Configuration du service de métadonnées d'instance sur les instances de votre environnement - AWS Elastic Beanstalk
Prise en charge de la plateforme pour IMDSChoisir des méthodes IMDSConfiguration d'IMDS à l'aide de la console Elastic BeanstalkEspace de noms aws:autoscaling:launchconfiguration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du service de métadonnées d'instance sur les instances de votre environnement

Les métadonnées d'instance sont des données relatives à une instance Amazon Elastic Compute Cloud (Amazon EC2) que les applications peuvent utiliser pour configurer ou gérer l'instance en cours d'exécution. Le service de métadonnées d'instance (IMDS) est un composant sur instance utilisé par le code sur l'instance pour accéder en toute sécurité aux métadonnées d'instance. Ce code peut être le code de la plateforme Elastic Beanstalk sur les instances de votre environnement AWS , le SDK que votre application est susceptible d'utiliser, ou même le propre code de votre application. Pour plus d'informations, consultez Métadonnées d'instance et données utilisateur dans le Guide de l'utilisateur Amazon EC2.

Le code peut accéder aux métadonnées d'instance à partir d'une instance en cours d'exécution à l'aide de l'une des deux méthodes suivantes : Instance Metadata Service Version 1 (IMDSv1) ou Instance Metadata Service Version 2 (IMDSv2). IMDSv2 utilise des requêtes orientées session et atténue plusieurs types de vulnérabilités qui pourraient être utilisées pour essayer d'accéder à l'IMDS. Pour plus d'informations sur ces deux méthodes, consultez la section Configuration du service de métadonnées d'instance dans le guide de l'utilisateur Amazon EC2.

Prise en charge de la plateforme pour IMDS

Les anciennes versions de plateforme Elastic Beanstalk prennent en charge IMDSv1. Les nouvelles versions de la plateforme Elastic Beanstalk (toutes les versions de plateforme Amazon Linux 2) prennent en charge à la fois IMDSv1 et IMDSv2. Vous pouvez configurer votre environnement pour prendre en charge les deux méthodes (par défaut) ou désactiver IMDSv1.

Note

La désactivation d'IMDsv1 nécessite l'utilisation de modèles de lancement Amazon EC2.Lorsque vous configurez cette fonction au cours de la création ou des mises à jour de l'environnement, Elastic Beanstalk tente de configurer votre environnement de sorte qu'il utilise des modèles de lancement Amazon EC2 (si l'environnement ne les utilise pas déjà). Dans ce cas, si votre politique d'utilisateur ne dispose pas des autorisations nécessaires, la création ou les mises à jour de l'environnement peuvent échouer. Par conséquent, nous vous recommandons d'utiliser notre politique d'utilisateur gérée ou d'ajouter les autorisations requises à vos politiques personnalisées. Pour de plus amples informations sur les autorisations requises, veuillez consulter Création d'une stratégie utilisateur personnalisée.

Choisir des méthodes IMDS

Lorsque vous prenez une décision concernant les méthodes IMDS que votre environnement doit prendre en charge, tenez compte des cas d'utilisation suivants :

  • AWS SDK — Si votre application utilise un AWS SDK, assurez-vous d'utiliser la dernière version du SDK. Les AWS SDK effectuent des appels IMDS, et les nouvelles versions du SDK utilisent IMDSv2 dans la mesure du possible. Si vous désactivez IMDSv1 ou si votre application utilise une ancienne version du SDK, les appels IMDS peuvent échouer.

  • Le code de votre application : si votre application effectue des appels IMDS, pensez à utiliser le AWS SDK afin de pouvoir effectuer les appels au lieu de faire des requêtes HTTP directes. De cette façon, vous n'avez pas besoin de modifier le code pour basculer entre les méthodes IMDS. Le AWS SDK utilise IMDSv2 dans la mesure du possible.

  • Code de la plateforme Elastic Beanstalk : notre code effectue des appels IMDS AWS via le SDK et utilise donc IMDSv2 sur toutes les versions de plate-forme compatibles. Si votre code utilise un up-to-date AWS SDK et effectue tous les appels IMDS via le SDK, vous pouvez désactiver IMDSv1 en toute sécurité.

Configuration d'IMDS à l'aide de la console Elastic Beanstalk

Vous pouvez modifier la configuration d'instance Amazon EC2 de votre environnement Elastic Beanstalk dans la console Elastic Beanstalk.

Pour configurer IMDS sur vos instances Amazon EC2 dans la console Elastic Beanstalk

  1. Ouvrez la console Elastic Beanstalk, puis dans la liste des régions, sélectionnez votre. Région AWS

  2. Dans le panneau de navigation, choisissez Environments (Environnements), puis choisissez le nom de votre environnement dans la liste.

    Note

    Si vous avez plusieurs environnements, utilisez la barre de recherche pour filtrer la liste des environnements.

  3. Dans le panneau de navigation, choisissez Configuration.

  4. Dans la catégorie de configuration Instances, choisissez Edit (Modifier).

    Option IMDS sur la fenêtre de configuration des instances Elastic Beanstalk

  5. Définissez Désactiver IMDsv1 pour appliquer IMDsv2. Décochez Désactiver IMDsv1 pour activer IMDsv1 et IMDsv2.

  6. Pour enregistrer les modifications, cliquez sur Appliquer en bas de la page.

Espace de noms aws:autoscaling:launchconfiguration

Vous pouvez utiliser une option de configuration dans l'espace de noms aws:autoscaling:launchconfiguration pour configurer IMDS sur les instances de votre environnement.

L'exemple de fichier de configuration suivant désactive IMDSv1 à l'aide de l'option DisableIMDSv1.

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true