Кто стоит за AMI сообщества на Amazon EC2?

19

Я использую AWS в течение многих лет, но никогда не отважился за пределами Quick Startи AWS Marketplaceсекций при запуске экземпляра EC2.

AMI AWS Marketplaceвыглядят надежными, имеют ссылку на профиль продавца и т. Д .:

введите описание изображения здесь

Сравните это с AMI сообщества, которые, кажется, появляются из ничего, без какой-либо информации о том, кто, черт возьми, создал и загрузил его:

введите описание изображения здесь

Как узнать, откуда происходит сообщество AMI? Можно ли им доверять?

amazon-web-services  amazon-ec2  amazon-ami 
Вениамин
источник
5
Я знаю, что это не ваш вопрос, но если вы ищете защищенные изображения из авторитетного источника, посмотрите на Закаленные изображения в СНГ . У них есть изображения для большинства крупных облачных провайдеров.
Тим

Ответы:

23

Любой пользователь AWS может создать сообщество AMI , сделав его публичным и доступным для всех. Таким образом, ответ заключается в том, что любой человек мог создать сообщество AMI.

Хотя многие, вероятно, в порядке, по-моему, им нельзя доверять по умолчанию.

Что касается конкретного создателя рассматриваемого AMI, то представляется, что единственной доступной для пользователя информацией является поле OwnerId, которое является идентификатором учетной записи AWS владельца изображения.

Вот пример команды AWS Cli для получения этой информации:

aws ec2 describe-images  --image-ids ami-gs5mba4yp26bsyx57

(Замените "gs5mba4yp26bsyx57" на идентификатор ami, который вы хотите проверить.)

Это вернет много информации об изображении, включая поле OwnerId.

vjones
источник
1
Спасибо за указатель. Насколько я понимаю, любой может поместить туда что угодно, без какой-либо проверки со стороны AWS, поэтому этим изображениям нельзя доверять, и нет абсолютно никакого способа узнать, кто их создал?
Бенджамин
Насколько я могу судить, вы можете определить только идентификатор учетной записи создателя. Я добавил эту информацию в свой ответ.
vjones
5

и нет абсолютно никакого способа узнать, кто их создал?

Вы смотрите в неправильном направлении! Ваше доверие к сообществу AMI должно исходить из-за пределов Амазонки. Например, если вы доверяете getfedora.org, вы можете доверять AMI сообщества, на которые оно ссылается (как отмечено в этом ответе на тесно связанный вопрос , хотя ссылка с тех пор разорвалась).

Точно так же в Ubuntu есть https://cloud-images.ubuntu.com/locator/ec2/ (хотя я не уверен, являются ли эти AMI сообществом или нет).

Существует множество других проектов, в которых перечислены собственные «официальные» AMI сообщества. Я не смог найти официальный список для CentOS, который мог бы включать AMI, на который вы ссылались в посте, но вы всегда можете попробовать спросить сопровождающих проекта, был ли AMI создан ими в официальном качестве.

Дейв
источник
Конечно, смотреть на это нормально, и TBH довольно странно, что EC2 предлагает поисковую систему, которая возвращает AMI сообщества, они могут просто позволить вам использовать их, если вы знаете их ID. Я думаю, это может быть полезно, чтобы попробовать некоторые вещи, где безопасность не имеет значения.
Бенджамин
1
Согласовано; Я не знаю, почему они предлагают поиск по чему-либо, кроме самого идентификатора AMI. Открывать их таким образом просто рискованно.
Дейв
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.