我們希望通過提供一個「黃金映像」(一個加入域名,擁有我們的安全軟件,infra軟件等)來限制用戶可以訪問的AMI。因此,我們通過採用AWS中的現有AMI來實現這一點,並按照我們通常的做法進行構建。動態構建AWS圖像?
問題是來自AWS的基本AMI變化很頻繁(即,微軟補丁,類似的事情),這意味着我們的黃金形象已經過時。
有沒有一種方法可以讓用戶只能訪問擁有我們所有軟件(即「金色圖像」)的圖像,而是動態構建它的圖像,將我們的安全/基礎軟件添加到基礎圖像,並只允許用戶訪問該環境的最終用戶?
我的建議自動化也就是說,當你想「刷新」的形象:
創建最新的基本Windows映像的新EC2實例 http://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html
安裝你的東西: 這裏最好有puppet/chef/ansible /.../ powershell自動執行(如果可能的話從用戶數據)。
從現有實例創建自定義AMI: http://docs.aws.amazon.com/cli/latest/reference/ec2/create-image.html
更新IAM策略來限制實例創建新AMI的快照: json { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1410544721000", "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Condition": { "ArnEquals": { "ec2:ParentSnapshot": "arn:aws:ec2:region::snapshot/snapshot-id" } }, "Resource": [ "*" ] } ] } 您可以在策略設置爲使用CLI一組: http://docs.aws.amazon.com/cli/latest/reference/iam/put-group-policy.html
和所有的可以使用CloudFormation實現自動化......我建議你用手工做至少一次,並自動一步步。