Exigences relatives aux produits basées sur l'AMI

Les AMI ne doivent pas contenir de vulnérabilités, de logiciels malveillants ou de virus connus tels que détectés par l'outil d'analyse des AMI en libre-service ou par AWS Security.

Les AMI doivent utiliser les systèmes d'exploitation et autres progiciels actuellement pris en charge. Toute version d'une AMI dotée d'un système d'exploitation en fin de vie (EoL) ou d'autres progiciels sera supprimée de la liste. AWS Marketplace Vous pouvez créer une nouvelle AMI avec des packages mis à jour et la publier en tant que nouvelle version sur AWS Marketplace.

Toutes les méthodes d’authentification des instances doivent utiliser l'accès par paire de clés et non par mot de passe, même si le mot de passe est généré, réinitialisé ou défini par l'utilisateur lors du lancement. Les AMI ne doivent pas contenir de mots de passe, clés d'authentification, paires de clés, clés de sécurité ou autres informations d'identification pour quelque raison que ce soit.

Les AMI ne doivent pas demander ou utiliser les clés d'accès ni les clés secrètes des utilisateurs pour accéder aux ressources AWS . Si votre application AMI nécessite un accès à l'utilisateur, cela doit être réalisé via un rôle AWS Identity and Access Management (IAM) instancié via AWS CloudFormation, qui crée l'instance et associe le rôle approprié. Lorsque le lancement d'une seule AMI est activé pour les produits dotés d'un mode AWS CloudFormation de livraison, les instructions d'utilisation correspondantes doivent inclure des instructions claires pour créer des rôles IAM dotés de privilèges minimaux. Pour plus d’informations, consultez AMIlivraison basée sur AWS CloudFormation.

Les AMI sur Linux ne doivent pas autoriser l'authentification par mot de passe via SSH. Désactivez l'authentification par mot de passe en utilisant votre fichier PasswordAuthentication et en définissant le paramètre sshd_config sur NO.

Les AMI doivent autoriser des fonctionnalités d'administration au niveau du système d'exploitation (OS) pour permettre le respect des exigences de conformité, les mises à jour des vulnérabilités et l'accès aux fichiers journaux. Les AMI sur Linux utilisent le protocole SSH et celles sur Windows utilisent le protocole RDP.

Les AMI ne doivent pas contenir de mots de passe autorisés ni de clés autorisées.

Les AMI ne doivent pas utiliser de mots de passe fixes pour l’accès administratif. Les AMI doivent utiliser un mot de passe aléatoire à la place. Sinon, une autre implémentation consiste à récupérer les métadonnées de l'instance et à utiliser instance_id en tant que le mot de passe. L'administrateur doit être invité à saisir ce mot de passe aléatoire avant d'être autorisé à définir ou modifier ses propres informations d'identification. Pour plus d'informations sur la récupération des métadonnées d'instance, consultez la section Métadonnées d'instance et données utilisateur dans le guide de l'utilisateur Amazon EC2.

Vous ne devez pas avoir accès aux instances en cours d'exécution du client. Le client doit autoriser les accès extérieurs de façon explicite, et toute accessibilité intégrée à l'AMI doit être désactivée par défaut.

Les AMI doivent désactiver les connexions à distance basées sur un mot de passe.

Les AMI doivent désactiver les connexions à distance pour le compte root.

Les AMI doivent permettre aux utilisateurs de prendre le contrôle de l'administrateur pour exécuter la fonction root. Par exemple, autorisez sudo l'accès aux systèmes d'exploitation basés sur Linux. Pour les autres systèmes, autorisez un accès privilégié complet.

Les AMI doivent enregistrer l'activité racine pour une piste d'audit.

Les AMI ne doivent pas contenir de mots de passe autorisés pour les utilisateurs du système d'exploitation.

Les AMI ne doivent pas contenir de clés autorisées.

Les AMI ne doivent pas avoir de mot de passe root vide ou nul.

Pour Windows Server 2016 et versions ultérieures, utilisez EC2Launch.

Pour Windows Server 2012 R2 et versions antérieures, utilisez la version la plus récente de Ec2ConfigService et activez Ec2SetPassword, Ec2WindowsActivate et Ec2HandleUserData.

Supprimez les comptes invités et les utilisateurs de postes de travail distants, dont aucun n'est autorisé.

Le logiciel ne doit pas collecter ou exporter les données du client à l'insu du client et sans son consentement exprès, sauf si cela est exigé par BYOL (Bring Your Own License). Les applications qui collectent ou exportent des données clients doivent suivre les directives suivantes :

Les produits ne doivent pas restreindre l'accès au produit ou à ses fonctionnalités en fonction du temps, du nombre d'utilisateurs ou d'autres restrictions. Les produits bêta et les versions préliminaires, ou les produits dont le seul but est d'offrir des fonctionnalités d'essai ou d'évaluation, ne sont pas pris en charge. Les éditions Developer, Community et BYOL des logiciels commerciaux sont prises en charge, à condition qu'une version payante équivalente soit également disponible dans AWS Marketplace.

Toutes les AMI doivent être compatibles avec le lancement à partir du site Web (Launch from Website) ou la diffusion via AWS CloudFormation. Dans le cadre du lancement à partir du site Web (Launch from Website), l'AMI ne peut pas exiger de données client ou utilisateur lors de la création de l’instance pour fonctionner correctement.

Les AMI et leurs logiciels doivent être déployables en libre-service et ne doivent pas nécessiter de méthodes de paiement ou de coûts supplémentaires. Les applications qui nécessitent des dépendances externes lors du déploiement doivent suivre les directives suivantes :

Les AMI qui nécessitent une connexion permanente à des ressources externes ne relevant pas du contrôle direct de l'acheteur (par exemple, des API externes ou Services AWS gérées par le vendeur ou un tiers) doivent respecter les directives suivantes :

Le logiciel et les métadonnées du produit ne doivent pas contenir de langage qui redirige les utilisateurs vers d'autres plateformes cloud, des produits supplémentaires ou des services de vente incitative qui ne sont pas disponibles sur. AWS Marketplace

Si votre produit est un module complémentaire à un autre produit ou au produit d'un autre éditeur de logiciels indépendants, la description de votre produit doit indiquer qu'il étend les fonctionnalités de l'autre produit et que, sans lui, l'utilité de votre produit est très limitée. Par exemple, ce produit étend les fonctionnalités et sans lui, son utilité est très limitée. <product name> Veuillez noter que cette liste peut nécessiter sa propre licence pour accéder à toutes les fonctionnalités. <product name>

Les AMI sources pour AWS Marketplace doivent être fournies dans la région de l'est des États-Unis (Virginie du Nord).

Les AMI doivent utiliser la virtualisation HVM.

Les AMI doivent utiliser une architecture 64 bits ou ARM 64 bits.

Les AMI doivent être des AMI soutenues par Amazon Elastic Block Store (Amazon EBS). Nous ne prenons pas en charge les AMI soutenues par Amazon Simple Storage Service (Amazon S3).

Les AMI ne doivent pas utiliser de snaphots EBS chiffrés.

Les AMI ne doivent pas utiliser de systèmes de fichiers cryptés.

Les AMI doivent être conçues de telle sorte qu'elles puissent fonctionner partout Régions AWS et qu'elles soient indépendantes de la région. Les AMI conçues différemment pour les différentes régions ne sont pas autorisées.