Dove configurare le opzioni dei metadati dell'istanza Ordine di precedenza, ad esempio le opzioni relative ai metadati Utilizza IAM le chiavi di condizione per limitare le opzioni dei metadati delle istanze

Configura le opzioni dei metadati dell'istanza

Il servizio di metadati dell'istanza (IMDS) viene eseguito localmente su ogni istanza. EC2 Le opzioni dei metadati dell'istanza si riferiscono a un insieme di configurazioni che controllano l'accessibilità e il IMDS comportamento di su un'istanza. EC2

È possibile configurare le seguenti opzioni di metadati dell'istanza su ogni istanza:

Servizio di metadati dell'istanza (IMDS): | enabled disabled

È possibile abilitarli o disabilitarli IMDS su un'istanza. Se disabilitato, tu o qualsiasi codice non sarete in grado di accedere ai metadati dell'istanza sull'istanza.

IMDSHa due endpoint su un'istanza: IPv4 (169.254.169.254) e IPv6 ([fd00:ec2::254]). Quando abiliti ilIMDS, l'IPv4endpoint viene abilitato automaticamente. Se desideri abilitare l'IPv6endpoint, devi farlo in modo esplicito.

IMDSIPv6punto finale: | enabled disabled

È possibile abilitare esplicitamente l'IPv6IMDSendpoint su un'istanza. Quando l'IPv6endpoint è abilitato, l'IPv4endpoint rimane abilitato. L'IPv6endpoint è supportato solo su istanze create sul sistema AWS Nitro e in una sottorete IPv6 supportata (solo dual stack). IPv6

IMDSv1 or IMDSv2 (token optional)Versione dei metadati: | IMDSv2 only (token required)

Quando si richiedono i metadati dell'istanza, IMDSv2 le chiamate richiedono un token. IMDSv1le chiamate non richiedono un token. È possibile configurare un'istanza per consentire entrambe IMDSv1 IMDSv2 le chiamate (dove un token è facoltativo) o per consentire solo IMDSv2 le chiamate (dove è richiesto un token).

Limite dell'hop di risposta ai metadati: 1 — 64

Il limite di hop è il numero di hop di rete che la PUT risposta è autorizzata a effettuare. È possibile impostare il limite di hop su un minimo 1 e un massimo di64. In un ambiente contenitore, consigliamo di impostare il limite di hop su2. Per ulteriori informazioni, consulta Considerazioni.

Accesso ai tag nei metadati dell'istanza: | enabled disabled

È possibile abilitare o disabilitare l'accesso ai tag dell'istanza dai metadati dell'istanza. Per ulteriori informazioni, consulta Visualizza i tag per le tue istanze utilizzando i metadati delle istanze.

Dove configurare le opzioni dei metadati dell'istanza

Le opzioni dei metadati delle istanze possono essere configurate a diversi livelli, come segue:

Account: è possibile impostare valori predefiniti per le opzioni dei metadati dell'istanza a livello di account per ciascuna di esse. Regione AWS All'avvio di un'istanza, le opzioni dei metadati dell'istanza vengono impostate automaticamente sui valori a livello di account. È possibile modificare questi valori al momento del lancio. I valori predefiniti a livello di account non influiscono sulle istanze esistenti.
AMI— È possibile impostare il imds-support parametro su v2.0 quando si registra o si modifica un. AMI Quando un'istanza viene avviata con questo comandoAMI, la versione dei metadati dell'istanza viene impostata automaticamente su IMDSv2 e il limite di hop è impostato su 2.
Istanza: puoi modificare tutte le opzioni dei metadati dell'istanza su un'istanza all'avvio, ignorando le impostazioni predefinite. È inoltre possibile modificare le opzioni dei metadati dell'istanza dopo l'avvio su un'istanza in esecuzione o interrotta. Tieni presente che le modifiche possono essere limitate da un SCP criterio IAM or.

Per ulteriori informazioni, consulta Configurazione delle opzioni dei metadati dell'istanza per le nuove istanze e Modifica delle opzioni dei metadati dell'istanza per le istanze esistenti.

Ordine di precedenza, ad esempio le opzioni relative ai metadati

Il valore per ogni opzione di metadati dell'istanza viene determinato all'avvio dell'istanza, seguendo un ordine gerarchico di precedenza. La gerarchia, con la precedenza più alta nella parte superiore, è la seguente:

Precedenza 1: configurazione dell'istanza all'avvio: i valori possono essere specificati nel modello di avvio o nella configurazione dell'istanza. Tutti i valori qui specificati sostituiscono i valori specificati a livello di account o in. AMI
Precedenza 2: Impostazioni dell'account: se un valore non è specificato all'avvio dell'istanza, viene determinato dalle impostazioni a livello di account (impostate per ciascuna di esse). Regione AWS Le impostazioni a livello di account includono un valore per ogni opzione di metadati o non indicano alcuna preferenza.
Precedenza 3: AMI configurazione: se un valore non viene specificato all'avvio dell'istanza o a livello di account, viene determinato dalla configurazione. AMI Questo vale solo per gli eventi HttpTokens e HttpPutResponseHopLimit.

Ogni opzione di metadati viene valutata separatamente. L'istanza può essere configurata con una combinazione di configurazione diretta dell'istanza, impostazioni predefinite a livello di account e configurazione da. AMI

È possibile modificare il valore di qualsiasi opzione di metadati dopo l'avvio su un'istanza in esecuzione o interrotta, a meno che le modifiche non siano limitate da una politica or. IAM SCP

Determinare i valori per le opzioni di metadati — Esempio 1

In questo esempio, un'EC2istanza viene avviata in una regione in cui HttpPutResponseHopLimit è impostata a 1 livello di account. Il valore specificato AMI è ImdsSupport impostato suv2.0. Nessuna opzione di metadati viene specificata direttamente sull'istanza al momento del lancio. L'istanza viene avviata con le seguenti opzioni di metadati:


"MetadataOptions": {
    ...
    "HttpTokens": "required",
    "HttpPutResponseHopLimit": 1,
    ...

Questi valori sono stati determinati come segue:

Nessuna opzione di metadati specificata all'avvio: durante l'avvio dell'istanza, i valori specifici per le opzioni di metadati non venivano forniti né nei parametri di avvio dell'istanza né nel modello di avvio.
Le impostazioni dell'account hanno la precedenza successiva: in assenza di valori specifici specificati all'avvio, le impostazioni a livello di account all'interno della Regione hanno la precedenza. Ciò significa che vengono applicati i valori predefiniti configurati a livello di account. In questo caso, HttpPutResponseHopLimit era impostato su1.
AMIle impostazioni hanno l'ultima priorità: in assenza di un valore specifico specificato all'avvio o a livello di account per HttpTokens (la versione dei metadati dell'istanza), l'AMIimpostazione viene applicata. In questo caso, l'AMIimpostazione ha ImdsSupport: v2.0 determinato che HttpTokens era impostata su. required Tieni presente che, sebbene l'AMIimpostazione ImdsSupport: v2.0 sia progettata per essere impostataHttpPutResponseHopLimit: 2, è stata sostituita dall'impostazione a livello di accountHttpPutResponseHopLimit: 1, che ha la precedenza maggiore.

Determinare i valori per le opzioni relative ai metadati — Esempio 2

In questo esempio, l'EC2istanza viene avviata con le stesse impostazioni del precedente Esempio 1, ma HttpTokens impostata optional direttamente sull'istanza al momento dell'avvio. L'istanza viene avviata con le seguenti opzioni di metadati:


"MetadataOptions": {
    ...
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    ...

Il valore di HttpPutResponseHopLimit è determinato nello stesso modo dell'Esempio 1. Tuttavia, il valore per HttpTokens è determinato come segue: le opzioni di metadati configurate sull'istanza al momento del lancio hanno la precedenza. Anche se AMI è stato configurato con ImdsSupport: v2.0 (in altre parole, HttpTokens è impostato surequired), il valore specificato nell'istanza all'avvio (HttpTokensimpostato suoptional) aveva la precedenza.

Imposta la versione dei metadati dell'istanza

Quando viene avviata un'istanza, il valore per la versione dei metadati dell'istanza è oIMDSv1 or IMDSv2 (token optional). IMDSv2 only (token required)

All'avvio dell'istanza, è possibile specificare manualmente il valore per la versione dei metadati o utilizzare il valore predefinito. Se specificate manualmente il valore, esso sostituisce qualsiasi valore predefinito. Se si sceglie di non specificare manualmente il valore, questo verrà determinato da una combinazione di impostazioni predefinite, come indicato nella tabella seguente.

La tabella mostra come la versione dei metadati per un'istanza all'avvio (indicata dalla configurazione dell'istanza risultante nella colonna 4) è determinata dalle impostazioni ai diversi livelli di configurazione. L'ordine di precedenza va da sinistra a destra, dove la prima colonna ha la precedenza più alta, come segue:

Colonna 1: parametro di avvio: rappresenta l'impostazione sull'istanza specificata manualmente all'avvio.
Colonna 2: Livello di account predefinito: rappresenta l'impostazione dell'account.
Colonna 3: AMIpredefinita: rappresenta l'impostazione diAMI.

Parametro di avvio	Livello di account predefinito	AMIimpostazione predefinita	Configurazione dell'istanza risultante
Solo V2 (token richiesto)	Nessuna preferenza	Solo V2	Solo V2
Solo V2 (token richiesto)	Solo V2	Solo V2	Solo V2
Solo V2 (token richiesto)	V1 o V2	Solo V2	Solo V2
V1 o V2 (token opzionale)	Nessuna preferenza	Solo V2	V1 o V2
V1 o V2 (token opzionale)	Solo V2	Solo V2	V1 o V2
V1 o V2 (token opzionale)	V1 o V2	Solo V2	V1 o V2
Non impostato	Nessuna preferenza	Solo V2	Solo V2
Non impostato	Solo V2	Solo V2	Solo V2
Non impostato	V1 o V2	Solo V2	V1 o V2
Solo V2 (token richiesto)	Nessuna preferenza	null	Solo V2
Solo V2 (token richiesto)	Solo V2	null	Solo V2
Solo V2 (token richiesto)	V1 o V2	null	Solo V2
V1 o V2 (token opzionale)	Nessuna preferenza	null	V1 o V2
V1 o V2 (token opzionale)	Solo V2	null	V1 o V2
V1 o V2 (token opzionale)	V1 o V2	null	V1 o V2
Non impostato	Nessuna preferenza	null	V1 o V2
Non impostato	Solo V2	null	Solo V2
Non impostato	V1 o V2	null	V1 o V2

Utilizza IAM le chiavi di condizione per limitare le opzioni dei metadati delle istanze

È possibile utilizzare le chiavi IAM condizionali in una IAM politica o SCP come segue:

Consenti l'avvio di un'istanza solo se è configurata per richiedere l'uso di IMDSv2
Limitare il numero di hop consentiti
Disattivazione dell'accesso ai metadati dell'istanza

Attività

Nota

È opportuno procedere con cautela e condurre test accurati prima di apportare qualsiasi modifica. Prendi nota di quanto segue:

Se imponi l'uso diIMDSv2, le applicazioni o gli agenti che utilizzano, ad IMDSv1 esempio, i metadati verranno interrotti.
Se disattivi tutto l'accesso ai metadati dell'istanza, applicazioni o agenti il cui funzionamento si basa sull'accesso ai metadati dell'istanza verranno interrotti.
InfattiIMDSv2, è necessario utilizzarlo /latest/api/token quando si recupera il token.
(Solo Windows) Se la PowerShell versione in uso è precedente alla 4.0, è necessario eseguire l'aggiornamento a Windows Management Framework 4.0 per richiedere l'uso di. IMDSv2

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Supportato SDKs

Per nuove istanze