Bonnes pratiques de construction AMIs destinées à être utilisées avec AWS Marketplace - AWS Marketplace
Sécurisation des droits de reventeCréation d'une AMIPréparation et sécurisation de votre AMI pour AWS MarketplaceAnalyse de votre AMI pour les besoins de publicationVérification de l'exécution du logiciel sur votre AWS Marketplace AMI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de construction AMIs destinées à être utilisées avec AWS Marketplace

Cette rubrique fournit les meilleures pratiques et des références pour vous aider à créer Amazon Machine Images (AMIs) à utiliser avec AWS Marketplace. AMIs construits et soumis à AWS Marketplace doivent respecter toutes les politiques relatives aux AWS Marketplace produits. Pour plus d’informations, consultez les sections suivantes.

Sécurisation des droits de revente

Pour les distributions Linux non libres, vous êtes responsable de l'obtention des droits de revente, à l'exception des distributions Amazon Linux, RHEL et SUSE AWS fournies. Vous n'avez pas besoin de sécuriser les droits de revente pour Windows AMIs.

Création d'une AMI

Suivez les directives suivantes pour la construction AMIs :

  • Assurez-vous que votre AMI respecte toutes les AWS Marketplace politiques.

  • Créez votre AMI dans la région USA Est (Virginie du Nord).

  • Créez des produits à partir de produits existants et bien entretenus, AMIs soutenus par Amazon Elastic Block Store (Amazon EBS) avec un cycle de vie clairement défini fourni par des sources fiables et réputées telles que. AWS Marketplace

  • Créez AMIs en utilisant le plus grand up-to-date nombre de systèmes d'exploitation, de packages et de logiciels.

  • Assurez-vous que votre AMI est basée sur une EC2 AMI Amazon publique, qui utilise la virtualisation matérielle des machines virtuelles (HVM) et une architecture 64 bits.

  • Développez un processus reproductible pour créer, mettre à jour et AMIs republier.

  • Utilisez un nom d'utilisateur du système d'exploitation (SE) cohérent dans toutes les versions et tous les produits. Les noms d'utilisateur par défaut recommandés sont ec2-user pour Linux et les autres systèmes de type Unix, ainsi que Administrator pour Windows.

  • Avant de soumettre une AMI finale à la AWS Marketplace publication, lancez et testez une instance à partir de votre AMI afin de vérifier l'expérience utilisateur final prévue. Testez toutes les méthodes d'installation, les fonctionnalités et les performances sur cette instance.

  • Vérifiez les paramètres du port comme suit :

    • En tant que configuration de sécurité recommandée contre les pare-feux ouverts, les proxys inversés et les vulnérabilités SSRF, l'option de support IMDS doit être définie sur uniquement. IMDSv2 La CLI suivante peut être utilisée lors de l'enregistrement d'une nouvelle AMI lors de la phase de construction finale :

      • aws ec2 register-image --name my-image --root-device-name /dev/xvda --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} --architecture x86_64 --imds-support v2.0

Pour plus d'informations sur la création d'une AMI, consultez les ressources suivantes :

Préparation et sécurisation de votre AMI pour AWS Marketplace

Nous vous recommandons de suivre les directives suivantes pour créer une solution sécurisée AMIs :

  • Utilisez les directives relatives au Linux partagé AMIs dans le guide de EC2 l'utilisateur Amazon

  • Concevez l'architecture de votre AMI de façon à ce qu'elle se déploie comme une installation minimale afin de réduire la surface d'attaque. Désactivez ou supprimez les services et programmes inutiles.

  • Dans la mesure du possible, utilisez end-to-end le chiffrement pour le trafic réseau. Par exemple, utilisez SSL (Secure Socket Layer) pour sécuriser les sessions HTTP entre vous et vos acheteurs. Assurez-vous que votre service utilise uniquement des up-to-date certificats et certificats valides.

  • Lorsque vous documentez votre produit AMI, recommandez des groupes de sécurité aux acheteurs afin de contrôler l'accès du trafic entrant à leurs instances. Vos recommandations doivent préciser les points suivants :

    • Ensemble minimal de ports requis pour le fonctionnement de vos services.

    • Ports et plages d'adresses IP sources recommandés pour l'accès administratif.

    Ces recommandations relatives aux groupes de sécurité aident les acheteurs à mettre en œuvre des contrôles d'accès appropriés. Pour plus d'informations sur la façon d'ajouter une nouvelle version à votre produit AMI, consultezAjouter une nouvelle version.

  • Envisagez d'effectuer un test d'intrusion dans votre environnement AWS informatique à intervalles réguliers, ou envisagez de faire appel à un tiers pour effectuer de tels tests en votre nom. Pour plus d'informations, y compris un formulaire de demande de test d'intrusion, voir Tests d'AWS intrusion.

  • Soyez conscient des 10 principales vulnérabilités des applications web et développez vos applications en conséquence. Pour en savoir plus, voir Open Web Application Security Project (OWASP) - Les 10 principaux risques liés à la sécurité des applications Web. Lorsque de nouvelles vulnérabilités Internet sont détectées, mettez rapidement à jour toutes les applications web fournies dans votre AMI. La base de données nationale sur les vulnérabilités du NIST est un exemple de ressources contenant ces informations. SecurityFocus

Pour plus d'informations sur la sécurité, consultez les ressources suivantes :

Analyse de votre AMI pour les besoins de publication

Pour publier votre AMI dans le AWS Marketplace catalogue, vous devez effectuer le scan de l'AMI. L'analyse des AMI vérifie l'absence de vulnérabilités et d'expositions courantes non corrigées (CVEs) et vérifie que votre AMI respecte les meilleures pratiques en matière de sécurité. Pour plus d'informations, reportez-vous à la section Préparation et sécurisation de votre AMI pour AWS Marketplace

Pour effectuer une analyse des AMI, choisissez l'une des options suivantes :

Option 1 : menu Ressources

Cette méthode permet de numériser AMIs en dehors du flux de création du produit. Il est également utile pour les vendeurs de solutions SaaS qui utilisent SAAS Quick Launch et qui ont besoin de scanner des actifs sans créer de produit AMI.

  1. Dans Portail de gestion AWS Marketplacele menu Assets, sélectionnez Amazon Machine Image.

  2. Pour démarrer le processus de numérisation, choisissez Ajouter une AMI.

  3. Vous pouvez consulter l'état du AMIs scan en revenant sur cette page.

Option 2 : menu Demander des modifications

Cette option est disponible pour les vendeurs qui ont déjà créé un produit AMI. Découvrez-en plus sur Création de produits basés sur l'AMI

  1. Dans Portail de gestion AWS Marketplacele menu Produits, sélectionnez Serveur.

  2. Sélectionnez votre produit dans la liste des produits Server. Il doit s'agir d'un produit basé sur l'AMI. Le produit peut être dans n'importe quel état et il n'est pas nécessaire qu'il soit publié publiquement pour les prochaines étapes.

  3. Accédez au menu Demander des modifications et sélectionnez Mettre à jour les versions.

  4. Sélectionnez Tester « Ajouter une version ». Suivez les instructions pour soumettre une demande avec les détails de votre AMI. Si la demande aboutit, cela indique que l'AMI a passé le scan avec succès. Contrairement à l'option Ajouter une nouvelle version, le test « ajouter une version » n'ajoute pas de nouvelle version au produit basé sur l'AMI si l'analyse est réussie.

Note

Pour en savoir plus sur AWS Marketplace l'autorisation d'accès à votre AMI, consultezDonner AWS Marketplace accès à votre AMI.

Vérification de l'exécution du logiciel sur votre AWS Marketplace AMI

Vous souhaiterez peut-être que votre logiciel vérifie au moment de l'exécution qu'il s'exécute sur une EC2 instance Amazon créée à partir de votre produit AMI.

Pour vérifier que l' EC2 instance Amazon est créée à partir de votre produit AMI, utilisez le service de métadonnées d'instance intégré à Amazon EC2. Les étapes suivantes vous permettent de procéder à cette validation. Pour plus d'informations sur l'utilisation du service de métadonnées, consultez la section Métadonnées d'instance et données utilisateur dans le guide de l'utilisateur Amazon Elastic Compute Cloud.

  1. Obtenir le document d'identité de l'instance

    Chaque instance en cours d'exécution possède un document d'identité accessible depuis l'instance qui fournit des données sur l'instance elle-même. L'exemple suivant montre comment utiliser curl depuis l'instance pour récupérer le document d'identité de l'instance.

    IMDSv2: (Recommandé)

    TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document
 {
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

    IMDSv1:

    curl http://169.254.169.254/latest/dynamic/instance-identity/document{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. Vérifiez le document d'identité de l'instance

    Vous pouvez vérifier que l'identité de l'instance est correcte à l'aide de la signature. Pour en savoir plus sur ce processus, consultez les documents d'identité des instances dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

  3. Vérifiez le code du produit

    Lorsque vous soumettez votre produit AMI pour publication pour la première fois, un code produit lui est attribué par AWS Marketplace. Vous pouvez vérifier le code du produit en vérifiant le marketplaceProductCodes champ du document d'identité de l'instance, ou vous pouvez l'obtenir directement auprès du service de métadonnées :

    IMDSv2:

    TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
 && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes

    Si le code produit correspond à celui de votre produit AMI, l'instance a été créée à partir de votre produit.

Vous souhaiterez peut-être également vérifier d'autres informations contenues dans le document d'identité de l'instance, telles que le instanceId et l'instanceprivateIp.