Domande frequenti su EC2 Image Builder

Domande generali

EC2 Image Builder semplifica la creazione, la manutenzione, la convalida, la condivisione e la distribuzione di immagini di Linux o Windows da usare con Amazon EC2 e in locale.

Miglioramento della produttività IT

EC2 Image Builder semplifica il processo di creazione, manutenzione e distribuzione di immagini sicure e conformi, senza il bisogno di scrivere e mantenere nessun codice di automazione. Con Image Builder, sgravi l'automazione, liberi risorse e risparmi tempo.

Sicurezza più semplice

Con EC2 Image Builder puoi creare immagini solamente con i componenti essenziali; in questo modo riduci il rischio di esposizione a vulnerabilità per la sicurezza. Puoi inoltre adottare le impostazioni di sicurezza di AWS per ottenere un ulteriore livello di sicurezza e soddisfare i criteri di sicurezza interni.

Semplice gestione delle immagini sia su AWS che in locale

Unitamente ad AWS VM Import/Export (VMIE), EC2 Image Builder ti consente di creare e mantenere immagini oro per Amazon EC2 (AMI) e nei formati VM in locale (VHDX, VMDK e OVF).

Supporto di convalida integrato

EC2 Image Builder ti consente di convalidare facilmente le immagini con i test forniti da AWS e i tuoi test prima di utilizzarle nella produzione. In questo modo, si riducono gli errori generalmente riscontrabili nelle immagini, dovuti a carenza di test, che possono causare tempi di inattività. Le policy possono essere impostate in modo che distribuiscano le immagini a regioni AWS specifiche solo dopo che queste hanno superato determinati test prestabiliti da te.

Applicazione centralizzata delle policy

EC2 Image Builder consente il controllo delle versioni per una gestione semplificata delle revisioni. Si integra con AWS Resource Access Manager e AWS Organizations per consentire la condivisione di script di automazione, istruzioni e immagini tra tutti gli account AWS. Image Builder consente inoltre ai team IT e di sicurezza delle informazioni di attuare meglio le policy e la conformità sulle immagini.

Puoi utilizzare Image Builder con la Console AWS, AWS CLI o le API per creare immagini nel tuo account AWS. Se utilizzato con la Console AWS, Image Builder mette a disposizione una procedura guidata che si sviluppa nelle seguenti fasi:

  • Fase 1: messa a disposizione di un'immagine di base del sistema operativo 
  • Fase 2: selezione di un software per l'installazione 
  • Fase 3: selezione ed esecuzione di test 
  • Fase 4: distribuzione delle immagini alle regioni selezionate

Le immagini che crei si trovano nel tuo account AWS e possono essere configurate per venire aggiornate in modo continuativo. Puoi monitorare il progresso e ricevere notifiche degli eventi Cloudwatch per la risoluzione di problemi e il debug. Oltre a produrre l’immagine finale, Image Builder genera inoltre un file "istruzioni" che può essere usato con i sistemi di controllo di versione esistenti del codice sorgente e le pipeline CI/CD per un'automazione ripetibile.

Unitamente ad AWS VM Import/Export (VMIE), EC2 Image Builder ti consente di creare e mantenere immagini perfette per Amazon EC2 (AMI) e nei formati VM on-premise (VHDX, VMDK e OVF). Puoi utilizzare un AMI già esistente (sia personalizzato sia selezionato da una lista di immagini gestite da Image Builder) come punto di partenza per il tuo processo di costruzione di immagini. In alternativa, puoi usare VMIE per importare un'immagine dai formati VMDK, VHDX o OVF in un AMI, per poi impiegarlo come punto di partenza per la tua costruzione di immagini. L'immagine finale è generata in formato AMI, che può essere esportato nei formati VHDX, VMDK e OVF tramite VMIE.

Image Builder supporta:

  • Amazon Linux 2
  • Windows Server 2012, 2016 e 2019
  • Ubuntu Server 16 e 18
  • Red Hat Enterprise Linux (RHEL) 7 e 8
  • Cent OS 7 e 8
  • SUSE Linux Enterprise Server (SLES) 15

Image Builder elabora immagini del server in formato AMI. Puoi utilizzare VMIE per esportare questi AMI nei formati VHDX, VMDK o OVF per uso on-premise.

Un'istruzione di Image Builder è un file che rappresenta lo stato finale delle immagini prodotte dalle pipeline di automazione e che ti consente di ripetere le creazioni in maniera deterministica. Le istruzioni possono essere condivise, diramate e modificate al di fuori dell’interfaccia utente di Image Builder. Puoi usare le istruzioni con il software di controllo di versione per conservare istruzioni controllate dalla versione utilizzabile per condividere e tracciare modifiche.

Image Buider viene offerto gratuitamente. L’unico costo previsto è quello per le risorse AWS di base usate per creare, salvare e condividere le immagini.  

Patch continuo per immagini aggiornate

Le nuove immagini possono essere configurate per essere generate in base a trigger, come ogni volta che c'è un aggiornamento in sospeso (ad esempio, aggiornamenti AMI sorgente, aggiornamenti di sicurezza, aggiornamenti di conformità, nuovi test, ecc.), oppure a cadenza prestabilita. Puoi specificare una "cadenza di creazione", in base alla quale vengono prodotte nuove immagini oro con le ultime modifiche applicando le modifiche in sospeso. Le immagini più recenti possono essere testate con Image Builder per convalidare le applicazioni sulle build aggiornate. Puoi inoltre abbonarti alle notifiche tramite code SNS per gli aggiornamenti in sospeso delle immagini create con Image Builder. Puoi usare queste notifiche come trigger per creare nuove immagini.

Personalizzazione di immagini

Puoi personalizzare le immagini software da origini software registrate, come i repository di pacchetti RPM/Debian, MSI e programmi di installazione personalizzati su Windows. Oltre alle sorgenti software AWS pre-registrate, puoi anche registrare uno o più repository e posizioni di Amazon S3 che contengono software per l'installazione. Puoi fornire meccanismi "unattend" specifici dell’installatore (come i file di risposta) per i flussi di lavori di installazione che richiedono un input interattivo.

Impostazioni predefinite per soddisfare i requisiti di sicurezza e di conformità

Image Builder ti consente di definire raccolte di impostazioni di sicurezza che puoi modificare, aggiornare e usare per cementare le immagini create usando Image Builder. Queste raccolte di impostazioni possono essere applicate per soddisfare i criteri di conformità applicabili. Tali criteri possono essere imposti dalla tua organizzazione o dall’autorità di regolamentazione del tuo settore. AWS fornisce una galleria di impostazioni utili per aiutarti a soddisfare le regolamentazioni più comuni del settore. Puoi applicare raccolte di impostazioni direttamente o in un modulo modificato. Ad esempio, le impostazioni fornite da AWS per STIG chiudono le porte aperte non necessarie e abilitano il firewall software.

No, le raccolte di impostazioni di AWS fungono da guida per raggiungere la conformità, ma non la garantiscono. Per convalidare la conformità, dovrai collaborare con revisori e team di conformità. Le impostazioni fornite da AWS possono essere modificate in base alle tue esigenze e salvate nella galleria per poter essere riutilizzate.

Le raccolte di impostazioni possono essere create da zero o derivare da modelli forniti da AWS e memorizzate in una posizione registrata di Amazon S3. Puoi costruire raccolte che applichino impostazioni di sicurezza specifiche, come ad esempio la garanzia dell'applicazione di patch di sicurezza, l’installazione di firewall, la chiusura di alcune porte, l’impedimento della condivisione di file tra programmi, l’installazione di anti-malware, la creazione di password forti, la manutenzione di un backup, l’utilizzo della crittografia quando possibile, la disattivazione della crittografia debole, i controlli di log/audit, la rimozione dei dati personali, ecc. Puoi aggiungere le tue impostazioni personalizzate alla galleria.

Test

Il framework dei test in Image Builder ti consente di rilevare le incompatibilità introdotte dagli aggiornamenti del sistema operativo prima della distribuzione alle regioni AWS. Puoi eseguire sia test propri che i test forniti da AWS, gestire le sessioni di test, i risultati e le operazioni di gate downstream al superamento dei test. Alcuni esempi di test fornito da AWS sono: test di verifica che l’AMI si avvii alla richiesta di accesso, test di verifica che l’AMI riesca a eseguire un’app di prova ecc. Puoi eseguire anche i tuoi test sulle immagini.

Ciascun test in Image Builder consiste in uno script di test, un binario di test e in metadati dei test. Lo script di test contiene comandi di orchestrazione per avviare il binario di test che può essere scritto in qualsiasi linguaggio e in qualsiasi framework di test supportato dal sistema operativo (ad esempio, PowerShell su Windows e bash, python, ruby, ecc. su Linux) e i codici di stato di uscita indicano i risultati dei test. I metadati dei test includono attributi quali nome, descrizione, percorsi al binario di test, durata prevista, ecc.

Distribuzione e condivisione

Image Builder si integra con AWS Organizations per permettere la condivisione di AMI tra più account AWS utilizzando meccanismi esistenti. Image Builder può modificare i permessi di lancio delle AMI per controllare quali account AWS oltre all’account proprietario sono autorizzati a lanciare macchine virtuali EC2 con l’AMI (ad es. privato, pubblico e condiviso con account specifici). Puoi anche fare in modo che l’account master di AWS Organization applichi i vincoli sugli account dei membri per lanciare istanze solo con AMI approvate e conformi. Consulta la documentazione di Image Builder per ulteriori informazioni sull’integrazione con AWS Organizations.

Image Builder utilizza Amazon ECR (un servizio gestito per registri di container) sia come input che come output per le immagini di container. Puoi configurare policy per gestire le autorizzazioni per ciascun repository e limitare l'accesso a utenti IAM, ruoli o account AWS. ECR si integra con RAM e AWS Organizations per consentire la condivisione, la distribuzione e la replica delle immagini di container tra varie regioni e account. ECR utilizza le policy IAM per il controllo degli accessi alle risorse.

Image Builder può copiare AMI in regioni AWS selezionate usando meccanismi di condivisione delle AMI esistenti. La distribuzione può essere controllata in base al superamento dei test con Image Builder.

Image Builder può integrarsi con i servizi AWS CI/CD come Code Build e Code Pipeline consentendo di attuare una pipeline CI/CD end-to-end per creare, testare e distribuire le AMI.

Risoluzione di problemi e debug

Image Builder tiene traccia e mostra il progresso di ciascuna fase nel processo di creazione dell’immagine. Inoltre, può emettere i log su CloudWatch. Per una risoluzione avanzata dei problemi, puoi eseguire comandi e script arbitrari utilizzando l'interfaccia runCommand di SSM.