기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 주제에서는와 함께 사용할 Amazon Machine Image(AMIs)를 빌드하는 데 도움이 되는 모범 사례와 참조를 제공합니다 AWS Marketplace. 에 빌드 및 제출된 AMIs 모든 AWS Marketplace 제품 정책을 준수해야 AWS Marketplace 합니다. 자세한 내용은 다음 섹션을 참조하세요.
주제
재판매 권한 확보
AWS제공된 Amazon Linux, RHEL, SUSE 및 Windows AMIs.
AMI 작성
AMI 빌드에 대한 다음 지침을 따릅니다.
-
AMI가 루트 로그인 비활성화를 포함한 모든 AWS Marketplace 정책을 충족하는지 확인합니다.
-
미국 동부(버지니아 북부) 리전에서 AMI를 생성합니다.
-
AWS Marketplace와 같이 신뢰할 수 있고 평판이 좋은 출처에서 제공하며 수명 주기가 분명히 정의되고 잘 유지되는 기존의 Amazon Elastic Block Store(Amazon EBS) 기반 AMI에서 제품을 생성합니다.
-
최신 운영 체제, 패키지, 소프트웨어를 사용하여 AMI를 개발합니다.
-
모든 AMI는 HVM(하드웨어 가상 머신) 가상화 및 64비트 아키텍처를 사용하는 퍼블릭 AMI로 시작해야 합니다.
-
AMI 개발, 업데이트, 리퍼블리싱을 위한 반복적인 프로세스를 개발합니다.
-
모든 버전과 제품에서 일관성 있는 운영 체제(OS) 사용자 이름을 사용합니다. ec2-user를 권장합니다.
-
최종 AMI에서 실행 중인 인스턴스를 원하는 최종 사용자 경험으로 구성하고 모든 설치 방법, 기능 및 성능을 테스트한 후 AWS Marketplace에 제출합니다.
-
다음과 같이 포트 설정을 확인합니다.
-
Linux 기반 AMI - 유효한 SSH 포트가 열려 있는지 확인합니다. 기본 SSH 포트는 22입니다.
-
Windows 기반 AMI - RDP 포트가 열려 있는지 확인합니다. 기본 RDP 포트는 3389입니다. 또한 WinRM 포트(기본적으로 5985)는 10.0.0.0/16 및 10.2.0.0/16으로 열려 있어야 합니다.
-
개방형 방화벽, 역방향 프록시 및 SSRF 취약성에 대한 모범 사례 보안 구성
으로 IMDS v2는 기본적으로 IMDS v2만 지원하도록 활성화해야 합니다. 최종 빌드 단계에서 새 AMI를 등록할 때 다음 CLI를 사용할 수 있습니다. aws ec2 register-image --name my-image --root-device-name /dev/xvda --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} --architecture x86_64 --imds-support v2.0
-
AMI 생성에 대한 자세한 내용은 다음 리소스를 참조하세요.
-
Amazon EC2 사용 설명서의 Amazon EBS 지원 AMI 생성
-
Amazon EC2 사용 설명서의 Windows Sysprep을 사용하여 Amazon EC2 AMI 생성
-
기본적으로 IMDS V2용 AMI 사용 구성
용 AMI 준비 및 보안 AWS Marketplace
보안 AMI 생성 시 다음 지침을 따르는 것이 좋습니다.
-
Amazon EC2 사용 설명서의 공유 Linux AMI 지침 사용
-
최소 설치로 배포하도록 AMI를 설계하여 공격 대상 영역을 축소합니다. 필요 없는 서비스와 프로그램을 비활성화하거나 제거합니다.
-
가능할 때마다 네트워크 트래픽에 종단 간 암호화를 사용합니다. 예를 들어 Secure Socket Layer(SSL)를 사용하여 귀사와 구매자 간 HTTP 세션을 보호합니다. 서비스에 유효한 최신 인증서만 사용하도록 합니다.
-
AMI 제품에 새 버전을 추가할 때, 인스턴스에 대한 인바운드 트래픽 액세스를 제어하는 보안 그룹을 구성합니다. 서비스의 필수 기능을 제공하는 데 필요한 최소한의 포트 세트에만 액세스를 허용하도록 보안 그룹이 구성되도록 하세요. 필요한 소스 IP 주소 범위와 최소한의 포트 세트에만 관리 액세스를 허용합니다. AMI 제품에 새 버전을 추가하는 방법에 대한 자세한 내용은 새 버전 추가 섹션을 참조하세요.
-
AWS 컴퓨팅 환경에 대해 정기적으로 침투 테스트를 수행하는 것을 고려하거나 사용자를 대신하여 이러한 테스트를 수행하기 위해 타사를 고용하는 것을 고려하세요. 침투 테스트 요청 양식을 포함한 자세한 내용은 AWS 침투 테스트
를 참조하세요. -
웹 애플리케이션의 10대 취약성에 주의하며 애플리케이션을 빌드합니다. 자세한 내용은 Open Web Application Security Project (OWASP) - Top 10 Web Application Security Risks
를 참조하세요. 새로운 인터넷 취약성이 발견되면 AMI에 제공되는 모든 웹 애플리케이션을 즉시 업데이트합니다. 이 정보를 포함하는 리소스로는 SecurityFocus 및 NIST National Vulnerability Database 가 있습니다.
보안과 관련된 자세한 내용은 다음 리소스를 참조하세요.
AMI를 스캔하여 게시 요구 사항 확인
AMI를 새 제품 또는 새 버전으로 제출하기 전에 셀프 서비스 검사를 사용하면 AMI를 확인하는 데 도움이 됩니다. 셀프 서비스 스캐너는 패치가 적용되지 않은 일반적인 취약점 및 노출(CVE)이 있는지 확인하고 보안 모범 사례를 준수하는지 확인합니다. 자세한 내용은 용 AMI 준비 및 보안 AWS Marketplace 단원을 참조하세요.
의 자산 메뉴에서 Amazon Machine Image를 AWS Marketplace Management Portal선택합니다. AMI 추가를 선택하여 스캔 프로세스를 시작합니다. 이 페이지로 돌아가면 AMI의 스캔 상태를 볼 수 있습니다.
참고
AMI에 대한 AWS Marketplace 액세스 권한을 부여하는 방법에 대한 자세한 내용은 섹션을 참조하세요AWS Marketplace에 AMI 액세스 권한 부여.
AWS Marketplace
AMI에서 소프트웨어가 실행되고 있는지 확인
소프트웨어가 AMI 제품에서 생성된 Amazon EC2 인스턴스에서 실행되고 있는지 런타임에 확인하려는 경우가 있습니다.
Amazon EC2 인스턴스가 AMI 제품에서 생성되었는지 확인하려면 Amazon EC2에 내장된 인스턴스 메타데이터 서비스를 사용합니다. 다음 단계를 따라 검증을 수행할 수 있습니다. 메타데이터 서비스 사용에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 인스턴스 메타데이터 및 사용자 데이터를 참조하세요.
-
인스턴스 자격 증명 문서 획득
실행 중인 각 인스턴스에는 인스턴스에서 액세스할 수 있는 자격 증명 문서가 있으며, 이 문서는 인스턴스 자체에 대한 데이터를 제공합니다. 다음 예제는 인스턴스에서 curl을 사용하여 인스턴스 자격 증명 문서를 검색하는 방법을 보여줍니다.
IMDSv2: (권장)
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document { "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" }IMDSv1:
curl http://169.254.169.254/latest/dynamic/instance-identity/document{ "accountId" : "0123456789", "architecture" : "x86_64", "availabilityZone" : "us-east-1e", "billingProducts" : null, "devpayProductCodes" : null, "marketplaceProductCodes" : [ "0vg0000000000000000000000" ], "imageId" : "ami-0123456789abcdef1", "instanceId" : "i-0123456789abcdef0", "instanceType" : "t2.medium", "kernelId" : null, "pendingTime" : "2020-02-25T20:23:14Z", "privateIp" : "10.0.0.2", "ramdiskId" : null, "region" : "us-east-1", "version" : "2017-09-30" } -
인스턴스 자격 증명 문서 확인
서명을 사용하여 인스턴스 자격 증명이 올바른지 확인할 수 있습니다. 이 프로세스에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 인스턴스 자격 증명 문서를 참조하세요.
-
제품 코드 확인
게시할 AMI 제품을 처음으로 제출하면 AWS Marketplace에서 제품에 제품 코드를 할당합니다. 인스턴스 자격 증명 문서의
marketplaceProductCodes필드를 확인하여 제품 코드를 확인할 수도 있고, 메타데이터 서비스에서 직접 제품 코드를 가져올 수도 있습니다.IMDSv2:
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/product-codes제품 코드가 AMI 제품 코드와 일치하면 인스턴스가 제품에서 생성된 것입니다.
인스턴스 자격 증명 문서의 다른 정보(예: instanceId 및 인스턴스 privateIp)를 확인하려는 경우도 있습니다.
