Konfigurieren des Instance Metadata Service für die Instances Ihrer Umgebung - AWS Elastic Beanstalk
Plattformunterstützung für IMDSAuswahl der IMDS-MethodenKonfigurieren von IMDS mit der Elastic Beanstalk-KonsoleDer Namespace aws:autoscaling:launchconfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren des Instance Metadata Service für die Instances Ihrer Umgebung

Instance-Metadaten sind Daten einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance, mit denen Anwendungen die ausgeführte Instance konfigurieren oder verwalten können. Der Instance-Metadatenservice (IMDS) ist eine On-Instance-Komponente, die von Code auf der Instance verwendet wird, um sicher auf Instance-Metadaten zuzugreifen. Dieser Code kann Elastic Beanstalk-Plattformcode auf Ihren Umgebungsinstanzen, das AWS SDK, das Ihre Anwendung möglicherweise verwendet, oder sogar der eigene Code Ihrer Anwendung sein. Weitere Informationen finden Sie unter Instance-Metadaten und Benutzerdaten im Amazon-EC2-Benutzerhandbuch.

Code kann auf Instance-Metadaten von einer ausgeführten Instance mit einer von zwei Methoden zugreifen: Instance Metadata Service Version 1 (IMDSv1) oder Instance Metadata Service Version 2 (IMDSv2). IMDSv2 verwendet sitzungsorientierte Anfragen und mildert verschiedene Arten von Sicherheitsschwachstellen, über die versucht werden kann, auf das IMDS zuzugreifen. Informationen zu diesen beiden Methoden finden Sie unter Konfiguration des Instance-Metadaten-Service im Amazon EC2 EC2-Benutzerhandbuch.

Plattformunterstützung für IMDS

Ältere Versionen der Elastic Beanstalk-Plattform haben IMDSv1 unterstützt. Neuere Elastic Beanstalk-Plattformversionen (alle Amazon Linux 2-Plattformversionen) unterstützen sowohl IMDSv1 als auch IMDSv2. Sie können Ihre Umgebung so konfigurieren, dass beide Methoden unterstützt werden (Standardeinstellung) oder IMDSv1 deaktiviert wird.

Anmerkung

Das Deaktivieren von IMDSv1 erfordert die Verwendung von Amazon-EC2-Startvorlagen. Wenn Sie diese Funktion während der Umgebungserstellung oder -aktualisierung konfigurieren, versucht Elastic Beanstalk, Ihre Umgebung für die Verwendung von Amazon-EC2-Startvorlagen zu konfigurieren (sofern die Umgebung diese noch nicht verwendet). In diesem Fall schlägt die Erstellung oder Aktualisierung der Umgebung möglicherweise fehl, wenn Ihre Benutzerrichtlinie nicht die erforderlichen Berechtigungen besitzt. Daher empfehlen wir, unsere Richtlinie für verwaltete Benutzer zu verwenden oder die erforderlichen Berechtigungen zu Ihren benutzerdefinierten Richtlinien hinzuzufügen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Erstellen einer benutzerdefinierten Benutzerrichtlinie.

Auswahl der IMDS-Methoden

Berücksichtigen Sie bei der Entscheidung über die IMDS-Methoden, die von Ihrer Umgebung unterstützt werden sollen, folgende Anwendungsfälle:

  • AWS SDK — Wenn Ihre Anwendung ein AWS SDK verwendet, stellen Sie sicher, dass Sie die neueste Version des SDK verwenden. Die AWS SDKs führen IMDS-Aufrufe durch, und neuere SDK-Versionen verwenden, wann immer möglich, IMDSv2. Wenn Sie IMDSv1 deaktivieren oder wenn Ihre Anwendung eine alte SDK-Version verwendet, schlagen IMDS-Aufrufe möglicherweise fehl.

  • Ihr Anwendungscode — Wenn Ihre Anwendung IMDS-Aufrufe durchführt, sollten Sie erwägen, das AWS SDK zu verwenden, damit Sie die Aufrufe tätigen können, anstatt direkte HTTP-Anfragen zu stellen. Auf diese Weise müssen Sie keine Codeänderungen vornehmen, um zwischen IMDS-Methoden zu wechseln. Das AWS SDK verwendet IMDSv2, wann immer dies möglich ist.

  • Elastic Beanstalk-Plattformcode — Unser Code führt IMDS-Aufrufe über das AWS SDK durch und verwendet daher IMDSv2 auf allen unterstützten Plattformversionen. Wenn Ihr Code ein up-to-date AWS SDK verwendet und alle IMDS-Aufrufe über das SDK tätigt, können Sie IMDSv1 problemlos deaktivieren.

Konfigurieren von IMDS mit der Elastic Beanstalk-Konsole

Sie können die Konfiguration der Amazon EC2-Instance Ihrer Elastic Beanstalk-Umgebung in der Elastic Beanstalk-Konsole ändern.

So konfigurieren Sie IMDS auf Ihren Amazon EC2-Instances in der Elastic Beanstalk-Konsole

  1. Öffnen Sie die Elastic Beanstalk Beanstalk-Konsole und wählen Sie in der Liste Regionen Ihre aus. AWS-Region

  2. Wählen Sie im Navigationsbereich Environments (Umgebungen) aus und wählen Sie dann in der Liste den Namen Ihrer Umgebung aus.

    Anmerkung

    Wenn Sie viele Umgebungen haben, verwenden Sie die Suchleiste, um die Umgebungsliste zu filtern.

  3. Wählen Sie im Navigationsbereich Configuration (Konfiguration) aus.

  4. Wählen Sie in der Konfigurationskategorie Instances die Option Edit (Bearbeiten).

    IMDS-Option im Konfigurationsfenster für die Elastic Beanstalk-Instances

  5. Stellen Sie Disable IMDSv1 (IMDSv1 deaktivieren) ein, um IMDSv2 zu erzwingen. Löschen Sie Disable IMDSv1 (IMDSv1 deaktivieren), um IMDSv1 und IMDSv2 zu aktivieren.

  6. Wählen Sie unten auf der Seite die Option Apply (Anwenden) aus, um die Änderungen zu speichern.

Der Namespace aws:autoscaling:launchconfiguration

Sie können eine Konfigurationsoption im aws:autoscaling:launchconfiguration-Namespace verwenden, um IMDS für die Instances Ihrer Umgebung zu konfigurieren.

Im folgenden Beispiel für die Konfigurationsdatei wird IMDSv1 mit der DisableIMDSv1-Option deaktiviert.

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true