Qui est derrière les AMI communautaires sur Amazon EC2?

19

J'utilise AWS depuis des années, mais je ne me suis jamais aventuré en dehors des sections Quick Startet AWS Marketplacelors du lancement d'une instance EC2.

Les AMI du AWS Marketplacelook fiable, elles ont un lien vers le profil du vendeur, etc .:

entrez la description de l'image ici

Comparez cela aux AMI de la communauté, qui semblent apparaître de nulle part, sans aucune information sur qui a été créé et téléchargé par le diable:

entrez la description de l'image ici

Comment savoir d'où vient une AMI communautaire? Peut-on leur faire confiance?

amazon-web-services amazon-ec2 amazon-ami Benjamin
la source
5
Je sais que ce n'est pas votre question, mais si vous cherchez des images durcies à partir d'une source réputée, regardez les images durcies CIS . Ils ont des images pour la plupart des grands fournisseurs de cloud.
Tim

Réponses:

23

Tout utilisateur AWS peut créer une AMI communautaire en la rendant publique et partagée avec tout le monde. Donc, la réponse est à peu près n'importe qui aurait pu créer cette AMI communautaire.

Alors que beaucoup vont probablement bien, vous ne pouvez pas leur faire confiance par défaut, à mon avis.

En ce qui concerne le créateur spécifique de l'AMI en question, il apparaît que les seules informations spécifiques à l'utilisateur disponibles sont le champ OwnerId, qui est l'ID de compte AWS du propriétaire de l'image.

Voici un exemple de commande AWS Cli pour obtenir ces informations:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Remplacez "gs5mba4yp26bsyx57" par l'ID ami que vous souhaitez examiner.)

Cela renverra beaucoup d'informations sur l'image, y compris le champ OwnerId.

vjones
la source
1
Merci pour le pointeur. Donc, si je comprends bien, n'importe qui peut y mettre quoi que ce soit, sans aucune vérification d'AWS, donc ces images ne peuvent pas être fiables, et il n'y a absolument aucun moyen de savoir qui les a créées?
Benjamin
Pour autant que je sache, vous ne pouvez déterminer que l'ID de compte du créateur. J'ai ajouté ces informations à ma réponse.
vjones
5

et il n'y a absolument aucun moyen de savoir qui les a créés?

Vous regardez dans la mauvaise direction! Votre confiance dans les AMI de la communauté doit provenir de l'extérieur d'Amazon. Par exemple, si vous faites confiance getfedora.org, vous pouvez faire confiance aux AMI de la communauté auxquelles il fait référence (comme indiqué dans cette réponse à une question étroitement liée , bien que le lien soit rompu depuis).

De même, Ubuntu a https://cloud-images.ubuntu.com/locator/ec2/ (même si je ne sais pas si ces AMI sont communautaires ou non).

Il existe de nombreux autres projets qui répertorient leurs propres AMI communautaires "officielles". Je n'ai pas pu trouver de liste officielle pour CentOS qui pourrait inclure l'AMI que vous avez référencée dans le post, mais vous pouvez toujours essayer de demander aux responsables du projet si l'AMI a été créée par eux à titre officiel.

Dave
la source
Bien sûr, le regarder de cette façon est OK, et TBH c'est un peu bizarre qu'EC2 propose un moteur de recherche qui renvoie les AMI de la communauté, ils pourraient simplement vous permettre de les utiliser si vous connaissez leur ID. Je suppose que cela pourrait être utile pour essayer certaines choses où la sécurité n'a pas d'importance.
Benjamin
1
D'accord; Je ne sais pas pourquoi ils proposent une recherche par autre chose que l'ID AMI lui-même. Les découvrir de cette façon est tout simplement risqué.
Dave