AMI ベースの製品要件

AMIs には、セルフサービス AMI スキャンツールまたは AWS セキュリティによって検出された既知の脆弱性、マルウェア、またはウイルスを含めないでください。

AMI は、現在サポートされているオペレーティングシステムやその他のソフトウェアパッケージを使用する必要があります。サポート終了 (EoL) オペレーティングシステムまたはその他のソフトウェアパッケージを搭載した AMI のバージョンはすべて AWS Marketplaceから削除されます。更新されたパッケージを使用して新しい AMI を構築し、新しいバージョンとして に公開できます AWS Marketplace。

すべてのインスタンス認証では、起動時にパスワードが生成、リセット、または定義されていても、パスワードベースの認証は使用せず、キーペアのアクセスを使用する必要があります。AMI には、どのような理由でも、パスワード、認証キー、キーペア、セキュリティキー、またはその他の認証情報が含まれていてはなりません。

AMI は、 AWS リソースにアクセスするためにユーザーからのアクセス/シークレットキーを要求または使用してはなりません。AMI アプリケーションがユーザーにアクセスする必要がある場合は、 でインスタンス化された AWS Identity and Access Management (IAM) ロールを使用して実行する必要があります。これにより AWS CloudFormation、インスタンスが作成され、適切なロールが関連付けられます。 AWS CloudFormation 配信方法を使用する製品でシングル AMI 起動が有効になっている場合、対応する使用方法には、最小特権の IAM ロールを作成するための明確なガイダンスを含める必要があります。詳細については、「を使用した AMI ベースの配信 AWS CloudFormation」を参照してください。

Linux ベースの AMI は SSH パスワード認証を許可してはなりません。PasswordAuthentication を NO に設定して、sshd_config ファイルによるパスワード認証を無効にします。

AMI は、コンプライアンス要件、脆弱性の更新、およびログファイルへのアクセスを可能にするために、オペレーティングシステム (OS) レベルの管理機能を許可する必要があります。Linux ベースの AMI は SSH を使用し、Windows ベースの AMI は RDP を使用します。

承認されたパスワードまたは承認されたキーを AMI に含めることはできません。

AMI は管理アクセスに固定パスワードを使用できません。AMI は代わりにランダムなパスワードを使用する必要があります。代替の実装としてインスタンスメタデータを取得し、パスワードとして instance_id を使用します。管理者は、自身の資格情報を設定または変更することを許可される前に、このランダム化されたパスワードの入力を求められる必要があります。インスタンスメタデータの取得については、Amazon EC2 ユーザーガイドの「インスタンスメタデータとユーザーデータ」を参照してください。

お客様の実行中のインスタンスにアクセスすることはできません。お客様は、外部アクセスを明示的に有効にする必要があり、AMI に組み込まれているアクセシビリティはデフォルトでは無効にする必要があります。

AMIs、パスワードベースのリモートログイン を無効にする必要があります。

AMIsルートのリモートログインを無効にする必要があります。

AMIs、ユーザーがルート機能を実行するための管理者コントロールを取得できるようにする必要があります。例えば、Linux ベースの OS sudoへのアクセスを許可します。他のシステムでは、完全な特権レベルのアクセスを許可します。

AMIs、監査証跡のルートアクティビティを記録する必要があります。

AMIsOS ユーザー用に承認されたパスワードを含めることはできません。

AMIs、承認されたキーを含めることはできません。

AMIs には、空白または null のルートパスワードを含めることはできません。

Windows Server 2016 以降をお使いの場合は、「EC2Launch」を参照してください。

Windows Server 2012 R2 以前では、最新バージョンの Ec2ConfigService を使用し、Ec2SetPassword、Ec2WindowsActivate、および Ec2HandleUserData を有効にします。

ゲストアカウントおよびリモートデスクトップユーザーを削除 (許可されていない) します。

ソフトウェアは、BYOL (Bring Your Own License) で要求される場合を除き、お客様の知識と明示的な同意なしにお客様のデータを収集、またはエクスポートしてはなりません。顧客データを収集またはエクスポートするアプリケーションは、以下のガイドラインに従う必要があります。

製品は、製品または製品機能へのアクセスを時間、ユーザーの数または他の制限事項によって制限してはなりません。ベータ版およびプレリリース版の製品、あるいはトライアルまたは評価機能を提供することのみを目的とした製品はサポートされていません。同等の有料バージョンも AWS Marketplaceで入手可能である場合、商用ソフトウェアの開発者、コミュニティ、および BYOL エディションがサポートされています。

すべての AMI は、ウェブサイトからの起動または AWS CloudFormationを介した AMI ベースの配信のいずれかと互換性がある必要があります。ウェブサイトから起動する場合、AMI はインスタンス作成時にお客様データまたはユーザーのデータを正しく機能させることを要求できません。

AMI とそのソフトウェアはセルフサービス方式でデプロイ可能である必要があり、追加の支払い方法や費用を必要としないものでなければなりません。デプロイ時に外部に依存する必要のあるアプリケーションは、以下のガイドラインに従う必要があります。

購入者の直接管理下にない外部リソースへの継続的な接続を必要とする AMIs。例えば、外部 APIs や販売者や第三者が AWS のサービス 管理する AMI は、次のガイドラインに従う必要があります。

製品ソフトウェアとメタデータには、 AWS Marketplaceでは利用できない他のクラウドプラットフォーム、追加の製品、またはアップセルサービスにユーザーをリダイレクトする言葉を含めてはいけません。

製品が別の製品または別の ISV 製品のアドオンである場合、製品の説明には、それが他の製品の機能を拡張するものであり、これがないと製品の有用性が非常に限られることを明記する必要があります。例えば、この製品は <製品名> の機能を拡張するものであり、それがなければ、この製品の実用性は非常に限られています。<製品名> は、このリストのすべての機能を利用するには、独自のライセンスが必要な場合がありますのでご注意ください。

のソース AMIs は、米国東部 (バージニア北部) リージョンで提供 AWS Marketplace する必要があります。

AMI は、HVM 仮想化を使用する必要があります。

AMI は、64 ビットアーキテクチャーまたは 64 ビット ARM アーキテクチャーを使用する必要があります。

AMI は、Amazon Elastic Block Store (Amazon EBS) によってサポートされる AMI である必要があります。Amazon Simple Storage Service (Amazon S3) にバックアップされた AMI はサポートされません。

AMI は暗号化された EBS スナップショットを使用してはいけません。

AMI は暗号化されたファイルシステムを使用してはいけません。

AMIs は、すべての で実行でき AWS リージョン 、リージョンに依存しないように構築する必要があります。リージョンごとに異なる構築をした AMI は許可されません。