2011년 6월 4일
Amazon Machine Image(AMI)를 사용할 경우, 공개적으로 공유할 때 중요한 자격 증명이 실수로 AMI에 남지 않도록 적절한 예방 조치를 취해야 하는 것은 매우 중요합니다. AWS는 최근 고객이 자신도 모르게 자격 증명을 만들고 공개적으로 공유한 몇 가지 상황을 알게 되었습니다.
생성 및 공유한 퍼블릭 AMI 내에서 실수로 AWS 및 타사 액세스 자격 증명을 노출한 고객에 대해 알게 된 경우, AWS는 이러한 고객에게 연락하여 관련 AMI를 비공개로 만들고 노출된 자격 증명을 즉시 변경하도록 권장했습니다. 영향을 받는 고객에게 즉시 연락할 수 없는 경우, AWS는 고객을 대신해 관련 AMI를 비공개로 설정하여 그들의 개인 AWS 및 타사 액세스 자격 증명이 더 이상 노출되지 않도록 합니다.
AWS가 사전 설치된 퍼블릭 SecureShell(SSH) 키가 포함된 퍼블릭 AMI에 대해 알게 되었고 이 키가 AMI 게시자에게 해당 AMI의 실행 중인 인스턴스에 대한 원격 액세스 권한을 효과적으로 부여하는 경우, AWS는 AMI 게시자에게 연락하여 연결된 AMI를 비공개로 만들 것을 요구했습니다. AMI 게시자에게 즉시 연락할 수 없거나 해당 게시자가 관련 AMI를 신속하게 비공개로 만들지 않는 경우 AWS는 고객을 보호하기 위해 관련 AMI를 비공개로 설정했습니다. 또한 영향을 받는 AMI의 인스턴스를 실행하는 것으로 파악된 모든 고객에게 통보하고 고객은 문제가 있는 사전 설치된 퍼블릭 SSH 키를 제거해 AMI 게시자의 원격 액세스를 효과적으로 차단합니다. 영향을 받는 것으로 파악된 AMI의 인스턴스를 실행하는 고객은 기존 데이터를 백업하고 가능한 경우 새로운 AMI로 마이그레이션하도록 강력히 권장되었습니다.
이러한 취약점이 적극적으로 악용되었다는 보고는 받지 못했습니다. 이 문서의 목적은 AMI를 공개하기 전에 AMI에서 중요한 자격 증명을 철저하게 검색하고 제거하는 것이 매우 중요하다는 것을 사용자에게 알리기 위한 것입니다. 이 문서의 목적은 AMI를 공개하기 전에 AMI에서 중요한 자격 증명을 철저하게 검색하고 제거하는 것이 매우 중요하다는 것을 사용자에게 알리기 위한 것입니다. 퍼블릭 AMI를 안전하게 공유하고 사용하는 방법에 대한 자습서는 http://aws.amazon.com/articles/0155828273219400을 참조하십시오.
안전한 AMI 공유에 대한 추가 지침은 http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html을 참조하십시오.
이러한 지침을 따르면 사용자 환경이 향상되고 사용자 인스턴스의 보안이 유지되며 AMI 게시자를 보호할 수 있습니다.
고객은 퍼블릭 AMI와 관련된 모든 보안 문제를 AWS Security(aws-security@amazon.com )에 보고해야 합니다.