Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Passaggio all'utilizzo di Servizio di metadati dell'istanza Versione 2

PDF
RSS
Modalità Focus
Passaggio all'utilizzo di Servizio di metadati dell'istanza Versione 2 - Amazon Elastic Compute Cloud
Strumenti per facilitare la transizione verso IMDSv2Percorso consigliato per la richiesta IMDSv2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Se desideri migrare le istanze in modo che il codice locale o gli utenti debbano utilizzare Instance Metadata Service Version 2 (IMDSv2), ti consigliamo di utilizzare gli strumenti e il percorso di transizione seguenti.

Strumenti per facilitare la transizione verso IMDSv2

Se il software lo utilizza IMDSv1, utilizza i seguenti strumenti per riconfigurare il software da utilizzare IMDSv2.

AWS software

Le versioni più recenti di AWS CLI e il AWS SDKs supporto IMDSv2. Per IMDSv2 utilizzarle, assicurati che le tue EC2 istanze abbiano le versioni più recenti della SDKs CLI e. Per informazioni sull'aggiornamento della CLI, consulta Installazione o aggiornamento all'ultima versione di AWS CLI nella Guida per l'AWS Command Line Interface utente.

Supportano tutti i pacchetti software Amazon Linux 2 e Amazon Linux 2023IMDSv2. In Amazon Linux 2023, IMDSv1 è disabilitato per impostazione predefinita.

Per le versioni AWS SDK minime supportate IMDSv2, consultaUtilizzo di un SDK AWS supportato.

IMDS Packet Analyzer

L'IMDS Packet Analyzer è uno strumento open source che identifica e registra le chiamate dalla fase di avvio dell'istanza. IMDSv1 Questo può aiutare a identificare il software che effettua IMDSv1 le chiamate sulle EC2 istanze, consentendoti di individuare esattamente ciò che devi aggiornare per rendere le istanze pronte all'uso esclusivo. IMDSv2 Puoi eseguire IMDS Packet Analyzer da una riga di comando o installarlo come servizio. Per ulteriori informazioni, vedere su. AWS ImdsPacketAnalyzerGitHub

CloudWatch

IMDSv2 utilizza sessioni supportate da token, mentre IMDSv1 non lo fa. La MetadataNoToken CloudWatch metrica tiene traccia del numero di chiamate all'Instance Metadata Service (IMDS) utilizzate. IMDSv1 Monitorando questo parametro a zero, puoi determinare se e quando tutto il software è stato aggiornato per utilizzare IMDSv2.

Dopo aver disabilitato IMDSv1, puoi utilizzare la MetadataNoTokenRejected CloudWatch metrica per tenere traccia del numero di volte in cui una IMDSv1 chiamata è stata tentata e rifiutata. Monitorando questa metrica, puoi verificare se il tuo software deve essere aggiornato per essere utilizzato. IMDSv2

Per ulteriori informazioni, consulta Parametri dell'istanza.

Aggiornamenti a e EC2 APIs CLIs

Per le nuove istanze, puoi utilizzare l'RunInstancesAPI per avviare nuove istanze che richiedono l'uso di. IMDSv2 Per ulteriori informazioni, consulta Configurazione delle opzioni dei metadati dell'istanza per le nuove istanze.

Per le istanze esistenti, puoi utilizzare l'ModifyInstanceMetadataOptionsAPI per richiedere l'uso di. IMDSv2 Per ulteriori informazioni, consulta Modifica delle opzioni dei metadati dell'istanza per le istanze esistenti.

Per richiedere l'uso di IMDSv2 su tutte le nuove istanze lanciate dai gruppi Auto Scaling, i gruppi Auto Scaling possono utilizzare un modello di avvio o una configurazione di avvio. Quando crei un modello di avvio o una configurazione di avvio, devi configurare i parametri MetadataOptions per richiedere l'utilizzo di IMDSv2. Il gruppo con scalabilità automatica avvia le nuove istanza tramite il nuovo modello di avvio o configurazione di avvio, senza coinvolgere le istanze esistenti. Per le istanze esistenti in un gruppo Auto Scaling, puoi utilizzare l'API per richiedere ModifyInstanceMetadataOptionsl'uso IMDSv2 sulle istanze esistenti oppure terminare le istanze e il gruppo Auto Scaling lancerà nuove istanze sostitutive con le impostazioni delle opzioni dei metadati dell'istanza definite nel nuovo modello di avvio o nella nuova configurazione di avvio.

Usa un'AMI IMDSv2 configurata di default

Quando avvii un'istanza, puoi configurarla automaticamente per l'utilizzo di IMDSv2 default (il HttpTokens parametro è impostato surequired) avviandola con un'AMI configurata con il ImdsSupport parametro impostato v2.0 su. È possibile impostare il ImdsSupport parametro su v2.0 quando si registra l'AMI utilizzando il comando CLI register-image oppure modificare un'AMI esistente utilizzando il comando CLI. modify-image-attribute Per ulteriori informazioni, consulta Configurazione dell'AMI.

Politiche IAM e SCPs

Puoi utilizzare una policy IAM o una policy AWS Organizations di controllo dei servizi (SCP) per controllare gli utenti come segue:

  • Non è possibile avviare un'istanza utilizzando l'RunInstancesAPI a meno che l'istanza non sia configurata per l'uso IMDSv2.

  • Impossibile modificare un'istanza in esecuzione utilizzando l'ModifyInstanceMetadataOptionsAPI per IMDSv1 riattivarla.

La policy IAM o SCP deve contenere le chiavi di condizione IAM indicate di seguito:

  • ec2:MetadataHttpEndpoint

  • ec2:MetadataHttpPutResponseHopLimit

  • ec2:MetadataHttpTokens

Se un parametro nell'API o nella CLI non corrisponde allo stato specificato nella policy che contiene la chiave di condizione, la chiamata dell'API o della CLI non riesce e viene restituita la risposta UnauthorizedOperation.

Inoltre, puoi scegliere un ulteriore livello di protezione per imporre la modifica da IMDSv1 a. IMDSv2 A livello di gestione degli accessi rispetto alle credenziali APIs richiamate tramite EC2 Role, è possibile utilizzare una nuova chiave di condizione nelle policy IAM o nelle policy di controllo AWS Organizations del servizio ()SCPs. In particolare, utilizzando la chiave di condizione ec2:RoleDelivery con un valore pari 2.0 a nelle politiche IAM, le chiamate API effettuate con le credenziali EC2 Role ottenute da IMDSv1 riceveranno una UnauthorizedOperation risposta. Lo stesso può essere ottenuto su scala più ampia con tale condizione richiesta da un SCP. Ciò garantisce che le credenziali fornite tramite IMDSv1 non possano essere effettivamente utilizzate per la chiamata, APIs poiché qualsiasi chiamata API che non corrisponde alla condizione specificata riceverà un UnauthorizedOperation errore.

Per esempi di policy IAM, consulta Utilizzo dei metadati delle istanze. Per ulteriori informazioni SCPs, consulta le politiche di controllo del servizio nella Guida per l'AWS Organizations utente.

Utilizzando gli strumenti di cui sopra, ti consigliamo di seguire questo percorso per la transizione a IMDSv2.

Fase 1: all'inizio

Aggiorna il SDKs software e il software che utilizza le credenziali Role sulle relative EC2 istanze a versioni compatibili con. CLIs IMDSv2 Per ulteriori informazioni sull'aggiornamento della CLI, consulta Installazione o aggiornamento all'ultima versione di AWS CLI nella Guida per l'AWS Command Line Interface utente.

Quindi, modifica il software che accede direttamente ai metadati dell'istanza (in altre parole, che non utilizza un SDK) utilizzando le richieste. IMDSv2 È possibile utilizzare l'IMDS Packet Analyzer per identificare il software da modificare per utilizzare le richieste. IMDSv2

Fase 2: monitoraggio dell'avanzamento della transizione

Tieni traccia dei progressi della transizione utilizzando la metrica. CloudWatch MetadataNoToken Questa metrica mostra il numero di IMDSv1 chiamate all'IMDS sulle tue istanze. Per ulteriori informazioni, consulta Parametri dell'istanza.

Passaggio 3: Quando l'utilizzo è pari a zero IMDSv1

Quando la CloudWatch metrica MetadataNoToken registra un IMDSv1 utilizzo pari a zero, le istanze sono pronte per la transizione completa all'utilizzo. IMDSv2 In questa fase, puoi fare quanto segue:

  • Account predefinito

    Puoi IMDSv2 impostarlo come obbligatorio come impostazione predefinita dell'account. Quando viene avviata un'istanza, la configurazione dell'istanza viene impostata automaticamente sull'account predefinito.

    Per impostare l'account predefinito, completa queste operazioni:

    • EC2 Console Amazon: nella EC2 dashboard, in Attributi dell'account, Protezione e sicurezza dei dati, per le impostazioni predefinite IMDS, imposta il servizio di metadati dell'istanza su Enabled e la versione dei metadati solo su V2 (token richiesto). Per ulteriori informazioni, consulta Imposta IMDSv2 come impostazione predefinita per l'account.

    • AWS CLI: utilizzate il comando modify-instance-metadata-defaultsCLI e specificate --http-tokens required e. --http-put-response-hop-limit 2

  • Nuove istanze

    Quando avvii una nuova istanza, puoi effettuare le operazioni seguenti:

    • EC2 Console Amazon: nella procedura guidata di avvio dell'istanza, imposta Metadata accessibile su Enabled e la versione Metadata solo su V2 (token richiesto). Per ulteriori informazioni, consulta Configurazione dell'istanza all'avvio.

    • AWS CLI: utilizza il comando run-instances e specifica che è richiesto. IMDSv2

  • Istanze esistenti

    Per le istanze esistenti, procedi come indicato di seguito:

    • EC2 Console Amazon: nella pagina Istanze, seleziona l'istanza, scegli Azioni, Impostazioni istanza, Modifica le opzioni dei metadati dell'istanza e, per IMDSv2, scegli Obbligatorio. Per ulteriori informazioni, consulta Richiedi l'uso di IMDSv2.

    • AWS CLI: utilizzare il comando modify-instance-metadata-optionsCLI per specificare che deve essere IMDSv2 utilizzato solo.

    Puoi modificare le opzioni dei metadati dell'istanza nelle istanze in esecuzione, senza dover riavviare le istanze dopo aver apportato le modifiche.

Passaggio 4: Verifica se le tue istanze sono passate a IMDSv2

Puoi verificare se alcune istanze non sono ancora configurate per richiedere l'uso di IMDSv2, in altre parole, IMDSv2 sono ancora configurate come. optional Se alcune istanze sono ancora configurate comeoptional, è possibile modificare le opzioni relative ai metadati dell'istanza IMDSv2 required ripetendo il passaggio 3 precedente.

Per filtrare le istanze:

  • EC2 Console Amazon: nella pagina Istanze, filtra le istanze utilizzando il filtro IMDSv2 = opzionale. Per ulteriori informazioni sul filtro, consulta Filtrare le risorse mediante la console. Puoi anche vedere se IMDSv2 è obbligatorio o facoltativo per ogni istanza: nella finestra Preferenze, attiva l'opzione IMDSv2per aggiungere la IMDSv2colonna alla tabella Istanze.

  • AWS CLI: Utilizzate il comando describe-instances e filtrate per, come segue: metadata-options.http-tokens = optional

    aws ec2 describe-instances --filters "Name=metadata-options.http-tokens,Values=optional" --query "Reservations[*].Instances[*].[InstanceId]" --output text

Passaggio 5: quando tutte le istanze sono passate a IMDSv2

Le chiavi di condizione ec2:MetadataHttpTokensec2:MetadataHttpPutResponseHopLimit, e ec2:MetadataHttpEndpoint IAM possono essere utilizzate per controllare l'uso di RunInstancese ModifyInstanceMetadataOptions APIs e corrispondenti. CLIs Se viene creata una policy e un parametro nella chiamata API non corrisponde allo stato specificato nella policy utilizzando la chiave di condizione, la chiamata all'API o alla CLI non va a buon e viene restituita la risposta UnauthorizedOperation. Per esempi di policy IAM, consulta Utilizzo dei metadati delle istanze.

Inoltre, dopo aver disabilitato IMDSv1, puoi utilizzare la MetadataNoTokenRejected CloudWatch metrica per tenere traccia del numero di volte in cui una IMDSv1 chiamata è stata tentata e rifiutata. Se, dopo la disattivazioneIMDSv1, il software non funziona correttamente e la MetadataNoTokenRejected metrica registra le IMDSv1 chiamate, è probabile che questo software debba essere aggiornato per essere utilizzato. IMDSv2

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.