翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMI ベースの製品要件
AWS Marketplace は、 のすべての Amazon マシンイメージ (AMI) 製品およびサービスについて、次のポリシーを維持します AWS Marketplace。このポリシーは、お客様に安全で安心で信頼できるプラットフォームを提供するためのものです。
すべての製品および関連するメタデータは、送信時にレビューされ、現在の AWS Marketplace ポリシーを満たしているか超えているかが確認されます。これらのポリシーは、進化するセキュリティガイドラインを満たすようにレビューおよび調整されます。 は、製品 AWS Marketplace を継続的にスキャンして、セキュリティガイドラインの変更を満たしていることを確認します。製品がコンプライアンス違反になった場合 AWS Marketplace は、新しい基準を満たすように AMI 製品を更新するよう から連絡があります。同様に、新たに発見された脆弱性が AMI に影響を与えることが判明した場合は、適切な更新を加えた最新の AMI を提供するように求められます。AMI を送信する前に、セルフサービス AMI スキャンツール
セキュリティポリシー
すべての AMI は、次のセキュリティポリシーに従う必要があります。
-
AMIs には、セルフサービス AMI スキャンツール
または AWS セキュリティによって検出された既知の脆弱性、マルウェア、またはウイルスを含めないでください。 -
AMI は、現在サポートされているオペレーティングシステムやその他のソフトウェアパッケージを使用する必要があります。サポート終了 (EoL) オペレーティングシステムまたはその他のソフトウェアパッケージを搭載した AMI のバージョンはすべて AWS Marketplaceから削除されます。更新されたパッケージを使用して新しい AMI を構築し、新しいバージョンとして に公開できます AWS Marketplace。
-
すべてのインスタンス認証では、起動時にパスワードが生成、リセット、または定義されていても、パスワードベースの認証は使用せず、キーペアのアクセスを使用する必要があります。AMI には、どのような理由でも、パスワード、認証キー、キーペア、セキュリティキー、またはその他の認証情報が含まれていてはなりません。
-
AMI は、 AWS リソースにアクセスするためにユーザーからのアクセス/シークレットキーを要求または使用してはなりません。AMI アプリケーションがユーザーにアクセスする必要がある場合は、 でインスタンス化された AWS Identity and Access Management (IAM) ロールを使用して実行する必要があります。これにより AWS CloudFormation、インスタンスが作成され、適切なロールが関連付けられます。 AWS CloudFormation 配信方法を使用する製品でシングル AMI 起動が有効になっている場合、対応する使用方法には、最小特権の IAM ロールを作成するための明確なガイダンスを含める必要があります。詳細については、「を使用した AMI ベースの配信 AWS CloudFormation」を参照してください。
-
Linux ベースの AMI は SSH パスワード認証を許可してはなりません。
PasswordAuthentication
をNO
に設定して、sshd_config
ファイルによるパスワード認証を無効にします。
アクセスポリシー
アクセスポリシーには、一般的なポリシー、Linux 固有ポリシー、および Windows 固有ポリシーの 3 つのカテゴリがあります。
一般的なアクセスポリシー
すべての AMI は、次の一般的なポリシーを遵守する必要があります。
-
AMI は、コンプライアンス要件、脆弱性の更新、およびログファイルへのアクセスを可能にするために、オペレーティングシステム (OS) レベルの管理機能を許可する必要があります。Linux ベースの AMI は SSH を使用し、Windows ベースの AMI は RDP を使用します。
-
承認されたパスワードまたは承認されたキーを AMI に含めることはできません。
-
AMI は管理アクセスに固定パスワードを使用できません。AMI は代わりにランダムなパスワードを使用する必要があります。代替の実装としてインスタンスメタデータを取得し、パスワードとして
instance_id
を使用します。管理者は、自身の資格情報を設定または変更することを許可される前に、このランダム化されたパスワードの入力を求められる必要があります。インスタンスメタデータの取得については、Amazon EC2 ユーザーガイドの「インスタンスメタデータとユーザーデータ」を参照してください。 -
お客様の実行中のインスタンスにアクセスすることはできません。お客様は、外部アクセスを明示的に有効にする必要があり、AMI に組み込まれているアクセシビリティはデフォルトでは無効にする必要があります。
Linux 固有の (または Unix のような) アクセスポリシー
Linux ベースまたは Unix のような AMIs は、次のアクセスポリシーと一般的なアクセスポリシーに従う必要があります。
-
AMIs、パスワードベースのリモートログイン を無効にする必要があります。
-
AMIsルートのリモートログインを無効にする必要があります。
-
AMIs、ユーザーがルート機能を実行するための管理者コントロールを取得できるようにする必要があります。例えば、Linux ベースの OS
sudo
へのアクセスを許可します。他のシステムでは、完全な特権レベルのアクセスを許可します。 -
AMIs、監査証跡のルートアクティビティを記録する必要があります。
-
AMIsOS ユーザー用に承認されたパスワードを含めることはできません。
-
AMIs、承認されたキーを含めることはできません。
-
AMIs には、空白または null のルートパスワードを含めることはできません。
Windows 固有のアクセスポリシー
Windows ベースの AMI は、以下のポリシーと一般的なアクセスポリシーを遵守する必要があります。
-
Windows Server 2016 以降をお使いの場合は、「
EC2Launch
」を参照してください。 -
Windows Server 2012 R2 以前では、最新バージョンの
Ec2ConfigService
を使用し、Ec2SetPassword
、Ec2WindowsActivate
、およびEc2HandleUserData
を有効にします。 -
ゲストアカウントおよびリモートデスクトップユーザーを削除 (許可されていない) します。
カスタマー情報ポリシー
すべての AMI は、次のお客様情報ポリシーに準拠する必要があります。
-
ソフトウェアは、BYOL (Bring Your Own License) で要求される場合を除き、お客様の知識と明示的な同意なしにお客様のデータを収集、またはエクスポートしてはなりません。顧客データを収集またはエクスポートするアプリケーションは、以下のガイドラインに従う必要があります。
-
顧客データの収集は、セルフサービスで、自動化され、安全である必要があります。購入者は、販売者がソフトウェアの導入を承認するのを待つ必要はありません。
-
顧客データの要件は、リストの説明または使用説明書に明記する必要があります。これには、収集する内容、顧客データの保存場所、および使用方法が含まれます。例えば、この製品はお客様の名前と E メールアドレスを収集します。この情報は、<会社名> に送信され、保存されます。この情報は、<製品名> に関して購入者に連絡するためにのみ使用されます。
-
支払情報は収集してはなりません。
-
製品使用ポリシー
すべての AMI は、次の製品使用ポリシーを遵守する必要があります。
-
製品は、製品または製品機能へのアクセスを時間、ユーザーの数または他の制限事項によって制限してはなりません。ベータ版およびプレリリース版の製品、あるいはトライアルまたは評価機能を提供することのみを目的とした製品はサポートされていません。同等の有料バージョンも AWS Marketplaceで入手可能である場合、商用ソフトウェアの開発者、コミュニティ、および BYOL エディションがサポートされています。
-
すべての AMI は、ウェブサイトからの起動または AWS CloudFormationを介した AMI ベースの配信のいずれかと互換性がある必要があります。ウェブサイトから起動する場合、AMI はインスタンス作成時にお客様データまたはユーザーのデータを正しく機能させることを要求できません。
-
AMI とそのソフトウェアはセルフサービス方式でデプロイ可能である必要があり、追加の支払い方法や費用を必要としないものでなければなりません。デプロイ時に外部に依存する必要のあるアプリケーションは、以下のガイドラインに従う必要があります。
-
要件は、リストの説明または使用説明書に明記する必要があります。例えば、この製品を正しくデプロイするにはインターネット接続が必要です。デプロイ時に以下のパッケージがダウンロードされます。<パッケージのリスト>。
-
販売者は、すべての外部依存関係を使用し、その可用性とセキュリティを確保する責任を負います。
-
外部依存関係が利用できなくなった場合は、 からも製品を削除する必要があります AWS Marketplace 。
-
外部依存関係によって追加の支払い方法や費用が必要になってはいけません。
-
-
購入者の直接管理下にない外部リソースへの継続的な接続を必要とする AMIs。例えば、外部 APIs や販売者や第三者が AWS のサービス 管理する AMI は、次のガイドラインに従う必要があります。
-
要件は、リストの説明または使用説明書に明記する必要があります。例えば、この製品には継続的なインターネット接続が必要です。正しく機能するには、以下の継続的な外部サービスが必要です。<リソースのリスト>。
-
販売者は、すべての外部リソースを使用し、その可用性とセキュリティを確保する責任を負います。
-
外部リソースが使用できなくなった場合は、製品 AWS Marketplace も から削除する必要があります。
-
外部リソースは追加の支払い方法や費用を必要とせず、接続の設定を自動化する必要があります。
-
-
製品ソフトウェアとメタデータには、 AWS Marketplaceでは利用できない他のクラウドプラットフォーム、追加の製品、またはアップセルサービスにユーザーをリダイレクトする言葉を含めてはいけません。
-
製品が別の製品または別の ISV 製品のアドオンである場合、製品の説明には、それが他の製品の機能を拡張するものであり、これがないと製品の有用性が非常に限られることを明記する必要があります。例えば、この製品は <製品名> の機能を拡張するものであり、それがなければ、この製品の実用性は非常に限られています。<製品名> は、このリストのすべての機能を利用するには、独自のライセンスが必要な場合がありますのでご注意ください。
アーキテクチャポリシー
すべての AMI は、次のアーキテクチャーポリシーを順守する必要があります。
-
のソース AMIs は、米国東部 (バージニア北部) リージョンで提供 AWS Marketplace する必要があります。
-
AMI は、HVM 仮想化を使用する必要があります。
-
AMI は、64 ビットアーキテクチャーまたは 64 ビット ARM アーキテクチャーを使用する必要があります。
-
AMI は、Amazon Elastic Block Store (Amazon EBS) によってサポートされる AMI である必要があります。Amazon Simple Storage Service (Amazon S3) にバックアップされた AMI はサポートされません。
-
AMI は暗号化された EBS スナップショットを使用してはいけません。
-
AMI は暗号化されたファイルシステムを使用してはいけません。
-
AMIs は、すべての で実行でき AWS リージョン 、リージョンに依存しないように構築する必要があります。リージョンごとに異なる構築をした AMI は許可されません。
AMI 製品使用説明書
AMI 製品の使用説明書を作成する際は、AMI とコンテナ製品の使用手順 に記載されている手順とガイダンスに従ってください。