Configurar las opciones de metadatos para instancias existentes - Amazon Elastic Compute Cloud
Opciones de metadatos de instancia de consultaRequerir el uso de IMDSv2Restauración del uso de IMDSv1Cambio del límite de saltos de respuesta PUTHabilitación del punto de conexión de IPv6 de la instanciaActivación del acceso a los metadatos de instanciasDesactivar el acceso a los metadatos de instancia

Configurar las opciones de metadatos para instancias existentes

Puede modificar las opciones de metadatos para las instancias existentes.

Además, puede crear una política de IAM que impida a los usuarios modificar las opciones de metadatos de instancias existentes. Para controlar qué usuarios pueden modificar las opciones de metadatos de instancias, especifique una política que impida a todos los usuarios que no tengan un rol determinado utilizar la API ModifyInstanceMetadataOptions. Para ver una política de IAM de ejemplo, consulte Trabajar con metadatos de instancias.

Opciones de metadatos de instancia de consulta para instancias existentes

Puede consultar las opciones de metadatos de las instancias existentes mediante uno de los siguientes métodos.

Console
Consulta de las opciones de metadatos de una instancia existente mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Seleccione la instancia.

  4. Elija Acciones, Configuración de la instancia y Modificar opciones de metadatos de instancia.

  5. Revise las opciones de metadatos de la instancia actuales en el cuadro de diálogo Modificar las opciones de metadatos de la instancia.

AWS CLI
Para consultar las opciones de metadatos de una instancia existente mediante el AWS CLI

Utilice el comando de la CLI describe-instances.

aws ec2 describe-instances \
    --instance-id i-1234567898abcdef0 \
    --query 'Reservations[].Instances[].MetadataOptions'
PowerShell
Para consultar las opciones de metadatos de una instancia existente mediante las herramientas para PowerShell

Utilice el cmdlet Get-EC2Instance.

(Get-EC2Instance `
    -InstanceId i-1234567898abcdef0).Instances.MetadataOptions

Requerir el uso de IMDSv2

Utilice uno de los siguientes métodos para modificar las opciones de metadatos de una instancia existente para requerir que se utilice IMDSv2 al requerir los metadatos de instancia. Cuando se requiere IMDSv2, no se puede usar IMDSv1.

Console
Para exigir el uso de IMDSv2 en una instancia existente

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Seleccione la instancia.

  4. Elija Acciones, Configuración de la instancia y Modificar opciones de metadatos de instancia.

  5. En el cuadro de diálogo Modificar opciones de metadatos de instancia, haga lo siguiente:

    1. En Servicio de metadatos de instancia, seleccione Habilitar.

    2. En IMDSv2, seleccione Obligatorio.

    3. Elija Guardar.

AWS CLI
Para exigir el uso de IMDSv2 en una instancia existente

Use el comando de la CLI modify-instance-metadata-options y establezca el parámetro http-tokens en required. Cuando se especifica un valor para http-tokens, también se debe establecer http-endpoint en enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
PowerShell
Para exigir el uso de IMDSv2 en una instancia existente

Utilice el cmdlet Edit-EC2InstanceMetadataOption y defina el parámetro HttpTokens en required. Cuando se especifica un valor para HttpTokens, también se debe establecer HttpEndpoint en enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpTokens required `
    -HttpEndpoint enabled).InstanceMetadataOptions

Restauración del uso de IMDSv1

Cuando se requiera IMDSv2, IMDSv1 no funcionará al solicitar metadatos de instancia. Cuando IMDSv2 sea opcional, tanto IMDSv2 como IMDSv1 funcionarán. Por lo tanto, para reemplazar IMDSv1, haga que IMDSv2 sea opcional mediante alguno de los métodos siguientes.

Console
Para restaurar el uso de IMDSv1 en una instancia

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Seleccione la instancia.

  4. Elija Acciones, Configuración de la instancia y Modificar opciones de metadatos de instancia.

  5. En el cuadro de diálogo Modificar opciones de metadatos de instancia, haga lo siguiente:

    1. Para Servicio de metadatos de instancia, asegúrese de que esté seleccionada la opción Habilitar.

    2. En IMDSv2, seleccione Opcional.

    3. Elija Guardar.

AWS CLI
Para restaurar el uso de IMDSv1 en una instancia

Puede utilizar el comando de la CLI modify-instance-metadata-options http-tokens establecido en optional para restaurar el uso de IMDSv1 cuando se solicitan metadatos de la instancia.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-tokens optional \
    --http-endpoint enabled
PowerShell
Para restaurar el uso de IMDSv1 en una instancia

Puede usar el cmdlet Edit-EC2InstanceMetadataOption con HttpTokens establecido en optional, para restaurar el uso de IMDSv1 al solicitar los metadatos de la instancia.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpTokens optional `
    -HttpEndpoint enabled).InstanceMetadataOptions

Cambio del límite de saltos de respuesta PUT

En las instancias existentes, puede modificar la configuración del límite de saltos de respuesta PUT.

Actualmente, solo la AWS CLI y los AWS SDK admiten cambiar el límite de saltos de respuesta PUT.

AWS CLI
Para cambiar el límite de saltos de respuesta PUT

Use el comando de la CLI modify-instance-metadata-options y establezca el parámetro http-put-response-hop-limit en el número de saltos necesario. En el siguiente ejemplo, el límite de saltos se ha establecido en 3. Tenga en cuenta que al especificar un valor para http-put-response-hop-limit, también debe establecer http-endpoint en enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-put-response-hop-limit 3 \
    --http-endpoint enabled
PowerShell
Para cambiar el límite de saltos de respuesta PUT

Utilice el cmdlet Edit-EC2InstanceMetadataOption y defina el parámetro HttpPutResponseHopLimit para el número de saltos obligatorio. En el siguiente ejemplo, el límite de saltos se ha establecido en 3. Tenga en cuenta que al especificar un valor para HttpPutResponseHopLimit, también debe establecer HttpEndpoint en enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpPutResponseHopLimit 3 `
    -HttpEndpoint enabled).InstanceMetadataOptions

Habilitación del punto de conexión de IPv6 de la instancia

El punto de conexión IPv6 está desactivado de forma predeterminada. Esto es cierto incluso si ha iniciando una instancia en una subred de solo IPv6. El punto de conexión IPv6 para el IMDS sólo es accesible en instancias integradas en el AWS Nitro System.

Actualmente, solo la AWS CLI y los AWS SDK admiten la habilitación del punto de conexión de IPv6 para su instancia.

AWS CLI
Para habilitar el punto de conexión de IPv6 de la instancia

Use el comando de la CLI modify-instance-metadata-options y establezca el parámetro http-protocol-ipv6 en enabled. Tenga en cuenta que al especificar un valor para http-protocol-ipv6, también debe establecer http-endpoint en enabled.

aws ec2 modify-instance-metadata-options \
	--instance-id i-1234567898abcdef0 \
	--http-protocol-ipv6 enabled \
	--http-endpoint enabled
PowerShell
Para habilitar el punto de conexión de IPv6 de la instancia

Utilice el cmdlet Edit-EC2InstanceMetadataOption y defina el parámetro HttpProtocolIpv6 en enabled. Tenga en cuenta que al especificar un valor para HttpProtocolIpv6, también debe establecer HttpEndpoint en enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpProtocolIpv6 enabled `
    -HttpEndpoint enabled).InstanceMetadataOptions

Activación del acceso a los metadatos de instancias

Puede activar el acceso a los metadatos de instancia al habilitar el punto de conexión HTTP del IMDS en la instancia, independientemente de la versión del IMDS que utilice. Para anular este cambio en cualquier momento, deshabilite el punto de conexión HTTP.

Utilice uno de los métodos siguientes para activar el acceso a los metadatos de una instancia en una instancia.

Console
Para activar el acceso a los metadatos de instancia

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Seleccione la instancia.

  4. Elija Acciones, Configuración de la instancia y Modificar opciones de metadatos de instancia.

  5. En el cuadro de diálogo Modificar opciones de metadatos de instancia, haga lo siguiente:

    1. En Servicio de metadatos de instancia, seleccione Habilitar.

    2. Elija Guardar.

AWS CLI
Para activar el acceso a los metadatos de instancia

Use el comando de la CLI modify-instance-metadata-options y establezca el parámetro http-endpoint en enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-endpoint enabled
PowerShell
Para activar el acceso a los metadatos de instancia

Utilice el cmdlet Edit-EC2InstanceMetadataOption y defina el parámetro HttpEndpoint en enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpEndpoint enabled).InstanceMetadataOptions

Desactivar el acceso a los metadatos de instancia

Puede desactivar el acceso a los metadatos de instancia al deshabilitar el punto de conexión HTTP del IMDS en la instancia, independientemente de la versión del IMDS que utilice. Puede anular este cambio en cualquier momento mediante la activación del punto de conexión HTTP.

Utilice uno de los métodos siguientes para desactivar el acceso a los metadatos de una instancia.

Console
Para desactivar el acceso a los metadatos de instancia

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Seleccione la instancia.

  4. Elija Acciones, Configuración de la instancia y Modificar opciones de metadatos de instancia.

  5. En el cuadro de diálogo Modificar opciones de metadatos de instancia, haga lo siguiente:

    1. Para Servicio de metadatos de instancia, desactive Habilitar.

    2. Elija Guardar.

AWS CLI
Para desactivar el acceso a los metadatos de instancia

Use el comando de la CLI modify-instance-metadata-options y establezca el parámetro http-endpoint en disabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-endpoint disabled
PowerShell
Para desactivar el acceso a los metadatos de instancia

Utilice el cmdlet Edit-EC2InstanceMetadataOption y defina el parámetro HttpEndpoint en disabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpEndpoint disabled).InstanceMetadataOptions