Dove configurare le opzioni dei metadati dell'istanza Ordine di precedenza, ad esempio le opzioni relative ai metadati Utilizza le chiavi di condizione IAM per limitare le opzioni dei metadati delle istanze

Configura le opzioni dei metadati dell'istanza

Il servizio di metadati dell'istanza (IMDS) viene eseguito localmente su ogni istanza EC2. Le opzioni relative ai metadati dell'istanza si riferiscono a un insieme di configurazioni che controllano l'accessibilità e il comportamento dell'IMDS su un'istanza EC2.

Puoi configurare le seguenti opzioni di metadati dell'istanza su ogni istanza:

Servizio di metadati delle istanze (IMDS): | enabled disabled

È possibile abilitare o disabilitare l'IMDS su un'istanza. Se disabilitato, tu o qualsiasi codice non sarete in grado di accedere ai metadati dell'istanza sull'istanza.

L'IMDS ha due endpoint su un'istanza: IPv4 (169.254.169.254) e IPv6 (). [fd00:ec2::254] Quando si abilita l'IMDS, l'endpoint IPv4 viene abilitato automaticamente. Se desideri abilitare l'endpoint IPv6, devi farlo in modo esplicito.

Endpoint IPv6 IMDS: | enabled disabled

È possibile abilitare in modo esplicito l'endpoint IMDS IPv6 su un'istanza. Quando l'endpoint IPv6 è abilitato, l'endpoint IPv4 rimane abilitato. L'endpoint IPv6 è supportato solo su istanze create sul sistema Nitro. AWS

Versione dei IMDSv1 or IMDSv2 (token optional) metadati: | IMDSv2 only (token required)

Quando si richiedono i metadati dell'istanza, le chiamate IMDSv2 richiedono un token. Le chiamate IMDSv1 non richiedono un token. È possibile configurare un'istanza per consentire le chiamate IMDSv1 o IMDSv2 (dove un token è facoltativo) o per consentire solo le chiamate IMDSv2 (dove è richiesto un token).

Limite dell'hop di risposta ai metadati: — 1 64

Il limite di hop è il numero di hop di rete che la risposta PUT è autorizzata a effettuare. È possibile impostare il limite di hop su un minimo 1 e un massimo di64. In un ambiente contenitore, consigliamo di impostare il limite di hop su2. Per ulteriori informazioni, consulta Considerazioni.

Accesso ai tag nei metadati dell'istanza: | enabled disabled

È possibile abilitare o disabilitare l'accesso ai tag dell'istanza dai metadati dell'istanza. Per ulteriori informazioni, consulta Utilizzo dei tag dell'istanza nei metadati dell'istanza.

Dove configurare le opzioni dei metadati dell'istanza

Le opzioni dei metadati delle istanze possono essere configurate a diversi livelli, come segue:

Account: è possibile impostare valori predefiniti per le opzioni dei metadati dell'istanza a livello di account per ciascuna di esse. Regione AWS All'avvio di un'istanza, le opzioni dei metadati dell'istanza vengono impostate automaticamente sui valori a livello di account. Puoi modificare questi valori al momento del lancio. I valori predefiniti a livello di account non influiscono sulle istanze esistenti.
AMI: è possibile impostare il imds-support parametro su v2.0 quando si registra o si modifica un AMI. Quando un'istanza viene avviata con questa AMI, la versione dei metadati dell'istanza viene impostata automaticamente su IMDSv2 e il limite di hop è impostato su 2.
Istanza: puoi modificare tutte le opzioni dei metadati dell'istanza su un'istanza all'avvio, ignorando le impostazioni predefinite. È inoltre possibile modificare le opzioni dei metadati dell'istanza dopo l'avvio su un'istanza in esecuzione o interrotta. Tieni presente che le modifiche possono essere limitate da una policy IAM o SCP.

Per ulteriori informazioni, consulta Configurazione delle opzioni dei metadati dell'istanza per le nuove istanze e Modifica delle opzioni dei metadati dell'istanza per le istanze esistenti.

Ordine di precedenza, ad esempio le opzioni relative ai metadati

Il valore per ogni opzione di metadati dell'istanza viene determinato all'avvio dell'istanza, seguendo un ordine gerarchico di precedenza. La gerarchia, con la precedenza più alta nella parte superiore, è la seguente:

Precedenza 1: configurazione dell'istanza all'avvio: i valori possono essere specificati nel modello di avvio o nella configurazione dell'istanza. Tutti i valori qui specificati sostituiscono i valori specificati a livello di account o nell'AMI.
Precedenza 2: Impostazioni dell'account: se un valore non è specificato all'avvio dell'istanza, viene determinato dalle impostazioni a livello di account (impostate per ciascuna di esse). Regione AWS Le impostazioni a livello di account includono un valore per ogni opzione di metadati o non indicano alcuna preferenza.
Precedenza 3: configurazione AMI: se un valore non è specificato all'avvio dell'istanza o a livello di account, viene determinato dalla configurazione AMI. Questo vale solo per gli eventi HttpTokens e HttpPutResponseHopLimit.

Ogni opzione di metadati viene valutata separatamente. L'istanza può essere configurata con una combinazione di configurazione diretta dell'istanza, impostazioni predefinite a livello di account e configurazione dall'AMI.

È possibile modificare il valore di qualsiasi opzione di metadati dopo l'avvio su un'istanza in esecuzione o interrotta, a meno che le modifiche non siano limitate da una policy IAM o SCP.

Determinare i valori per le opzioni di metadati — Esempio 1

In questo esempio, un'istanza EC2 viene lanciata in una regione in cui HttpPutResponseHopLimit è impostata a 1 livello di account. L'AMI specificato è ImdsSupport impostato suv2.0. Nessuna opzione di metadati viene specificata direttamente sull'istanza al momento del lancio. L'istanza viene avviata con le seguenti opzioni di metadati:


"MetadataOptions": {
    ...
    "HttpTokens": "required",
    "HttpPutResponseHopLimit": 1,
    ...

Questi valori sono stati determinati come segue:

Nessuna opzione di metadati specificata all'avvio: durante l'avvio dell'istanza, i valori specifici per le opzioni di metadati non venivano forniti né nei parametri di avvio dell'istanza né nel modello di avvio.
Le impostazioni dell'account hanno la precedenza successiva: in assenza di valori specifici specificati all'avvio, le impostazioni a livello di account all'interno della Regione hanno la precedenza. Ciò significa che vengono applicati i valori predefiniti configurati a livello di account. In questo caso, HttpPutResponseHopLimit era impostato su1.
Le impostazioni AMI hanno l'ultima priorità: in assenza di un valore specifico specificato all'avvio o a livello di account per HttpTokens (la versione dei metadati dell'istanza), viene applicata l'impostazione AMI. In questo caso, l'impostazione AMI ha ImdsSupport: v2.0 determinato che HttpTokens era impostata surequired. Tieni presente che, sebbene l'impostazione AMI ImdsSupport: v2.0 sia progettata per essere impostataHttpPutResponseHopLimit: 2, è stata sostituita dall'impostazione a livello di accountHttpPutResponseHopLimit: 1, che ha la precedenza maggiore.

Determinare i valori per le opzioni relative ai metadati — Esempio 2

In questo esempio, l'istanza EC2 viene avviata con le stesse impostazioni del precedente Esempio 1, ma HttpTokens impostata optional direttamente sull'istanza al momento dell'avvio. L'istanza viene avviata con le seguenti opzioni di metadati:


"MetadataOptions": {
    ...
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    ...

Il valore di HttpPutResponseHopLimit è determinato nello stesso modo dell'Esempio 1. Tuttavia, il valore per HttpTokens è determinato come segue: le opzioni di metadati configurate sull'istanza al momento del lancio hanno la precedenza. Anche se l'AMI era configurata con ImdsSupport: v2.0 (in altre parole, HttpTokens è impostata surequired), il valore specificato nell'istanza all'avvio (HttpTokensimpostato suoptional) aveva la precedenza.

Imposta la versione dei metadati dell'istanza

Quando viene avviata un'istanza, il valore per la versione dei metadati dell'istanza è oIMDSv1 or IMDSv2 (token optional). IMDSv2 only (token required)

All'avvio dell'istanza, è possibile specificare manualmente il valore per la versione dei metadati o utilizzare il valore predefinito. Se specificate manualmente il valore, esso sostituisce qualsiasi valore predefinito. Se si sceglie di non specificare manualmente il valore, questo verrà determinato da una combinazione di impostazioni predefinite, come indicato nella tabella seguente.

La tabella mostra come la versione dei metadati per un'istanza all'avvio (indicata dalla configurazione dell'istanza risultante nella colonna 4) è determinata dalle impostazioni ai diversi livelli di configurazione. L'ordine di precedenza va da sinistra a destra, dove la prima colonna ha la precedenza più alta, come segue:

Colonna 1: parametro di avvio: rappresenta l'impostazione sull'istanza specificata manualmente all'avvio.
Colonna 2: Livello di account predefinito: rappresenta l'impostazione per l'account.
Colonna 3: AMI predefinito: rappresenta l'impostazione sull'AMI.

Parametro di avvio	Livello di account predefinito	AMI (impostazione predefinita)	Configurazione dell'istanza risultante
Solo V2 (token richiesto)	Nessuna preferenza	Solo V2	Solo V2
Solo V2 (token richiesto)	Solo V2	Solo V2	Solo V2
Solo V2 (token richiesto)	V1 o V2	Solo V2	Solo V2
V1 o V2 (token opzionale)	Nessuna preferenza	Solo V2	V1 o V2
V1 o V2 (token opzionale)	Solo V2	Solo V2	V1 o V2
V1 o V2 (token opzionale)	V1 o V2	Solo V2	V1 o V2
Non impostato	Nessuna preferenza	Solo V2	Solo V2
Non impostato	Solo V2	Solo V2	Solo V2
Non impostato	V1 o V2	Solo V2	V1 o V2
Solo V2 (token richiesto)	Nessuna preferenza	null	Solo V2
Solo V2 (token richiesto)	Solo V2	null	Solo V2
Solo V2 (token richiesto)	V1 o V2	null	Solo V2
V1 o V2 (token opzionale)	Nessuna preferenza	null	V1 o V2
V1 o V2 (token opzionale)	Solo V2	null	V1 o V2
V1 o V2 (token opzionale)	V1 o V2	null	V1 o V2
Non impostato	Nessuna preferenza	null	V1 o V2
Non impostato	Solo V2	null	Solo V2
Non impostato	V1 o V2	null	V1 o V2

Utilizza le chiavi di condizione IAM per limitare le opzioni dei metadati delle istanze

Puoi utilizzare le chiavi delle condizioni IAM in una policy IAM o in SCP come segue:

Consentire il lancio di un'istanza solo se è configurata per richiedere l'uso di IMDSv2
Limitare il numero di hop consentiti
Disattivazione dell'accesso ai metadati dell'istanza

Attività

Nota

È opportuno procedere con cautela e condurre test accurati prima di apportare qualsiasi modifica. Prendi nota di quanto segue:

Se imponi l'uso di IMDSv2, applicazioni o agenti che utilizzano IMDSv1 per l'accesso ai metadati dell'istanza verranno interrotti.
Se disattivi tutto l'accesso ai metadati dell'istanza, applicazioni o agenti il cui funzionamento si basa sull'accesso ai metadati dell'istanza verranno interrotti.
Per IMDSv2, devi utilizzare /latest/api/token durante il recupero del token.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SDK supportati

Per nuove istanze