Siapa di belakang AMI komunitas di Amazon EC2?

19

Saya telah menggunakan AWS selama bertahun-tahun, tetapi tidak pernah memberanikan diri di luar bagian Quick Startdan AWS Marketplaceketika meluncurkan contoh EC2.

AMI dari AWS Marketplacetampilan terpercaya, mereka memiliki tautan ke profil penjual, dll .:

masukkan deskripsi gambar di sini

Bandingkan ini dengan AMI komunitas, yang tampaknya tidak terlihat, tanpa informasi apa pun tentang siapa yang dibuat dan diunggah:

masukkan deskripsi gambar di sini

Bagaimana cara mengetahui dari mana AMI Komunitas berasal? Bisakah ini dipercaya?

Benjamin
sumber
5
Saya tahu ini bukan pertanyaan Anda, tetapi jika Anda mencari gambar yang diperkeras dari sumber terpercaya, lihat CIS Hardened Images . Mereka memiliki gambar untuk sebagian besar penyedia cloud besar.
Tim

Jawaban:

23

Setiap pengguna AWS dapat membuat AMI komunitas dengan menjadikannya publik dan dibagikan dengan semua orang. Jadi jawabannya adalah siapa saja bisa menciptakan komunitas AMI itu.

Meskipun banyak yang mungkin baik-baik saja, menurut pendapat saya, Anda tidak dapat memercayai mereka secara default.

Mengenai pencipta khusus AMI yang dimaksud, tampaknya satu-satunya informasi khusus pengguna yang tersedia adalah bidang OwnerId, yang merupakan ID akun AWS dari pemilik gambar.

Berikut ini contoh perintah AWS Cli untuk mendapatkan informasi itu:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Ganti "gs5mba4yp26bsyx57" dengan id ami yang ingin Anda periksa.)

Ini akan mengembalikan banyak informasi tentang gambar, termasuk bidang OwnerId.

vjones
sumber
1
Terima kasih untuk penunjuknya. Jadi seperti yang saya pahami, siapa pun dapat meletakkan apa saja di sana, tanpa verifikasi dari AWS, sehingga gambar-gambar ini tidak dapat dipercaya, dan sama sekali tidak ada cara untuk mengetahui siapa yang membuatnya?
Benjamin
Sejauh yang saya tahu, Anda hanya dapat menentukan ID Akun pencipta. Saya menambahkan informasi ini ke jawaban saya.
vjones
5

dan sama sekali tidak ada cara untuk mengetahui siapa yang menciptakannya?

Anda melihat ke arah yang salah! Kepercayaan Anda pada AMI komunitas harus berasal dari luar Amazon. Misalnya, jika Anda percaya getfedora.org, Anda dapat mempercayai referensi komunitas AMI (seperti yang tercantum dalam jawaban ini untuk pertanyaan yang berkaitan erat , meskipun tautannya telah terputus).

Demikian pula Ubuntu memiliki https://cloud-images.ubuntu.com/locator/ec2/ (meskipun saya tidak yakin apakah AMI itu komunitas atau tidak).

Ada banyak proyek lain yang mendaftar AMI komunitas "resmi" mereka sendiri. Saya tidak dapat menemukan daftar resmi untuk CentOS yang mungkin menyertakan AMI yang Anda referensikan dalam posting, tetapi Anda selalu dapat mencoba bertanya kepada pengelola proyek apakah AMI dibuat oleh mereka dalam kapasitas resmi.

Dave
sumber
Tentu, melihatnya dengan cara ini tidak apa-apa, dan TBH agak aneh bahwa EC2 menawarkan mesin pencari yang mengembalikan AMI komunitas, mereka hanya dapat memungkinkan Anda untuk menggunakannya jika Anda tahu ID mereka. Saya kira ini mungkin berguna untuk mencoba beberapa hal di mana keamanan tidak masalah.
Benjamin
1
Sepakat; Saya tidak tahu mengapa mereka menawarkan pencarian selain ID AMI itu sendiri. Menemukan mereka seperti itu pada dasarnya berisiko.
Dave