Amazon Linux 2023 AMIの非推奨化

Amazon Linux 2023のAMIは、リリースから90日経過すると非推奨になる。

https://docs.aws.amazon.com/ja_jp/linux/al2023/ug/ec2.html?utm_source=chatgpt.com#ami-deprecation

AMI が登録されると、廃止日が表示されます。各 AL2023 AMI の非推奨日は、AL2023 でのカーネルライブパッチ適用 が個々のカーネルリリースに設定されている期間に合わせて、リリース日から 90 日です。

非推奨になったAMIはEC2 コンソールでは使用できないが、AWS CLIやAPIからは使用できる。

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ami-deprecate.html

• AMI ユーザーは、非推奨の AMI をは EC2 コンソール経由で選択できなくなります。例えば、非推奨の AMI は、インスタンスの起動ウィザードの AMI カタログに表示されません。AMI 所有者の EC2 コンソール上には、非推奨の AMI が引き続き表示されます。
• AMI ユーザーで、非推奨となった AMI の ID がわかっている場合は、API、CLI、または SDK により、非推奨の AMI を使用しながらインスタンスの起動を継続することができます。

非推奨になったAMIを使用するデメリットとしては、カーネルライブパッチ適用が利用できないことが挙げられる。

カーネルライブパッチとは、実行中のアプリケーションを再起動または中断することなく、実行中の Linuxカーネルにパッチを適用する機能。

https://docs.aws.amazon.com/ja_jp/linux/al2023/ug/live-patching.html

非推奨AMIの使用がアラートの対象となる場合もある。

Elastic Security Solutionの例。

https://www.elastic.co/guide/en/security/8.18/aws-ec2-deprecated-ami-discovery.html

This rule detects when a user queries AWS for deprecated Amazon Machine Images (AMIs). While deprecated AMIs are not inherently malicious, their use can introduce vulnerabilities or misconfigurations. Adversaries may exploit deprecated AMIs in search of outdated or unpatched systems. Investigating these queries can help identify potential risks or misconfigurations.

参考。

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ami-deprecate.html

https://repost.aws/ja/knowledge-center/ec2-find-deprecated-ami

https://www.amazonaws.cn/en/products/linux-2023-faqs/