Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas de construcción AMIs para su uso con AWS Marketplace
En este tema se proporcionan prácticas recomendadas y referencias que le ayudarán a crear Amazon Machine Images (AMIs) para utilizarlas con AWS Marketplace. AMIscreado y enviado AWS Marketplace debe cumplir con todas las políticas del AWS Marketplace producto. Para obtener más información, consulte las siguientes secciones.
Temas
Garantizar los derechos de reventa
Usted es responsable de garantizar los derechos de reventa de las distribuciones de Linux que no sean libres, con la excepción de AWS Amazon Linux,RHEL, SUSE y Windows proporcionadas. AMIs
Construyendo un AMI
Utilice las siguientes pautas para crearAMIs:
-
Asegúrese de cumplir AMI con todas las AWS Marketplace políticas, incluida la de deshabilitar el inicio de sesión root.
-
Crea la tuya AMI en la región EE.UU. Este (Norte de Virginia).
-
Cree productos a partir de productos existentes y bien mantenidos, AMIs respaldados por Amazon Elastic Block Store (AmazonEBS) con un ciclo de vida claramente definido proporcionado por fuentes confiables y acreditadas, como AWS Marketplace.
-
Cree AMIs con la mayoría de los sistemas up-to-date operativos, paquetes y software.
-
Asegúrese de AMIs que todo comience con un público AMI que utilice la virtualización de máquinas virtuales (HVM) de hardware y una arquitectura de 64 bits.
-
Desarrolle un proceso repetible para crear, actualizar y volver AMIs a publicar.
-
Utilice un nombre de usuario del sistema operativo (SO) coherente en todas las versiones y los productos. Le recomendamos ec2-user.
-
Configure una instancia en ejecución desde la experiencia final AMI hasta la experiencia de usuario final que desee y pruebe todos los métodos de instalación, las funciones y el rendimiento antes de enviarla a ella. AWS Marketplace
-
Compruebe la configuración del puerto de la siguiente manera:
-
Basado en LinuxAMIs: asegúrese de que haya un puerto válido SSH abierto. El SSH puerto predeterminado es 22.
-
Basado en WindowsAMIs: asegúrese de que haya un RDP puerto abierto. El RDP puerto predeterminado es el 3389. Además, el puerto de WinRM (5985 de forma predeterminada) debe estar abierto para 10.0.0.0/16 y 10.2.0.0/16.
-
Para obtener más información sobre la creación de unAMI, consulte los siguientes recursos:
-
Guía del EC2 usuario de Creating Your Own AMI in the Amazon
-
Cómo crear una ventana personalizada AMI en la guía del EC2 usuario de Amazon
-
¿Cómo creo una Amazon Machine Image (AMI) a partir de una instancia EBS con respaldo?
Preparando y asegurando AMI su AWS Marketplace
Recomendamos las siguientes pautas para crear un entorno seguroAMIs:
-
Usa las directrices para Linux compartido de AMIs la Guía del EC2 usuario de Amazon
-
Diseñe su instalación AMI para implementarla como mínimo a fin de reducir la superficie de ataque. Deshabilite o elimine los servicios y programas innecesarios.
-
Siempre que sea posible, utilice el end-to-end cifrado para el tráfico de la red. Por ejemplo, usa Secure Sockets Layer (SSL) para proteger HTTP las sesiones entre tú y tus compradores. Asegúrese de que su servicio utilice únicamente up-to-date certificados y certificados válidos.
-
Cuando añada una nueva versión al AMI producto, configure los grupos de seguridad para controlar el acceso del tráfico entrante a la instancia. Asegúrese de que los grupos de seguridad estén configurados para permitir el acceso solo al conjunto mínimo de puertos necesarios para proporcionar la funcionalidad necesaria para sus servicios. Permita el acceso administrativo solo al conjunto mínimo de puertos y los rangos de direcciones IP de origen necesarios. Para obtener más información sobre cómo añadir una nueva versión a su AMI producto, consulteAgregar una nueva versión.
-
Considere la posibilidad de realizar una prueba de penetración en su entorno AWS informático a intervalos regulares o considere la posibilidad de contratar a un tercero para que realice dichas pruebas en su nombre. Para obtener más información, incluido el formulario de solicitud de pruebas de penetración, consulte Pruebas de penetración de AWS
. -
Tenga en cuenta las 10 principales vulnerabilidades de las aplicaciones web y cree sus aplicaciones en consecuencia. Para obtener más información, consulte Open Web Application Security Project (OWASP): Los 10 principales riesgos de seguridad de las aplicaciones web
. Cuando se descubran nuevas vulnerabilidades en Internet, actualice inmediatamente todas las aplicaciones web incluidas en la suyaAMI. Algunos ejemplos de recursos que incluyen esta información son SecurityFocus la base de datos NIST nacional de vulnerabilidades .
Para obtener más información relacionada con la seguridad, consulte los siguientes recursos:
Escaneando sus AMI requisitos de publicación
Para ayudarte a verificarlo AMI antes de enviarlo como un nuevo producto o versión, puedes utilizar el escaneo de autoservicio. El escáner de autoservicio comprobará si hay vulnerabilidades y exposiciones comunes sin corregir (CVEs) y verificará que se sigan las mejores prácticas de seguridad. Para obtener más información, consulte Preparando y asegurando AMI su AWS Marketplace
Desde AWS Marketplace Management Portal, selecciona Amazon Machine Image en el menú Activos. Selecciona Añadir AMI para iniciar el proceso de digitalización. Puede ver el estado del escaneo AMIs volviendo a esta página.
nota
Para obtener más información sobre cómo dar AWS Marketplace acceso a suAMI, consulteDando AWS Marketplace acceso a su AMI.
Verificar que el software se esté ejecutando en su AWS Marketplace AMI
Es posible que desees que tu software compruebe en tiempo de ejecución que se está ejecutando en una EC2 instancia de Amazon creada a partir de tu AMI producto.
Para comprobar que la EC2 instancia de Amazon se ha creado a partir de tu AMI producto, utiliza el servicio de metadatos de instancias integrado en AmazonEC2. Los siguientes pasos le guiarán a través de esta validación. Para obtener información sobre el uso del servicio de metadatos, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon Elastic Compute Cloud.
-
Obtenga el documento de identidad de la instancia
Cada instancia en ejecución tiene un documento de identidad al que se puede acceder desde la instancia y que proporciona datos sobre la propia instancia. En el siguiente ejemplo, se muestra el uso de curl de la instancia para recuperar el documento de identidad de la instancia.
curl http://169.254.169.254/latest/dynamic/instance-identity/document { "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" } -
Verifique el documento de identidad de la instancia
Puede comprobar que la identidad de la instancia es correcta mediante la firma. Para obtener más información sobre este proceso, consulte Documentos de identidad de las instancias en la Guía del usuario de Amazon Elastic Compute Cloud.
-
Verifique el código del producto
Cuando envías tu AMI producto para su publicación por primera vez, se le asigna un código de producto de AWS Marketplace. Puede verificar el código de producto consultando el campo
marketplaceProductCodesdel documento de identidad de la instancia o puede obtenerlo directamente del servicio de metadatos:curl http://169.254.169.254/latest/meta-data/product-codes 0vg0000000000000000000000Si el código de producto coincide con el de tu AMI producto, significa que la instancia se creó a partir de tu producto.
Es posible que también desee verificar otra información del documento de identidad de la instancia, como el instanceId y la privateIp de la instancia.
