Mengonfigurasi opsi metadata instans untuk instans yang ada - Amazon Elastic Compute Cloud
Mengueri opsi metadata instansMengharuskan penggunaan IMDSv2Memulihkan penggunaan IMDSv1Mengubah batas hop respons PUTAktifkan titik akhir IMDS IPv4 dan IPv6Aktifkan akses ke metadata instansNonaktifkan akses untuk metadata instans

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi opsi metadata instans untuk instans yang ada

Anda dapat mengonfigurasi opsi metadata instans untuk instans yang ada

Anda juga dapat membuat kebijakan IAM yang mencegah pengguna mengubah opsi metadata instans pada instans yang ada. Untuk mengontrol pengguna mana yang dapat memodifikasi opsi metadata instance, tentukan kebijakan yang mencegah semua pengguna selain pengguna dengan peran tertentu untuk menggunakan API. ModifyInstanceMetadataOptions Untuk contoh kebijakan IAM, lihat Cara menggunakan metadata instans.

Mengueri opsi metadata instans untuk instans yang ada

Anda dapat mengueri opsi metadata instans untuk instans Anda yang ada dengan menggunakan salah satu metode berikut.

Console
Untuk mengueri opsi metadata instans untuk instans yang sudah ada menggunakan konsol

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans Anda.

  4. Pilih Tindakan, Pengaturan instans, Ubah opsi metadata instans.

  5. Tinjau opsi metadata instans saat ini di kotak dialog Ubah opsi metadata instans.

AWS CLI
Untuk menanyakan opsi metadata instance untuk instance yang ada menggunakan AWS CLI

Gunakan perintah CLI describe-instances.

aws ec2 describe-instances \
    --instance-id i-1234567898abcdef0 \
    --query 'Reservations[].Instances[].MetadataOptions'
PowerShell
Untuk menanyakan opsi metadata instance untuk instance yang ada menggunakan Tools for PowerShell

Gunakan Get-EC2InstanceCmdlet.

(Get-EC2Instance `
    -InstanceId i-1234567898abcdef0).Instances.MetadataOptions

Mengharuskan penggunaan IMDSv2

Gunakan salah satu metode berikut untuk memodifikasi opsi metadata instans pada instans yang ada untuk mengharuskan penggunaan IMDSv2 saat meminta metadata instans. Ketika IMDSv2 diharuskan, IMDSv1 tidak dapat digunakan.

catatan

Sebelum mengharuskan IMDSv2 digunakan, pastikan instans tidak melakukan panggilan IMDSv1. MetadataNoTokenCloudWatch Metrik melacak panggilan IMDSv1. Ketika MetadataNoToken mencatat nol penggunaan IMDSv1 untuk sebuah instance, instance kemudian siap untuk membutuhkan IMDSv2.

Console
Untuk mengharuskan penggunaan IMDSv2 pada instans yanga ada

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans Anda.

  4. Pilih Tindakan, Pengaturan instans, Ubah opsi metadata instans.

  5. Di kotak dialog Ubah opsi metadata instans, lakukan hal berikut:

    1. Untuk Layanan metadata instans, pilih Diaktifkan.

    2. Untuk IMDSv2, pilih Wajib

    3. Pilih Simpan.

AWS CLI
Untuk mengharuskan penggunaan IMDSv2 pada instans yanga ada

Gunakan perintah CLI modify-instance-metadata-options dan atur parameter http-tokens ke required. Jika Anda menetapkan nilai untuk http-tokens, maka Anda juga harus mengatur http-endpoint ke enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
PowerShell
Untuk mengharuskan penggunaan IMDSv2 pada instans yanga ada

Gunakan Edit-EC2InstanceMetadataOptionCmdlet dan atur HttpTokens parameternya ke. required Jika Anda menetapkan nilai untuk HttpTokens, maka Anda juga harus mengatur HttpEndpoint ke enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpTokens required `
    -HttpEndpoint enabled).InstanceMetadataOptions

Memulihkan penggunaan IMDSv1

Jika IMDSv2 diharuskan, IMDSv1 tidak akan berfungsi saat meminta metadata instans. Ketika IMDSv2 bersifat opsional, maka IMDSv2 dan IMDSv1 akan berfungsi. Oleh karena itu, untuk memulihkan IMDSv1, jadikan IMDSv2 opsional dengan menggunakan salah satu metode berikut.

Console
Untuk memulihkan penggunaan IMDSv1 pada instans

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans Anda.

  4. Pilih Tindakan, Pengaturan instans, Ubah opsi metadata instans.

  5. Di kotak dialog Ubah opsi metadata instans, lakukan hal berikut:

    1. Untuk Layanan metadata instans, pastikan Aktifkan telah dipilih.

    2. Untuk IMDSv2, pilih Opsional.

    3. Pilih Simpan.

AWS CLI
Untuk memulihkan penggunaan IMDSv1 pada instans

Anda dapat menggunakan perintah CLI modify-instance-metadata-options dengan http-tokens yang diatur ke optional untuk memulihkan penggunaan IMDSv1 saat meminta metadata instans.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-tokens optional \
    --http-endpoint enabled
PowerShell
Untuk memulihkan penggunaan IMDSv1 pada instans

Anda dapat menggunakan Edit-EC2InstanceMetadataOptionCmdlet dengan HttpTokens set optional to mengembalikan penggunaan IMDSv1 saat meminta metadata instance.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpTokens optional `
    -HttpEndpoint enabled).InstanceMetadataOptions

Mengubah batas hop respons PUT

Untuk instans yang ada, Anda dapat mengubah pengaturan batas hop respons PUT.

Saat ini hanya AWS SDK AWS CLI dan yang mendukung perubahan batas hop respons PUT.

AWS CLI
Mengubah batas hop respons PUT

Gunakan perintah CLI modify-instance-metadata-options dan atur parameter http-put-response-hop-limit ke jumlah hop yang diperlukan. Pada instans berikut, hop limit diatur ke 3. Perhatikan bahwa saat Anda menetapkan nilai untuk http-put-response-hop-limit, maka Anda juga harus mengatur http-endpoint ke enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-put-response-hop-limit 3 \
    --http-endpoint enabled
PowerShell
Mengubah batas hop respons PUT

Gunakan Edit-EC2InstanceMetadataOptionCmdlet dan atur HttpPutResponseHopLimit parameter ke jumlah hop yang diperlukan. Pada instans berikut, batas hop diatur ke 3. Perhatikan bahwa saat Anda menetapkan nilai untuk HttpPutResponseHopLimit, maka Anda juga harus mengatur HttpEndpoint ke enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpPutResponseHopLimit 3 `
    -HttpEndpoint enabled).InstanceMetadataOptions

Aktifkan titik akhir IMDS IPv4 dan IPv6

IMDS memiliki dua titik akhir pada sebuah instance: IPv4 (169.254.169.254) dan IPv6 (). [fd00:ec2::254] Saat Anda mengaktifkan IMDS, titik akhir IPv4 diaktifkan secara otomatis. Titik akhir IPv6 tetap dinonaktifkan bahkan jika Anda meluncurkan instance ke subnet khusus IPv6. Untuk mengaktifkan titik akhir IPv6, Anda perlu melakukannya secara eksplisit. Saat Anda mengaktifkan titik akhir IPv6, titik akhir IPv4 tetap diaktifkan.

Anda dapat mengaktifkan titik akhir IPv6 saat peluncuran instans atau setelahnya.

Persyaratan untuk mengaktifkan titik akhir IPv6

  • Jenis instance yang dipilih dibangun di atas Sistem AWS Nitro.

  • Subnet yang dipilih mendukung IPv6, di mana subnet adalah dual stack atau IPv6 saja.

Saat ini hanya AWS CLI dan AWS SDK yang mendukung mengaktifkan titik akhir IMDS IPv6 setelah peluncuran instance.

AWS CLI
Untuk mengaktifkan titik akhir IMDS IPv6 untuk instans Anda

Gunakan perintah CLI modify-instance-metadata-options dan atur parameter http-protocol-ipv6 ke enabled. Perhatikan bahwa saat Anda menetapkan nilai untuk http-protocol-ipv6, maka Anda juga harus mengatur http-endpoint ke enabled.

aws ec2 modify-instance-metadata-options \
	--instance-id i-1234567898abcdef0 \
	--http-protocol-ipv6 enabled \
	--http-endpoint enabled
PowerShell
Untuk mengaktifkan titik akhir IMDS IPv6 untuk instans Anda

Gunakan Edit-EC2InstanceMetadataOptionCmdlet dan atur HttpProtocolIpv6 parameternya ke. enabled Perhatikan bahwa saat Anda menetapkan nilai untuk HttpProtocolIpv6, maka Anda juga harus mengatur HttpEndpoint ke enabled.

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpProtocolIpv6 enabled `
    -HttpEndpoint enabled).InstanceMetadataOptions

Aktifkan akses ke metadata instans

Anda dapat mengaktifkan akses ke metadata instans dengan mengaktifkan titik akhir HTTP IMDS pada instans Anda, apa pun versi IMDS yang Anda gunakan. Anda dapat megembalikan perubahan ini kapan saja dengan menonaktifkan titik akhir HTTP.

Gunakan salah satu metode berikut untuk menonaktifkan akses ke metadata instans pada instans.

Console
Untuk mengaktifkan akses ke metadata instans

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans Anda.

  4. Pilih Tindakan, Pengaturan instans, Ubah opsi metadata instans.

  5. Di kotak dialog Ubah opsi metadata instans, lakukan hal berikut:

    1. Untuk Layanan metadata instans, pilih Diaktifkan.

    2. Pilih Simpan.

AWS CLI
Untuk mengaktifkan akses ke metadata instans

Gunakan perintah CLI modify-instance-metadata-options dan atur parameter http-endpoint ke enabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-endpoint enabled
PowerShell
Untuk mengaktifkan akses ke metadata instans

Gunakan Edit-EC2InstanceMetadataOptionCmdlet dan atur HttpEndpoint parameternya ke. enabled

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpEndpoint enabled).InstanceMetadataOptions

Nonaktifkan akses untuk metadata instans

Anda dapat menonaktifkan akses ke metadata instans dengan menonaktifkan titik akhir HTTP IMDS pada instans Anda, apa pun versi IMDS yang Anda gunakan. Anda dapat megembalikan perubahan ini kapan saja dengan mengaktifkan titik akhir HTTP.

Gunakan salah satu metode berikut untuk menonaktifkan akses ke metadata instans pada instans.

Console
Untuk menonaktifkan akses untuk metadata instans

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih instans Anda.

  4. Pilih Tindakan, Pengaturan instans, Ubah opsi metadata instans.

  5. Di kotak dialog Ubah opsi metadata instans, lakukan hal berikut:

    1. Untuk Layanan metadata instans, hapus Aktifkan.

    2. Pilih Simpan.

AWS CLI
Untuk menonaktifkan akses untuk metadata instans

Gunakan perintah CLI modify-instance-metadata-options dan atur parameter http-endpoint ke disabled.

aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567898abcdef0 \
    --http-endpoint disabled
PowerShell
Untuk menonaktifkan akses untuk metadata instans

Gunakan Edit-EC2InstanceMetadataOptionCmdlet dan atur HttpEndpoint parameternya ke. disabled

(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567898abcdef0 `
    -HttpEndpoint disabled).InstanceMetadataOptions