Configuración del servicio de metadatos de instancia - AWS Elastic Beanstalk
Soporte de plataformas para IMDSSelección de métodos IMDSConfiguración de IMDS mediante la consola de Elastic BeanstalkEl espacio de nombres aws:autoscaling:launchconfiguration

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del servicio de metadatos de instancia

Los metadatos de instancia son datos relacionados con una instancia de Amazon Elastic Compute Cloud (Amazon EC2) que las aplicaciones pueden utilizar para configurar o administrar la instancia de ejecución. El servicio de metadatos de instancia (IMDS) es un componente de la instancia que utiliza el código de instancia para acceder de forma segura a los metadatos de la instancia. Este código puede ser el código de la plataforma Elastic Beanstalk en las instancias de su entorno AWS , el SDK que pueda estar utilizando su aplicación o incluso el código propio de la aplicación. Para obtener más información, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon EC2.

El código puede acceder a metadatos de instancia a partir de una instancia en ejecución mediante uno de estos dos métodos: Servicio de metadatos de instancia versión 1 (IMDSv1) o Servicio de metadatos de instancia versión 2 (IMDSv2). IMDSv2 utiliza solicitudes orientadas a la sesión y mitiga varios tipos de vulnerabilidades que podrían utilizarse para intentar acceder al IMDS. Para obtener información sobre estos dos métodos, consulte Configuración del servicio de metadatos de la instancia en la Guía del usuario de Amazon EC2.

Soporte de plataformas para IMDS

Las versiones más antiguas de la plataforma Elastic Beanstalk admiten IMDSv1. Las versiones más recientes de la plataforma Elastic Beanstalk (todas las versiones de la plataforma Amazon Linux 2) admiten tanto IMDSV1 como IMDSv2. Puede configurar el entorno para que admita ambos métodos (el valor predeterminado) o deshabilitar IMDSv1.

nota

Desactivar el IMDSv1 requiere utilizar las plantillas de lanzamiento de Amazon EC2.Cuando configura esta característica durante la creación del entorno o las actualizaciones, Elastic Beanstalk intenta configurar el entorno para que utilice plantillas de lanzamiento de Amazon EC2 (si el entorno aún no las está utilizando). En este caso, si la política de usuario carece de los permisos necesarios, la creación del entorno o las actualizaciones podrían producir un error. Por lo tanto, le recomendamos que utilice nuestra política de usuario administrada o que agrega los permisos necesarios a sus políticas personalizadas. Para obtener información detallada acerca de los permisos necesarios, consulte Creación de una política de usuario personalizada.

Selección de métodos IMDS

Al tomar una decisión sobre los métodos IMDS que desea que admita su entorno, tenga en cuenta los siguientes casos de uso:

  • AWS SDK: si su aplicación usa un AWS SDK, asegúrese de usar la versión más reciente del SDK. Los AWS SDK realizan llamadas al IMDS, y las versiones más recientes del SDK utilizan IMDSv2 siempre que es posible. Si alguna vez desactiva IMDSv1 o si su aplicación utiliza una versión antigua del SDK, las llamadas IMDS podrían fallar.

  • El código de su aplicación: si su aplicación realiza llamadas al IMDS, considere la posibilidad de utilizar el AWS SDK para que pueda realizar las llamadas en lugar de realizar solicitudes HTTP directas. De esta manera, no necesita realizar cambios en el código para cambiar entre los métodos IMDS. El AWS SDK usa IMDSv2 siempre que es posible.

  • Código de plataforma de Elastic Beanstalk: nuestro código realiza llamadas de IMDS AWS a través del SDK y, por lo tanto, utiliza IMDSv2 en todas las versiones de plataforma compatibles. Si su código usa un up-to-date AWS SDK y realiza todas las llamadas al IMDS a través del SDK, puede deshabilitar IMDSv1 de forma segura.

Configuración de IMDS mediante la consola de Elastic Beanstalk

Puede modificar la configuración de la instancia de Amazon EC2 del entorno de Elastic Beanstalk mediante la consola de Elastic Beanstalk.

Para configurar IMDS en sus instancias de Amazon EC2 mediante la consola de Elastic Beanstalk

  1. Abra la consola de Elastic Beanstalk y, en la lista Regiones, seleccione su. Región de AWS

  2. En el panel de navegación, elija Environments (Entornos) y, a continuación, elija el nombre del entorno en la lista.

    nota

    Si tiene muchos entornos, utilice la barra de búsqueda para filtrar la lista de entornos.

  3. En el panel de navegación, elija Configuration (Configuración).

  4. En la categoría de configuración Instances (Instancias), elija Edit (Editar).

    Opción IMDS en la ventana de configuración de instancias de Elastic Beanstalk

  5. Seleccione Disable IMDSv1 (Desactivar IMDSv1) para aplicar IMDSv2. Desactive Disable IMDSv1 (Desactivar IMDSv1) para habilitar IMDSv1 e IMDSv2.

  6. Para guardar los cambios, elija Aplicar en la parte inferior de la página.

El espacio de nombres aws:autoscaling:launchconfiguration

Puede utilizar una opción de configuración en el espacio de nombres aws:autoscaling:launchconfiguration para configurar IMDS en las instancias del entorno.

En el siguiente ejemplo del archivo de configuración se deshabilita IMDSv1 mediante la opción DisableIMDSv1.

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true