Garantizar los derechos de reventa Creación de una AMI Preparación y protección de su AMI para AWS Marketplace Escaneo de la AMI para comprobar los requisitos de publicación Verificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Prácticas recomendadas para crear AMI para usarlas con AWS Marketplace

En este tema se ofrecen algunas prácticas recomendadas y referencias que lo ayudan a crear imágenes de máquina de Amazon (AMI) para usarlas con AWS Marketplace. Todas las AMI creadas y enviadas a AWS Marketplace deben cumplir todas las políticas de producto de AWS Marketplace. Para obtener más información, consulte las siguientes secciones.

Temas

Garantizar los derechos de reventa
Creación de una AMI
Preparación y protección de su AMI para AWS Marketplace
Escaneo de la AMI para comprobar los requisitos de publicación
Verificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Garantizar los derechos de reventa

Usted es responsable de proteger los derechos de reventa de las distribuciones de Linux no gratuitas, salvo en el caso de las Amazon Linux, RHEL y SUSE proporcionadas por AWS. No es necesario garantizar los derechos de reventa de las AMI de Windows.

Creación de una AMI

Utilice las siguientes directrices para crear las AMI:

Asegúrese de que su AMI cumpla con todas las políticas de AWS Marketplace.
Cree su AMI en la región Este de EE. UU. (Norte de Virginia).
Cree productos a partir de AMI con respaldo de Amazon Elastic Block Store (Amazon EBS) existentes y bien mantenidas, con un ciclo de vida claramente definido proporcionado por fuentes de buen reputación y confianza como AWS Marketplace.
Cree las AMI utilizando los sistemas operativos, paquetes y software más actuales.
Asegúrese de que todas las AMI se basen en un AMI pública de Amazon EC2 que utilice una virtualización de máquina virtual de hardware (HVM) y una arquitectura de 64 bits.
Desarrolle un proceso repetible para crear, actualizar y volver a publicar las AMI.
Utilice un nombre de usuario del sistema operativo (SO) coherente en todas las versiones y los productos. Los nombres de usuario predeterminados recomendados son ec2-user para Linux y otros sistemas similares a Unix, y Administrator para Windows.
Antes de enviar una AMI final a la publicación de AWS Marketplace, lance y pruebe una instancia de su AMI para comprobar la experiencia prevista para el usuario final. Pruebe todos los métodos de instalación, las características y el rendimiento en esta instancia.
Compruebe la configuración del puerto de la siguiente manera:
- Como práctica recomendada de configuración de seguridad contra firewalls abiertos, proxies inversos y vulnerabilidades de SSRF, la opción de compatibilidad con IMDS debe configurarse únicamente en IMDSv2. Se puede usar la siguiente CLI al registrar una nueva AMI en la fase de compilación final:
  - aws ec2 register-image --name my-image --root-device-name /dev/xvda --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} --architecture x86_64 --imds-support v2.0

Para obtener más información acerca de la creación de una AMI, consulte los siguientes recursos:

Creación de una AMI basada en Amazon EBS en la Guía del usuario de Amazon EC2
Creación de una AMI de Amazon EC2 con Windows Sysprep en la Guía del usuario de Amazon EC2
Cómo puedo crear una imagen de máquina de Amazon (AMI) a partir de una instancia con respaldo de EBS?
Amazon Linux AMI
Tipos de instancias Amazon EC2 y tipos de instancias
Configuración de una AMI para el uso de IMDS V2 de forma predeterminada

Preparación y protección de su AMI para AWS Marketplace

Recomendamos las siguientes directrices para crear AMI seguras:

Utilice las Directrices para las AMI de Linux compartidas en la Guía del usuario de Amazon EC2
Construya la AMI para que se implemente como una instalación mínima para reducir la superficie expuesta a ataques. Deshabilite o elimine los servicios y programas innecesarios.
Siempre que sea posible, utilice cifrado integral para el tráfico de red. Por ejemplo, utilice la capa de conexión segura (SSL) para proteger las sesiones HTTP entre usted y sus compradores. Asegúrese de que su servicio utiliza solo certificados válidos y actualizados.
Cuando documente su producto de AMI, proporcione recomendaciones de grupos de seguridad para que los compradores controlen el acceso del tráfico entrante a las instancias. Sus recomendaciones deben especificar lo siguiente:
- El conjunto mínimo de puertos necesario para que sus servicios funcionen.
- Los puertos y los intervalos de direcciones IP de origen recomendados para el acceso administrativo.
Estas recomendaciones de grupos de seguridad ayudan a los compradores a implementar los controles de acceso adecuados. Para obtener más información acerca de cómo agregar una versión nueva a su producto de AMI, consulte Agregar una nueva versión.
Considere la posibilidad de realizar una prueba de intrusión en su entorno informático de AWS a intervalos regulares, o bien, considere la posibilidad de emplear a un tercero para llevar a cabo dichas pruebas en su nombre. Para obtener más información, incluido el formulario de solicitud de pruebas de penetración, consulte Pruebas de penetración de AWS.
Tenga en cuenta las 10 principales vulnerabilidades de las aplicaciones web y cree sus aplicaciones en consecuencia. Para obtener más información, consulte el sitio sobre el Proyecto de seguridad de aplicaciones web abiertas (OWASP) - Los 10 principales riesgos para las aplicaciones web. Cuando se detecten nuevas vulnerabilidades de Internet, actualice sin dilación todas las aplicaciones web que se suministran con su AMI. Entre los ejemplos de recursos que contienen esta información figuran SecurityFocus y la base de datos nacional de vulnerabilidades de NIST.

Para obtener más información relacionada con la seguridad, consulte los siguientes recursos:

Escaneo de la AMI para comprobar los requisitos de publicación

Para publicar su AMI en el catálogo de AWS Marketplace, debe completar el escaneo de la AMI. El escaneo de AMI comprueba si hay vulnerabilidades y exposiciones (CVE) comunes sin parche y verificará que la AMI siga las prácticas recomendadas de seguridad. Para obtener más información, consulte Preparación y protección de su AMI para AWS Marketplace

Para realizar el escaneo de AMI, elija una de las siguientes opciones:

Opción 1: menú Activos

Este método permite escanear las AMI fuera del flujo de creación del producto. También es útil para los vendedores de SaaS que utilizan Lanzamiento rápido de SaaS y necesitan escanear activos sin crear un producto AMI.

Desde el AWS Marketplace Management Portal, seleccione Imagen de máquina de Amazon en el menú Activos.
Seleccione Agregar AMI para iniciar el proceso de escaneado.
Para ver el estado del escaneo de las AMI, vuelva a esta página.

Opción 2: menú de solicitud de cambios

Esta opción está disponible para los vendedores que ya hayan creado un producto AMI. Encontrará más información en Creación de productos basados en AMI

Desde el AWS Marketplace Management Portal, navegue hasta el menú Productos y seleccione Servidor.
Seleccione su producto de entre los Productos de servidor. Debe ser un producto basado en AMI. El producto puede estar en cualquier estado y no es necesario que esté en estado de publicación pública para los siguientes pasos.
Vaya al menú Solicitar cambios y seleccione Actualizar versiones.
Seleccione Probar “Agregar versión”. Siga las instrucciones para enviar una solicitud con los detalles de su AMI. Si la solicitud se realiza correctamente, esto indica que la AMI ha superado el análisis correctamente. A diferencia de la opción Agregar nueva versión, Probar “agregar versión” no añade una nueva versión al producto basado en AMI si el escaneo se realiza correctamente.

nota

Para obtener información sobre cómo dar a AWS Marketplace acceso a su AMI, consulte Concesión de acceso de AWS Marketplace a su AMI.

Verificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Recomendamos encarecidamente que su software compruebe en tiempo de ejecución que se está ejecutando en una instancia de Amazon EC2 creada a partir de su producto de AMI.

Para comprobar que la instancia de Amazon EC2 se haya creado a partir de su producto de AMI, utilice el servicio de metadatos de instancias integrado en Amazon EC2. Los siguientes pasos le guiarán a través de esta validación. Para obtener información sobre el uso del servicio de metadatos, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon Elastic Compute Cloud.

Obtenga el documento de identidad de la instancia

Cada instancia en ejecución tiene un documento de identidad al que se puede acceder desde la instancia y que proporciona datos sobre la propia instancia. En el siguiente ejemplo, se muestra el uso de curl de la instancia para recuperar el documento de identidad de la instancia.

IMDSv2: (recomendado)


TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document
 {
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

IMDSv1:


curl http://169.254.169.254/latest/dynamic/instance-identity/document{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

Verifique el documento de identidad de la instancia

Puede comprobar que la identidad de la instancia es correcta mediante la firma. Para obtener más información sobre este proceso, consulte Documentos de identidad de las instancias en la Guía del usuario de Amazon Elastic Compute Cloud.
Verifique el código del producto

Cuando envía por primera vez su producto de AMI para su publicación, se le asigna un código de producto por parte de AWS Marketplace. Puede verificar el código de producto consultando el campo marketplaceProductCodes del documento de identidad de la instancia o puede obtenerlo directamente del servicio de metadatos:

IMDSv2:
```
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
 && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes
```
Si el código de producto coincide con el de su producto de AMI, significa que la instancia se creó a partir de su producto.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas

Precios del producto de AMI