Penyedia kredensi IMDS

Layanan Metadata Instance (IMDS) menyediakan data tentang instans yang dapat Anda gunakan untuk mengonfigurasi atau mengelola instance yang sedang berjalan. Untuk informasi selengkapnya tentang data yang tersedia, lihat Metadata instans dan data pengguna di Panduan Pengguna Amazon EC2 untuk Metadata Instans atau Instans Linux dan data pengguna di Panduan Pengguna Amazon EC2 untuk Instans Windows. Amazon EC2 menyediakan endpoint lokal yang tersedia untuk instans yang dapat memberikan berbagai bit informasi ke instans. Jika instance memiliki peran yang dilampirkan, itu dapat memberikan serangkaian kredenal yang valid untuk peran itu. SDK dapat menggunakan titik akhir tersebut untuk menyelesaikan kredensi sebagai bagian dari rantai penyedia kredensi default mereka. Instance Metadata Service Version 2 (IMDSv2), versi IMDS yang lebih aman yang menggunakan token sesi, digunakan secara default. Jika gagal karena kondisi yang tidak dapat dicoba ulang (kode kesalahan HTTP 403, 404, 405), IMDSv1 digunakan sebagai fallback.

Konfigurasikan fungsi ini dengan menggunakan yang berikut:

AWS_EC2_METADATA_DISABLED- variabel lingkungan

Apakah akan mencoba menggunakan Layanan Metadata Instans Amazon EC2 (IMDS) untuk mendapatkan kredensi atau tidak.

Nilai default:false.

Nilai yang valid:

• true— Jangan gunakan IMDS untuk mendapatkan kredensi.

• false— Gunakan IMDS untuk mendapatkan kredensi.

ec2_metadata_v1_disabled- Pengaturan AWS config file bersama

AWS_EC2_METADATA_V1_DISABLED- variabel lingkungan

aws.disableEc2MetadataV1- Properti sistem JVM: Hanya Java/Kotlin

Apakah akan menggunakan Layanan Metadata Instance Versi 1 (IMDSv1) sebagai fallback jika IMDSv2 gagal.

catatan

SDK baru tidak mendukung IMDSv1 dan, karenanya, tidak mendukung pengaturan ini. Untuk detailnya, lihat tabelKompatibilitas dengan AWS SDK.

Nilai default:false.

Nilai yang valid:

• true— Jangan gunakan IMDSv1 sebagai fallback.

• false— Gunakan IMDSv1 sebagai fallback.

ec2_metadata_service_endpoint- Pengaturan AWS config file bersama

AWS_EC2_METADATA_SERVICE_ENDPOINT- variabel lingkungan

aws.ec2MetadataServiceEndpoint- Properti sistem JVM: Hanya Java/Kotlin

Titik akhir IMDS.

Nilai default: Jika ec2_metadata_service_endpoint_mode samaIPv4, maka titik akhir default adalah. http://169.254.169.254 Jika ec2_metadata_service_endpoint_mode samaIPv6, maka titik akhir default adalah. http://[fd00:ec2::254]

Nilai yang valid: URI yang valid.

ec2_metadata_service_endpoint_mode- Pengaturan AWS config file bersama

AWS_EC2_METADATA_SERVICE_ENDPOINT_MODE- variabel lingkungan

aws.ec2MetadataServiceEndpointMode- Properti sistem JVM: Hanya Java/Kotlin

Mode titik akhir IMDS.

Nilai default:IPv4.

Nilai yang valid:IPv4,IPv6.

catatan

Penyedia kredensi IMDS adalah bagian dari. Rantai penyedia kredensi Namun, penyedia kredensi IMDS hanya diperiksa setelah beberapa penyedia lain yang ada di seri ini. Oleh karena itu, jika Anda ingin program Anda menggunakan kredensi penyedia ini, Anda harus menghapus penyedia kredensi valid lainnya dari konfigurasi Anda atau menggunakan profil yang berbeda. Atau, alih-alih mengandalkan rantai penyedia kredensi untuk secara otomatis menemukan penyedia mana yang mengembalikan kredensi yang valid, tentukan penggunaan penyedia kredensi IMDS dalam kode. Anda dapat menentukan sumber kredensi secara langsung saat Anda membuat klien layanan.

Keamanan untuk kredensi IMDS

Secara default, ketika AWS SDK tidak dikonfigurasi dengan kredenal yang valid, SDK akan mencoba menggunakan Layanan Metadata Instans Amazon EC2 (IMDS) untuk mengambil kredensi untuk peran. AWS Perilaku ini dapat dinonaktifkan dengan menyetel variabel AWS_EC2_METADATA_DISABLED lingkungan ketrue. Hal ini mencegah aktivitas jaringan yang tidak perlu dan meningkatkan keamanan pada jaringan yang tidak tepercaya di mana Layanan Metadata Instans Amazon EC2 dapat ditiru.

catatan

AWS Klien SDK yang dikonfigurasi dengan kredensi yang valid tidak akan pernah menggunakan IMDS untuk mengambil kredensi, terlepas dari pengaturan ini.

Menonaktifkan penggunaan kredensi Amazon EC2 IMDS

Bagaimana Anda mengatur variabel lingkungan ini tergantung pada sistem operasi apa yang digunakan serta apakah Anda ingin perubahan itu persisten atau tidak.

Linux dan macOS

Pelanggan yang menggunakan Linux atau macOS dapat mengatur variabel lingkungan ini dengan perintah berikut:

$ export AWS_EC2_METADATA_DISABLED=true

Jika Anda ingin pengaturan ini persisten di beberapa sesi shell dan restart sistem, Anda dapat menambahkan perintah di atas ke file profil shell Anda, seperti.bash_profile,.zsh_profile, atau.profile.

Windows

Pelanggan yang menggunakan Windows dapat mengatur variabel lingkungan ini dengan perintah berikut:

$ set AWS_EC2_METADATA_DISABLED=true

Jika Anda ingin pengaturan ini persisten di beberapa sesi shell dan restart sistem dapat menggunakan perintah berikut sebagai gantinya:

$ setx AWS_EC2_METADATA_DISABLED=true

catatan

setxPerintah tidak menerapkan nilai ke sesi shell saat ini, jadi Anda perlu memuat ulang atau membuka kembali shell agar perubahan diterapkan.

Kompatibilitas dengan AWS SDK

SDK berikut mendukung fitur dan pengaturan yang dijelaskan dalam topik ini. Setiap pengecualian sebagian dicatat. Setiap pengaturan properti sistem JVM didukung oleh AWS SDK for Java dan satu-satunya. AWS SDK for Kotlin

SDK	Didukung	Catatan atau informasi lebih lanjut
AWS CLI v2	Ya
SDK for C++	Ya
SDK for Go V2 (1.x)	Ya
SDK for Go 1.x (V1)	Ya	Untuk menggunakan pengaturan config file bersama, Anda harus mengaktifkan pemuatan dari file konfigurasi; lihat Sesi.
SDK for Java 2.x	Ya
SDK for Java 1.x	Ya
SDK untuk 3.x JavaScript	Ya
SDK untuk 2.x JavaScript	Ya
SDK para Kotlin	Ya	Tidak menggunakan fallback IMDSv1.
SDK for .NET 3.x	Ya
SDK for PHP 3.x	Ya
SDK untuk Python (Boto3)	Ya
SDK for Ruby 3.x	Ya
SDK untuk Rust	Ya	Tidak menggunakan fallback IMDSv1.
Alat untuk PowerShell	Ya	Anda dapat menonaktifkan fallback IMDSv1 secara eksplisit dalam kode menggunakan. [Amazon.Util.EC2InstanceMetadata]::EC2MetadataV1Disabled = $true