Mejores prácticas de construcción AMIs para su uso con AWS Marketplace - AWS Marketplace
Garantizar los derechos de reventaCreación de una AMIPreparación y protección de su AMI para AWS MarketplaceEscaneo de la AMI para comprobar los requisitos de publicaciónVerificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas de construcción AMIs para su uso con AWS Marketplace

En este tema se proporcionan prácticas recomendadas y referencias que le ayudarán a crear Amazon Machine Images (AMIs) para utilizarlas con AWS Marketplace. AMIs creado y enviado AWS Marketplace debe cumplir con todas las políticas del AWS Marketplace producto. Para obtener más información, consulte las siguientes secciones.

Garantizar los derechos de reventa

Usted es responsable de garantizar los derechos de reventa de las distribuciones de Linux que no sean libres, con la excepción de AWS Amazon Linux, RHEL, SUSE y Windows proporcionadas. AMIs

Creación de una AMI

Utilice las siguientes pautas para la creación: AMIs

  • Asegúrese de que su AMI cumpla con todas AWS Marketplace las políticas, incluida la desactivación del inicio de sesión root.

  • Cree su AMI en la región Este de EE. UU. (Norte de Virginia).

  • Cree productos a partir de productos existentes y bien mantenidos, AMIs respaldados por Amazon Elastic Block Store (Amazon EBS) con un ciclo de vida claramente definido proporcionado por fuentes confiables y acreditadas, como. AWS Marketplace

  • Cree AMIs con la mayoría de los sistemas up-to-date operativos, paquetes y software.

  • Asegúrese de AMIs que todo comience con una AMI pública que utilice la virtualización de máquinas virtuales de hardware (HVM) y una arquitectura de 64 bits.

  • Desarrolle un proceso repetible para crear, actualizar y volver a publicar. AMIs

  • Utilice un nombre de usuario del sistema operativo (SO) coherente en todas las versiones y los productos. Le recomendamos ec2-user.

  • Configure una instancia en ejecución desde la AMI final hasta la experiencia de usuario final que desee y pruebe todos los métodos de instalación, las características y el desempeño antes de realizar el envío a AWS Marketplace.

  • Compruebe la configuración del puerto de la siguiente manera:

    • Basado en Linux AMIs : asegúrese de que esté abierto un puerto SSH válido. El puerto SSH predeterminado es el 22.

    • Basado en Windows AMIs : asegúrese de que haya un puerto RDP abierto. El puerto RDP predeterminado es 3389. Además, el puerto de WinRM (5985 de forma predeterminada) debe estar abierto para 10.0.0.0/16 y 10.2.0.0/16.

    • Como práctica recomendada de configuración de seguridad contra firewalls abiertos, proxies inversos y vulnerabilidades de SSRF, el IMDS v2 debería estar habilitado para que sea compatible con el IMDS v2 únicamente de forma predeterminada. Se puede usar la siguiente CLI al registrar una nueva AMI en la fase de compilación final:

      • aws ec2 register-image --name my-image --root-device-name /dev/xvda --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} --architecture x86_64 --imds-support v2.0

Para obtener más información acerca de la creación de una AMI, consulte los siguientes recursos:

Preparación y protección de su AMI para AWS Marketplace

Se recomiendan las siguientes pautas para crear un entorno seguro AMIs:

  • Usa las directrices para Linux compartido de AMIs la Guía del EC2 usuario de Amazon

  • Construya la AMI para que se implemente como una instalación mínima para reducir la superficie expuesta a ataques. Deshabilite o elimine los servicios y programas innecesarios.

  • Siempre que sea posible, utilice el end-to-end cifrado para el tráfico de red. Por ejemplo, utilice la capa de conexión segura (SSL) para proteger las sesiones HTTP entre usted y sus compradores. Asegúrese de que su servicio utilice únicamente up-to-date certificados AND válidos.

  • Cuando agregue una nueva versión a su producto de AMI, configure los grupos de seguridad para controlar el acceso del tráfico entrante a la instancia. Asegúrese de que los grupos de seguridad estén configurados para permitir el acceso solo al conjunto mínimo de puertos necesarios para proporcionar la funcionalidad necesaria para sus servicios. Permita el acceso administrativo solo al conjunto mínimo de puertos y los rangos de direcciones IP de origen necesarios. Para obtener más información acerca de cómo agregar una versión nueva a su producto de AMI, consulte Agregar una nueva versión.

  • Considere la posibilidad de realizar una prueba de penetración en su entorno AWS informático a intervalos regulares o considere la posibilidad de contratar a un tercero para que realice dichas pruebas en su nombre. Para obtener más información, incluido el formulario de solicitud de pruebas de penetración, consulte Pruebas de penetración de AWS.

  • Tenga en cuenta las 10 principales vulnerabilidades de las aplicaciones web y cree sus aplicaciones en consecuencia. Para obtener más información, consulte el sitio sobre el Proyecto de seguridad de aplicaciones web abiertas (OWASP) - Los 10 principales riesgos para las aplicaciones web. Cuando se detecten nuevas vulnerabilidades de Internet, actualice sin dilación todas las aplicaciones web que se suministran con su AMI. Algunos ejemplos de recursos que incluyen esta información son la base SecurityFocusde datos nacional sobre vulnerabilidades del NIST.

Para obtener más información relacionada con la seguridad, consulte los siguientes recursos:

Escaneo de la AMI para comprobar los requisitos de publicación

Para ayudar a verificar su AMI antes de enviarla como un nuevo producto o versión, puede utilizar el escaneo de autoservicio. El escáner de autoservicio comprobará si hay vulnerabilidades y exposiciones comunes sin corregir (CVEs) y verificará que se sigan las mejores prácticas de seguridad. Para obtener más información, consulte Preparación y protección de su AMI para AWS Marketplace

Desde AWS Marketplace Management Portal, selecciona Amazon Machine Image en el menú Activos. Seleccione Agregar AMI para iniciar el proceso de digitalización. Puede ver el estado del escaneo AMIs volviendo a esta página.

nota

Para obtener información sobre cómo dar AWS Marketplace acceso a su AMI, consulteConcesión de acceso de AWS Marketplace a su AMI.

Verificación de que el software se esté ejecutando en la AMI de AWS Marketplace

Es posible que desee que su software compruebe en tiempo de ejecución que se está ejecutando en una EC2 instancia de Amazon creada a partir de su producto de AMI.

Para comprobar que la EC2 instancia de Amazon se ha creado a partir de su producto de AMI, utilice el servicio de metadatos de instancias integrado en Amazon EC2. Los siguientes pasos le guiarán a través de esta validación. Para obtener información sobre el uso del servicio de metadatos, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon Elastic Compute Cloud.

  1. Obtenga el documento de identidad de la instancia

    Cada instancia en ejecución tiene un documento de identidad al que se puede acceder desde la instancia y que proporciona datos sobre la propia instancia. En el siguiente ejemplo, se muestra el uso de curl de la instancia para recuperar el documento de identidad de la instancia.

    IMDSv2: (Recomendado)

    TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document
 {
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

    IMDSv1:

    curl http://169.254.169.254/latest/dynamic/instance-identity/document{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. Verifique el documento de identidad de la instancia

    Puede comprobar que la identidad de la instancia es correcta mediante la firma. Para obtener más información sobre este proceso, consulte Documentos de identidad de las instancias en la Guía del usuario de Amazon Elastic Compute Cloud.

  3. Verifique el código del producto

    Cuando envía por primera vez su producto de AMI para su publicación, se le asigna un código de producto por parte de AWS Marketplace. Puede verificar el código de producto consultando el campo marketplaceProductCodes del documento de identidad de la instancia o puede obtenerlo directamente del servicio de metadatos:

    IMDSv2:

    TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
 && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes

    Si el código de producto coincide con el de su producto de AMI, significa que la instancia se creó a partir de su producto.

Es posible que también desee verificar otra información del documento de identidad de la instancia, como el instanceId y la privateIp de la instancia.