2011 年 6 月 4 日
使用 Amazon Machine Image (AMI) 時,務必記住要採取適當的預防措施,以確保重要的登入資料在公開共用時不會不慎留在 AMI 上。最近,我們發現客戶在不知不覺中建立和公開共用登入資料的幾種情況。
若 AWS 發現客戶在已建立和共用的公用 AMI 中,不慎暴露 AWS 和第三方存取登入資料,則 AWS 會聯絡這些客戶,以及勸告他們將關聯的 AMI 設為私有並立即變更其暴露的登入資料。若無法立即聯絡到受影響的客戶,則 AWS 會代表該客戶將關聯的 AMI 設為私有,以防止進一步暴露其個人 AWS 和第三方存取登入資料。
若 AWS 發現包含預裝公用 SecureShell (SSH) 金鑰的公用 AMI,其有效授予 AMI 發佈者對該 AMI 任何執行中執行個體的遠端存取權,則 AWS 會聯絡 AMI 發佈者並要求 AMI 發佈者將關聯的 AMI 設為私有。若無法立即聯絡到 AMI 發佈者,或者無法迅速將關聯 AMI 設為私有,則 AWS 會將關聯的 AMI 設為私有,以保護我們的客戶。此外,對於確定在受影響 AMI 中有執行中執行個體的所有客戶,我們已通知並建議他們移除有問題的預裝公用 SSH 金鑰,從而有效封鎖 AMI 發佈者進行遠端存取。我們還強烈建議確定在受影響 AMI 中有執行中執行個體的客戶,備份現有資料並移轉至新的 AMI (若有)。
我們尚未收到有關這些漏洞已被有效利用的報告。本文件旨在提醒使用者,在 AMI 公開使用之前,請務必徹底搜尋並從 AMI 中移除任何重要的登入資料。本文件旨在提醒使用者,在 AMI 公開使用之前,請務必徹底搜尋並從 AMI 中移除任何重要的登入資料。造訪以下連結可瀏覽有關如何安全共用及使用公用 AMI 的教學︰http://aws.amazon.com/articles/0155828273219400
造訪以下連結可瀏覽有關安全共用 AMI 的更多指導方針︰ http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
遵循這些指導方針可以帶來更佳的使用者體驗,有助於確保使用者執行個體的安全,且能夠為 AMI 發佈者保護。
客戶應向 AWS Security aws-security@amazon.com 報告與公用 AMI 相關的任何安全問題