Configurazione del servizio di metadati dell'istanza nelle istanze dell'ambiente - AWS Elastic Beanstalk
Supporto della piattaforma per IMDSScelta dei metodi IMDSConfigurazione di IMDS tramite la console Elastic BeanstalkSpazio dei nomi aws:autoscaling:launchconfiguration

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del servizio di metadati dell'istanza nelle istanze dell'ambiente

I metadati dell'istanza sono dati relativi all'istanza Amazon Elastic Compute Cloud (Amazon EC2) che le applicazioni possono utilizzare per configurare o gestire un'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Questo codice può essere il codice della piattaforma Elastic Beanstalk sulle istanze dell'ambiente AWS , l'SDK che l'applicazione potrebbe utilizzare o persino il codice proprio dell'applicazione. Per ulteriori informazioni, consulta Metadati e dati dell'utente delle istanze nella Guida per l'utente di Amazon EC2.

Il codice può accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei due metodi: Instance Metadata Service versione 1 (IMDSv1) o Instance Metadata Service versione 2 (IMDSv2). IMDSv2 utilizza le richieste orientate alla sessione e attenua diversi tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere a IMDS. Per informazioni su questi due metodi, consulta Configurazione del servizio di metadati dell'istanza nella Amazon EC2 User Guide.

Supporto della piattaforma per IMDS

Le versioni precedenti della piattaforma Elastic Beanstalk supportavano IMDSv1. Le versioni più recenti della piattaforma Elastic Beanstalk (tutte le versioni della piattaforma Amazon Linux 2) supportano IMDSv1 e IMDSv2. È possibile configurare l'ambiente in modo che supporti entrambi i metodi (impostazione predefinita) o disabiliti IMDSv1.

Nota

Disabilitare IMDSv1 richiede l'utilizzo dei modelli di avvio Amazon EC2.Quando si configura tale caratteristica durante la creazione dell'ambiente o gli aggiornamenti, Elastic Beanstalk tenta di configurare l'ambiente in modo da utilizzare i modelli di avvio Amazon EC2 (se l'ambiente non li utilizza già). In questo caso, se la policy utente non dispone delle autorizzazioni necessarie, la creazione dell'ambiente o gli aggiornamenti potrebbero non riuscire. Pertanto, si consiglia di utilizzare la policy utente gestita o di aggiungere le autorizzazioni necessarie alle policy personalizzate. Per informazioni dettagliate sulle autorizzazioni necessarie, consulta Creazione di una policy utente personalizzata.

Scelta dei metodi IMDS

Quando si prende una decisione sui metodi IMDS che si desidera che l'ambiente supporti , considerare i seguenti casi d'uso:

  • AWS SDK: se la tua applicazione utilizza un AWS SDK, assicurati di utilizzare la versione più recente dell'SDK. Gli AWS SDK effettuano chiamate IMDS e le versioni SDK più recenti utilizzano IMDSv2 quando possibile. Se si disabilita IMDSv1 o se l'applicazione utilizza una vecchia versione SDK, le chiamate IMDS potrebbero non riuscire.

  • Il codice dell'applicazione: se l'applicazione effettua chiamate IMDS, valuta la possibilità di utilizzare l' AWS SDK in modo da poter effettuare le chiamate anziché effettuare richieste HTTP dirette. In questo modo, non è necessario apportare modifiche al codice per passare tra i metodi IMDS. L' AWS SDK utilizza iMDSv2 quando possibile.

  • Codice della piattaforma Elastic Beanstalk: il nostro codice effettua chiamate IMDS AWS tramite l'SDK e quindi utilizza IMDSv2 su tutte le versioni della piattaforma di supporto. Se il codice utilizza un up-to-date AWS SDK ed effettua tutte le chiamate IMDS tramite l'SDK, puoi disabilitare IMDSv1 in tutta sicurezza.

Configurazione di IMDS tramite la console Elastic Beanstalk

Puoi modificare la configurazione dell'istanza Amazon EC2 dell'ambiente Elastic Beanstalk utilizzando la console Elastic Beanstalk.

Per configurare IMDS sulle istanze Amazon EC2 nella console Elastic Beanstalk

  1. Apri la console Elastic Beanstalk e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. Nel pannello di navigazione selezionare Environments (Ambienti), quindi selezionare il nome dell'ambiente dall'elenco.

    Nota

    Se si dispone di molti ambienti, utilizzare la barra di ricerca per filtrare l'elenco degli ambienti.

  3. Nel pannello di navigazione, seleziona Configuration (Configurazione).

  4. Nella categoria di configurazione Instances (Istanze), scegliere Edit (Modifica).

    Opzione IMDS nella finestra di configurazione delle istanze Elastic Beanstalk

  5. Impostare Disable IMDSv1 (Disabilita IMDSv1) per applicare IMDSv2. Deselezionare Disable IMDSv1 (Disabilita IMDSv1) per abilitare sia IMDSv1 che IMDSv2.

  6. Per salvare le modifiche scegli Apply (Applica) nella parte inferiore della pagina.

Spazio dei nomi aws:autoscaling:launchconfiguration

È possibile utilizzare una opzione di configurazione nello spazio dei nomi aws:autoscaling:launchconfiguration per configurare IMDS nelle istanze dell'ambiente.

Nell'esempio del file di configurazione riportato di seguito si disabilita IMDSv1 utilizzando l'opzione DisableIMDSv1.

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true