AMI基于以下产品的要求 AWS Marketplace - AWS Marketplace
安全策略访问策略客户信息策略产品使用策略架构策略AMI产品使用说明

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AMI基于以下产品的要求 AWS Marketplace

AWS Marketplace 对中的所有 Amazon Machine Image (AMI) 商品和报价均遵守以下政策 AWS Marketplace。这些策略为我们的客户提供了一个安全、可靠和值得信赖的平台。

所有产品及其相关元数据在提交时都会经过审核,以确保它们符合或超过当前 AWS Marketplace 政策。这些政策经过审查和调整,以满足不断变化的安全准则。 AWS Marketplace 持续扫描您的产品,以验证它们是否符合安全指南的更改。如果产品不合规, AWS Marketplace 将与您联系以更新您的AMI产品以符合新标准。同样,如果发现新发现的漏洞会影响AMI,我们将要求您提供AMI包含相关更新的更新。在提交之前,您必须使用自助AMI扫描工具AMI。此工具有助于确保AMI符合 AWS Marketplace 政策。

安全策略

所有人都AMIs必须遵守以下安全政策:

  • AMIs不得包含自助AMI扫描工具或 AWS 安全部门检测到的任何已知漏洞、恶意软件或病毒。

  • AMIs必须使用当前支持的操作系统和其他软件包。任何AMI带有 End-of-Life (EoL) 操作系统或其他软件包的版本都将从中除名。 AWS Marketplace您可以使用更新的软件包构建一个新AMI的,然后将其作为新版本发布到 AWS Marketplace。

  • 所有实例身份验证都必须使用密钥对访问权限,而非基于密码的身份验证,即使用户在启动时生成、重置或定义了密码也是如此。AMIs不得出于任何原因包含密码、身份验证密钥、密钥对、安全密钥或其他凭证。

  • AMIs不得请求或使用用户的访问权限或密钥来访问 AWS 资源。如果您的AMI应用程序需要用户访问权限,则必须通过实例化的 AWS Identity and Access Management (IAM) 角色来实现 AWS CloudFormation,该角色将创建实例并关联相应的角色。当为采用 AWS CloudFormation 交付方式的产品启用单次AMI启动时,相应的使用说明必须包括创建最低权限IAM角色的明确指导。有关更多信息,请参阅 使用以下方式交付AMI基于您的产品 AWS CloudFormation

  • 基于 Linux 的AMIs不得允许SSH密码身份验证。可以通过 sshd_config 文件将 PasswordAuthentication 设置为 NO 以禁用密码身份验证。

访问策略

访问策略分为三类:一般策略、Linux 特定策略和 Windows 特定策略。

一般访问策略

所有人AMIs必须遵守以下一般访问政策:

  • AMIs必须允许操作系统 (OS) 级别的管理功能以满足合规性要求、漏洞更新和日志文件访问。基于 Linux 的AMIs使用SSH和基于 Windows AMIs 的使用。RDP

  • AMIs不得包含授权密码或授权密钥。

  • AMIs不得使用固定密码进行管理访问。AMIs必须改用随机密码。一种替代的实施是检索实例元数据并将 instance_id 作为密码。在允许管理员设置或更改自己的凭证之前,必须提示管理员输入该随机密码。有关检索实例元数据的信息,请参阅 Amazon 用户指南中的实例元数据和EC2用户数据。

  • 您不得具有访问客户的运行实例的权限。客户必须明确启用任何外部访问权限,并且默认情况下AMI必须关闭内置的任何可访问性。

特定于 Linux(或类似 Unix)的访问策略

基于 Linux 或类似 UNIX 的AMIs必须遵守以下访问策略以及一般访问策略:

  • AMIs必须禁用基于密码的远程登录。

  • AMIs必须禁用 root 用户远程登录。

  • AMIs必须允许用户获得管理员控制权才能执行 root 功能。例如,允许sudo访问基于 Linux 的操作系统。对于其他系统,请允许完全权限级别的访问权限。

  • AMIs必须记录审计跟踪的根活动。

  • AMIs不得包含操作系统用户的授权密码。

  • AMIs不得包含授权密钥。

  • AMIs根密码不能为空或为空。

特定于 Windows 的访问策略

基于 Windows 的用户AMIs必须遵守以下访问策略以及一般访问策略:

  • 对于 Windows Server 2016 和更高版本,请使用 EC2Launch

  • 对于 Windows Server 2012 R2 和更早版本,请使用最新版本的 Ec2ConfigService 并启用 Ec2SetPasswordEc2WindowsActivateEc2HandleUserData

  • 不允许删除来宾账户和远程桌面用户。

客户信息策略

所有人都AMIs必须遵守以下客户信息政策:

  • 除非BYOL(自带许可证)要求,否则软件不得在客户不知情和明确同意的情况下收集或导出客户数据。收集或导出客户数据的应用程序必须遵循以下准则:

    • 客户数据收集必须是自助服务、自动化和安全的。买家无需等待卖家批准即可部署软件。

    • 必须在列表的描述或使用说明中明确说明对买家数据的要求。这包括收集的内容、客户数据的存储位置以及如何使用这些数据。例如,此产品会收集您的姓名和电子邮件地址。此信息由 <company name> 发送并由其存储。此信息将仅用于就 <product name> 问题联系买家。

    • 不得收集付款信息。

产品使用策略

所有人AMIs必须遵守以下产品使用政策:

  • 产品不得按时间、用户数或其他条件限制对产品或产品功能的访问。不支持测试版和预发布产品,也不支持唯一目的是提供试用或评估功能的产品。支持开发者、社区和商业软件BYOL版本,前提是中还提供同等的付费版本 AWS Marketplace。

  • 所有这些都AMIs必须与 “从网站启动” 体验或AMI基于网站的交付兼容 AWS CloudFormation。对于 Launch from Website,AMI不能要求在创建实例时提供客户或用户数据才能正常运行。

  • AMIs而且他们的软件必须能够以自助方式部署,并且不得要求额外的支付方式或费用。部署时需要外部依赖的应用程序必须遵循以下准则:

    • 必须在列表的描述或使用说明中披露该要求。例如,此产品需要互联网连接才能正确部署。部署时会下载以下软件包:<list of package>。

    • 卖家需对所有外部依赖的使用负责,并确保其可用性和安全性。

    • 如果外部依赖关系不再可用,则还必须从中 AWS Marketplace 删除该产品。

    • 外部依赖项不得要求额外的付款方式或费用。

  • AMIs需要持续连接不受买方直接控制的外部资源(例如,外部资源或由卖方APIs或第三方 AWS 服务 管理的资源),必须遵循以下准则:

    • 必须在列表的描述或使用说明中披露该要求。例如,此产品需要持续的互联网连接。需要以下持续的外部服务才能正常运行:<list of resources>。

    • 卖家需对所有外部资源的使用负责,并确保其可用性和安全性。

    • 如果外部资源不再可用,则还必须从中 AWS Marketplace 移除该产品。

    • 外部资源不得要求额外的付款方式或费用,并且必须自动设置连接。

  • 产品软件和元数据不得包含将用户重定向到 AWS Marketplace中未提供的其他云平台、其他产品或追加销售服务的语言。

  • 如果您的产品是其他产品或其他ISV产品的附加产品,则您的产品描述必须表明它扩展了其他产品的功能,如果没有该产品,则您的产品的实用性非常有限。例如,本产品扩展了 <product name> 的功能,如果没有它,则该产品的应用将受到限制。请注意,<product name> 可能需要自己的许可才能使用此列表的全部功能。

架构策略

所有人都AMIs必须遵守以下架构政策:

  • 来源AMIs AWS Marketplace 必须在美国东部(弗吉尼亚北部)地区提供。

  • AMIs必须使用HVM虚拟化。

  • AMIs必须使用 64 位或 64 位架构ARM。

  • AMIs必须AMIs由亚马逊 Elastic Block Store(亚马逊EBS)提供支持。我们不AMIs支持由亚马逊简单存储服务 (Amazon S3) 提供支持。

  • AMIs不得使用加密的EBS快照。

  • AMIs不得使用加密的文件系统。

  • AMIs必须进行构建,以便它们可以全部运行 AWS 区域 并且不受区域限制。AMIs不允许为不同的地区以不同的方式构建。

AMI产品使用说明

为AMI产品创建使用说明时,请按照中的步骤和指南进行操作创建AMI和容器产品使用说明 AWS Marketplace