¿Quién está detrás de las AMI de la comunidad en Amazon EC2?

19

He estado usando AWS durante años, pero nunca me he aventurado fuera de las secciones Quick Starty AWS Marketplacecuando lancé una instancia de EC2.

Las AMI del AWS Marketplaceaspecto confiable, tienen un enlace al perfil del vendedor, etc.

ingrese la descripción de la imagen aquí

Compare esto con las AMI de la comunidad, que parecen aparecer de la nada, sin ninguna información sobre quién la creó y la cargó:

ingrese la descripción de la imagen aquí

¿Cómo saber de dónde proviene un IAM comunitario? ¿Se puede confiar en estos?

amazon-web-services amazon-ec2 amazon-ami Benjamín
fuente
55
Sé que esta no es tu pregunta, pero si estás buscando imágenes endurecidas de una fuente confiable, mira las imágenes endurecidas de CIS . Tienen imágenes para la mayoría de los grandes proveedores de la nube.
Tim

Respuestas:

23

Cualquier usuario de AWS puede crear una AMI comunitaria haciéndola pública y compartida con todos. Entonces, la respuesta es que cualquiera podría haber creado esa comunidad AMI.

Si bien muchos probablemente estén bien, no puedes confiar en ellos por defecto, en mi opinión.

Con respecto al creador específico de la AMI en cuestión, parece que la única información disponible específica del usuario es el campo OwnerId, que es el ID de la cuenta de AWS del propietario de la imagen.

Aquí hay un ejemplo del comando AWS Cli para obtener esa información:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Reemplace "gs5mba4yp26bsyx57" con la identificación ami que desea examinar).

Esto devolverá mucha información sobre la imagen, incluido el campo OwnerId.

vjones
fuente
1
Gracias por la anotación. Entonces, según tengo entendido, cualquiera puede poner algo allí, sin ninguna verificación de AWS, por lo que no se puede confiar en estas imágenes, y no hay absolutamente ninguna manera de saber quién las creó.
Benjamin
Hasta donde puedo decir, solo puede determinar la ID de la cuenta del creador. Agregué esta información a mi respuesta.
vjones
5

y no hay absolutamente ninguna manera de saber quién los creó?

¡Estás mirando en la dirección equivocada! Su confianza en las AMI de la comunidad debe provenir de fuera de Amazon. Por ejemplo, si confía getfedora.org, puede confiar en las AMI de la comunidad a las que hace referencia (como se señala en esta respuesta a una pregunta estrechamente relacionada , aunque el enlace se ha roto desde entonces).

De manera similar, Ubuntu tiene https://cloud-images.ubuntu.com/locator/ec2/ (aunque no estoy seguro de si esas AMI son comunitarias o no).

Hay muchos otros proyectos que enumeran sus propias AMI "oficiales" de la comunidad. No pude encontrar una lista oficial de CentOS que pudiera incluir el AMI al que hizo referencia en la publicación, pero siempre puede intentar preguntar a los encargados del proyecto si el AMI fue creado por ellos a título oficial.

Dave
fuente
Claro, mirarlo de esta manera está bien, y TBH es un poco extraño que EC2 ofrezca un motor de búsqueda que devuelve AMI de la comunidad, simplemente podrían permitirle usarlos si conoce su ID. Supongo que esto podría ser útil para probar algunas cosas donde la seguridad no importa.
Benjamin
1
Convenido; No sé por qué ofrecen una búsqueda por otra cosa que no sea la ID de AMI en sí. Descubrirlos de esa manera es inherentemente arriesgado.
Dave