Politiques relatives aux vendeurs de produits AMI Stratégies de sécurité Politiques d'architecture Instructions d'utilisation du produit AMI Politiques relatives aux versions des produits AMI Exigences relatives aux produits FPGA Politiques relatives aux informations des clients Politiques d'utilisation des produits

AMI-based exigences relatives aux produits pour AWS Marketplace

AWS Marketplace applique les politiques suivantes pour tous les produits et offres Amazon Machine Image (AMI). Les politiques décrites dans cette section visent à fournir aux clients une plate-forme informatique sûre, sécurisée et fiable.

Tous les produits et leurs métadonnées associées sont examinés lors de leur soumission afin de s'assurer qu'ils respectent ou dépassent AWS Marketplace les politiques en vigueur. Ces politiques sont régulièrement mises à jour pour s'aligner sur l'évolution des directives de sécurité. AWS Marketplace analyse en permanence les produits pour vérifier que les offres existantes continuent de répondre aux modifications apportées à ces exigences. Si un produit n'est pas conforme, nous AWS Marketplace contacterons le vendeur pour le mettre à jour afin qu'il réponde aux nouvelles normes. Dans certains cas, les produits peuvent être temporairement indisponibles pour les nouveaux abonnés jusqu'à ce que les problèmes soient résolus. Ce processus permet de maintenir la sécurité et la fiabilité de la AWS Marketplace plateforme pour tous les utilisateurs.

Avant de soumettre votre produit, nous vous recommandons vivement d'utiliser la fonctionnalité de test « Ajouter une version » Portail de gestion AWS Marketplace pour garantir la conformité avec les politiques en vigueur.

Rubriques

Politiques relatives aux vendeurs de produits AMI
Stratégies de sécurité
Politiques d'architecture
Instructions d'utilisation du produit AMI
Politiques relatives aux versions des produits AMI
Exigences relatives aux produits FPGA
Politiques relatives aux informations des clients
Politiques d'utilisation des produits

Politiques relatives aux vendeurs de produits AMI

Toutes les AMI doivent respecter les politiques relatives aux vendeurs suivantes :

Par défaut, AWS Marketplace les vendeurs sont limités à un maximum de 75 offres publiques de produits AMI. Tous les vendeurs dépassant leur limite sont soumis à un examen périodique des performances et peuvent être tenus de limiter les offres sous-performantes. AWS Marketplace peut accorder et révoquer les augmentations de cette limite à sa seule discrétion.

Stratégies de sécurité

Politiques générales

Toutes les AMI doivent respecter les politiques suivantes :

Les AMI doivent réussir tous les contrôles de sécurité effectués par l'outil d'analyse des AWS Marketplace AMI, afin de ne pas détecter de vulnérabilités ou de programmes malveillants connus.
Les AMI doivent utiliser les systèmes d'exploitation et les logiciels actuellement pris en charge. Les systèmes d'exploitation et les logiciels arrivés en fin de vie ne sont pas autorisés.
Les AMI ne doivent pas dater de plus de deux ans à compter de leur date de création. Les AMI qui dépassent cet âge ne sont pas autorisées.
Password-based l'authentification pour les services d'instance est interdite. Cela s'applique même si le mot de passe est généré, réinitialisé ou défini par l'utilisateur au lancement. Les mots de passe vides ou nuls ne sont pas autorisés.

Exceptions :
- Mots de passe d'administrateur générés par EC2Config/EC2Launch des instances Windows.
- Non-administrative accès aux services hôtes (par exemple, les applications Web) en l'absence d'autres méthodes d'authentification. Si des mots de passe forts sont utilisés, ils doivent être générés de manière aléatoire pour chaque instance, utilisés une fois par l'administrateur du service pour l'authentification initiale et modifiés immédiatement après la première connexion.
L'AMI ne doit pas contenir de secrets codés en dur tels que les mots de passe des utilisateurs et des services du système (y compris les mots de passe hachés), les clés privées ou les informations d'identification.
Les AMI ne doivent pas demander AWS d'informations d'identification pour accéder aux AWS services. Si votre produit nécessite un accès aux AWS services, un rôle à privilèges minimaux Gestion des identités et des accès AWS (IAM) doit être attribué à une instance. Les utilisateurs peuvent créer des rôles manuellement ou à l'aide d'un CloudFormation modèle. Lorsque le lancement d'une seule AMI est activé pour les produits dotés d'un mode CloudFormation de livraison, les instructions d'utilisation doivent inclure des instructions claires pour créer des rôles IAM dotés de privilèges minimaux. Pour plus d'informations, consultez la section Livraison de votre AMI-based produit à l'aide de AWS CloudFormation.
Un vendeur ne doit pas avoir accès aux instances gérées par un client. Si un tel accès est nécessaire à des fins d'assistance ou à d'autres fins, le client peut être invité à l'activer explicitement.

Politiques d'accès SSH (Secure Shell)

Outre les politiques générales, les AMI fournissant un accès SSH (Secure Shell) doivent respecter les politiques de sécurité suivantes :

Les AMI ne doivent pas autoriser l'authentification par mot de passe via SSH. Pour garantir cela, dans votre sshd_config fichier, définissez PasswordAuthentication surno.
Les AMI doivent désactiver les connexions à distance basées sur un mot de passe pour les comptes de superutilisateurs. Pour plus d'informations, voir Désactiver les connexions à distance basées sur un mot de passe pour l'utilisateur root.
Les AMI ne doivent pas contenir de clés publiques autorisées pour l'accès SSH.
Le protocole SSH sur les AMI doit être accessible aux procédures de vérification AWS Marketplace internes.
- Le service SSH doit écouter sur le port TCP spécifié pour le scan de l'AMI. Pour plus d'informations, voir Ajouter une nouvelle version.
- SSH doit être accessible depuis des sous-réseaux 10.0.0.0/16 et 10.2.0.0/16 sur l'adresse IP attribuée par Amazon Elastic Compute Cloud (Amazon EC2) lors du lancement de l'instance.

Politiques relatives aux AMI basées sur Linux et d'autres systèmes Unix-like d'exploitation

Outre les politiques générales, les AMI basées sur Linux et d'autres systèmes Unix-like d'exploitation doivent respecter les politiques de sécurité suivantes :

Les AMI doivent permettre aux utilisateurs d'obtenir un accès privilégié complet (par exemple, pour autoriser sudo l'accès).

Politiques relatives aux Windows-based AMI

Outre les politiques générales, les Windows-based AMI doivent respecter les politiques de sécurité suivantes :

Les AMI ne doivent pas contenir de comptes invités.
Seuls les comptes d'administrateur peuvent être autorisés à accéder à distance à une instance au poste de travail.
Les AMI Windows doivent générer des mots de passe d'administrateur en activant les options suivantes dans EC2Launch (ou EC2Config pour Windows 2016 et versions antérieures) :
- Ec2SetPassword
- Ec2WindowsActivate
- Ec2HandleUserData
Les AMI doivent être disponibles pour un contrôle automatique. Au moins l'une des exigences suivantes doit être mise en œuvre :
- (Option recommandée) L'agent SSM est installé et dispose d'autorisations administratives et d'un accès réseau sortant.
- Le service Windows Remote Management (WinRM) est activé, écoute sur le port 5985 TCP et est accessible depuis les sous-réseaux 10.0.0.0/16 et 10.2.0.0/16 sur l'adresse IP attribuée par Amazon Elastic Compute Cloud (Amazon EC2) lors du lancement de l'instance.
- Le service Microsoft Server Message Block (SMB) Protocol et Common Internet File System (CIFS) est activé, écoute sur les ports TCP et est accessible depuis les sous-réseaux 139 445 10.0.0.0/16 et 10.2.0.0/16 sur l'adresse IP attribuée par Amazon Elastic Compute Cloud (Amazon EC2) lors du lancement de l'instance.

Politiques d'architecture

Toutes les AMI doivent respecter les stratégies suivantes en matière d’architecture :

Les AMI sources pour AWS Marketplace doivent être fournies dans la région de l'est des États-Unis (Virginie du Nord).
Les AMI doivent utiliser la virtualisation HVM.
Les AMI doivent utiliser une architecture ARM x86-64 ou 64 bits.
Les AMI doivent être des AMI soutenues par Amazon Elastic Block Store (Amazon EBS). Nous ne prenons pas en charge les AMI soutenues par Amazon Simple Storage Service.
Les AMI ne doivent pas utiliser de snaphots EBS chiffrés.
Les AMI ne doivent pas utiliser de systèmes de fichiers chiffrés.
Les AMI doivent être conçues de manière à pouvoir fonctionner partout, Régions AWS et elles le sont déjà Region-agnostic. Les AMI conçues différemment pour les différentes régions ne sont pas autorisées.

Instructions d'utilisation du produit AMI

Lorsque vous créez des instructions d'utilisation pour votre produit AMI, veuillez suivre les étapes et les instructions figurant dansCréation d'instructions d'utilisation de l'AMI et du produit conteneur pour AWS Marketplace.

Politiques relatives aux versions des produits AMI

AWS Marketplace automatise l'expérience de gestion des versions pour les AWS clients et les vendeurs à l'aide d' S-AMIune AMI avec CloudFormation modèle et de produits conteneurisés. Grâce à l'archivage automatique des versions, toute version du produit soumise à des restrictions par un vendeur pendant plus de deux ans est automatiquement archivée. Les versions archivées ne sont plus disponibles pour le lancement AWS Marketplace pour les nouveaux clients, mais les utilisateurs existants peuvent continuer à utiliser la version archivée via des modèles de lancement et des groupes Amazon EC2 Auto Scaling en spécifiant l'ID AMI. Toute version archivée qui n'a pas été utilisée pour lancer de nouvelles instances au cours des 13 derniers mois est supprimée. Une fois qu'une version archivée est supprimée, elle n'est plus disponible au lancement pour les nouveaux utilisateurs ou les utilisateurs existants.

Exigences relatives aux produits FPGA

Outre les exigences standard des produits AMI, les produits FPGA doivent répondre aux exigences suivantes :

Les identifiants AFI doivent appartenir à votre compte AWS Marketplace vendeur.
Chaque version du produit prend en charge un maximum de 15 ID AFI, ce qui vous permet de fournir plusieurs configurations FPGA tout en maintenant une complexité gérable du produit.
Les identifiants AFI doivent être créés et enregistrés dans la région USA Est (Virginie du Nord).
La disponibilité régionale est limitée aux régions où les types d'instances F2 sont pris en charge.
Le rôle d'accès IAM fourni lors de la création de la version est autorisé à partager les AFI fournis avec AWS Marketplace. Pour plus de détails sur les autorisations requises, consultez Autoriser AWS Marketplace à accéder à vos images FPGA.

Politiques relatives aux informations des clients

Toutes les AMI doivent respecter les politiques relatives aux informations client suivantes :

Le logiciel ne doit pas collecter ou exporter les données du client à l'insu du client et sans son consentement exprès, sauf si cela est exigé par BYOL (Bring Your Own License). Les applications qui collectent ou exportent des données clients doivent suivre les directives suivantes :
- La collecte des données clients doit être en libre-service, automatisée et sécurisée. Les acheteurs ne doivent pas attendre l'approbation des vendeurs pour déployer le logiciel.
- La collecte des données clients doit être conforme à vos accords avec AWS, notamment, les conditions générales de AWS Marketplace, les conditions de AWS service, l'avis de AWS confidentialité et le contrat AWS client.
- Les informations de paiement ne doivent pas être collectées.

Politiques d'utilisation des produits

Toutes les AMI doivent respecter les politiques d'utilisation du produit suivantes :

Les produits ne doivent pas restreindre l'accès au produit ou à ses fonctionnalités en fonction du temps, du nombre d'utilisateurs ou d'autres restrictions. Les produits bêta et les versions préliminaires, ou les produits dont le seul but est d'offrir des fonctionnalités d'essai ou d'évaluation, ne sont pas pris en charge. Les éditions Developer, Community et BYOL des logiciels commerciaux sont prises en charge, à condition qu'une version payante équivalente soit également disponible dans AWS Marketplace.
Toutes les AMI doivent être compatibles avec l'expérience Launch from Website ou avec AMI-based la livraison via AWS CloudFormation. Dans le cadre du lancement à partir du site Web (Launch from Website), l'AMI ne peut pas exiger de données client ou utilisateur lors de la création de l’instance pour fonctionner correctement.
Les AMI et leurs logiciels doivent être déployables en libre-service et ne doivent pas nécessiter de méthodes de paiement ou de coûts supplémentaires. Les applications qui nécessitent des dépendances externes lors du déploiement doivent suivre les directives suivantes :
- L'exigence doit être indiquée dans la description ou les instructions d'utilisation de l'annonce. Par exemple, ce produit nécessite une connexion Internet pour être déployé correctement. Les packages suivants sont téléchargés lors du déploiement : <list of package>
- Les vendeurs sont responsables de l'utilisation de toutes les dépendances externes et de la garantie de leur disponibilité et de leur sécurité.
- Si les dépendances externes ne sont plus disponibles, le produit doit AWS Marketplace également être retiré.
- Les dépendances externes ne doivent pas nécessiter de méthodes de paiement ou de coûts supplémentaires.
Les AMI qui nécessitent une connexion permanente à des ressources externes ne relevant pas du contrôle direct de l'acheteur (par exemple, des API externes ou Services AWS gérées par le vendeur ou un tiers) doivent respecter les directives suivantes :
- L'exigence doit être indiquée dans la description ou les instructions d'utilisation de l'annonce. Par exemple, ce produit nécessite une connexion Internet permanente. Les services externes permanents suivants sont nécessaires pour fonctionner correctement :. <list of resources>
- Les vendeurs sont responsables de l'utilisation de toutes les ressources externes, de leur disponibilité et de leur sécurité.
- Si les ressources externes ne sont plus disponibles, le produit doit AWS Marketplace également être retiré.
- Les ressources externes ne doivent pas nécessiter de méthodes de paiement ou de coûts supplémentaires et la configuration de la connexion doit être automatisée.
Le logiciel et les métadonnées du produit ne doivent pas contenir de langage qui redirige les utilisateurs vers d'autres plateformes cloud, des produits supplémentaires ou des services de vente incitative qui ne sont pas disponibles sur. AWS Marketplace
Si votre produit est un module complémentaire à un autre produit ou au produit d'un autre éditeur de logiciels indépendants, la description de votre produit doit indiquer qu'il étend les fonctionnalités de l'autre produit et que, sans lui, l'utilité de votre produit est très limitée. Par exemple, ce produit étend les fonctionnalités et sans lui, son utilité est très limitée. <product name> Veuillez noter que cette liste peut nécessiter sa propre licence pour accéder à toutes les fonctionnalités. <product name>

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Liste de contrôle de produit AMI

Produits basés sur des composants Image Builder