Konfigurieren der Optionen des Instance-Metadaten-Services - Amazon Elastic Compute Cloud
Konfigurieren der Instance-Metadaten-OptionenRangfolge der Optionen für Instance-MetadatenVerwenden Sie IAM Bedingungsschlüssel, um die Optionen für Instanzmetadaten einzuschränken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren der Optionen des Instance-Metadaten-Services

Der Instanz-Metadatendienst (IMDS) wird lokal auf jeder EC2 Instanz ausgeführt. Die Optionen für Instanz-Metadaten beziehen sich auf eine Reihe von Konfigurationen, die den Zugriff und das Verhalten von IMDS auf einer EC2 Instanz steuern.

Sie können die folgenden Optionen für Instance-Metadaten für jede Instance konfigurieren:

Dienst für Instanz-Metadaten (IMDS): enabled | disabled

Sie können den IMDS auf einer Instanz aktivieren oder deaktivieren. Wenn diese Option deaktiviert ist, können Sie oder ein anderer Code nicht auf die Instance-Metadaten auf der Instance zugreifen.

Der IMDS hat zwei Endpunkte auf einer Instanz: IPv4 (169.254.169.254) und IPv6 ([fd00:ec2::254]). Wenn Sie das aktivierenIMDS, wird der IPv4 Endpunkt automatisch aktiviert. Wenn Sie den IPv6 Endpunkt aktivieren möchten, müssen Sie dies explizit tun.

IMDSIPv6Endpunkt: enabled | disabled

Sie können den IPv6 IMDS Endpunkt auf einer Instanz explizit aktivieren. Wenn der IPv6 Endpunkt aktiviert ist, bleibt der IPv4 Endpunkt aktiviert. Der IPv6 Endpunkt wird nur auf Nitro-basierten Instances in Subnetzen unterstützt, die IPv6 von -unterstützt werden (Dual Stack oder IPv6 nur).

Metadaten-Version: IMDSv1 or IMDSv2 (token optional) | IMDSv2 only (token required)

Bei der Anforderung von Instanz-Metadaten ist für IMDSv2 Aufrufe ein Token erforderlich. IMDSv1Für Aufrufe ist kein Token erforderlich. Sie können eine Instanz so konfigurieren, dass sie entweder IMDSv1 oder IMDSv2 -Aufrufe zulässt (wobei ein Token optional ist) oder dass sie nur IMDSv2 Aufrufe zulässt (wenn ein Token erforderlich ist).

Metadaten-Antwort-Hop-Limits: 164

Das Hop-Limit ist die Anzahl der Netzwerk-Hops, die die PUT Antwort ausführen darf. Sie können das Hop-Limit auf ein Minimum von 1 und ein Maximum von 64 festlegen. In einer Container-Umgebung empfehlen wir, das Hop-Limit auf 2 festzulegen. Weitere Informationen finden Sie unter Überlegungen zum Instance-Zugriff auf Instance-Metadaten.

Zugriffs auf Tags in Instance-Metadaten: enabled | disabled

Sie können den Zugriff auf die Tags der Instance in den Metadaten der Instance aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Zeigen Sie Tags für Ihre EC2 Instances mithilfe von Instanz-Metadaten an.

Konfigurieren der Instance-Metadaten-Optionen

Die Optionen für Instance-Metadaten können wie folgt auf verschiedenen Ebenen konfiguriert werden:

  • Konto – Sie können Standardwerte für die Instance-Metadatenoptionen auf Kontoebene für jede AWS-Region festlegen. Wenn eine Instance gestartet wird, werden die Optionen für die Instance-Metadaten automatisch auf die Werte auf Kontoebene festgelegt. Sie können diese Werte beim Start ändern. Standardwerte auf Kontoebene wirken sich nicht auf bestehende Instances aus.

  • AMI— Sie können den imds-support Parameter auf setzen, v2.0 wenn Sie einen registrieren oder ändernAMI. Wenn eine Instance damit gestartet wirdAMI, wird die Version der Instance-Metadaten automatisch auf IMDSv2 und das Hop-Limit auf 2 gesetzt.

  • Instance – Sie können alle Optionen für Instance-Metadaten einer Instance beim Start ändern und dabei die Standardeinstellungen überschreiben. Sie können auch nach dem Start auf einer ausgeführten oder angehaltenen Instance die Instance-Metadaten-Optionen ändern. Beachten Sie, dass Änderungen durch eine IAM SCP OR-Richtlinie eingeschränkt sein können.

Weitere Informationen erhalten Sie unter Konfigurieren von Instance-Metadatenoptionen für neue Instances und Modifizieren von Instance-Metadatenoptionen für vorhandene Instances.

Rangfolge der Optionen für Instance-Metadaten

Der Wert für jede Instance-Metadatenoption wird beim Start der Instance in einer hierarchischen Rangfolge festgelegt. Die Hierarchie mit der höchsten Priorität an oberster Stelle sieht wie folgt aus:

  • Priorität 1: Instance-Konfiguration beim Start – Werte können entweder in der Startvorlage oder in der Instance-Konfiguration angegeben werden. Alle hier angegebenen Werte haben Vorrang vor Werten, die auf Kontoebene oder in angegeben wurdenAMI.

  • Priorität 2: Kontoeinstellungen — Wenn beim Start der Instance kein Wert angegeben wird, wird er durch die Einstellungen auf Kontoebene bestimmt (die jeweils festgelegt sind). AWS-Region Einstellungen auf Kontoebene enthalten entweder einen Wert für jede Metadatenoption oder geben an, dass überhaupt keine Präferenz ausgewählt wird.

  • Priorität 3: AMI Konfiguration — Wenn beim Start der Instanz oder auf Kontoebene kein Wert angegeben wird, wird er durch die Konfiguration bestimmt. AMI Dies gilt nur für HttpTokens und HttpPutResponseHopLimit.

Jede Metadatenoption wird separat bewertet. Die Instance kann mit einer Mischung aus direkter Instanzkonfiguration, Standardeinstellungen auf Kontoebene und der Konfiguration von konfiguriert werden. AMI

Sie können den Wert jeder Metadatenoption nach dem Start auf einer laufenden oder angehaltenen Instance ändern, sofern die Änderungen nicht durch eine IAM OR-Richtlinie eingeschränkt sind. SCP

Ermitteln der Werte für Metadatenoptionen – Beispiel 1

In diesem Beispiel wird eine EC2 Instance in einer Region gestartet, in der der Wert 1 auf Kontoebene festgelegt HttpPutResponseHopLimit ist. Der angegebene AMI Wert ist auf ImdsSupport eingestelltv2.0. Beim Start werden keine Metadatenoptionen direkt auf der Instance angegeben. Die Instance wird mit den folgenden Metadatenoptionen gestartet:

"MetadataOptions": {
    ...
    "HttpTokens": "required",
    "HttpPutResponseHopLimit": 1,
    ...

Diese Werte wurden wie folgt bestimmt:

  • Beim Start wurden keine Metadatenoptionen angegeben: Beim Start der Instance wurden weder in den Instance-Startparametern noch in der Startvorlage spezifische Werte für die Metadatenoptionen angegeben.

  • Kontoeinstellungen haben als Nächstes Vorrang: Wenn beim Start keine spezifischen Werte angegeben wurden, haben die Einstellungen auf Kontoebene innerhalb der Region Vorrang. Das bedeutet, dass die auf Kontoebene konfigurierten Standardwerte angewendet werden. In diesem Fall wurde der HttpPutResponseHopLimit auf 1 gesetzt.

  • AMIEinstellungen haben letzten Vorrang: Wenn beim Start oder auf Kontoebene kein bestimmter Wert für HttpTokens (die Instanz-Metadatenversion) angegeben wurde, wird die AMI Einstellung angewendet. In diesem Fall wurde durch die AMI Einstellung ImdsSupport: v2.0 bestimmt, dass dieser Wert auf required gesetzt HttpTokens war. Beachten Sie, dass die AMI Einstellung zwar für das Setzen vorgesehen ImdsSupport: v2.0 istHttpPutResponseHopLimit: 2, sie jedoch durch die Einstellung auf Kontoebene, die höhere Priorität hatHttpPutResponseHopLimit: 1, außer Kraft gesetzt wurde.

Ermitteln der Werte für Metadatenoptionen – Beispiel 2

In diesem Beispiel wird die EC2 Instance mit den gleichen Einstellungen wie im vorherigen Beispiel 1 gestartet, allerdings mit der HttpTokens Einstellung optional direkt auf der Instance beim Start. Die Instance wird mit den folgenden Metadatenoptionen gestartet:

"MetadataOptions": {
    ...
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    ...

Der Wert für HttpPutResponseHopLimit wird auf die gleiche Weise wie in Beispiel 1 bestimmt. Der Wert für HttpTokens wird jedoch wie folgt bestimmt: Metadatenoptionen, die beim Start auf der Instance konfiguriert wurden, haben Vorrang. Obwohl die mit konfiguriert AMI wurde ImdsSupport: v2.0 (mit anderen Worten auf gesetzt HttpTokens istrequired), hatte der Wert, der beim Start für die Instance angegeben wurde (HttpTokensgesetzt aufoptional), Vorrang.

Version der Instance-Metadaten festlegen

Wenn eine Instance gestartet wird, ist der Wert für die Version der Instance-Metadaten entweder IMDSv1 or IMDSv2 (token optional) oder IMDSv2 only (token required).

Beim Start der Instance können Sie den Wert für die Metadatenversion entweder manuell angeben oder den Standardwert verwenden. Wenn Sie den Wert manuell angeben, überschreibt er alle Standardwerte. Wenn Sie den Wert nicht manuell angeben möchten, wird er durch eine Kombination von Standardeinstellungen bestimmt, wie in der folgenden Tabelle beschrieben.

Die Tabelle zeigt, wie die Metadatenversion für eine Instance beim Start (angezeigt durch Resultierende Instance-Konfiguration in Spalte 4) durch die Einstellungen auf den verschiedenen Konfigurationsebenen bestimmt wird. Die Rangfolge erfolgt von links nach rechts, wobei die erste Spalte den höchsten Vorrang hat, und zwar wie folgt:

  • Spalte 1: Startparameter – Stellt die Einstellung für die Instance dar, die Sie beim Start manuell angeben.

  • Spalte 2: Standard auf Kontoebene – Stellt die Einstellung für das Konto dar.

  • Spalte 3: AMIStandard — Stellt die Einstellung auf dem AMI dar.

Startparameter Standard auf Kontoebene AMIStandard Resultierende Instance-Konfiguration
Nur V2 (Token erforderlich) Keine Präferenz Nur V2 Nur V2
Nur V2 (Token erforderlich) Nur V2 Nur V2 Nur V2
Nur V2 (Token erforderlich) V1 oder V2 Nur V2 Nur V2
V1 oder V2 (Token optional) Keine Präferenz Nur V2 V1 oder V2
V1 oder V2 (Token optional) Nur V2 Nur V2 V1 oder V2
V1 oder V2 (Token optional) V1 oder V2 Nur V2 V1 oder V2
Nicht gesetzt Keine Präferenz Nur V2 Nur V2
Nicht gesetzt Nur V2 Nur V2 Nur V2
Nicht gesetzt V1 oder V2 Nur V2 V1 oder V2
Nur V2 (Token erforderlich) Keine Präferenz Null Nur V2
Nur V2 (Token erforderlich) Nur V2 Null Nur V2
Nur V2 (Token erforderlich) V1 oder V2 Null Nur V2
V1 oder V2 (Token optional) Keine Präferenz Null V1 oder V2
V1 oder V2 (Token optional) Nur V2 Null V1 oder V2
V1 oder V2 (Token optional) V1 oder V2 Null V1 oder V2
Nicht gesetzt Keine Präferenz Null V1 oder V2
Nicht gesetzt Nur V2 Null Nur V2
Nicht gesetzt V1 oder V2 Null V1 oder V2

Verwenden Sie IAM Bedingungsschlüssel, um die Optionen für Instanzmetadaten einzuschränken

Sie können IAM Bedingungsschlüssel in einer IAM Richtlinie oder SCP wie folgt verwenden:

  • Zulassen, dass eine Instance nur gestartet wird, wenn sie so konfiguriert ist, dass sie die Verwendung von IMDSv2 erzwingt

  • Beschränken der Anzahl der zulässigen Hops

  • Deaktivieren des Zugriffs auf Instance-Metadaten

Aufgaben
Anmerkung

Sie sollten vorsichtig vorgehen und sorgfältige Tests durchführen, bevor Sie Änderungen vornehmen. Beachten Sie die folgenden Punkte:

  • Wenn Sie die Verwendung von IMDSv2 erzwingen, werden Anwendungen oder Agenten, die IMDSv1 für Metadatenzugriffe verwenden, unterbrochen.

  • Wenn Sie den gesamten Zugriff auf Instance-Metadaten deaktivieren, werden Anwendungen oder Agenten, die auf Instance-Metadaten angewiesen sind, den Zugriff auf die Funktion verlieren.

  • For IMDSv2 müssen Sie /latest/api/token beim Abrufen des Tokens verwenden.

  • (Nur Windows) Wenn Ihre PowerShell Version älter als 4.0 ist, müssen Sie auf Windows Management Framework 4.0 aktualisieren, um die Verwendung von IMDSv2 zu erfordern.