Quem está por trás das AMIs da comunidade no Amazon EC2?

19

Uso a AWS há anos, mas nunca me aventurei fora das seções Quick Starte AWS Marketplaceao iniciar uma instância do EC2.

As AMIs com AWS Marketplaceaparência confiável, possuem um link para o perfil do vendedor, etc .:

insira a descrição da imagem aqui

Compare isso com as AMIs da comunidade, que parecem aparecer do nada, sem nenhuma informação sobre quem diabos criou e fez o upload:

insira a descrição da imagem aqui

Como saber de onde vem uma AMI comunitária? Estes podem ser confiáveis?

amazon-web-services amazon-ec2 amazon-ami Benjamin
fonte
5
Sei que essa não é sua pergunta, mas se você estiver procurando imagens reforçadas de uma fonte respeitável, consulte as Imagens endurecidas da CIS . Eles têm imagens para a maioria dos grandes provedores de nuvem.
Tim

Respostas:

23

Qualquer usuário da AWS pode criar uma AMI da comunidade , tornando-a pública e compartilhada com todos. Portanto, a resposta é sobre qualquer um que possa ter criado a AMI da comunidade.

Enquanto muitos provavelmente estão bem, na minha opinião você não pode confiar neles por padrão.

Em relação ao criador específico da AMI em questão, parece que as únicas informações específicas do usuário disponíveis são o campo OwnerId, que é o ID da conta da AWS do proprietário da imagem.

Aqui está um exemplo de comando da AWS Cli para obter essas informações:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Substitua "gs5mba4yp26bsyx57" pelo ID da ami que você deseja examinar.)

Isso retornará muitas informações sobre a imagem, incluindo o campo OwnerId.

vjones
fonte
1
Obrigado pelo ponteiro. Pelo que entendi, qualquer um pode colocar qualquer coisa lá, sem qualquer verificação da AWS, para que essas imagens não sejam confiáveis, e não há absolutamente nenhuma maneira de saber quem as criou?
Benjamin
Até onde sei, você pode determinar apenas o ID da conta do criador. Eu adicionei esta informação à minha resposta.
vjones
5

e não há absolutamente nenhuma maneira de saber quem os criou?

Você está olhando na direção errada! Sua confiança nas AMIs da comunidade deve vir de fora da Amazônia. Por exemplo, se você confia getfedora.org, pode confiar nas AMIs da comunidade a que faz referência (conforme observado nesta resposta a uma pergunta intimamente relacionada , embora o link tenha sido quebrado desde então).

Da mesma forma, o Ubuntu possui https://cloud-images.ubuntu.com/locator/ec2/ (embora eu não tenha certeza se essas AMIs são comunitárias ou não).

Existem muitos outros projetos que listam suas próprias AMIs "oficiais" da comunidade. Não consegui encontrar uma lista oficial do CentOS que pudesse incluir a AMI que você referenciou na postagem, mas você sempre pode perguntar aos mantenedores do projeto se a AMI foi criada por eles em uma capacidade oficial.

Dave
fonte
Certamente, olhar dessa maneira é bom, e TBH é meio estranho que o EC2 ofereça um mecanismo de pesquisa que retorne AMIs da comunidade; eles apenas permitiriam que você os usasse se souber o seu ID. Eu acho que isso pode ser útil para experimentar algumas coisas em que a segurança não importa.
Benjamin
1
Acordado; Não sei por que eles oferecem uma pesquisa por outra coisa que não seja o próprio ID da AMI. Descobri-los dessa maneira é apenas inerentemente arriscado.
Dave