼為基礎的遠端登入。

  • AMI 必須停用根目錄的遠端登入。

  • AMI 必須允許使用者取得管理員控制權,才能執行 root 功能。例如,允許sudo存取以 Linux 為基礎的作業系統。對於其他系統,允許完整的權限級別訪問。

  • AMI 必須記錄稽核記錄的根活動。

  • AMI 不得包含作業系統使用者的授權密碼。

  • AMI 不得包含授權的金鑰。

  • AMI 不得有空白或空的根密碼。

特定於 Windows 的存取原則

以 Windows 為基礎的 AMI 必須遵守下列存取原則以及一般存取原則:

  • 對於視窗伺服器 2016 及更新版本,請使用EC2Launch.

  • 對於 Windows 伺服器 2012 R2 及更早版本,請使用最新版本的Ec2ConfigService和啟用Ec2SetPasswordEc2WindowsActivate、和Ec2HandleUserData

  • 移除訪客帳戶和遠端桌面使用者,這些使用者都不允許。

客戶資訊政策

所有 AMI 都必須遵守以下客戶資訊政策:

  • 除非 BYOL (自攜授權) 要求,否則軟體不得在未經客戶知情並明確同意的情況下收集或匯出客戶資料。收集或匯出客戶資料的應用程式必須遵循下列準則:

    • 客戶數據的收集必須是自助服務,自動化和安全的。買家不需要等待賣家批准部署軟件。

    • 客戶數據的要求必須在列表的描述或使用說明中清楚說明。這包括收集的內容,客戶數據的存儲位置以及將如何使用它們。例如,本產品會收集您的姓名和電子郵件地址。此資訊會傳送至並儲存<company name>。此資料只會用來聯絡買家。 <product name>

    • 不得收集付款資訊。

產品使用政策

所有 AMI 都必須遵守以下產品使用政策:

  • 產品不得依時間、使用者人數或其他限制來限制對產品或產品功能的存取。不支援 Beta 版和售前發布產品,或其唯一目的是提供試用或評估功能的產品。支援開發人員、社群和 BYOL 版本的商業軟體,前提是在中也提供同等的付費版本。 AWS Marketplace

  • 所有 AMI 必須與「從網站啟動」體驗或透過以 AMI 為基礎的交付相容。 AWS CloudFormation對於從網站啟動,AMI 無法要求在建立執行個體時的客戶或使用者資料正常運作。

  • AMI 及其軟體必須以自助服務的方式部署,且不需要額外的付款方式或費用。在部署上需要外部相依性的應用程式必須遵循下列準則:

    • 有關要求必須在列表的描述或使用說明中披露。例如,本產品需要網際網路連線才能正確部署。下列套件會在部署時下載:。 <list of package>

    • 賣方負責使用並確保所有外部依賴項的可用性和安全性。

    • 如果外部相依性不再可用,也必須將產品從中 AWS Marketplace 移除。

    • 外部依賴項不得需要額外的付款方式或費用。

  • 需要持續連線至不受買家直接控制的外部資源 (例如外部 API 或由賣方或第三方 AWS 服務 管理) 的 AMI 必須遵循下列準則:

    • 有關要求必須在列表的描述或使用說明中披露。例如,本產品需要持續的互聯網連接。需要以下持續的外部服務才能正常運作:。 <list of resources>

    • 賣方負責使用並確保所有外部資源的可用性和安全性。

    • 如果外部資源不再可用,則也必須將產品從中 AWS Marketplace 移除。

    • 外部資源不得需要額外的付款方式或費用,連接的設置必須自動化。

  • 產品軟體和中 AWS Marketplace繼資料不得包含將使用者重新導向至其他雲端平台、其他產品或未提供的追加銷售服務的語言。

  • 如果您的產品是其他產品或其他 ISV 產品的附加元件,您的產品說明必須指出其他產品的功能已擴充,如果沒有產品,則您的產品的效用程式非常有限。例如, 該產品擴展的功能和沒有它, 該產品具有非常有限的效用. <product name> 請注意,此清單可能需要自己的授權才能使用完整功能。 <product name>

架構政策

所有 AMI 都必須遵守下列架構原則:

  • AWS Marketplace 必須在美國東部 (維吉尼亞北部) 區域提供的來源 AMI。

  • AMI 必須使用 HVM 虛擬化。

  • AMI 必須使用 64 位元或 64 位元 ARM 架構。

  • AMI 必須由 Amazon Elastic Block Store (Amazon EBS) 支援的 AMI。我們不支援亞馬遜簡單儲存服務 (Amazon S3) 支援的 AMI。

  • AMI 不得使用加密的 EBS 快照。

  • AMI 不得使用加密的檔案系統。

  • AMI 必須構建,以便它們可以在所有運行 AWS 區域 並且與區域無關。不允許針對不同區域建置不同的 AMI。

AMI 產品使用說明

為 AMI 產品創建使用說明時,請按照中的步驟和指南進行操作AMI 和容器產品使用說明