FAQ EC2 Image Builder

Umum

EC2 Image Builder menyederhanakan pembuatan, pemeliharaan, validasi, berbagi, dan penerapan gambar Linux atau Windows untuk digunakan dengan Amazon EC2 dan lokal.

Produktivitas TI meningkat

EC2 Image Builder menyederhanakan proses membangun, memelihara, dan menerapkan gambar dengan aman dan memenuhi tanpa perlu menulis dan memelihara kode otomatisasi. Offloading otomatisasi ke Image Builder akan membebaskan sumber daya dan menghemat waktu TI.

Lebih mudah untuk diamankan

EC2 Image Builder memungkinkan Anda membuat gambar hanya dengan komponen-komponen dasar, mengurangi paparan Anda terhadap kerentanan keamanan. Anda juga dapat menerapkan pengaturan keamanan yang disediakan AWS untuk lebih mengamankan gambar Anda untuk memenuhi kriteria keamanan internal.

Manajemen gambar sederhana untuk AWS dan lokal

EC2 Image Builder bersama dengan AWS VM Import/Export (VMIE) memungkinkan Anda membuat dan memelihara gambar emas untuk Amazon EC2 (AMI) juga format VM lokal (VHDX, VMDK, dan OVF).

Dukungan Validasi Bawan

EC2 Image Builder memungkinkan Anda dengan mudah memvalidasi gambar Anda dengan pengujian oleh AWS dan pengujian Anda sendiri sebelum menggunakannya dalam produksi. Ini mengurangi kesalahan yang ditemukan pada gambar yang biasanya disebabkan pengujian yang tidak memadai dan dapat memicu waktu henti. Kebijakan dapat diatur yang menerapkan gambar ke wilayah AWS tertentu hanya setelah melalui pengujian yang Anda tentukan.

Penegakan Kebijakan Terpusat

EC2 Image Builder memungkinkan kontrol versi untuk memudahkan manajemen revisi. Terintegrasi dengan AWS Resource Access Manager dan AWS Organizations untuk memungkinkan berbagi skrip otomatisasi, resep, dan gambar di seluruh akun AWS. Image Builder juga memungkinkan tim Keamanan Informasi dan TI menegakkan kebijakan dan kepatuhan gambar dengan lebih baik.

Anda dapat menggunakan Image Builder dengan konsol AWS, AWS CLI, atau API untuk membuat gambar di akun AWS Anda sendiri. Bila digunakan dengan konsol AWS, Image Builder menyediakan panduan langkah demi langkah sebagai berikut:

  • Langkah 1: Siapkan gambar OS dasar 
  • Langkah 2: Pilih perangkat lunak untuk instalasi 
  • Langkah 3: Pilih dan jalankan pengujian 
  • Langkah 4: Distribusikan gambar ke wilayah yang dipilih

Gambar yang Anda bangun ada di akun AWS Anda dan dapat dikonfigurasi untuk di-patch secara berkelanjutan. Anda dapat memantau kemajuan dan meminta acara CloudWatch memberi tahu Anda untuk pemecahan masalah dan debugging. Selain menghasilkan gambar final, Image Builder juga menghasilkan file “resep” yang dapat digunakan dengan sistem kontrol versi kode sumber dan kerangka program CI/CD untuk otomatisasi berulang.

EC2 Image Builder, bersama dengan AWS VM Import/Export (VMIE), memungkinkan Anda membuat dan memelihara gambar emas untuk Amazon EC2 (AMI) serta format VM on-premise (VHDX, VMDK, dan OVF). Anda dapat menggunakan AMI yang ada (baik AMI kustom Anda sendiri, atau memilih dari daftar gambar terkelola Image Builder) sebagai titik awal proses pembangunan gambar Anda. Atau, Anda dapat menggunakan VMIE untuk mengimpor gambar dari format VMDK, VHDX, atau OVF ke dalam AMI, yang kemudian dapat menjadi titik awal pembangunan gambar Anda. Gambar akhir yang dihasilkan dalam format AMI, yang dapat diekspor ke format VHDX, VMDK, dan OVF menggunakan VMIE.

Dukungan Image Builder:

  • Amazon Linux 2
  • Windows Server 2012, 2016, dan 2019
  • Ubuntu Server 16 dan 18
  • Red Hat Enterprise Linux (RHEL) 7 dan 8
  • Cent OS 7 dan 8
  • SUSE Linux Enterprise Server (SLES) 15

Image Builder menghasilkan output gambar server dalam format AMI. Anda dapat menggunakan VMIE untuk mengekspor AMI ini ke VHDX, VMDK, atau OVF untuk penggunaan on-premise.

Resep Image Builder adalah file yang mewakili keadaan akhir dari gambar yang dihasilkan oleh kerangka otomatisasi dan memungkinkan Anda mengulang pembuatan berkali-kali. Resep dapat dibagikan, bercabang, dan diedit di luar UI Image Builder. Anda dapat menggunakan resep dengan perangkat lunak kontrol versi untuk menjaga resep terkendali versi yang dapat Anda gunakan untuk berbagi dan melacak perubahan.

Image Builder ditawarkan tanpa biaya, selain biaya sumber daya dasar dari AWS yang digunakan untuk membuat, menyimpan, dan berbagi gambar.  

Patching yang sedang berlangsung untuk gambar terbaru

Gambar baru dapat dikonfigurasi untuk dibuat berdasarkan pemicu seperti setiap kali ada pembaruan yang tertunda (mis., Pembaruan AMI sumber, pembaruan keamanan, pembaruan kepatuhan, pengujian baru, dll.) atau pada ritme waktu yang ditentukan. Anda dapat menentukan “ritme bentuk” di mana gambar emas baru dihasilkan dengan perubahan terbaru dengan menerapkan perubahan yang tertunda. Gambar terbaru dapat diuji dengan Image Builder untuk memvalidasi aplikasi Anda pada bentuk yang diperbarui. Anda juga dapat berlangganan notifikasi melalui antrian SNS untuk menunggu pembaruan bagi gambar yang dibangun dengan Image Builder. Anda dapat menggunakan notifikasi ini sebagai pemicu untuk membangun gambar baru.

Menyesuaikan gambar

Anda dapat menyesuaikan gambar perangkat lunak dari sumber perangkat lunak terdaftar seperti repositori paket RPM/Debian serta MSI dan penginstal khusus pada Windows. Selain sumber perangkat lunak AWS pra-terdaftar, Anda juga dapat mendaftarkan satu atau lebih repositori dan lokasi Amazon S3 yang berisi perangkat lunak untuk instalasi. Anda dapat memberikan mekanisme “tanpa pengawasan” spesifik penginstal (seperti file jawaban) untuk alur kerja instalasi yang membutuhkan input interaktif.

Sama dengan cara Anda mencari komponen EC2 Image Builder saat ini, Anda dapat mencari komponen AWS Marketplace dari konsol EC2 Image Builder atau dari situs web AWS Marketplace. Setelah berlangganan, Anda dapat menambahkan komponen ini dalam resep EC2 Image Builder, sambil mengelola jalur EC2 Image Builder Anda.

Itu tergantung pada opsi pengiriman yang dipilih oleh Vendor Perangkat Lunak Independen (ISV) saat menerbitkan versi perangkat lunak mereka di AWS Marketplace. ISV dapat menerbitkan perangkat lunak mereka di AWS Marketplace baik untuk digunakan sebagai AMI, komponen EC2 Image Builder, maupun keduanya. Jika ISV menerbitkan perangkat lunak mereka untuk digunakan sebagai AMI dan komponen EC2 Image Builder dalam daftar yang sama, Anda hanya perlu 1 langganan ke perangkat lunak. Dalam hal ini, Anda memiliki pilihan untuk melakukan deployment sebagai AMI, atau menggunakan perangkat lunak sebagai komponen EC2 Image Builder menggunakan langganan yang sama. Jika ISV memilih untuk menerbitkan 2 daftar di AWS Marketplace, satu sebagai AMI, dan lainnya sebagai komponen, diperlukan 2 langganan yang berbeda.

Anda dapat mencari informasi dukungan di halaman detail produk di AWS Marketplace. Anda harus menghubungi dukungan vendor secara langsung mengenai komponen khusus mereka. Untuk umpan balik atau pertanyaan lain, Anda dapat mengirim email kepada kami di aws-mp-imagebuilder@amazon.com.

Penyetelan standar untuk memenuhi persyaratan keamanan dan kepatuhan

Image Builder memungkinkan Anda menentukan kumpulan pengaturan keamanan yang dapat Anda edit, perbarui, dan gunakan untuk memperkeras gambar Anda yang dibangun dengan Image Builder. Kumpulan pengaturan ini dapat diterapkan untuk memenuhi kriteria kepatuhan yang berlaku. Kriteria ini dapat dimandatkan oleh organisasi Anda atau oleh otoritas pengawas di industri Anda. AWS menyediakan galeri pengaturan untuk membantu memenuhi peraturan industri yang populer. Anda dapat menerapkan kumpulan pengaturan secara langsung atau dalam bentuk yang dimodifikasi. Misalnya, pengaturan yang disediakan AWS untuk STIG menutup port tidak penting yang terbuka, dan mengaktifkan firewall perangkat lunak.

Tidak, kumpulan pengaturan dari AWS mewakili panduan yang disarankan untuk mencapai kepatuhan tetapi tidak menjamin kepatuhan. Anda perlu bekerja dengan tim kepatuhan dan auditor Anda untuk memvalidasi kepatuhan. Pengaturan yang disediakan oleh AWS dapat dimodifikasi sesuai kebutuhan Anda dan disimpan untuk digunakan kembali di galeri.

Kumpulan pengaturan dapat dibuat dari awal atau berasal dari templat yang disediakan AWS dan disimpan di lokasi Amazon S3 yang terdaftar. Anda dapat membangun kumpulan Anda sendiri yang menerapkan pengaturan keamanan seperti memastikan patch keamanan diterapkan, menginstal firewall, menutup port tertentu, tidak mengizinkan file sharing antar program, menginstal anti-malware, membuat kata sandi yang kuat, menyimpan cadangan, menggunakan enkripsi bila memungkinkan, menonaktifkan enkripsi yang lemah, kontrol logging/audit, penghapusan data pribadi, dll. Anda bisa menambahkan pengaturan khusus Anda ke galeri.

Pengujian

Kerangka kerja pengujian pada Image Builder memungkinkan Anda menangkap ketidaksesuaian akibat pembaruan OS sebelum diterapkan ke wilayah AWS. Anda dapat menjalankan keduanya - pengujian oleh AWS dan pengujian Anda sendiri, mengelola jalannya pengujian, hasil, dan menjaga keamanan operasi hilir pada saat kelulusan pengujian. Contoh-contoh pengujian oleh AWS meliputi: menguji apakah AMI dapat melakukan boot ke prompt login, menguji apakah AMI dapat menjalankan aplikasi sampel, dll. Anda juga dapat menjalankan pengujian Anda sendiri terhadap gambar.

Setiap pengujian pada Image Builder terdiri dari skrip uji, biner uji, dan metadata uji. Skrip uji berisi perintah orkestrasi untuk memulai biner uji yang dapat ditulis dalam bahasa apa pun dan dalam kerangka kerja pengujian apa pun yang didukung oleh OS (misalnya, PowerShell pada Windows dan bash, python, ruby, dll. di Linux) dan kode status keluar menunjukkan hasil pengujian. Metadata uji juga mencakup atribut seperti nama, deskripsi, path untuk menguji biner, durasi yang diharapkan, dll.).

Distribusi dan berbagi

Image Builder terintegrasi dengan AWS Organizations untuk memungkinkan berbagi AMI di akun AWS dengan menggunakan mekanisme yang ada. Image Builder dapat memodifikasi izin peluncuran AMI untuk mengontrol akun AWS mana selain pemilik yang diizinkan meluncurkan EC2 VM dengan AMI (mis., pribadi, publik, dan berbagi dengan akun tertentu). Anda juga dapat meminta akun master AWS Organizations Anda memberlakukan pembatasan pada akun anggota untuk meluncurkan instans hanya dengan AMI yang disetujui dan patuh. Lihat dokumentasi Image Builder untuk detail tentang integrasi dengan AWS Organizations. Jika AMI Anda memiliki komponen pihak ketiga dari AWS Marketplace, Anda harus membagikan lisensi perangkat lunak dengan akun ini agar komponen tersebut dapat digunakan.

Ya. Sebagai pelanggan AWS Marketplace, Anda dapat menggunakan fitur hak terkelola yang disediakan oleh AWS Marketplace untuk mendistribusikan hak lisensi perangkat lunak melalui AWS License Manager ke organisasi Anda. Akun yang sudah Anda beri hak dapat menggunakan perangkat lunak pihak ketiga dan dapat meluncurkan golden image. Jika hak untuk menggunakan komponen berlum diberikan, EC2 Image Builder gagal kecuali tidak ada langganan yang valid.

Image Builder menggunakan Amazon ECR (layanan terkelola untuk register kontainer) sebagai input dan output gambar kontainer. Anda dapat mengonfigurasi kebijakan untuk mengelola izin untuk setiap repositori dan membatasi akses ke pengguna, peran IAM, atau akun AWS. ECR terintegrasi dengan RAM dan AWS Organizations agar dapat melakukan pembagian, distribusi, dan replikasi gambar kontainer di seluruh wilayah dan akun. ECR menggunakan kebijakan IAM untuk mengontrol akses ke sumber daya.

Image Builder dapat menyalin AMI ke wilayah AWS yang dipilih dengan menggunakan mekanisme berbagi AMI yang ada. Distribusi dapat dijaga keamanannya pada kelulusan pengujian dengan Image Builder.

Image Builder dapat berintegrasi dengan layanan AWS CI/CD seperti Code Build dan Code Pipeline untuk membantu mengaktualisasikan kerangka program CI/CD secara menyeluruh untuk membangun, menguji, dan menerapkan AMI.

Pemecahan masalah dan debugging

Image Builder melacak dan menampilkan kemajuan setiap langkah dalam proses membangun gambar. Selain itu, Image Builder dapat dibuat untuk mengeluarkan log ke Cloudwatch. Untuk pemecahan masalah lanjutan, Anda dapat menjalankan perintah dan skrip sembarang dengan menggunakan antarmuka SSM runCommand.

Untuk memecahkan masalah kegagalan build AMI dengan komponen pihak ketiga, Anda harus meninjau log build untuk mengetahui kesalahan. Sangat penting untuk memverifikasi dependensi dan kompatibilitas dengan komponen lain di AMI Anda. Anda harus memeriksa dokumentasi dan persyaratan sistem komponen yang disediakan oleh Vendor Perangkat Lunak Independen (ISV) dalam petunjuk penggunaan komponen. Jika tidak dapat mengatasi masalah ini, Anda dapat menghubungi ISV untuk mendapatkan bantuan. AWS tidak memvalidasi dependensi di antara komponen pihak ketiga, jadi Anda harus memastikan kompatibilitas sebelum membangun AMI.