本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 AMI 型產品需求 AWS Marketplace
AWS Marketplace 會針對 中的所有 Amazon Machine Image (AMI) 產品和產品維護下列政策 AWS Marketplace。這些政策可為我們的客戶提升安全、可靠且可靠的平台。
所有產品及其相關中繼資料都會在提交時檢閱,以確保它們符合或超過目前的 AWS Marketplace 政策。這些政策會經過檢閱和調整,以符合不斷變化的安全準則。 AWS Marketplace 會持續掃描您的產品,以確認它們符合安全準則的變更。如果產品不符合規範, AWS Marketplace 將與您聯絡,以更新您的 AMI 產品以符合新標準。同樣地,如果發現新發現的漏洞會影響 AMI,我們會要求您提供更新的 AMI,並已備妥相關的更新。提交 AMI 之前,您必須使用自助式 AMI 掃描工具
AMI 產品賣方政策
所有 AMIs都必須遵守下列賣方政策:
-
依預設, AWS Marketplace 賣方上限為 75 個公有 AMI 產品清單。所有超過限制的賣方都必須接受定期績效審核,而且可能需要限制績效不佳的清單。 AWS Marketplace 可自行決定授予和撤銷提高此限制。
安全政策
所有 AMIs都必須遵守下列安全政策:
-
AMIs 不得包含自助式 AMI 掃描工具
或 AWS 安全性偵測到的任何已知漏洞、惡意軟體或病毒。 -
AMIs必須使用目前支援的作業系統和其他軟體套件。任何具有End-of-Life(EoL) 作業系統或其他軟體套件的 AMI 版本都會從 中移除 AWS Marketplace。您可以使用更新的套件建立新的 AMI,並將其發佈為新的版本 AWS Marketplace。
-
所有執行個體身分驗證都必須使用金鑰對存取,而非密碼型身分驗證,即使使用者在啟動時產生、重設或定義密碼。AMIs不得因任何原因包含密碼、身分驗證金鑰、金鑰對、安全金鑰或其他登入資料。
-
AMIs不得向使用者請求或使用存取或私密金鑰來存取 AWS 資源。如果您的 AMI 應用程式需要存取使用者,則必須透過透過 AWS Identity and Access Management (IAM) 角色執行個體化來達成 AWS CloudFormation,該角色會建立執行個體並關聯適當的角色。當使用 AWS CloudFormation 交付方法的產品啟用單一 AMI 啟動時,對應的使用說明必須包含建立最低權限 IAM 角色的明確指引。如需詳細資訊,請參閱使用 交付以 AMI 為基礎的產品 AWS CloudFormation。
-
Linux 型 AMIs 不得允許 SSH 密碼身分驗證。將
PasswordAuthentication
設定為 ,透過您的sshd_config
檔案停用密碼身分驗證NO
。
存取政策
存取政策有三種類別:一般、Linux 特定和 Windows 特定政策。
一般存取政策
所有 AMIs都必須遵守下列一般存取政策:
-
AMIs 必須允許作業系統 (OS) 層級的管理功能,才能允許合規要求、漏洞更新和日誌檔案存取。Linux 型 AMIs 使用 SSH,而 Windows 型 AMIs 使用 RDP。
-
AMIs不得包含授權的密碼或授權金鑰。
-
AMIs不得將固定密碼用於管理存取。AMIs改用隨機密碼。替代實作是擷取執行個體中繼資料,並使用
instance_id
做為密碼。管理員必須先收到此隨機密碼的提示,才能設定或變更自己的登入資料。如需有關擷取執行個體中繼資料的資訊,請參閱《Amazon EC2 使用者指南》中的執行個體中繼資料和使用者資料。 -
您不得存取客戶的執行中執行個體。客戶必須明確啟用任何外部存取,且 AMI 內建的任何存取功能預設必須關閉。
Linux 特定 (或類似的 Unix) 存取政策
Linux 型或類似 Unix AMIs 必須遵循下列存取政策,以及一般存取政策:
-
AMIs停用密碼型遠端登入。
-
AMIs停用根的遠端登入。
-
AMIs 必須允許使用者取得管理員控制,才能執行根函數。例如,允許
sudo
存取 Linux 作業系統。對於其他系統,允許完整權限層級的存取。 -
AMIs記錄稽核追蹤的根活動。
-
AMIs不得包含 OS 使用者的授權密碼。
-
AMIs不得包含授權金鑰。
-
AMIs不得有空白或 null 根密碼。
Windows 特定的存取政策
Windows 型 AMIs必須遵守下列存取政策,以及一般存取政策:
-
對於 Windows Server 2016 和更新版本,請使用
EC2Launch
。 -
對於 Windows Server 2012 R2 及更早版本,請使用最新版本的
Ec2ConfigService
並啟用Ec2SetPassword
、Ec2WindowsActivate
和Ec2HandleUserData
。 -
移除訪客帳戶和遠端桌面使用者,不允許這些使用者。
客戶資訊政策
所有 AMIs都必須遵守下列客戶資訊政策:
-
除非 BYOL (自帶授權) 要求,否則軟體不得在客戶不知情且明確同意的情況下收集或匯出客戶資料。收集或匯出客戶資料的應用程式必須遵循下列準則:
-
客戶資料的收集必須是自助式、自動化且安全的。買方不需要等待賣方核准部署軟體。
-
客戶資料的需求必須在清單的描述或使用說明中清楚說明。這包括收集的內容、客戶資料的存放位置,以及如何使用。例如,此產品會收集您的姓名和電子郵件地址。此資訊會傳送到 並由 <company name> 存放。此資訊僅用於聯絡有關 <product name> 的買方。
-
不得收集付款資訊。
-
產品使用政策
所有 AMIs都必須遵守下列產品使用政策:
-
產品不得依時間、使用者數量或其他限制來限制對產品或產品功能的存取。不支援 Beta 版和預先發行的產品,或唯一目的是提供試用或評估功能的產品。支援商業軟體的開發人員、社群和 BYOL 版本,前提是也提供同等的付費版本 AWS Marketplace。
-
所有 AMIs 都必須與從網站啟動體驗或 AMI 型交付相容 AWS CloudFormation。對於從網站啟動,AMI 無法要求執行個體建立時的客戶或使用者資料正常運作。
-
AMIs 及其軟體必須以自助方式部署,且不得需要額外的付款方式或成本。需要部署外部相依性的應用程式必須遵循下列準則:
-
要求必須在清單的描述或使用說明中公開。例如,此產品需要網際網路連線才能正確部署。下列套件會在部署時下載:<list of package>。
-
賣方負責使用並確保所有外部相依性的可用性和安全性。
-
如果外部相依性不再可用, AWS Marketplace 也必須從中移除產品。
-
外部相依性不得需要額外的付款方式或成本。
-
-
需要持續連線到外部資源的 AMIs,而非由買方直接控制,例如外部 APIs,或由賣方或第三方 AWS 服務 管理的 AMI,必須遵循下列準則:
-
要求必須在清單的描述或使用說明中公開。例如,此產品需要持續的網際網路連線。需要下列持續的外部服務才能正常運作:<list of resources>。
-
賣方負責使用並確保所有外部資源的可用性和安全性。
-
如果外部資源不再可用, AWS Marketplace 也必須從中移除產品。
-
外部資源不得需要額外的付款方式或成本,而且連線的設定必須自動化。
-
-
產品軟體和中繼資料不得包含將使用者重新導向至 中無法使用的其他雲端平台、其他產品或追加銷售服務的語言 AWS Marketplace。
-
如果您的產品是另一個產品或其他 ISV 產品的附加元件,您的產品描述必須指出它擴展了另一個產品的功能,如果沒有它,您的產品具有非常有限的公用程式。例如,此產品擴展了 <product name> 的功能,如果沒有它,此產品的公用程式非常有限。請注意,<product name> 可能需要自己的授權,才能使用此清單的完整功能。
架構政策
所有 AMIs都必須遵守下列架構政策:
-
的來源 AMIs AWS Marketplace 必須在美國東部 (維吉尼亞北部) 區域提供。
-
AMIs必須使用 HVM 虛擬化。
-
AMIs必須使用 64 位元或 64 位元 ARM 架構。
-
AMIs 必須是 Amazon Elastic Block Store (Amazon EBS) 支援的 AMIs。我們不支援 Amazon Simple Storage Service (Amazon S3) 支援的 AMIs。
-
AMIs不得使用加密的 EBS 快照。
-
AMIs不得使用加密的檔案系統。
-
必須建置 AMIs,才能在所有 中執行, AWS 區域 且與區域無關。不允許針對不同區域以不同方式建置的 AMIs。
AMI 產品使用說明
為您的 AMI 產品建立使用指示時,請遵循 中的步驟和指引建立 的 AMI 和容器產品使用說明 AWS Marketplace。
AMI 產品版本政策
AWS Marketplace 使用 S-AMI、AMI 搭配 CloudFormation 範本 AWS 和容器產品,為客戶和賣方自動化版本管理體驗。使用自動版本封存時,任何受到賣方限制超過兩年的產品版本都會自動封存。封存版本不再可供 AWS Marketplace 新客戶從 啟動,但現有使用者可以透過啟動範本和 Amazon EC2 Auto Scaling 群組指定 AMI ID,繼續使用封存版本。任何過去 13 個月內尚未用於啟動新執行個體的封存版本都會遭到刪除。刪除封存版本後,就無法再為新的或現有的使用者啟動。