Transición al uso de Servicio de metadatos de instancia, versión 2 - Amazon Elastic Compute Cloud
Herramientas para ayudar en la transición a IMDSv2Ruta recomendada para exigir IMDSv2

Transición al uso de Servicio de metadatos de instancia, versión 2

Al migrar a IMDSv2, le recomendamos que utilice las herramientas y la ruta de transición siguientes.

Herramientas para ayudar en la transición a IMDSv2

Si el software usa IMDSv1, utilice las siguientes herramientas a la hora de configurar el software para que use IMDSv2.

Software de AWS

Las últimas versiones de los SDK AWS CLI y AWS son compatibles con IMDSv2. Para usar IMDSv2, asegúrese de que las instancias de EC2 incluyan las versiones más recientes de los SDK y la CLI. Para obtener información acerca de cómo actualizar la CLI, consulte Instalar, actualizar y desinstalar AWS CLI en la Guía del usuario de AWS Command Line Interface.

Todos los paquetes de software de Amazon Linux 2 y Amazon Linux 2023 son compatibles con IMDSv2. En Amazon Linux 2023, IMDSv1 está deshabilitado de forma predeterminada.

Para conocer las versiones mínimas del AWS SDK compatibles con IMDSv2, consulte Uso de un AWS SDK compatible.

Analizador de paquetes IMDS

El analizador de paquetes IMDS es una herramienta de código abierto que identifica y registra las llamadas de IMDSv1 desde la fase de arranque de la instancia. Esto puede ayudar a identificar el software que realiza llamadas a IMDSv1 en las instancias de EC2, lo que le permitirá determinar exactamente lo que necesita actualizar para que sus instancias estén listas para usar únicamente IMDSv2. Puede ejecutar IMDS Packet Analyzer desde una línea de comandos o instalarlo como un servicio. Para obtener más información, consulta IMDS Packet Analyzer en GitHub.

CloudWatch

IMDSv2 utiliza sesiones respaldadas por tokens, mientras que IMDSv1 no. La métrica MetadataNoToken de CloudWatch realiza un seguimiento del número de llamadas al servicio de metadatos de instancia (IMDS) que están utilizando IMDSv1. Al seguir esta métrica hasta cero, puede determinar si y cuándo se ha actualizado el software para utilizar IMDSv2.

Tras inhabilitar IMDSv1, puede usar la métrica de CloudWatch MetadataNoTokenRejected para hacer un seguimiento del número de veces que se intentó y rechazó una llamada de IMDSv1. Al seguir esta métrica, puede determinar si es necesario actualizar el software para utilizar IMDSv2.

Para obtener más información, consulte Métricas de la instancia.

Actualizaciones de las API y las CLI de EC2

Para las instancias nuevas, puede usar la API RunInstances para iniciar instancias nuevas que exijan el uso de IMDSv2. Para obtener más información, consulte Configurar las opciones de metadatos para instancias nuevas.

En las instancias existentes, puede usar la API ModifyInstanceMetadataOptions para exigir el uso de IMDSv2. Para obtener más información, consulte Configurar las opciones de metadatos para instancias existentes.

Para requerir el uso de IMDSv2 en todas las instancias nuevas iniciadas por grupos de Auto Scaling, los grupos de Auto Scaling pueden utilizar una plantilla de inicialización o una configuración de inicialización. Al crear una plantilla de inicialización o crear una configuración de inicialización, debe configurar los parámetros MetadataOptions para requerir el uso de IMDSv2. El grupo de escalado automático inicia nuevas instancias con la nueva plantilla de inicialización o la configuración de inicialización, pero las instancias existentes no resultan afectadas. Para las instancias existentes en un grupo de escalado automático, puede utilizar la API ModifyInstanceMetadataOptions para requerir el uso de IMDSv2 en las instancias existentes o terminar las instancias y el grupo de escalado automático iniciará nuevas instancias de sustitución con la configuración de las opciones de metadatos de la instancia definida en la plantilla de inicialización o en la configuración de inicialización.

Utilice una AMI que configure IMDSv2 de forma predeterminada

Al iniciar una instancia, puede configurarla automáticamente para que utilice IMDSv2 de forma predeterminada (el parámetro HttpTokens se establece en required) al iniciarlo con una AMI que esté configurada con el parámetro ImdsSupport establecido en v2.0. Puede establecer el parámetro ImdsSupport en v2.0 al registrar la AMI mediante el comando de CLI register-image o puede modificar una AMI existente mediante el comando de CLI modify-image-attribute. Para obtener más información, consulte Configuración de la AMI.

Políticas de IAM y SCP

Puede utilizar una política de IAM o una política de control de servicio (SCP) AWS Organizations para controlar a los usuarios de IAM de la siguiente forma:

  • No se puede iniciar una instancia con la API RunInstances, a menos que la instancia esté configurada para usar IMDSv2.

  • No se puede modificar una instancia en ejecución mediante la API ModifyInstanceMetadataOptions para volver a habilitar IMDSv1.

La política de IAM o SCP debe contener las siguientes claves de condición de IAM:

  • ec2:MetadataHttpEndpoint

  • ec2:MetadataHttpPutResponseHopLimit

  • ec2:MetadataHttpTokens

Si un parámetro en la llamada API o CLI no coincide con el estado especificado en la política que contiene la clave de condición, la llamada API o CLI falla con una respuesta UnauthorizedOperation.

Además, puede elegir una capa de protección adicional para forzar el cambio de IMDSv1 a IMDSv2. En la capa de administración de acceso, en relación con las API que se han llamado con credenciales de rol de EC2, puede usar una clave de condición nueva en políticas de IAM o políticas de control de servicios (SCP) de AWS Organizations. En específico, al usar la clave de condición de política ec2:RoleDelivery con un valor 2.0 en las políticas de IAM, las llamadas a la API realizadas con credenciales de rol de EC2 que se han obtenido de IMDSv1 recibirán la respuesta UnauthorizedOperation. Se puede conseguir lo mismo de forma más extensa si dicha condición la exige una SCP. De esta manera se logra que las credenciales proporcionadas mediante IMDSv1 no se puedan usar para llamar a las API porque cualquier llamada a la API que no cumpla la condición especificada recibirá un error UnauthorizedOperation.

Para ver ejemplos de políticas de IAM, consulte Trabajar con metadatos de instancias. Para obtener más información sobre SCP, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations.

Si se usan las herramientas anteriores, recomendamos seguir esta ruta para pasar a IMDSv2.

Paso 1: Al principio

Actualice los SDK, las CLI y su software que usan credenciales de rol en sus instancias de EC2 a versiones compatibles con IMDSv2. Para obtener más información sobre cómo actualizar CLI, consulte Actualizar a la versión más reciente de AWS CLI en la Guía del usuario de AWS Command Line Interface.

A continuación, cambie el software que accede directamente a los metadatos de instancia (en otras palabras, que no usan un SDK) con las solicitudes IMDSv2. Puede utilizar el analizador de paquetes IMDS para identificar el software que necesita cambiar para utilizar las solicitudes de IMDSv2.

Paso 2: haga un seguimiento del progreso de la transición

Realice un seguimiento del progreso de la transición utilizando la métrica de CloudWatch MetadataNoToken. Esta métrica muestra la cantidad de llamadas de IMDSv1 a IMDS de las instancias. Para obtener más información, consulte Métricas de la instancia.

Paso 3: cuando no hay uso de IMDSv1

Cuándo la métrica de CloudWatch MetadataNoToken no registra ningún uso de IMDSv1, las instancias están listas para la transición completa al uso de IMDSv2. En esta etapa, puede hacer lo siguiente:

  • Cuenta predeterminada

    Puede configurar IMDSv2 para que sea un requisito predeterminado de la cuenta. Cuando se inicia una instancia, la configuración de la instancia se establece automáticamente en la cuenta predeterminada.

    Para configurar la cuenta predeterminada, haga lo siguiente:

    • Consola Amazon EC2: en el panel de EC2, en Atributos de la cuenta, Protección y seguridad de datos, para ver los valores predeterminados de IMDS, establezca el Servicio de metadatos de instancia en Habilitado y la Versión de metadatos en V2 únicamente (token obligatorio). Para obtener más información, consulte Ajuste de IMDSv2 como valor predeterminado de la cuenta.

    • AWS CLI: use el comando de la CLI modify-instance-metadata-defaults y especifique --http-tokens required y --http-put-response-hop-limit 2.

  • instancias nuevas

    Al iniciar una nueva instancia, puede hacer lo siguiente:

    • Consola de Amazon EC2: En el asistente de instancia de inicialización, establezca Metadata accessible (Metadatos accesibles) en Enabled (Habilitados) y Metadata version (Versión de metadatos) en V2 only (token required) (Solo V2 [token necesario]). Para obtener más información, consulte Configuración de la instancia en el momento de la inicialización.

    • AWS CLI: use el comando de la CLI run-instances y especifique que solo se requiere IMDSv2.

  • instancias existentes

    Para instancias existentes, puede hacer lo siguiente:

    • Consola de Amazon EC2: en la página instancias, seleccione su instancia, elija Acciones, Configuración de la instancia, Modificar las opciones de metadatos de la instancia y, para IMDSv2, elija Obligatorio. Para obtener más información, consulte Requerir el uso de IMDSv2.

    • AWS CLI: utilice el comando de la CLI modify-instance-metadata-options para especificar que solo se debe utilizar IMDSv2.

    Puede modificar las opciones de metadatos de las instancias en ejecución y no es necesario reiniciar las instancias después de modificar las opciones de metadatos de la instancia.

Paso 4: Comprobación de si todas las instancias han pasado a IMDSv2

Puede comprobar si alguna instancia aún no está configurada para requerir el uso de IMDSv2; en otras palabras, IMDSv2 sigue configurado como optional. Si alguna instancia sigue configurada como optional, puede modificar las opciones de metadatos de la instancia para hacer que IMDSv2 sea required mediante la repetición del paso 3 anterior.

Para filtrar las instancias, haga lo siguiente:

  • Consola de Amazon EC2: en la página instancias, filtre las instancias mediante el filtro IMDSv2 = opcional. Para obtener más información sobre cómo filtrar, consulte Filtrar recursos mediante la consola. También puede ver si IMDSv2 es obligatorio u opcional para cada instancia. En la ventana Preferencias, active IMDSv2 para agregar la columna IMDSv2 a la tabla instancias.

  • AWS CLI: utilice el comando de la CLI describe-instances y filtre por metadata-options.http-tokens = optional, de la siguiente manera:

    aws ec2 describe-instances --filters "Name=metadata-options.http-tokens,Values=optional" --query "Reservations[*].Instances[*].[InstanceId]" --output text

Paso 5: Cuando todas las instancias han pasado a IMDSv2

Las claves de condición de IAM ec2:MetadataHttpTokens, ec2:MetadataHttpPutResponseHopLimit y ec2:MetadataHttpEndpoint se pueden utilizar para controlar el uso de las API RunInstances y ModifyInstanceMetadataOptions, así como la CLI correspondiente. Si se crea una política y un parámetro en la llamada a la API no coincide con el estado especificado en la política que usa la clave de condición, la llamada a la API o a la CLI devolverá una respuesta de error UnauthorizedOperation. Para ver ejemplos de políticas de IAM, consulte Trabajar con metadatos de instancias.

Además, después de deshabilitar IMDSv1, puede usar la métrica de CloudWatch MetadataNoTokenRejected para hacer un seguimiento del número de veces que se intentó y rechazó una llamada de IMDSv1. Si, después de deshabilitar IMDSv1, tiene un software que no funciona correctamente y la métrica MetadataNoTokenRejected registra las llamadas de IMDSv1, es probable que este software deba actualizarse para usar IMDSv2.