Qui est derrière les AMI communautaires sur Amazon EC2?
J'utilise AWS depuis des années, mais je ne me suis jamais aventuré en dehors du Quick Start et AWS Marketplace sections lors du lancement d'une instance EC2.
Les AMI du AWS Marketplace paraissent fiables, ils ont un lien vers le profil du vendeur, etc.:
Comparez cela aux AMI de la communauté, qui semblent apparaître de nulle part, sans aucune information sur qui l'a créé et téléchargé:
Comment savoir d'où vient une AMI communautaire? Peut-on leur faire confiance?
Tout utilisateur AWS peut créer une AMI communautaire en la rendant publique et partagée avec tout le monde. Donc, la réponse est à peu près n'importe qui aurait pu créer cette AMI communautaire.
Alors que beaucoup vont probablement bien, vous ne pouvez pas leur faire confiance par défaut, à mon avis.
En ce qui concerne le ( créateur spécifique de l'AMI en question, il semble que les seules informations spécifiques à l'utilisateur disponibles sont le champ OwnerId, qui est l'ID de compte AWS de le propriétaire de l'image.
Voici un exemple de commande AWS Cli pour obtenir ces informations:
aws ec2 describe-images --image-ids AMI-gs5mba4yp26bsyx57
(Remplacez "gs5mba4yp26bsyx57" par l'ID AMI que vous souhaitez examiner.)
Cela renverra beaucoup d'informations sur l'image, y compris le champ OwnerId.
et il n'y a absolument aucun moyen de savoir qui les a créés?
Vous regardez dans la mauvaise direction! Votre confiance dans les AMI de la communauté doit provenir de l'extérieur d'Amazon. Par exemple, si vous faites confiance à getfedora.org, vous pouvez faire confiance aux AMI de la communauté auxquelles il fait référence (comme indiqué dans cette réponse à une question étroitement liée , bien que le lien soit rompu depuis).
De même, Ubuntu a https://cloud-images.ubuntu.com/locator/ec2/ (même si je ne sais pas si ces AMI sont communautaires ou non).
Il existe de nombreux autres projets qui répertorient leurs propres AMI communautaires "officielles". Je n'ai pas pu trouver de liste officielle pour CentOS qui pourrait inclure l'AMI que vous avez référencé dans le post, mais vous pouvez toujours essayer de demander aux responsables du projet si l'AMI a été créée par eux à titre officiel.