O que é a Amazon Machine Image?

Dentre os diversos benefícios do EC2, um deles é a possibilidade de criar ambientes de trabalho com facilidade a partir das imagens pré-formatadas chamadas Amazon Machine Image, mais conhecida como AMI. 

Uma AMI é um ambiente empacotado que contém as configurações necessárias para iniciar uma instância do EC2. Com essas configurações prontas, não é necessário perder tempo com  instalação de aplicativos, incompatibilidade de versão, configuração ou migração de dados. 

Assim, ao especificar uma AMI é possível iniciar uma ou mais instâncias com configurações semelhantes ou usar diferentes AMIs para iniciar várias instâncias com configurações diferentes. 

 

Tipos de AMIs

Os tipos de AMIs são categorizados com base no sistema operacional Windows ou Linux, de  acordo com as permissões de inicialização, região, arquitetura do sistema e armazenamento para o dispositivo root. 

Algumas AMIs são gratuitas e o usuário só paga pela infraestrutura utilizada na AWS. 

As AMIs também podem ser comercializadas no Marketplace AWS. A instância é cobrada de acordo com as taxas definidas pelo proprietário da AMI, bem como as taxas de infraestrutura da AWS. 

O EC2 também oferece algumas opções de licenciamento, como o caso do BYOL – Bring Your Own Licensing ou “traga sua própria licença” que é o processo de trazer licenças locais para a AWS. Dessa forma o custo do licenciamento não está mais incluso e o próprio usuário que gerencia suas licenças. 

As AMIs podem ser de dois tipos: 

  • AMIs suportadas pelo EBS: significa que o dispositivo root da instância executada a partir da AMI é um volume do EBS. O valor cobrado é referente ao uso da instância, uso e armazenamento do volume EBS e pelo armazenamento da AMI como um snapshot do EBS.
  • AMIs suportadas pelo armazenamento de instâncias: significa que o dispositivo root da instância executada a partir da AMI é um volume de armazenamento de instâncias criado através de um modelo armazenado no S3. O valor cobrado é referente ao uso da instância e armazenamento da AMI no S3. 

Cada AMI inclui: 

  • Snapshots do EBS e um modelo para o volume root da instância como um sistema operacional ou um servidor de aplicativos.
  • Permissões que controlam quais contas da AWS podem usar a AMI para iniciar instâncias.
  • Dispositivos de blocos que especificam os volumes a serem anexados à instância quando ela é iniciada.

 

AMIs compartilhadas

Como o nome diz, são AMIs que um desenvolvedor criou e disponibilizou para uso de outros desenvolvedores. Uma das maneiras mais fáceis de começar a utilizar o EC2 é usar uma AMI compartilhada com os componentes necessários e adicionar o conteúdo personalizado. 

A AWS não garante a total segurança das AMIs compartilhadas por outros usuários do EC2. Por isso é necessário utilizar cuidadosamente as AMIs compartilhadas e reservar um tempo para analisar onde pode expor os dados confidenciais.

 

Melhores práticas 

Muitas vezes, as AMIs contém snapshots e dados de produção cruciais ao negócio, por isso é necessário assegurar a proteção contra o acesso de invasores ou agentes maliciosos.

Separamos abaixo algumas práticas recomendadas para ampliar a proteção do conteúdo das AMIs: 

  • Verifique se as AMIs não são compartilhadas publicamente com as outras contas da AWS para evitar a exposição de dados confidenciais. Se necessário, compartilhe as AMIs com contas específicas da AWS sem torná-las públicas.
  • Verifique se as AMIs estão criptografadas para atender aos requisitos de conformidade para criptografia de dados em repouso. 

 

Conte com o CleanCloud Score

Aproveite essas e mais de 100 outras verificações de vulnerabilidades analisadas pelo CleanCloud Score e mantenha a nuvem AWS aderente às normas de proteção de dados.