Fonctionnement d’ IMDSv2 Transition vers l'utilisation IMDSv2 SDKs prises en charge Exemples pour IMDSv2 Exemples pour IMDSv1

Utilisez Instance Metadata Service

Vous pouvez accéder aux métadonnées d’instance à partir d’une instance en cours d’exécution en utilisant l’une des méthodes suivantes :

Service de métadonnées d'instance version 2 (IMDSv2) : méthode orientée session

Pour obtenir des exemples, consultez Exemples pour IMDSv2.
Service de métadonnées d'instance version 1 (IMDSv1) : méthode de demande/réponse

Pour obtenir des exemples, consultez Exemples pour IMDSv1.

Par défaut, vous pouvez utiliser l'un IMDSv1 ou IMDSv2 l'autre ou les deux.

Vous pouvez configurer le service de métadonnées d'instance (IMDS) sur chaque instance afin que le code local ou les utilisateurs puissent l'utiliser IMDSv2. Lorsque vous spécifiez que cela IMDSv2 doit être utilisé, cela IMDSv1 ne fonctionne plus. Pour plus d'informations sur la configuration de votre instance à utiliser IMDSv2, consultezConfiguration du service des métadonnées d’instance.

Les GET en-têtes PUT ou sont uniques à. IMDSv2 Si ces en-têtes sont présents dans la demande, la demande est destinée IMDSv2 à. Si aucun en-tête n'est présent, on suppose que la demande est destinée IMDSv1 à.

Pour un examen approfondi de IMDSv2, voir Ajouter une défense approfondie contre les pare-feux ouverts, les proxys inverses et les vulnérabilités SSRF grâce à des améliorations apportées au service de métadonnées d' EC2 instance.

Rubriques

Fonctionnement de Service des métadonnées d’instance Version 2
Passer à l’utilisation de Service des métadonnées d’instance Version 2
Utilisation d’un kit SDK AWS pris en charge
Exemples pour IMDSv2
Exemples pour IMDSv1

Fonctionnement de Service des métadonnées d’instance Version 2

IMDSv2 utilise des requêtes axées sur les sessions. Lorsque vous utilisez des demandes orientées session, vous créez un jeton de session qui définit la durée de la session, qui doit être d’une seconde au minimum et de six heures au maximum. Durant la période spécifiée, vous pouvez utiliser le même jeton de session pour les demandes suivantes. Une fois la période spécifiée arrivée à expiration, vous devez créer un nouveau jeton de session à utiliser pour les futures demandes.

Note

Les exemples de cette section utilisent l' IPv4 adresse du service de métadonnées d'instance (IMDS) :169.254.169.254. Si vous récupérez des métadonnées d'instance pour EC2 des instances via l' IPv6 adresse, assurez-vous d'activer et d'utiliser plutôt l' IPv6 adresse :[fd00:ec2::254]. L' IPv6 adresse de l'IMDS est compatible avec IMDSv2 les commandes. L' IPv6 adresse n'est accessible que sur les instances basées sur Nitro dans un sous-réseau IPv6 pris en charge (double pile ou IPv6 uniquement).

Les exemples suivants utilisent un script shell IMDSv2 pour récupérer les éléments de métadonnées de l'instance de niveau supérieur. Chaque exemple :

Crée un jeton de session d’une durée de six heures (21 600 secondes) en utilisant la demande PUT
Stockez l’en-tête du jeton de session dans une variable nommée TOKEN (sous Linux) ou token (sous Windows).
Demande les éléments de métadonnées de haut niveau à l’aide du jeton

Vous pouvez exécuter deux commandes distinctes ou les combiner.

Commandes distinctes

Tout d’abord, générez un jeton à l’aide de la commande suivante.


[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`

Utilisez ensuite le jeton pour générer des éléments de métadonnées de niveau supérieur à l’aide de la commande suivante.


[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/

Commandes combinées

Vous pouvez stocker le jeton et combiner les commandes. L’exemple suivant combine les deux commandes ci-dessus et stocke l’en-tête du jeton de session dans une variable nommée TOKEN.

Note

En cas d’erreur lors de la création du jeton, un message d’erreur remplace le jeton valide dans la variable et la commande ne fonctionne pas.


[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
	&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/

Une fois que vous avez créé un jeton, vous pouvez le réutiliser jusqu’à son expiration. Dans l’exemple de commande suivant, qui extrait l’ID de l’AMI utilisée pour lancer l’instance, le jeton stocké dans $TOKEN dans l’exemple précédent est réutilisé.


[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/ami-id


PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token


PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/

Une fois que vous avez créé un jeton, vous pouvez le réutiliser jusqu’à son expiration. Dans l’exemple de commande suivant, qui extrait l’ID de l’AMI utilisée pour lancer l’instance, le jeton stocké dans $token dans l’exemple précédent est réutilisé.


PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} `
	-Method GET -uri http://169.254.169.254/latest/meta-data/ami-id

Lorsque vous demandez IMDSv2 des métadonnées d'instance, la demande doit inclure les éléments suivants :

Utilisez une demande PUT pour lancer une session sur le service des métadonnées d’instance. La demande PUT renvoie un jeton qui doit être inclus dans les demandes GET suivantes envoyées au service des métadonnées d’instance. Le jeton est obligatoire pour accéder aux métadonnées à l'aide de IMDSv2.
Incluez le jeton dans toutes les demandes GET envoyées à l’IMDS. Lorsque l’utilisation de jeton est définie sur required, les demandes sans jeton valide ou contenant un jeton arrivé à expiration reçoivent un code d’erreur HTTP 401 - Unauthorized.
- Le jeton est une clé propre à l’instance. Le jeton n'est pas valide sur EC2 les autres instances et sera rejeté si vous tentez de l'utiliser en dehors de l'instance sur laquelle il a été généré.
- La demande PUT doit inclure un en-tête spécifiant la durée time-to-live (TTL) du jeton, en secondes, jusqu’à six heures au maximum (21 600 secondes). Le jeton représente une session logique. La durée de vie (TTL) définit la durée de validité du jeton et, par conséquent, la durée de la session.
- Une fois qu’un jeton est arrivé à expiration, pour pouvoir continuer à accéder aux métadonnées de l’instance, vous devez créer une nouvelle session en utilisant un autre PUT.
- Vous pouvez choisir de réutiliser un jeton ou d’en créer un nouveau pour chaque demande. Pour un faible nombre de demandes, il peut être plus facile de générer et d’utiliser immédiatement un jeton chaque fois que vous avez besoin d’accéder à l’IMDS. Cependant, pour une plus grande productivité, vous pouvez spécifier une durée plus longue pour le jeton et le réutiliser plutôt que de devoir écrire une demande PUT chaque fois que vous avez besoin de demander des métadonnées d’instance. Il n'existe aucune limite pratique quant au nombre de jetons simultanés, chacun représentant sa propre session. IMDSv2 est toutefois toujours limité par la connexion IMDS normale et les limites de limitation. Pour de plus amples informations, veuillez consulter Limitation des demandes.

Les méthodes HTTP GET et HEAD sont autorisées dans les demandes de métadonnées d'instance IMDSv2. Les requêtes PUT sont rejetées si elles contiennent un en-tête X-Forwarded-For.

Par défaut, la réponse aux demandes PUT possède une durée time-to-live (hop limit) de réponse de 1 au niveau du protocole IP. Si vous avez besoin d'une limite de sauts plus importante, vous pouvez l'ajuster à l'aide de la modify-instance-metadata-options AWS CLI commande. Par exemple, vous pouvez avoir besoin d’une durée de vie plus élevée pour des raisons de compatibilité en amont avec les services de conteneur s’exécutant sur l’instance. Pour de plus amples informations, veuillez consulter Configurer les options de métadonnées d’instance pour les instances existantes.

Passer à l’utilisation de Service des métadonnées d’instance Version 2

Lors de la migration vers IMDSv2, nous vous recommandons d'utiliser les outils et le chemin de transition suivants.

Rubriques

Outils d'aide à la transition vers IMDSv2
Chemin recommandé pour exiger IMDSv2

Outils d'aide à la transition vers IMDSv2

Si votre logiciel l'utilise IMDSv1, utilisez les outils suivants pour vous aider à reconfigurer votre logiciel en vue de son utilisation IMDSv2.

AWS logiciel

Les dernières versions du AWS SDKs support AWS CLI etIMDSv2. Pour les utiliser IMDSv2, assurez-vous que vos EC2 instances disposent des dernières versions de la CLI et SDKs. Pour plus d'informations sur la mise à jour de la CLI, consultez la section Installation ou mise à jour de la CLI AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

Tous les packages logiciels Amazon Linux 2 et Amazon Linux 2023 sont pris en chargeIMDSv2. Dans Amazon Linux 2023, IMDSv1 il est désactivé par défaut.

Pour connaître les versions minimales du AWS SDK prises en charge IMDSv2, consultezUtilisation d’un kit SDK AWS pris en charge.

Analyseur de packages IMDS

L'analyseur de paquets IMDS est un outil open source qui identifie et enregistre les IMDSv1 appels depuis la phase de démarrage de votre instance. Cela peut vous aider à identifier le logiciel qui fait IMDSv1 appel aux EC2 instances, ce qui vous permet de déterminer exactement ce que vous devez mettre à jour pour que vos instances soient prêtes à être utilisées IMDSv2 uniquement. Vous pouvez exécuter l’analyseur de packages IMDS à partir d’une ligne de commande ou l’installer en tant que service. Pour plus d'informations, consultez la section IMDS Packet Analyzer activé. GitHub

CloudWatch

IMDSv2 utilise des sessions basées sur des jetons, alors que ce n'est IMDSv1 pas le cas. La MetadataNoToken CloudWatch métrique suit le nombre d'appels utilisés par le service de métadonnées d'instance (IMDS). IMDSv1 En suivant cette métrique jusqu'à zéro, vous pouvez déterminer si la totalité de votre logiciel a été mis à niveau vers IMDSv2 et le moment auquel cela se produit.

Une fois la désactivation terminée IMDSv1, vous pouvez utiliser la MetadataNoTokenRejected CloudWatch métrique pour suivre le nombre de tentatives et de refus d'un IMDSv1 appel. En suivant cette métrique, vous pouvez déterminer si votre logiciel doit être mis à jour pour être utilisé IMDSv2.

Pour de plus amples informations, veuillez consulter Métriques des instances.

Mises à jour de EC2 APIs et CLIs

Pour les nouvelles instances, vous pouvez utiliser l'RunInstancesAPI pour lancer de nouvelles instances nécessitant l'utilisation de IMDSv2. Pour de plus amples informations, veuillez consulter Configurer les options de métadonnées d’instance pour les nouvelles instances.

Pour les instances existantes, vous pouvez utiliser l'ModifyInstanceMetadataOptionsAPI pour exiger l'utilisation deIMDSv2. Pour de plus amples informations, veuillez consulter Configurer les options de métadonnées d’instance pour les instances existantes.

Pour exiger l'utilisation de toutes IMDSv2 les nouvelles instances lancées par les groupes Auto Scaling, vos groupes Auto Scaling peuvent utiliser un modèle de lancement ou une configuration de lancement. Lorsque vous créez un modèle de lancement ou une configuration de lancement, vous devez configurer les paramètres MetadataOptions pour exiger l'utilisation de IMDSv2. Le groupe Auto Scaling lance de nouvelles instances à l’aide du nouveau modèle de lancement ou de la nouvelle configuration de lancement, mais les instances existantes ne sont pas affectées. Pour les instances existantes d'un groupe Auto Scaling, vous pouvez utiliser l'ModifyInstanceMetadataOptionsAPI pour exiger leur utilisation IMDSv2 sur les instances existantes, ou mettre fin aux instances et le groupe Auto Scaling lancera de nouvelles instances de remplacement avec les paramètres des options de métadonnées d'instance définis dans le nouveau modèle de lancement ou dans la nouvelle configuration de lancement.

Utiliser une AMI qui se configure IMDSv2 par défaut

Lorsque vous lancez une instance, vous pouvez automatiquement la configurer pour qu'elle soit utilisée IMDSv2 par défaut (le HttpTokens paramètre est défini surrequired) en la lançant avec une AMI configurée avec le ImdsSupport paramètre défini surv2.0. Vous pouvez définir le ImdsSupport paramètre sur v2.0 lorsque vous enregistrez l'AMI à l'aide de la commande d'interface de ligne de commande register-image, ou vous pouvez modifier une AMI existante à l'aide de la commande modify-image-attributeCLI. Pour de plus amples informations, veuillez consulter Configurer l'AMI.

Politiques IAM et SCPs

Vous pouvez utiliser une stratégie IAM ou une politique de contrôle des AWS Organizations services (SCP) pour contrôler les utilisateurs comme suit :

Impossible de lancer une instance à l'aide de l'RunInstancesAPI à moins que l'instance ne soit configurée pour être utilisée IMDSv2.
Impossible de modifier une instance en cours d'exécution à l'aide de l'ModifyInstanceMetadataOptionsAPI pour la réactiverIMDSv1.

La politique IAM ou la politique de contrôle des services doit contenir les clés de condition IAM suivantes :

ec2:MetadataHttpEndpoint
ec2:MetadataHttpPutResponseHopLimit
ec2:MetadataHttpTokens

Si un paramètre de l’appel d’API ou de CLI ne correspond pas à l’état spécifié dans la politique contenant la clé de condition, l’appel de l’API ou de la CLI échoue avec la réponse UnauthorizedOperation.

En outre, vous pouvez choisir une couche de protection supplémentaire pour appliquer le passage de IMDSv1 à IMDSv2. Au niveau de la couche de gestion des accès, en ce qui concerne les informations d'identification APIs appelées via le EC2 rôle, vous pouvez utiliser une nouvelle clé de condition soit dans les politiques IAM, soit dans les politiques de contrôle des AWS Organizations services (SCPs). Plus précisément, en utilisant la clé de condition ec2:RoleDelivery avec une valeur de 2.0 dans vos politiques IAM, les appels d'API effectués avec les informations d'identification de EC2 rôle obtenues auprès de IMDSv1 recevront une UnauthorizedOperation réponse. Vous pouvez aboutir au même résultat plus généralement avec cette condition requise par une SCP. Cela garantit que les informations d'identification fournies via IMDSv1 ne peuvent pas être réellement utilisées pour appeler, APIs car tout appel d'API ne correspondant pas à la condition spécifiée recevra une UnauthorizedOperation erreur.

Par exemple les stratégies IAM, consultez Utiliser des métadonnées d’instance. Pour plus d'informations SCPs, consultez la section Politiques de contrôle des services dans le Guide de AWS Organizations l'utilisateur.

Chemin recommandé pour exiger IMDSv2

À l'aide des outils ci-dessus, nous vous recommandons de suivre cette voie pour effectuer la transition vers IMDSv2.

Etape 1 : Au départ

Mettez à jour les SDKs CLIs, et vos logiciels qui utilisent les informations d'identification de rôle sur leurs EC2 instances vers des versions compatibles avec IMDSv2. Pour plus d'informations sur la mise à jour de la CLI, consultez la section Installation ou mise à jour vers la dernière version de la CLI AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

Modifiez ensuite votre logiciel qui accède directement aux métadonnées de l'instance (en d'autres termes, qui n'utilise pas de SDK) à l' IMDSv2 aide des requêtes. Vous pouvez utiliser l'analyseur de paquets IMDS pour identifier le logiciel que vous devez modifier pour utiliser IMDSv2 les demandes.

Étape 2 : suivre la progression de votre transition

Suivez la progression de votre transition à l'aide de la CloudWatch métriqueMetadataNoToken. Cette métrique indique le nombre d'IMDSv1 appels à l'IMDS sur vos instances. Pour de plus amples informations, veuillez consulter Métriques des instances.

Étape 3 : Quand il n'y a aucune IMDSv1 utilisation

Lorsque la CloudWatch métrique MetadataNoToken enregistre une IMDSv1 utilisation nulle, vos instances sont prêtes à passer entièrement à l'utilisation IMDSv2. A ce stade, voici ce que vous pouvez faire :

Pays par défaut

Vous pouvez le IMDSv2 définir comme obligatoire comme compte par défaut. Lorsqu’une instance est lancée, la configuration de l’instance est automatiquement définie sur la valeur par défaut du compte.

Pour définir la valeur par défaut du compte, procédez comme suit :
- EC2 Console Amazon : sur le EC2 tableau de bord, sous Attributs du compte, Protection et sécurité des données, pour les paramètres par défaut de l'IMDS, définissez le service de métadonnées de l'instance sur Activé et la version des métadonnées sur V2 uniquement (jeton requis). Pour de plus amples informations, veuillez consulter Définir IMDSv2 comme valeur par défaut pour le compte.
- AWS CLI: utilisez la commande modify-instance-metadata-defaultsCLI et spécifiez --http-tokens required et--http-put-response-hop-limit 2.
Nouvelles instances

Lors du lancement d’une nouvelle instance, vous pouvez effectuer les opérations suivantes :
- EC2 Console Amazon : dans l'assistant de lancement de l'instance, définissez les métadonnées accessibles sur Activé et la version des métadonnées sur V2 uniquement (jeton requis). Pour de plus amples informations, veuillez consulter Configurer l’instance au lancement.
- AWS CLI: utilisez la commande run-instances et spécifiez que IMDSv2 c'est obligatoire.
Instances existantes

Pour les instances existantes, vous pouvez exécuter les opérations suivantes :
- EC2 Console Amazon : sur la page Instances, sélectionnez votre instance, choisissez Actions, Paramètres de l'instance, Modifier les options de métadonnées de l'instance, et pour IMDSv2, choisissez Obligatoire. Pour de plus amples informations, veuillez consulter Exigence d'utilisation d'IMDSv2.
- AWS CLI: utilisez la commande modify-instance-metadata-optionsCLI pour spécifier que seule cette IMDSv2 option doit être utilisée.
Vous pouvez modifier les options des métadonnées d’instance sur les instances en cours d’exécution, et vous n’avez pas besoin de redémarrer les instances après avoir modifié ces options.

Étape 4 : Vérifiez si vos instances sont transférées vers IMDSv2

Vous pouvez vérifier si certaines instances ne sont pas encore configurées pour nécessiter l'utilisation de IMDSv2, en d'autres termes, si elles IMDSv2 sont toujours configurées commeoptional. Si des instances sont toujours configurées en tant queoptional, vous pouvez modifier les options de métadonnées de l'instance à effectuer IMDSv2 required en répétant l'étape 3 précédente.

Pour filtrer vos instances :

EC2 Console Amazon : sur la page Instances, filtrez vos instances à l'aide du filtre facultatif IMDSv2 =. Pour plus d’informations sur le filtrage, veuillez consulter la rubrique Filtrer des ressources à l’aide de la console. Vous pouvez également voir si IMDSv2 c'est obligatoire ou facultatif pour chaque instance : dans la fenêtre Préférences, activez l'option IMDSv2pour ajouter la IMDSv2colonne au tableau Instances.

AWS CLI: utilisez la commande describe-instances et filtrez parmetadata-options.http-tokens = optional, comme suit :


aws ec2 describe-instances --filters "Name=metadata-options.http-tokens,Values=optional" --query "Reservations[*].Instances[*].[InstanceId]" --output text

Étape 5 : Lorsque toutes vos instances sont transférées vers IMDSv2

Les touches de condition ec2:MetadataHttpTokensec2:MetadataHttpPutResponseHopLimit,, et ec2:MetadataHttpEndpoint IAM peuvent être utilisées pour contrôler l'utilisation du RunInstances ModifyInstanceMetadataOptions APIs et correspondant CLIs. Si une stratégie est créée et qu’un paramètre de l’appel d’API ne correspond pas à l’état spécifié dans la stratégie à l’aide de la clé de condition, l’appel de l’API ou de l’interface de ligne commande échoue avec la réponse UnauthorizedOperation. Par exemple les stratégies IAM, consultez Utiliser des métadonnées d’instance.

En outre, après la désactivation IMDSv1, vous pouvez utiliser la MetadataNoTokenRejected CloudWatch métrique pour suivre le nombre de tentatives et de refus d'un IMDSv1 appel. Si, après la désactivationIMDSv1, vous avez un logiciel qui ne fonctionne pas correctement et que la MetadataNoTokenRejected métrique enregistre les IMDSv1 appels, il est probable que ce logiciel doive être mis à jour pour être utiliséIMDSv2.

Utilisation d’un kit SDK AWS pris en charge

Pour être utilisées IMDSv2, vos EC2 instances doivent utiliser une version du AWS SDK qui prend en charge l'utilisation IMDSv2. Les dernières versions de tous les AWS SDKs supports utilisant IMDSv2.

Important

Nous vous recommandons de vous tenir au courant des versions du kit SDK afin de rester à jour avec les dernières fonctionnalités, mises à jour de sécurité et dépendances sous-jacentes. L’utilisation continue d’une version du kit SDK non prise en charge n’est pas recommandée et est effectuée à votre discrétion. Pour plus d'informations, consultez la politique de maintenance de AWS SDKs and Tools dans le guide de référence AWS SDKs and Tools.

Les versions minimales prises en charge sont les suivantes IMDSv2 :

AWS CLI : 1.16.289
AWS Tools for Windows PowerShell – 4.0.1.0
AWS SDK for .NET : 3.3.634.1
AWS SDK for C++ : 1.7.229
AWS SDK pour Go : 1.25.38
AWS SDK pour Go v2 — 0.19.0
AWS SDK for Java : 1.11.678
AWS SDK for Java 2.x : 2.10.21
AWS SDK pour Node.js — JavaScript 2.722.0
Kit AWS SDK pour Kotlin— 1,14
AWS SDK for PHP : 3.147.7
AWS SDK pour Python (Botocore) — 1.13.25
AWS SDK for Python (Boto3) : 1.12.6
AWS SDK for Ruby : 3.79.0

Exemples pour IMDSv2

Exécutez les exemples suivants sur votre EC2 instance Amazon pour récupérer les métadonnées de l'instance pour IMDSv2.

Sur les instances Windows, vous pouvez utiliser Windows PowerShell ou installer cURL ou wget. Si vous installez un outil tiers sur une instance Windows, assurez-vous de lire avec attention la documentation fournie car la méthode d’appel du HTTP et le format de sortie peuvent être différents de ce qui figure dans la présente documentation.

Exemples

Obtenir les versions disponibles des métadonnées d’instance
Obtenir les éléments de métadonnées de niveau supérieur
Obtenir les valeurs des éléments de métadonnées
Obtenir la liste des clés publiques disponibles
Montrer les formats pour lesquels une clé publique 0 est disponible
Obtenir la clé publique 0 (au format clé OpenSSH)
Obtenir l’ID de sous-réseau d’une instance
Obtenir les identifications d’une instance

Obtenir les versions disponibles des métadonnées d’instance

Cet exemple permet d’obtenir les versions disponibles des métadonnées d’instance. Chaque version fait référence à un build de métadonnées d’instance lorsque de nouvelles catégories de métadonnées d’instance ont été publiées. Les versions de génération des métadonnées de l'instance ne sont pas corrélées aux versions de l' EC2 API Amazon. Les versions antérieures sont disponibles au cas où vous ayez des scripts reposant sur la structure et les informations présentes dans une version précédente.

Obtenir les éléments de métadonnées de niveau supérieur

Cet exemple permet d’obtenir les éléments de métadonnées de niveau supérieur. Pour de plus amples informations sur la réponse , veuillez consultez PUT Object dans le .

Notez que les balises ne sont incluses dans cette sortie que si vous en avez autorisé l’accès. Pour de plus amples informations, veuillez consulter Autoriser l’accès aux identifications dans les métadonnées d’instance.

Obtenir les valeurs des éléments de métadonnées

Les exemples suivants permettent d’extraire les valeurs de certains de éléments de métadonnées de niveau supérieur qui ont été obtenus dans l’exemple précédent. Ces demandes utilisent le jeton stocké qui a été créé à l’aide de la commande de l’exemple précédent. Le jeton ne doit pas avoir expiré.

Obtenir la liste des clés publiques disponibles

Cet exemple permet d’obtenir la liste des clés publiques disponibles.

Montrer les formats pour lesquels une clé publique 0 est disponible

Cet exemple montre les formats pour lesquels une clé publique 0 est disponible.

Obtenir la clé publique 0 (au format clé OpenSSH)

Cet exemple permet d’obtenir la clé publique 0 (au format clé OpenSSH).

cURL


[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
ssh-rsa MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC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 my-public-key

PowerShell


PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token


PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
ssh-rsa MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC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 my-public-key

Obtenir l’ID de sous-réseau d’une instance

Cet exemple permet d’obtenir l’ID de sous-réseau pour une instance.

Obtenir les identifications d’une instance

Vous pouvez également renommer l’instance à l’aide d’identifications dans les métadonnées d’instance si votre instance est configurée pour accéder aux identifications à partir des métadonnées d’instance. Pour de plus amples informations, veuillez consulter Extraire les identifications à partir des métadonnées d’instance.

Exemples pour IMDSv1

Exécutez les exemples suivants sur votre EC2 instance Amazon pour récupérer les métadonnées de l'instance pour IMDSv1.