Questions fréquentes (FAQ) sur EC2 Image Builder

Il est possible de configurer Image Builder pour que de nouvelles images soient générées en fonction d’un événement déclencheur, par exemple chaque fois qu’il y a une actualisation en attente (mises à jour de l’AMI source, mises à jour de sécurité et de conformité, nouveaux tests, etc.) ou à une fréquence prédéfinie. Vous pouvez spécifier une « cadence de création » à laquelle de nouvelles images maîtres intégrant les derniers changements sont produites en appliquant les changements en attente. Les dernières images peuvent être testées avec Image Builder pour valider vos applications sur les créations mises à jour. Vous pouvez également vous inscrire aux notifications via les files d’attente SNS afin d’être averti des mises à jour en attente sur les images créées avec Image Builder. Vous pouvez utiliser ces notifications comme déclencheurs pour la création de nouvelles images.

Vous pouvez personnaliser les images des logiciels à partir de sources logicielles enregistrées telles que les référentiels de packages RPM/Debian et les MSI et les installateurs personnalisés sur Windows. En plus des ressources AWS pré-enregistrées, vous pouvez également enregistrer un ou plusieurs de vos référentiels et des emplacements Amazon S3 qui contiennent des logiciels pour l'installation. Vous pouvez fournir des mécanismes « sans surveillance » spécifiques de l’installeur (comme des fichiers de réponse) pour les flux de travail d’installation qui nécessitent des entrées interactives.

Image Builder vous permet de définir des collections de paramètres de sécurité que vous pouvez éditer, actualiser et utiliser pour durcir les images créées avec Image Builder. Ces collections de paramètres peuvent être appliquées de manière à satisfaire les critères de conformité applicables. Ces critères peuvent être mandatés par votre organisation ou par l’organisme de réglementation dans votre secteur. AWS fournit une galerie de paramètres pour vous aider à respecter les réglementations les plus courantes de votre secteur. Vous pouvez appliquer des ensembles de paramètres directement ou dans une forme modifiée. Par exemple, les paramètres fournis par AWS pour le STIG ferment les ports ouverts qui ne sont pas essentiels et activent un pare-feu.

Non, les collections de paramètres d’AWS représentent des recommandations visant à satisfaire les critères de conformité mais ne constituent pas une garantie de conformité. Vous devrez travailler avec vos équipes responsables de la mise en conformité et avec vos auditeurs pour valider la conformité. Les paramètres fournis par AWS peuvent être modifiés en fonction de vos besoins et sauvegardés pour leur réutilisation dans la galerie.

Les collections de paramètres peuvent être créées à partir de zéro ou dérivées de modèles fournis par AWS et stockées dans un emplacement Amazon S3 enregistré. Vous pouvez créer vos propres collections, qui appliquent notamment les paramètres de sécurité suivants : s’assurer que les patchs de sécurité sont appliqués, installer un pare-feu, fermer certains ports, ne pas autoriser le partage de fichiers entre les programmes, installer un logiciel anti-malware, créer des mots de passe forts, garder un backup, utiliser le chiffrement si possible, désactiver les chiffrements faibles, enregistrer l’historique dans un journal/faire des contrôles d’audit, supprimer les données personnelles, etc. Vous pouvez ajouter vos paramètres personnalisés à la galerie.

Le cadre de test dans Image Builder vous permet de détecter les incompatibilités introduites par les mises à jour de l’OS avant le déploiement dans les régions AWS. Vous pouvez exécuter à la fois des tests fournis par AWS et vos propres tests, gérer les sessions de test et les résultats et conditionner les opérations en aval à la réussite aux tests. Voici quelques exemples de tests fournis par AWS : tester si une AMI peut s’initialiser au login prompt, tester si une AMI peut exécuter un exemple d’application, etc. Vous pouvez également exécuter vos propres tests sur les images.

Chaque test dans Image Builder se compose d'un script de test, d'un binaire de test et de métadonnées de test. Le script de test contient les commandes d’orchestration pour démarrer le binaire de test, qui peut être écrit dans n’importe quel langage et dans n’importe quel cadre de test pris en charge par le système d’exploitation (par ex., PowerShell sous Windows, et bash, python, ruby, etc. sous Linux). Les codes des valeurs de sortie indiquent les résultats des tests. Les métadonnées de test incluent également des attributs comme le nom, la description, les chemins vers le binaire de test, la durée attendue, etc.

Image Builder s’intègre dans AWS Organizations pour permettre le partage des AMI entre comptes AWS, en utilisant des mécanismes existants. Image Builder peut modifier les permissions de lancement de l’AMI pour contrôler quels comptes AWS, en dehors de celui du propriétaire, sont autorisés à lancer les VM EC2 avec l’AMI (par ex., privé, public et partage avec des comptes spécifiques). Vous pouvez également faire en sorte que votre compte principal AWS Organization applique des contraintes sur les comptes des membres, afin de lancer des instances uniquement avec des AMI approuvées et conformes. Reportez-vous à la documentation Image Builder pour plus de détails sur l’intégration avec AWS Organizations.

Image Builder utilise Amazon ECR (un service géré pour les registres de conteneurs) à la fois comme entrée et comme sortie pour les images de conteneurs. Vous pouvez configurer des politiques afin de gérer les autorisations pour chaque référentiel et restreindre l'accès aux utilisateurs et rôles IAM ou aux autres comptes AWS. ECR s'intègre à RAM et à AWS Organizations pour permettre le partage, la distribution et la réplication des images des conteneurs entre les régions et les comptes. ECR utilise les stratégies IAM pour contrôler l'accès aux ressources.

Image Builder peut copier les AMI dans les régions AWS sélectionnées en utilisant des mécanismes de partage des AMI existants. La distribution peut être conditionnée par la réussite aux tests avec Image Builder.

Image Builder peut s’intégrer avec des services AWS CI/CD comme Code Build et Code Pipeline pour vous aider à actualiser un pipeline CI/CD de bout en bout pour la création, le test et le déploiement des AMI.

Image Builder suit et affiche la progression pour chaque étape du processus de création des images. De plus, vous pouvez faire en sorte qu'Image Builder émette des journaux dans CloudWatch. Pour un dépannage avancé, vous pouvez exécuter des commandes et des scripts arbitraires en utilisant l’interface SSM runCommand.