게시일: 2024년 6월 11일 오전 10시 30분(PDT)
AWS는 Amazon Elastic Compute Cloud(Amazon EC2) VM Import Export 서비스(VMIE)와 관련된 문제를 인지하고 있습니다. AWS는 2024년 4월 12일에 이 문제를 해결했으며, 새로운 Windows OS 가져오기는 영향을 받지 않습니다.
EC2 VMIE 서비스를 사용하여 Windows OS를 사용하는 VM을 가져올 때 고객은 원하는 경우 자체 Sysprep 응답 파일을 사용할 수 있습니다. 2024년 4월 12일 이전에는 고객이 Windows OS를 사용하는 VM을 AMI 또는 인스턴스로 사용하기 위해 가져오는 경우, 응답 파일의 민감한 데이터(포함된 경우)가 제거되지 않은 상태로 응답 파일과 동일한 백업 사본이 생성되는 문제가 EC2 VMIE 서비스에 있었습니다. 이 백업 파일은 고객이 제공한 응답 파일에 액세스할 수 있는 권한이 있는 온인스턴스 Windows 사용자만 액세스할 수 있습니다.
이러한 방식으로 EC2 VMIE 서비스를 사용한 고객은 Sysprep과 연결된 다음 위치에서 .vmimport로 끝나는 파일 이름을 확인하는 것이 좋습니다.
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
.vmimport 파일을 식별한 후 액세스를 필요한 사용자 계정으로 제한하거나, 가져온 EC2 인스턴스 또는 영향을 받은 AMI에서 시작된 인스턴스에서 백업 파일을 완전히 제거하세요. 두 작업 중 어느 작업을 완료해도 EC2 인스턴스의 기능에는 영향이 없습니다. 영향을 받은 AMI를 사용하여 시작한 새 EC2 인스턴스는 이 문제의 영향을 받기 때문에 고객은 영향을 받은 AMI를 삭제하고, EC2 VM Import Export(VMIE) 서비스를 사용하여 새 AMI를 생성해 가상 머신을 다시 가져오거나, EC2 API/콘솔을 사용하여 수정 사항이 적용된 EC2 인스턴스에서 새 AMI를 생성하는 것이 좋습니다.
EC2 VMIE 서비스를 사용하여 Windows OS를 가져오기 전에 Sysprep 응답 파일에 대한 액세스 범위를 좁혔거나, 2024년 4월 12일 이후에 AWS 리전에서 EC2 VMIE 서비스를 사용하여 Sysprep 응답 파일을 포함하거나 포함하지 않고 Windows OS를 가져온 사용자는 별도의 조치가 필요하지 않습니다.
책임감 있게 이 문제를 AWS에 공개해 주신 Immersive Labs에 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 알려주시기 바랍니다.