Назад | Перейти на главную страницу

Что такое контроль доступа к инстансу Amazon EC2, если люди покупают AMI на торговой площадке?

Я новичок в платформе и на рынке Amazon EC2, поэтому мне нужна помощь с вопросами, которые у меня есть.

В настоящее время наша компания пытается создать настраиваемый Linux AMI для вывода на рынок, и я отвечаю за настройку всего этого. Когда клиенты загружают один новый экземпляр, я не совсем уверен в следующих вещах:

  1. Есть ли у них доступ к системе Linux, которую мы предварительно настроили при получении экземпляра? Я предполагаю «нет», потому что им нужен закрытый ключ для SSH, но ключ есть только у меня. Пожалуйста, дайте мне знать иначе.

  2. Как применяется группа безопасности для нового экземпляра? Отвечают ли клиенты за настройку правил брандмауэра или группа безопасности привязана к экземпляру при создании AMI?

  3. По умолчанию у экземпляра нет общедоступных IP-адресов, и в настоящее время мне нужно вручную получить эластичный IP-адрес и подключить его к экземпляру. Является ли это обязанностью клиента при загрузке экземпляра?

Есть ли у них доступ к системе Linux, которую мы предварительно настроили при получении экземпляра? Я предполагаю «нет», потому что им нужен закрытый ключ для SSH, но ключ есть только у меня. Пожалуйста, дайте мне знать иначе.

Да, это так. Amazon отклонит вашу отправку на рынок, если вы встроите какие-либо ключи SSH в AMI, чтобы вы не могли использовать свои собственные. Собственные ключи пользователей будут добавлены к экземпляру при его запуске.

Как применяется группа безопасности для нового экземпляра? Отвечают ли клиенты за настройку правил брандмауэра или группа безопасности привязана к экземпляру при создании AMI?

Группы безопасности применяются к экземплярам, ​​а не к AMI. Таким образом, заказчик будет нести ответственность за это. Однако, если вашему приложению требуется определенная конфигурация группы безопасности, вы можете распространить шаблон CloudFormation с вашим AMI, который упростит для клиента правильную настройку.

По умолчанию у экземпляра нет общедоступных IP-адресов, и в настоящее время мне нужно вручную получить эластичный IP-адрес и подключить его к экземпляру. Является ли это обязанностью клиента при загрузке экземпляра?

Да, это ответственность клиентов. Однако и здесь может помочь шаблон CloudFormation.