Wer steht hinter Community-AMIs auf Amazon EC2?

19

Ich verwende AWS seit Jahren, habe mich aber beim Starten einer EC2-Instanz noch nie außerhalb der Abschnitte Quick Startund gewagt AWS Marketplace.

Die AMIs sehen aus AWS Marketplacewie vertrauenswürdig, sie haben einen Link zum Verkäuferprofil usw .:

Bildbeschreibung hier eingeben

Vergleichen Sie dies mit Community-AMIs, die scheinbar aus dem Nichts kommen und keinerlei Informationen darüber enthalten, wer sie erstellt und hochgeladen hat:

Bildbeschreibung hier eingeben

Wie kann man wissen, woher ein Community-AMI kommt? Kann man diesen vertrauen?

amazon-web-services amazon-ec2 amazon-ami Benjamin
quelle
5
Ich weiß, das ist nicht Ihre Frage, aber wenn Sie nach gehärteten Bildern aus einer seriösen Quelle suchen, schauen Sie sich die CIS Hardened Images an . Sie haben Bilder für die meisten großen Cloud-Anbieter.
Tim,

Antworten:

23

Jeder AWS-Benutzer kann ein Community-AMI erstellen, indem er es öffentlich macht und für alle freigegeben wird. Die Antwort ist also so gut wie jeder, der diese Community-AMI hätte erstellen können.

Während viele wahrscheinlich in Ordnung sind, können Sie ihnen meiner Meinung nach nicht standardmäßig vertrauen.

In Bezug auf den bestimmten Ersteller des fraglichen AMI scheint es, dass die einzigen verfügbaren benutzerspezifischen Informationen das Feld OwnerId sind, bei dem es sich um die AWS-Konto-ID des Bildbesitzers handelt.

Hier ein Beispiel für einen AWS Cli-Befehl zum Abrufen dieser Informationen:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Ersetzen Sie "gs5mba4yp26bsyx57" durch die ami-ID, die Sie überprüfen möchten.)

Dadurch werden viele Informationen zum Bild zurückgegeben, einschließlich des Felds OwnerId.

vjones
quelle
1
Danke für den Hinweis. So wie ich es verstehe, kann jeder etwas darin ablegen, ohne dass dies von AWS überprüft wurde. Diese Bilder können also nicht als vertrauenswürdig eingestuft werden, und es gibt absolut keine Möglichkeit zu wissen, wer sie erstellt hat.
Benjamin
Soweit ich das beurteilen kann, kann man nur die Account ID des Erstellers ermitteln. Ich habe diese Informationen zu meiner Antwort hinzugefügt.
vjones
5

und es gibt absolut keine Möglichkeit zu wissen, wer sie geschaffen hat?

Sie schauen in die falsche Richtung! Ihr Vertrauen in Community-AMIs sollte von außerhalb von Amazon kommen. Wenn Sie beispielsweise vertrauen getfedora.org, können Sie den Community-AMIs, auf die sie verweisen, vertrauen (wie in dieser Antwort auf eine eng verwandte Frage angegeben , obwohl der Link inzwischen unterbrochen wurde).

Ebenso hat Ubuntu https://cloud-images.ubuntu.com/locator/ec2/ (obwohl ich nicht sicher bin, ob diese AMIs Community sind oder nicht).

Es gibt viele andere Projekte, die ihre eigenen "offiziellen" Community-AMIs auflisten. Ich konnte keine offizielle Liste für CentOS finden, die die AMI enthält, auf die Sie in der Veröffentlichung verwiesen haben, aber Sie können immer versuchen, die Projektbetreuer zu fragen, ob die AMI von ihnen in offizieller Funktion erstellt wurde.

Dave
quelle
Sicher, so zu sehen ist in Ordnung, und TBH, es ist seltsam, dass EC2 eine Suchmaschine anbietet, die Community-AMIs zurückgibt. Sie könnten es Ihnen nur erlauben, sie zu verwenden, wenn Sie ihre ID kennen. Ich denke, dies könnte nützlich sein, um einige Dinge auszuprobieren, bei denen die Sicherheit keine Rolle spielt.
Benjamin
1
Einverstanden; Ich weiß nicht, warum sie eine Suche nach etwas anderem als der AMI-ID selbst anbieten. Sie auf diese Weise zu entdecken, ist von Natur aus riskant.
Dave