Perguntas frequentes do Construtor de imagens do EC2

Novas imagens podem ser configuradas para serem geradas com base em gatilhos, por exemplo, sempre que houver uma atualização pendente (atualizações da AMI de origem, atualizações de segurança, atualizações de conformidade, novos testes etc.) ou em uma cadência estipulada de tempo. Você pode especificar uma “cadência de criação” em que novas imagens de referência são produzidas com as alterações mais recentes aplicando essas mudanças pendentes. As imagens mais recentes podem ser testadas com o Construtor de imagens para validar as versões atualizadas de seus aplicativos. Você também pode acompanhar notificações por meio de filas de SNS para atualizações pendentes nas imagens criadas com o Construtor de imagens. Você pode usar essas notificações como gatilhos para criar novas imagens.

Você pode personalizar imagens de software de fontes de software registradas, como repositórios de pacotes e MSIs de RPM/Debian e instaladores personalizados no Windows. Além das fontes de software pré-registradas da AWS, você também pode registrar um ou mais de seus repositórios e locais do Amazon S3 que contêm softwares para instalação. Você pode fornecer mecanismos “independentes” específicos do instalador (como arquivos de respostas) para fluxos de trabalho de instalação que precisam de entradas interativas.

Assim como os componentes atuais do EC2 Image Builder, você encontra componentes do AWS Marketplace no console do EC2 Image Builder ou no site do AWS Marketplace. Depois de se inscrever, você pode adicionar esses componentes na fórmula do EC2 Image Builder e, ao mesmo tempo, gerenciar o pipeline do EC2 Image Builder.

Depende das opções de entrega que o provedor de software independente (ISV) selecionou ao publicar a versão do software no AWS Marketplace. O ISV pode publicar o software no AWS Marketplace para ser usado como uma AMI, um componente do EC2 Image Builder ou ambos. Se o ISV publicasse o software para ser usado como uma AMI e um componente do EC2 Image Builder na mesma listagem, você precisaria apenas de 1 assinatura do software. Nesse caso, você tem a opção de implantar como uma AMI ou usar o software como um componente do EC2 Image Builder com a mesma assinatura. Se o ISV optar por publicar 2 anúncios no AWS Marketplace, um como AMI e outro como componente, serão necessárias 2 assinaturas separadas.

Você encontra as informações de suporte na página de detalhes do produto no AWS Marketplace. Será necessário entrar em contato diretamente com o suporte do fornecedor em relação a seus componentes específicos. Para fazer comentários ou mais perguntas, envie um e-mail para nós pelo endereço aws-mp-imagebuilder@amazon.com.

O Construtor de imagens lhe permite definir conjuntos de configurações de segurança que você pode editar, atualizar e usar para fortalecer suas imagens construídas no Construtor de imagens. Tais conjuntos de configurações podem ser aplicados para atender aos critérios aplicáveis de conformidade. Esses critérios podem ser determinados pela sua organização ou pela autoridade reguladora do seu setor. A AWS fornece uma galeria de configurações para ajudar a cumprir os regulamentos populares da indústria. Você pode aplicar coleções de configurações diretamente ou em um formulário modificado. Por exemplo, a configuração fornecida pela AWS para STIG encerra duas portas abertas não essenciais e habilita o firewall de software.

Não, os conjuntos de configurações da AWS representam orientações recomendadas para alcançar a conformidade, esses parâmetros não são garantidos. Você precisará trabalhar junto com as equipes e auditores de conformidade para validá-la. As configurações fornecidas pela AWS podem ser modificadas com base nas suas necessidades e nas definições salvas para reutilização na galeria.

Os conjuntos de configurações podem ser criados do zero ou a partir de modelos fornecidos pela AWS e armazenados em um local registrado pelo Amazon S3. Você pode criar seus próprios conjuntos que aplicam configurações de segurança, como garantir a aplicação de patches de segurança, instalar firewall, encerrar determinadas portas, impedir o compartilhamento de arquivos entre programas, instalar antimalware, criar senhas fortes, manter um backup, usar criptografia quando possível, desativando criptografias fracas, controles de registro em log/auditoria, remoção de dados pessoais etc. Você pode incluir suas configurações personalizadas na galeria.

A estrutura de teste no Construtor de imagens lhe permite detectar incompatibilidades introduzidas pelas atualizações do sistema operacional antes de sua implantação nas regiões da AWS. Você pode executar tanto testes fornecidos pela AWS, quando seus próprios testes, além de gerenciar execuções de testes, resultados e controlar operações de downstream na aprovação de testes. Dentre os exemplos de testes fornecidos pela AWS estão: testar se uma AMI pode ser inicializada no prompt de login, testar se uma AMI pode executar um aplicativo de amostra etc. Você também pode executar os seus próprios testes nas imagens.

Cada teste do Construtor de imagens consiste em um script de teste, um binário de teste e metadados de teste. O script de teste contém comandos de orquestração para iniciar o binário de teste que pode ser gravado em qualquer idioma e em qualquer estrutura de teste suportada pelo sistema operacional (por exemplo, PowerShell no Windows e bash, python, ruby etc. no Linux) e os códigos de status de saída indicam os resultados do teste. Os metadados de teste também incluem atributos como nome, descrição, paths para binário de teste, duração esperada etc.).

O Construtor de imagens se integra com a AWS Organizations para habilitar o compartilhamento de AMIs entre contas da AWS usando mecanismos existentes. O Construtor de imagens pode modificar as permissões de inicialização da AMI para controlar quais contas da AWS, além do proprietário, possuem autorização para iniciar VMs no EC2 com a AMI (por exemplo, privadas, públicas e compartilhadas com contas específicas). Você também pode fazer sua conta principal da AWS Organization restrinja contas de membros para iniciar instâncias apenas com AMIs aprovadas e compatíveis. Consulte a documentação do Construtor de imagens para obter detalhes sobre a integração com a AWS Organizations. Se suas AMIs tiverem componentes de terceiros do AWS Marketplace, será necessário compartilhar a licença do software com essas contas para permitir que elas usem o componente.

Sim. Como cliente do AWS Marketplace, você pode usar o recurso de direitos gerenciados fornecido pelo AWS Marketplace para distribuir direitos de licença de software por meio do AWS License Manager na sua organização. As contas com as quais você compartilhou o direito podem usar o software de terceiros e iniciar imagens douradas. Se não houver direito de usar o componente, o EC2 Image Builder falhará, com a exceção de que não há assinatura válida.

O Image Builder usa Amazon ECR (um serviço gerenciado para registros de contêiner) como entrada e saída para imagens de contêiner. É possível configurar políticas para gerenciar permissões para cada repositório e restringir acesso aos usuários do IAM, funções ou outras contas da AWS. O ECR se integra com RAM e AWS Organizations para permitir o compartilhamento, distribuição e replicação de imagens de contêiner entre regiões e contas. O ECR usa políticas IAM para controlar o acesso aos recursos.

O Construtor de imagens pode copiar AMIs para regiões selecionadas da AWS usando mecanismos de compartilhamento de existentes de AMIs. A distribuição pode ser controlada na aprovação de testes utilizando o Construtor de imagens.

O Construtor de imagens pode integrar-se aos serviços de CI/CD da AWS, como Code Build e Code Pipeline, para ajudar a atualizar um pipeline de CI/CD de ponta a ponta para criar, testar e implantar AMIs.

O Construtor de imagens rastreia e exibe o progresso de cada etapa do processo de criação da imagem. Além disso, o Construtor de imagem pode ser criado para emitir logs para o CloudWatch. Para solução avançada de problemas, você pode executar comandos e scripts arbitrários usando a interface runCommand do SSM.

Para solucionar uma falha de compilação da AMI com um componente de terceiros, você deve verificar se há erros nos logs de compilação. É crucial verificar as dependências e a compatibilidade com outros componentes na AMI. Você precisa verificar a documentação do componente e os requisitos do sistema fornecidos pelo provedor de software independente (ISV) nas instruções de uso dos componentes. Caso não consiga resolver o problema, entre em contato com o ISV para obter orientação. A AWS não valida dependências entre componentes de terceiros, portanto, você deve garantir a compatibilidade antes de compilar uma AMI.