Ai đứng sau AMI cộng đồng trên Amazon EC2?


19

Tôi đã sử dụng AWS trong nhiều năm, nhưng chưa bao giờ mạo hiểm bên ngoài Quick StartAWS Marketplacecác phần khi khởi chạy một phiên bản EC2.

Các AMI từ AWS Marketplacevẻ ngoài đáng tin cậy, họ có một liên kết đến hồ sơ người bán, vv.:

nhập mô tả hình ảnh ở đây

So sánh điều này với các AMI cộng đồng, dường như xuất hiện ngoài không khí, không có thông tin nào về việc ai đã tạo ra và tải nó lên:

nhập mô tả hình ảnh ở đây

Làm thế nào để biết Cộng đồng AMI đến từ đâu? Những điều này có thể được tin tưởng?


5
Tôi biết đây không phải là câu hỏi của bạn, nhưng nếu bạn đang tìm kiếm hình ảnh cứng từ một nguồn có uy tín, hãy xem CIS Hardened Images . Họ có hình ảnh cho hầu hết các nhà cung cấp đám mây lớn.
Tim

Câu trả lời:


23

Bất kỳ người dùng AWS nào cũng có thể tạo AMI cộng đồng bằng cách công khai và chia sẻ với mọi người. Vì vậy, câu trả lời chỉ là về bất cứ ai có thể đã tạo ra cộng đồng AMI đó.

Mặc dù nhiều người có thể ổn, theo ý kiến ​​của tôi theo mặc định, bạn không thể tin tưởng họ.

Liên quan đến người tạo cụ thể của AMI trong câu hỏi, có vẻ như thông tin cụ thể của người dùng có sẵn là trường Chủ sở hữu, đó là ID tài khoản AWS của chủ sở hữu hình ảnh.

Dưới đây là một ví dụ lệnh AWS Cli để lấy thông tin đó:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Thay thế "gs5mba4yp26bsyx57" bằng id ami bạn muốn kiểm tra.)

Điều này sẽ trả về rất nhiều thông tin về hình ảnh, bao gồm cả trường Chủ sở hữu.


1
Cảm ơn con trỏ. Vì vậy, theo tôi hiểu, bất kỳ ai cũng có thể đặt bất cứ thứ gì vào đó, mà không cần bất kỳ xác minh nào từ AWS, vì vậy những hình ảnh này không thể tin cậy được, và hoàn toàn không có cách nào để biết ai đã tạo ra chúng?
Benjamin

Theo như tôi có thể nói, bạn chỉ có thể xác định ID tài khoản của người tạo. Tôi đã thêm thông tin này vào câu trả lời của tôi.
vjones

5

và hoàn toàn không có cách nào để biết ai đã tạo ra chúng?

Bạn đang nhìn sai hướng! Niềm tin của bạn vào cộng đồng AMI nên đến từ bên ngoài Amazon. Ví dụ: nếu bạn tin tưởng getfedora.org, bạn có thể tin tưởng vào cộng đồng AMIs mà nó tham chiếu (như đã lưu ý trong câu trả lời này cho một câu hỏi liên quan chặt chẽ , mặc dù liên kết đã bị hỏng).

Tương tự, Ubuntu có https://cloud-images.ubfox.com/locator/ec2/ (mặc dù tôi không chắc những AMI đó có phải là cộng đồng hay không).

Có rất nhiều dự án khác liệt kê các AMI cộng đồng "chính thức" của riêng họ. Tôi không thể tìm thấy danh sách chính thức cho CentOS có thể bao gồm AMI mà bạn đã tham chiếu trong bài đăng, nhưng bạn luôn có thể thử hỏi những người bảo trì dự án nếu AMI được tạo bởi họ trong khả năng chính thức.


Chắc chắn, nhìn theo cách này là ổn, và TBH thật kỳ lạ khi EC2 cung cấp một công cụ tìm kiếm trả về AMI cộng đồng, họ chỉ có thể cho phép bạn sử dụng chúng nếu bạn biết ID của họ. Tôi đoán điều này có thể hữu ích để thử một số thứ mà an ninh không thành vấn đề.
Benjamin

1
Đã đồng ý; Tôi không biết lý do tại sao họ cung cấp một tìm kiếm bằng bất cứ thứ gì khác ngoài chính AMI ID. Khám phá chúng theo cách đó chỉ là rủi ro.
Dave
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.