Documentos de identidad de instancias

Cada instancia que inicie tiene un Documentos de identidad de instancia que proporciona información sobre la propia instancia. Puede utilizar el Documentos de identidad de instancia para validar los atributos de la instancia.

El documento de identidad de la instancia se genera cuando la instancia se detiene e inicia, se reinicia o se inicia. El documento de identidad de la instancia se expone (en formato JSON de texto sin formato) a través del servicio de metadatos de instancia (IMDS). La dirección IPv4 169.254.169.254 es una dirección de enlace local y solo es válida desde la instancia. Para obtener más información, consulte Dirección de enlace local en Wikipedia. La dirección IPv6 [fd00:ec2::254] es una dirección local única y solo es válida desde la instancia. Para obtener más información, consulte Dirección local única en Wikipedia.

nota

En los ejemplos de esta sección, se utiliza la dirección IPv4 de IMDS: 169.254.169.254. Si recupera metadatos de instancia para las instancias EC2 a través de la dirección IPv6, asegúrese de habilitar y utilizar la dirección IPv6 en su lugar: [fd00:ec2::254]. La dirección IPv6 de IMDS es compatible con los comandos de IMDSv2. Solo se puede acceder a la dirección IPv6 en Instancias integradas en el AWS Nitro System.

Puede recuperar el Documentos de identidad de instancia de una instancia en ejecución en cualquier momento. El Documentos de identidad de instancia contiene la información siguiente:

Datos	Descripción
accountId	El ID de la cuenta de AWS que inició la instancia.
architecture	La arquitectura de la AMI utilizada para iniciar la instancia (i386 | x86_64 | arm64).
availabilityZone	La zona de disponibilidad en la que se ejecuta la instancia.
billingProducts	Los productos de facturación de la instancia.
devpayProductCodes	Obsoleto.
imageId	El ID de la AMI utilizada para iniciar la instancia.
instanceId	El ID de la instancia.
instanceType	El tipo de instancia de la instancia.
kernelId	El ID del kernel asociado a la instancia, si corresponde.
marketplaceProductCodes	El código de producto de AWS Marketplace de la AMI utilizada para iniciar la instancia.
pendingTime	La fecha y la hora en que se lanzó la instancia.
privateIp	La dirección IPv4 privada de la instancia.
ramdiskId	El ID del disco RAM asociado con la instancia, si procede.
region	La región en la que se está ejecutando la instancia.
version	La versión del formato de archivoDocumentos de identidad de instancia.

Recuperar el Documentos de identidad de instancia de texto sin formato

Para recuperar el Documentos de identidad de instancia de texto sin formato

Conéctese a la instancia y ejecute uno de los siguientes comandos en función de la versión de IMDS utilizada por la instancia.

IMDSv2

$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document

IMDSv1

$ curl http://169.254.169.254/latest/dynamic/instance-identity/document

A continuación, se muestra un ejemplo del resultado.

{
    "devpayProductCodes" : null,
    "marketplaceProductCodes" : [ "1abc2defghijklm3nopqrs4tu" ], 
    "availabilityZone" : "us-west-2b",
    "privateIp" : "10.158.112.84",
    "version" : "2017-09-30",
    "instanceId" : "i-1234567890abcdef0",
    "billingProducts" : null,
    "instanceType" : "t2.micro",
    "accountId" : "123456789012",
    "imageId" : "ami-5fb8c835",
    "pendingTime" : "2016-11-19T16:32:11Z",
    "architecture" : "x86_64",
    "kernelId" : null,
    "ramdiskId" : null,
    "region" : "us-west-2"
}

Verificar la Documentos de identidad de instancia

Si tiene la intención de utilizar el contenido del Documentos de identidad de instancia para un propósito importante, debe verificar su contenido y autenticidad antes de usarlo.

El Documentos de identidad de instancia de texto sin formato se acompaña de tres firmas resumidas y cifradas. Puede utilizar estas firmas para verificar el origen y la autenticidad del Documentos de identidad de instancia y la información que incluye. Se proporcionan las siguientes firmas:

• Firma codificada en base64: este es un hash SHA256 codificado en base64 del Documentos de identidad de instancia cifrado mediante un par de claves RSA.

• Firma PKCS7: este es un hash SHA1 del Documentos de identidad de instancia cifrado mediante un par de claves DSA.

• Firma RSA-2048: este es un hash SHA256 del Documentos de identidad de instancia cifrado utilizando un par de claves RSA-2048.

Cada firma está disponible en un punto de enlace diferente en los metadatos de la instancia. Puede usar cualquiera de estas firmas dependiendo de sus requisitos de cifrado y hash. Para verificar las firmas, debe usar el correspondiente certificado público de AWS.

En los temas siguientes se proporcionan pasos detallados para validar el Documentos de identidad de instancia usando cada firma.

• Uso de la firma PKCS7 para verificar el Documentos de identidad de instancia

• Uso de la firma codificada en base64 para verificar el Documentos de identidad de instancia

• Uso de la firma RSA-2048 para verificar el Documentos de identidad de instancia