动态构建AWS镜像？

Question

我们希望通过提供“黄金映像”(加入域、拥有我们的安全软件、infra软件等)来限制我们的用户可以访问的AMI。因此，我们通过在AWS中使用现有的AMI，并像往常一样在其基础上进行构建。

问题是来自AWS的基础AMI更改非常频繁(例如，Microsoft补丁，诸如此类)，这意味着我们的黄金映像已经过时。

有没有办法让用户只访问拥有我们所有软件的镜像(即“黄金镜像”)，而不是动态地构建它，将我们的安全/基础设施软件添加到基础镜像中，并且只允许环境的最终用户访问它？

Answer 1

我的建议是，当你想要“刷新”图像时，将其自动化：

puppet/ http://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html

• Install /ansible/.../

1. 自动创建一个新的EC2实例(如果可能，从现有实例的user-data).
2. Create自定义AMI中创建：http://docs.aws.amazon.com/cli/latest/reference/ec2/create-image.html
3. Update IAM Policy以将实例创建限制为新AMi的快照：json { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1410544721000", "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Condition": { "ArnEquals": { "ec2:ParentSnapshot": "arn:aws:ec2:region::snapshot/snapshot-id" } }, "Resource": [ "*" ] } ] }您可以使用CLI：json { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1410544721000", "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Condition": { "ArnEquals": { "ec2:ParentSnapshot": "arn:aws:ec2:region::snapshot/snapshot-id" } }, "Resource": [ "*" ] } ] }将该策略设置为一个组

所有这些都可以使用CloudFormation实现自动化。我建议你至少手工做一次，一步一步地自动化。