Exemple de description d’image Amazon Linux 2023 - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple de description d’image Amazon Linux 2023

L’exemple de description d’image Amazon Linux 2023 présente les caractéristiques suivantes :

  1. Démarrage à partir d’une image de noyau unifiée (UKI) : démarrage à l’aide d’un seul binaire signé qui combine le noyau, initrd et les paramètres de démarrage en une seule image immuable.

  2. Système de fichiers racine en lecture seule : utilisation du système de fichiers en lecture seule amélioré (erofs) avec protection dm-verity pour garantir que le système de fichiers racine ne peut pas être modifié et maintenir la vérification de l’intégrité cryptographique.

  3. Système de fichiers superposé éphémère : création d’un système de fichiers superposé temporaire qui autorise les écritures temporaires dans des répertoires tels que /etc, /run et /var. Comme ce système de fichiers superposé n’existe qu’en mémoire. Toutes les modifications sont automatiquement perdues lorsque l’instance redémarre, ce qui garantit que le système revient à son état de confiance d’origine.

  4. Méthodes d’accès à distance désactivées : suppression des mécanismes d’accès à distance suivants pour empêcher l’accès à distance :

    Méthode d’accès Description Implémentation de la description d’image
    SSH Exclut le serveur OpenSSH. Rend l’instance intrinsèquement incapable de gérer le trafic SSH. Ignore le package openssh-server *
    Données utilisateur Supprime Cloud-init. Élimine la capacité des opérateurs à fournir des données utilisateur aux instances et à exécuter des scripts au moment du démarrage. Ignore les packages cloud-init et cloud-init-cfg-ec2 *
    Chrony Désactive le port de commande chrony. Empêche les opérateurs d’exécuter des commandes chrony sur des instances en cours d’exécution. Ignore le package amazon-chrony-config *
    MOTD Supprime le package MOTD. Élimine la possibilité pour les opérateurs de modifier les messages ou les fonctionnalités des instances en cours d’exécution. Ignore le package update-motd *
    AWS SSM Supprime l'agent AWS SSM. Empêche l'accès à distance aux instances en cours d'exécution à l'aide de AWS SSM. Ignore le package amazon-ssm-agent *
    EC2 Instance Connect Supprime le package EC2 Instance Connect. Désactive l’accès SSH à l’aide de cet outil. Ignore le package ec2-instance-connect *
    Console série Désactive la console série. Garantit que l’accès à la console n’est pas disponible pour les instances en cours d’exécution et empêche les opérateurs de se connecter à la console série. Désactivé via le paramètre de ligne de commande du noyau

    * Pour plus d’informations, consultez la section Éléments de description d’image.