Domande frequenti su EC2 Image Builder

Le nuove immagini possono essere configurate per essere generate in base a trigger, come ogni volta che c'è un aggiornamento in sospeso (ad esempio, aggiornamenti AMI sorgente, aggiornamenti di sicurezza, aggiornamenti di conformità, nuovi test, ecc.), oppure a cadenza prestabilita. Puoi specificare una "cadenza di creazione", in base alla quale vengono prodotte nuove immagini oro con le ultime modifiche applicando le modifiche in sospeso. Le immagini più recenti possono essere testate con Image Builder per convalidare le applicazioni sulle build aggiornate. Puoi inoltre abbonarti alle notifiche tramite code SNS per gli aggiornamenti in sospeso delle immagini create con Image Builder. Puoi usare queste notifiche come trigger per creare nuove immagini.

Puoi personalizzare le immagini software da origini software registrate, come i repository di pacchetti RPM/Debian, MSI e programmi di installazione personalizzati su Windows. Oltre alle sorgenti software AWS pre-registrate, puoi anche registrare uno o più repository e posizioni di Amazon S3 che contengono software per l'installazione. Puoi fornire meccanismi "unattend" specifici dell’installatore (come i file di risposta) per i flussi di lavori di installazione che richiedono un input interattivo.

Allo stesso modo in cui cerchi gli attuali componenti di EC2 Image Builder, puoi trovare i componenti di AWS Marketplace dalla console EC2 Image Builder o dal sito Web di AWS Marketplace. Una volta sottoscritto, puoi aggiungere questi componenti nella ricetta EC2 Image Builder, gestendo al contempo la tua pipeline EC2 Image Builder.

Dipende dalle opzioni di distribuzione selezionate dal fornitore di software indipendente (ISV) durante la pubblicazione della versione del software in AWS Marketplace. L'ISV può pubblicare il proprio software in AWS Marketplace per essere utilizzato come AMI, componente EC2 Image Builder o entrambi. Se l'ISV ha pubblicato il proprio software da utilizzare come AMI e come componente EC2 Image Builder nello stesso elenco, sarebbe necessario solo un abbonamento al software. In questo caso, puoi scegliere di implementare il software come AMI o utilizzarlo come componente EC2 Image Builder utilizzando lo stesso abbonamento. Se l'ISV ha scelto di pubblicare due voci in AWS Marketplace, una come AMI e l'altra come componente, sono necessari due abbonamenti separati.

Puoi trovare le informazioni di supporto nella pagina dei dettagli del prodotto in AWS Marketplace. Dovrai contattare direttamente l'assistenza del fornitore per quanto riguarda i suoi componenti specifici. Per commenti o altre domande, puoi inviarci un'e-mail all'indirizzo aws-mp-imagebuilder@amazon.com.

Image Builder ti consente di definire raccolte di impostazioni di sicurezza che puoi modificare, aggiornare e usare per cementare le immagini create usando Image Builder. Queste raccolte di impostazioni possono essere applicate per soddisfare i criteri di conformità applicabili. Tali criteri possono essere imposti dalla tua organizzazione o dall’autorità di regolamentazione del tuo settore. AWS fornisce una galleria di impostazioni utili per aiutarti a soddisfare le regolamentazioni più comuni del settore. Puoi applicare raccolte di impostazioni direttamente o in un modulo modificato. Ad esempio, le impostazioni fornite da AWS per STIG chiudono le porte aperte non necessarie e abilitano il firewall software.

No, le raccolte di impostazioni di AWS fungono da guida per raggiungere la conformità, ma non la garantiscono. Per convalidare la conformità, dovrai collaborare con revisori e team di conformità. Le impostazioni fornite da AWS possono essere modificate in base alle tue esigenze e salvate nella galleria per poter essere riutilizzate.

Le raccolte di impostazioni possono essere create da zero o derivare da modelli forniti da AWS e memorizzate in una posizione registrata di Amazon S3. Puoi costruire raccolte che applichino impostazioni di sicurezza specifiche, come ad esempio la garanzia dell'applicazione di patch di sicurezza, l’installazione di firewall, la chiusura di alcune porte, l’impedimento della condivisione di file tra programmi, l’installazione di anti-malware, la creazione di password forti, la manutenzione di un backup, l’utilizzo della crittografia quando possibile, la disattivazione della crittografia debole, i controlli di log/audit, la rimozione dei dati personali, ecc. Puoi aggiungere le tue impostazioni personalizzate alla galleria.

Il framework dei test in Image Builder ti consente di rilevare le incompatibilità introdotte dagli aggiornamenti del sistema operativo prima della distribuzione alle regioni AWS. Puoi eseguire sia test propri che i test forniti da AWS, gestire le sessioni di test, i risultati e le operazioni di gate downstream al superamento dei test. Alcuni esempi di test fornito da AWS sono: test di verifica che l’AMI si avvii alla richiesta di accesso, test di verifica che l’AMI riesca a eseguire un’app di prova ecc. Puoi eseguire anche i tuoi test sulle immagini.

Ciascun test in Image Builder consiste in uno script di test, un binario di test e in metadati dei test. Lo script di test contiene comandi di orchestrazione per avviare il binario di test che può essere scritto in qualsiasi linguaggio e in qualsiasi framework di test supportato dal sistema operativo (ad esempio, PowerShell su Windows e bash, python, ruby, ecc. su Linux) e i codici di stato di uscita indicano i risultati dei test. I metadati dei test includono attributi quali nome, descrizione, percorsi al binario di test, durata prevista, ecc.

Image Builder si integra con AWS Organizations per permettere la condivisione di AMI tra più account AWS utilizzando meccanismi esistenti. Image Builder può modificare i permessi di lancio delle AMI per controllare quali account AWS oltre all’account proprietario sono autorizzati a lanciare macchine virtuali EC2 con l’AMI (ad es. privato, pubblico e condiviso con account specifici). Puoi anche fare in modo che l’account master di AWS Organization applichi i vincoli sugli account dei membri per lanciare istanze solo con AMI approvate e conformi. Consulta la documentazione di Image Builder per ulteriori informazioni sull’integrazione con AWS Organizations. Se le tue AMI hanno componenti di terze parti provenienti da AWS Marketplace, devi condividere la licenza del software con questi account per consentire loro di utilizzare il componente.

Sì. In qualità di cliente di AWS Marketplace puoi utilizzare la funzionalità di autorizzazione gestita fornita da AWS Marketplace per distribuire i diritti di licenza software tramite lo Strumento AWS di gestione delle licenze alla tua organizzazione. Gli account con cui hai condiviso l'autorizzazione possono utilizzare il software di terze parti e avviare golden image. Se non si è autorizzati a utilizzare il componente, EC2 Image Builder riscontra un errore, con l'eccezione che non esiste un abbonamento valido.

Image Builder utilizza Amazon ECR (un servizio gestito per registri di container) sia come input che come output per le immagini di container. Puoi configurare policy per gestire le autorizzazioni per ciascun repository e limitare l'accesso a utenti IAM, ruoli o account AWS. ECR si integra con RAM e AWS Organizations per consentire la condivisione, la distribuzione e la replica delle immagini di container tra varie regioni e account. ECR utilizza le policy IAM per il controllo degli accessi alle risorse.

Image Builder può copiare AMI in regioni AWS selezionate usando meccanismi di condivisione delle AMI esistenti. La distribuzione può essere controllata in base al superamento dei test con Image Builder.

Image Builder può integrarsi con i servizi AWS CI/CD come Code Build e Code Pipeline consentendo di attuare una pipeline CI/CD end-to-end per creare, testare e distribuire le AMI.

Image Builder tiene traccia e mostra il progresso di ciascuna fase nel processo di creazione dell’immagine. Inoltre, può emettere i log su CloudWatch. Per una risoluzione avanzata dei problemi, puoi eseguire comandi e script arbitrari utilizzando l'interfaccia runCommand di SSM.

Per risolvere un errore di compilazione dell'AMI con un componente di terze parti, è necessario esaminare i registri di compilazione e cercare eventuali errori. È fondamentale verificare le dipendenze e la compatibilità con altri componenti dell'AMI. È necessario controllare la documentazione del componente e i requisiti di sistema forniti dal fornitore di software indipendente (ISV) nelle istruzioni per l'uso dei componenti. Se non riesci a risolvere il problema, puoi contattare l'ISV per ricevere assistenza. AWS non convalida le dipendenze tra componenti di terze parti, quindi è necessario assicurarsi della compatibilità prima di creare AMI.