2011 年 6 月 4 日
使用 Amazon 系统映像 (AMI) 时,请务必采取适当的预防措施,确保公开共享重要凭证时不会将其意外地遗留在 AMI 上。最近,我们注意到一些客户无意间创建并公开共享凭证的情况。
如果 AWS 发现客户在已创建并共享的公用 AMI 中无意间公开 AWS 和第三方访问凭证,AWS 会联系这些客户,建议他们将相关 AMI 设为私有并立即更改已公开的凭证。如果无法立即联系到受影响的客户,AWS 会代表该客户将相关 AMI 设为私有,以便防止进一步公开其个人 AWS 和第三方访问凭证。
如果 AWS 发现公用 AMI 中包含预安装的安全外壳 (SSH) 公钥,而该密钥可允许 AMI 发布者远程访问该 AMI 的任何运行实例,则 AWS 会联系 AMI 发布者并要求他将相关 AMI 设为私有。如果无法立即联系到 AMI 发布者,或发布者未迅速根据要求将相关 AMI 设为私有,则 AWS 会将相关 AMI 设为私有以保护客户。此外,所有运行此受影响 AMI 的实例的确定客户都会收到通知,我们将建议他们删除有问题的预安装 SSH 公钥,从而有效阻止 AMI 发布者的远程访问。我们还会强烈建议运行此受影响 AMI 的实例的确定客户备份现有数据并迁往新的 AMI(如果有)。
我们尚未收到有关这些漏洞被利用的报告。本文档旨在提醒用户,一定要在 AMI 中彻底搜索并删除任何重要凭证后才可公开。本文档旨在提醒用户,一定要在 AMI 中彻底搜索并删除任何重要凭证后才可公开。可在此处找到关于如何安全共享并使用公用 AMI 的教程:http://aws.amazon.com/articles/0155828273219400
可在此处找到关于安全共享 AMI 的更多指南:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
遵循上述指南可提升用户体验,有助于确保用户实例安全并保护 AMI 发布者。
客户可通过 aws-security@amazon.com 向 AWS Security 报告与公用 AMI 相关的任何安全疑问