Documents d'identité d'instance - Amazon Elastic Compute Cloud

Documents d'identité d'instance

Chaque instance que vous lancez a un Documents d'identité d'instance qui fournit des informations sur l'instance elle-même. Vous pouvez utiliser le Documents d'identité d'instance pour valider les attributs de l'instance.

Le document d'identité d'instance est généré lorsque l'instance est arrêtée et démarrée, redémarrée ou lancée. Le document d'identité d'instance est généré lorsque l'instance est lancée et qu'elle est exposée (au format JSON en texte brut) via le service de métadonnées d'instance. L'adresse IPv4 169.254.169.254 est une adresse de lien local et est uniquement valable à partir de l'instance. Pour plus d'informations, consultez Link-local address sur Wikipedia. L'adresse IPv6 fd00:ec2::254 est une adresse de lien local et est uniquement valable à partir de l'instance. Pour plus d'informations, consultez Unique local address (adresse locale unique) sur Wikipedia.

Note

Les exemples de cette section utilisent l'adresse IPv4 du service de métadonnées d'instance : 169.254.169.254. Si vous récupérez des métadonnées d'instance pour les instances EC2 sur l'adresse IPv6, assurez-vous d'activer et d'utiliser l'adresse IPv6 à la place : fd00:ec2::254. L'adresse IPv6 du service de métadonnées d'instance est compatible avec les commandes IMDSv2. L'adresse IPv6 est uniquement accessible sur instances reposant sur le système Nitro.

Vous pouvez récupérer le Documents d'identité d'instance à partir d'une instance en cours d'exécution à tout moment. Le Documents d'identité d'instance contient les informations suivantes :

non structurées Description
devpayProductCodes

Obsolète.

marketplaceProductCodes

Code produit AWS Marketplace de l'AMI utilisée pour lancer l'instance.

availabilityZone

Zone de disponibilité dans laquelle l'instance est en cours d'exécution.

privateIp

L'adresse IPv4 privée de l'instance.

version

La version du format du Documents d'identité d'instance

instanceId

ID de l'instance.

billingProducts

Produits de facturation de l'instance.

instanceType

Type de l'instance.

accountId

ID du compte AWS qui a lancé l'instance.

imageId

ID de l'AMI utilisée pour lancer l'instance.

pendingTime

Date et heure auxquelles l'instance a été lancée.

architecture

Architecture de l'AMI utilisée pour lancer l'instance (i386 | x86_64 | arm64).

kernelId

ID du noyau associé à l'instance, le cas échéant.

ramdiskId

ID du disque RAM associé à cette instance, le cas échéant.

region

Région dans laquelle l'instance est en cours d'exécution.

Récupérer le Documents d'identité d'instance en texte brut

Pour récupérer le Documents d'identité d'instance en texte brut

Connectez-vous à l'instance et exécutez l'une des commandes suivantes en fonction de la version IMDS (Instance Metadata Service) utilisée par l'instance.

IMDSv2
$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/dynamic/instance-identity/document
IMDSv1
$ curl http://169.254.169.254/latest/dynamic/instance-identity/document

Voici un exemple de sortie.

{ "devpayProductCodes" : null, "marketplaceProductCodes" : [ "1abc2defghijklm3nopqrs4tu" ], "availabilityZone" : "us-west-2b", "privateIp" : "10.158.112.84", "version" : "2017-09-30", "instanceId" : "i-1234567890abcdef0", "billingProducts" : null, "instanceType" : "t2.micro", "accountId" : "123456789012", "imageId" : "ami-5fb8c835", "pendingTime" : "2016-11-19T16:32:11Z", "architecture" : "x86_64", "kernelId" : null, "ramdiskId" : null, "region" : "us-west-2" }

Vérifier le Documents d'identité d'instance

Si vous avez l'intention d'utiliser le contenu du Documents d'identité d'instance à des fins importantes, vous devez vérifier son contenu et son authenticité avant de l'utiliser.

Le Documents d'identité d'instance en texte brut est accompagné de trois signatures hachées et chiffrées. Vous pouvez utiliser ces signatures pour vérifier l'origine et l'authenticité du Documents d'identité d'instance et les informations qu'il contient. Les signatures suivantes sont fournies :

  • Signature codée en base64 — Il s'agit d'un hachage SHA256 codé en base64 du Documents d'identité d'instance qui est chiffré à l'aide d'une paire de clés RSA.

  • Signature PKCS7 — Il s'agit d'un hachage SHA1 du Documents d'identité d'instance qui est chiffré à l'aide d'une paire de clés DSA.

  • Signature RSA-2048 — Il s'agit d'un hachage SHA256 du Documents d'identité d'instance qui est chiffré à l'aide d'une paire de clés RSA-2048.

Chaque signature est disponible à un point de terminaison différent dans les métadonnées de l'instance. Vous pouvez utiliser l'une de ces signatures en fonction de vos exigences de hachage et de chiffrement. Pour vérifier les signatures, vous devez utiliser le certificat AWS public correspondant.

Les rubriques suivantes fournissent des étapes détaillées pour valider le Documents d'identité d'instance avec chaque signature.