Amazon Linux 2023 のサンプルイメージの説明 - Amazon Elastic Compute Cloud

Amazon Linux 2023 のサンプルイメージの説明

Amazon Linux 2023 のサンプルイメージの説明には、次の特性があります。

  1. Unified Kernel Image (UKI) ブート – カーネル、initrd、およびブートパラメータを 1 つのイミュータブルイメージに結合する単一の署名付きバイナリを使用してブートします。

  2. 読み取り専用ルートファイルシステム – dm-verity 保護で拡張読み取り専用ファイルシステム (erofs) を使用して、ルートファイルシステムを変更できなくし、暗号整合性の検証を維持します。

  3. 一時オーバーレイファイルシステム/etc/run/var などのディレクトリへの一時的な書き込みを許可する一時オーバーレイファイルシステムを作成します。このオーバーレイファイルシステムはメモリにのみ存在するため、インスタンスの再起動時にすべての変更が自動的に失われるため、システムは元の信頼された状態に戻ります。

  4. 無効なリモートアクセス方法 – リモートアクセスを防ぐために、次のリモートアクセスメカニズムを削除します。

    アクセス方法 説明 イメージの説明の実装
    SSH OpenSSH サーバーを除外します。インスタンスが本質的に SSH トラフィックを処理できないようにします。 openssh-server パッケージを無視する *
    [User Data] Cloud-init を削除します。オペレーターがインスタンスにユーザーデータを提供し、ブートタイムスクリプトを実行する機能を除去します。 cloud-init および cloud-init-cfg-ec2 パッケージを無視する *
    Chrony chrony コマンドポートを無効にします。実行中のインスタンスでオペレーターが chrony コマンドを実行できないようにします。 amazon-chrony-config パッケージを無視する *
    MOTD MOTD パッケージを削除します。実行中のインスタンスでオペレーターがメッセージや機能を変更できないようにします。 update-motd パッケージを無視する *
    AWS SSM AWS SSM エージェントを削除します。AWS SSM を使用して実行中のインスタンスへのリモートアクセスができないようにします。 amazon-ssm-agent パッケージを無視する *
    EC2 Instance Connect EC2 Instance Connect パッケージを削除します。このツールを使用して SSH アクセスを無効にします。 ec2-instance-connect パッケージを無視する *
    シリアルコンソール シリアルコンソールを無効にします。実行中のインスタンスでコンソールアクセスが使用できないことを確認し、オペレーターがシリアルコンソールにログインする機能を削除します。 カーネルコマンドラインパラメータで無効化

    * 詳細については、「イメージ説明の要素」を参照してください。