Kto stoi za AMI społeczności na Amazon EC2?


19

Korzystam z AWS od lat, ale nigdy nie zapuszczałem się poza sekcje Quick Starti AWS Marketplacepodczas uruchamiania instancji EC2.

AMI z AWS Marketplacewyglądu wyglądają na godne zaufania, mają link do profilu sprzedawcy itp .:

wprowadź opis zdjęcia tutaj

Porównaj to z AMI społeczności, które wydają się znikąd, bez żadnych informacji o tym, kto do cholery je stworzył i przesłał:

wprowadź opis zdjęcia tutaj

Jak się dowiedzieć, skąd pochodzi wspólnotowa AMI? Czy można im zaufać?


5
Wiem, że to nie twoje pytanie, ale jeśli szukasz utwardzonych obrazów z renomowanego źródła, spójrz na obrazy CIS Hardened . Posiadają obrazy dla większości dużych dostawców chmury.
Tim

Odpowiedzi:


23

Każdy użytkownik AWS może utworzyć społeczność AMI , upubliczniając ją i udostępniając wszystkim. Więc odpowiedź jest prawie taka, że ​​każdy mógł stworzyć tę społeczność AMI.

Chociaż wiele z nich jest prawdopodobnie w porządku, moim zdaniem domyślnie nie można im ufać.

W odniesieniu do konkretnego twórcy AMI, o którym mowa, wydaje się, że jedyne dostępne informacje specyficzne dla użytkownika to pole OwnerId, które jest identyfikatorem konta AWS właściciela obrazu.

Oto przykładowe polecenie AWS Cli, aby uzyskać te informacje:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Zamień „gs5mba4yp26bsyx57” na identyfikator ami, który chcesz sprawdzić.)

Zwróci to wiele informacji o obrazie, w tym pole OwnerId.


1
Dzięki za wskaźnik. Tak więc, jak rozumiem, każdy może włożyć w to wszystko, bez żadnej weryfikacji ze strony AWS, więc nie można ufać tym obrazom i absolutnie nie ma sposobu, aby wiedzieć, kto je stworzył?
Benjamin

O ile mi wiadomo, możesz jedynie określić identyfikator konta twórcy. Dodałem tę informację do mojej odpowiedzi.
vjones

5

i absolutnie nie ma sposobu, aby wiedzieć, kto je stworzył?

Patrzysz w złym kierunku! Twoje zaufanie do AMI społeczności powinno pochodzić spoza Amazonii. Na przykład, jeśli ufasz getfedora.org, możesz zaufać społecznościom AMI, do których się odwołuje (jak zauważono w tej odpowiedzi na ściśle powiązane pytanie , chociaż łącze się zepsuło).

Podobnie Ubuntu ma https://cloud-images.ubuntu.com/locator/ec2/ (chociaż nie jestem pewien, czy te AMI są społecznościowe, czy nie).

Istnieje wiele innych projektów, które wymieniają własne „oficjalne” AMI społeczności. Nie mogłem znaleźć oficjalnej listy dla CentOS, która może zawierać AMI, o którym wspomniałeś w poście, ale zawsze możesz spróbować zapytać opiekunów projektu, czy AMI zostało przez nich utworzone w oficjalny sposób.


Jasne, patrzenie na to w ten sposób jest w porządku, a TBH to trochę dziwne, że EC2 oferuje wyszukiwarkę, która zwraca AMI społeczności, mogą po prostu pozwolić ci ich użyć, jeśli znasz ich identyfikator. Myślę, że może to być przydatne, aby wypróbować niektóre rzeczy, w których bezpieczeństwo nie ma znaczenia.
Benjamin

1
Zgoda; Nie wiem, dlaczego oferują wyszukiwanie według czegoś innego niż sam identyfikator AMI. Odkrycie ich w ten sposób jest z natury ryzykowne.
Dave
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.