와 함께 사용하기 AMIs 위한 빌드 모범 사례 AWS Marketplace - AWS Marketplace
재판매 권한 확보빌드 AMIAMI 용 준비 및 보안 AWS MarketplaceAMI 에서 게시 요구 사항 스캔소프트웨어가 에서 실행 중인지 확인 AWS Marketplace AMI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

와 함께 사용하기 AMIs 위한 빌드 모범 사례 AWS Marketplace

이 주제에서는 와 함께 사용할 Amazon Machine Images(AMIs)를 구축하는 데 도움이 되는 모범 사례와 참조를 제공합니다 AWS Marketplace. AMIs 에 빌드 및 제출하려면 모든 AWS Marketplace 제품 정책을 준수해야 AWS Marketplace 합니다. 자세한 내용은 다음 섹션을 참조하십시오.

재판매 권한 확보

AWS제공된 Amazon Linux, , RHEL SUSE및 Windows 를 제외하고 무료 Linux 배포에 대한 재판매 권한을 보호할 책임은 사용자에게 있습니다AMIs.

빌드 AMI

빌드에 다음 지침을 사용합니다AMIs.

  • 가 루트 로그인 비활성화를 포함하여 모든 AWS Marketplace 정책을 AMI 충족하는지 확인합니다.

  • 미국 동부(버지니아 북부) 리전AMI에서 를 생성합니다.

  • Amazon Elastic Block Store(Amazon EBS)에서 AMIs 지원하는 잘 관리되는 기존 에서 제품을 생성하고 와 같은 신뢰할 수 있고 평판이 좋은 소스에서 제공하는 명확하게 정의된 수명 주기를 사용합니다 AWS Marketplace.

  • 대부분의 up-to-date 운영 체제, 패키지 및 소프트웨어를 AMIs 사용하여 빌드합니다.

  • 하드웨어 가상 머신(HVM) 가상화 및 64비트 아키텍처를 AMI 사용하는 퍼블릭으로 모두 시작해야 AMIs 합니다.

  • 를 빌드, 업데이트 및 다시 게시하기 위한 반복 가능한 프로세스를 개발합니다AMIs.

  • 모든 버전과 제품에서 일관성 있는 운영 체제(OS) 사용자 이름을 사용합니다. ec2-user를 권장합니다.

  • 최종 인스턴스에서 원하는 최종 사용자 환경AMI으로 인스턴스를 구성하고 에 제출하기 전에 모든 설치 방법, 기능 및 성능을 테스트합니다 AWS Marketplace.

  • 다음과 같이 포트 설정을 확인합니다.

    • Linux 기반 AMIs - 유효한 SSH 포트가 열려 있는지 확인합니다. 기본 SSH 포트는 22입니다.

    • Windows 기반 AMIs - RDP 포트가 열려 있는지 확인합니다. 기본 RDP 포트는 3389입니다. 또한 WinRM 포트(기본적으로 5985)는 10.0.0.0/16 및 10.2.0.0/16으로 열려 있어야 합니다.

생성에 대한 자세한 내용은 다음 리소스를 AMI참조하세요.

AMI 용 준비 및 보안 AWS Marketplace

보안 를 생성하려면 다음 지침을 따르는 것이 좋습니다AMIs.

  • Amazon EC2 사용 설명서공유 Linux AMIs 지침 사용

  • 최소 설치로 배포AMI하도록 를 설계하여 공격 표면을 줄입니다. 필요 없는 서비스와 프로그램을 비활성화하거나 제거합니다.

  • 가능하면 네트워크 트래픽에 암호화를 사용합니다 end-to-end. 예를 들어 Secure Sockets Layer(SSL)를 사용하여 사용자와 구매자 간의 HTTP 세션을 보호합니다. 서비스가 유효한 인증서 up-to-date만 사용하는지 확인합니다.

  • AMI 제품에 새 버전을 추가할 때 인스턴스에 대한 인바운드 트래픽 액세스를 제어하도록 보안 그룹을 구성합니다. 서비스의 필수 기능을 제공하는 데 필요한 최소한의 포트 세트에만 액세스를 허용하도록 보안 그룹이 구성되도록 하십시오. 필요한 소스 IP 주소 범위와 최소한의 포트 세트에만 관리 액세스를 허용합니다. AMI 제품에 새 버전을 추가하는 방법에 대한 자세한 내용은 섹션을 참조하세요새 버전 추가.

  • AWS 컴퓨팅 환경에 대해 정기적으로 침투 테스트를 수행하는 것을 고려하거나, 사용자를 대신하여 이러한 테스트를 수행하기 위해 타사를 고용하는 것을 고려하세요. 침투 테스트 요청 양식을 포함한 자세한 내용은 AWS 침투 테스트를 참조하세요.

  • 웹 애플리케이션의 10대 취약성에 주의하며 애플리케이션을 빌드합니다. 자세한 내용은 웹 애플리케이션 보안 프로젝트 열기(OWASP) - 웹 애플리케이션 보안 위험 10가지를 참조하세요. 새 인터넷 취약성이 발견되면 에 제공되는 모든 웹 애플리케이션을 즉시 업데이트합니다AMI. 이 정보를 포함하는 리소스의 예로는 SecurityFocusNIST 국가 취약성 데이터베이스가 있습니다.

보안과 관련된 자세한 내용은 다음 리소스를 참조하세요.

AMI 에서 게시 요구 사항 스캔

새 제품 또는 버전으로 제출AMI하기 전에 를 확인하는 데 도움이 되도록 셀프 서비스 스캔을 사용할 수 있습니다. 셀프 서비스 스캐너는 패치되지 않은 일반적인 취약성 및 노출(CVEs)을 확인하고 보안 모범 사례를 준수하는지 확인합니다. 자세한 내용은 AMI 용 준비 및 보안 AWS Marketplace 단원을 참조하세요.

자산 메뉴에서 Amazon Machine Image를 AWS Marketplace Management Portal선택합니다. 추가AMI를 선택하여 스캔 프로세스를 시작합니다. 이 페이지로 AMIs 돌아가 의 스캔 상태를 확인할 수 있습니다.

참고

에 대한 AWS Marketplace 액세스 권한 부여에 대한 자세한 내용은 섹션을 AMI참조하세요에 대한 AWS Marketplace 액세스 권한 부여 AMI.

소프트웨어가 에서 실행 중인지 확인 AWS Marketplace AMI

런타임 시 소프트웨어가 AMI 제품에서 생성된 Amazon EC2 인스턴스에서 실행되고 있는지 확인하도록 할 수 있습니다.

AMI 제품에서 Amazon EC2 인스턴스가 생성되었는지 확인하려면 Amazon 에 내장된 인스턴스 메타데이터 서비스를 사용합니다EC2. 다음 단계를 따라 검증을 수행할 수 있습니다. 메타데이터 서비스 사용에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서인스턴스 메타데이터 및 사용자 데이터를 참조하세요.

  1. 인스턴스 자격 증명 문서 획득

    실행 중인 각 인스턴스에는 인스턴스에서 액세스할 수 있는 자격 증명 문서가 있으며, 이 문서는 인스턴스 자체에 대한 데이터를 제공합니다. 다음 예제는 인스턴스에서 curl을 사용하여 인스턴스 자격 증명 문서를 검색하는 방법을 보여줍니다.

    curl http://169.254.169.254/latest/dynamic/instance-identity/document
{
   "accountId" : "0123456789",
   "architecture" : "x86_64",
   "availabilityZone" : "us-east-1e",
   "billingProducts" : null,
   "devpayProductCodes" : null,
   "marketplaceProductCodes" : [ "0vg0000000000000000000000" ],
   "imageId" : "ami-0123456789abcdef1",
   "instanceId" : "i-0123456789abcdef0",
   "instanceType" : "t2.medium",
   "kernelId" : null,
   "pendingTime" : "2020-02-25T20:23:14Z",
   "privateIp" : "10.0.0.2",
   "ramdiskId" : null,
   "region" : "us-east-1",
   "version" : "2017-09-30"
}

  2. 인스턴스 자격 증명 문서 확인

    서명을 사용하여 인스턴스 자격 증명이 올바른지 확인할 수 있습니다. 이 프로세스에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서 인스턴스 자격 증명 문서를 참조하세요.

  3. 제품 코드 확인

    게시를 위해 AMI 제품을 처음 제출하면 에서 제품에 제품 코드가 할당됩니다 AWS Marketplace. 인스턴스 자격 증명 문서의 marketplaceProductCodes 필드를 확인하여 제품 코드를 확인할 수도 있고, 메타데이터 서비스에서 직접 제품 코드를 가져올 수도 있습니다.

    curl http://169.254.169.254/latest/meta-data/product-codes
0vg0000000000000000000000

    제품 코드가 제품의 코드와 일치AMI하면 인스턴스가 제품에서 생성된 것입니다.

인스턴스 자격 증명 문서의 다른 정보(예: instanceId 및 인스턴스 privateIp)를 확인하려는 경우도 있습니다.