Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Modifizieren von Instance-Metadatenoptionen für vorhandene Instances
Sie können die Instance-Metadatenoptionen für vorhandene Instances ändern.
Sie können auch eine IAM Richtlinie erstellen, die verhindert, dass Benutzer die Instance-Metadatenoptionen für bestehende Instances ändern. Um zu steuern, welche Benutzer die Optionen für Instanz-Metadaten ändern können, geben Sie eine Richtlinie an, die verhindert, dass alle Benutzer außer Benutzern mit einer bestimmten Rolle die verwenden ModifyInstanceMetadataOptionsAPI. Die IAM Beispielrichtlinie finden Sie unterArbeiten mit Instance-Metadaten.
Wenn zur Konfiguration der Instance-Metadatenoptionen eine deklarative Richtlinie verwendet wurde, können Sie diese nicht direkt im Konto ändern. Weitere Informationen finden Sie unter Deklarative Richtlinien im AWS Organizations -Benutzerhandbuch.
Erzwingen der Verwendung von IMDSv2
Verwenden Sie eine der folgenden Methoden, um die Optionen für Instanz-Metadaten für eine bestehende Instance so zu ändern, dass IMDSv2 sie bei der Anforderung von Instanz-Metadaten erforderlich sind. Wann IMDSv2 ist erforderlich, IMDSv1 kann nicht verwendet werden.
Bevor Sie verlangen, dass dies verwendet IMDSv2 wird, stellen Sie sicher, dass die Instanz keine IMDSv1 Aufrufe tätigt. Die MetadataNoToken
CloudWatch Metrik verfolgt IMDSv1 Anrufe. Wenn für eine Instance keine IMDSv1 Nutzung MetadataNoToken
aufgezeichnet wird, ist die Instance bereit, sie zu nutzenIMDSv2.
- Console
-
So erzwingen Sie die Verwendung von IMDSv2 auf einer vorhandenen Instance:
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie Ihre Instance aus.
-
Wählen Sie Aktionen, Instance-Einstellungen und Instance-Metadata-Optionen ändern.
-
Führen Sie im Dialogfeld Instance-Metadatenoptionen ändern Folgendes aus:
-
Für den Instance-Metadatenservice wählen Sie die Option Aktivieren.
-
Wählen Sie für IMDSv2Erforderlich aus.
-
Wählen Sie Save (Speichern) aus.
- AWS CLI
-
So erzwingen Sie die Verwendung von IMDSv2 auf einer vorhandenen Instance:
Verwenden Sie den modify-instance-metadata-optionsCLIBefehl und setzen Sie den http-tokens
Parameter aufrequired
. Wenn Sie einen Wert für http-tokens
angeben, müssen Sie auch http-endpoint
auf enabled
einstellen.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-tokens required \
--http-endpoint enabled
- PowerShell
-
So erzwingen Sie die Verwendung von IMDSv2 auf einer vorhandenen Instance:
Verwenden Sie das Edit-EC2InstanceMetadataOptionCmdlet und setzen Sie den HttpTokens
Parameter auf. required
Wenn Sie einen Wert für HttpTokens
angeben, müssen Sie auch HttpEndpoint
auf enabled
einstellen.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpTokens required `
-HttpEndpoint enabled).InstanceMetadataOptions
Stellen Sie die Verwendung von wieder her IMDSv1
Wenn IMDSv2 erforderlich, IMDSv1 funktioniert nicht, wenn Instanz-Metadaten angefordert werden. Wann IMDSv2 ist optional, dann IMDSv1 funktionieren IMDSv2 sowohl als auch. Machen Sie die Wiederherstellung daher IMDSv2 optionalIMDSv1, indem Sie eine der folgenden Methoden verwenden.
- Console
-
Um die Verwendung von IMDSv1 auf einer Instanz wiederherzustellen
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie Ihre Instance aus.
-
Wählen Sie Aktionen, Instance-Einstellungen und Instance-Metadata-Optionen ändern.
-
Führen Sie im Dialogfeld Instance-Metadatenoptionen ändern Folgendes aus:
-
Vergewissern Sie sich, dass für den Instance-Metadatenservice die Option Aktivieren ausgewählt ist.
-
Wählen IMDSv2Sie für Optional.
-
Wählen Sie Save (Speichern) aus.
- AWS CLI
-
Um die Verwendung von IMDSv1 auf einer Instanz wiederherzustellen
Sie können den modify-instance-metadata-optionsCLIBefehl mit http-tokens
set to verwenden, optional
um die Verwendung von IMDSv1 bei der Anforderung von Instanzmetadaten wiederherzustellen.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-tokens optional \
--http-endpoint enabled
- PowerShell
-
Um die Verwendung von IMDSv1 auf einer Instanz wiederherzustellen
Sie können das Edit-EC2InstanceMetadataOptionCmdlet mit der HttpTokens
Einstellung auf verwenden, optional
um die Verwendung von IMDSv1 bei der Anforderung von Instanzmetadaten wiederherzustellen.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpTokens optional `
-HttpEndpoint enabled).InstanceMetadataOptions
Ändern Sie das PUT Response-Hop-Limit
Für bestehende Instances können Sie die Einstellungen für das PUT
-Antwort-Hop-Limit ändern.
Derzeit AWS SDKs unterstützen nur die AWS CLI und die Änderung des PUT Response-Hop-Limits.
- AWS CLI
-
Um das PUT Response-Hop-Limit zu ändern
Verwenden Sie den modify-instance-metadata-optionsCLIBefehl und setzen Sie den http-put-response-hop-limit
Parameter auf die erforderliche Anzahl von Hops. Im folgenden Beispiel wird das Hop-Limit auf 3
gesetzt. Beachten Sie, dass Sie beim Angeben eines Werts für http-put-response-hop-limit
auch http-endpoint
auf enabled
setzen müssen.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-put-response-hop-limit 3
\
--http-endpoint enabled
- PowerShell
-
Um das PUT Response-Hop-Limit zu ändern
Verwenden Sie das Edit-EC2InstanceMetadataOptionCmdlet und setzen Sie den HttpPutResponseHopLimit
Parameter auf die erforderliche Anzahl von Hops. Im folgenden Beispiel wird das Hop-Limit auf 3
gesetzt. Beachten Sie, dass Sie beim Angeben eines Werts für HttpPutResponseHopLimit
auch HttpEndpoint
auf enabled
setzen müssen.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpPutResponseHopLimit 3 `
-HttpEndpoint enabled).InstanceMetadataOptions
Aktivieren Sie die Endpunkte und IMDS IPv4 IPv6
Der IMDS hat zwei Endpunkte auf einer Instanz: IPv4 (169.254.169.254
) und IPv6 ([fd00:ec2::254]
). Wenn Sie das aktivierenIMDS, wird der IPv4 Endpunkt automatisch aktiviert. Der IPv6 Endpunkt bleibt auch dann deaktiviert, wenn Sie eine Instance in einem Subnetz starten, das IPv6 nur für das Subnetz zuständig ist. Um den IPv6 Endpunkt zu aktivieren, müssen Sie dies explizit tun. Wenn Sie den IPv6 Endpunkt aktivieren, bleibt der IPv4 Endpunkt aktiviert.
Sie können den IPv6 Endpunkt beim Start der Instance oder danach aktivieren.
Anforderungen für die Aktivierung des IPv6 Endpunkts
Derzeit AWS SDKs unterstützen nur die AWS CLI und die Aktivierung des IMDS IPv6 Endpunkts nach dem Start der Instance.
- AWS CLI
-
Um den IMDS IPv6 Endpunkt für Ihre Instance zu aktivieren
Verwenden Sie den modify-instance-metadata-optionsCLIBefehl und setzen Sie den http-protocol-ipv6
Parameter aufenabled
. Beachten Sie, dass Sie beim Angeben eines Werts für http-protocol-ipv6
auch http-endpoint
auf enabled
setzen müssen.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-protocol-ipv6 enabled \
--http-endpoint enabled
- PowerShell
-
Um den IMDS IPv6 Endpunkt für Ihre Instanz zu aktivieren
Verwenden Sie das Edit-EC2InstanceMetadataOptionCmdlet und setzen Sie den HttpProtocolIpv6
Parameter auf. enabled
Beachten Sie, dass Sie beim Angeben eines Werts für HttpProtocolIpv6
auch HttpEndpoint
auf enabled
setzen müssen.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpProtocolIpv6 enabled `
-HttpEndpoint enabled).InstanceMetadataOptions
Sie können den Zugriff auf Instanz-Metadaten aktivieren, indem Sie den HTTP Endpunkt von IMDS auf Ihrer Instance aktivieren, unabhängig davon, welche Version von IMDS Sie verwenden. Sie können diese Änderung jederzeit rückgängig machen, indem Sie den HTTP Endpunkt deaktivieren.
Verwenden Sie eine der folgenden Methoden, um den Zugriff auf Instance-Metadaten für eine Instance zu aktivieren.
- Console
-
So aktivieren Sie den Zugriff auf Instance-Metadaten
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie Ihre Instance aus.
-
Wählen Sie Aktionen, Instance-Einstellungen und Instance-Metadata-Optionen ändern.
-
Führen Sie im Dialogfeld Instance-Metadatenoptionen ändern Folgendes aus:
-
Für den Instance-Metadatenservice wählen Sie die Option Aktivieren.
-
Wählen Sie Save (Speichern) aus.
- AWS CLI
-
So aktivieren Sie den Zugriff auf Instance-Metadaten
Verwenden Sie den modify-instance-metadata-optionsCLIBefehl und setzen Sie den http-endpoint
Parameter aufenabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-endpoint enabled
- PowerShell
-
So aktivieren Sie den Zugriff auf Instance-Metadaten
Verwenden Sie das Edit-EC2InstanceMetadataOptionCmdlet und setzen Sie den HttpEndpoint
Parameter auf. enabled
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpEndpoint enabled).InstanceMetadataOptions
Sie können den Zugriff auf Instanzmetadaten deaktivieren, indem Sie den HTTP Endpunkt von IMDS auf Ihrer Instance deaktivieren, unabhängig davon, welche Version von IMDS Sie verwenden. Sie können diese Änderung jederzeit rückgängig machen, indem Sie den HTTP Endpunkt aktivieren.
Verwenden Sie eine der folgenden Methoden, um den Zugriff auf Instance-Metadaten für eine Instance zu deaktivieren.
- Console
-
So deaktivieren Sie den Zugriff auf Instance-Metadaten
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie Ihre Instance aus.
-
Wählen Sie Aktionen, Instance-Einstellungen und Instance-Metadata-Optionen ändern.
-
Führen Sie im Dialogfeld Instance-Metadatenoptionen ändern Folgendes aus:
-
Für den Instance-Metadatenservice entfernen Sie die Option Aktivieren.
-
Wählen Sie Save (Speichern) aus.
- AWS CLI
-
So deaktivieren Sie den Zugriff auf Instance-Metadaten
Verwenden Sie den modify-instance-metadata-optionsCLIBefehl und setzen Sie den http-endpoint
Parameter aufdisabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-endpoint disabled
- PowerShell
-
So deaktivieren Sie den Zugriff auf Instance-Metadaten
Verwenden Sie das Edit-EC2InstanceMetadataOptionCmdlet und setzen Sie den HttpEndpoint
Parameter auf. disabled
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpEndpoint disabled).InstanceMetadataOptions
Sie können den Zugriff auf Tags in den Instance-Metadaten einer laufenden oder angehaltenen Instance erlauben. Sie müssen den Zugriff für jede Instance explizit zulassen. Wenn der Zugriff erlaubt ist, müssen die Instance-Tag-Schlüssel bestimmten Zeichenbeschränkungen entsprechen, andernfalls schlägt der Instance-Start fehl. Weitere Informationen finden Sie unter Zulassen des Zugriffs auf Tags in Instance-Metadaten.