環境のインスタンスでのインスタンスメタデータサービスの設定 - AWS Elastic Beanstalk
IMDSのプラットフォームサポートIMDS 手法の選択Elastic Beanstalk コンソールを使用した IMDS の設定aws:autoscaling:launchconfiguration 名前空間

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

環境のインスタンスでのインスタンスメタデータサービスの設定

インスタンスメタデータは、アプリケーションが実行中のインスタンスを設定または管理するために使用できる Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに関連するデータです。インスタンスメタデータサービス (IMDS) は、インスタンス上のコードによって、インスタンスメタデータに安全にアクセスするために使用されるインスタンス上のコンポーネントです。このコードは、環境インスタンスの Elastic Beanstalk プラットフォームコード、アプリケーションが使用している AWS SDK、またはアプリケーション独自のコードにすることもできます。詳細については、「Amazon EC2 ユーザーガイド」の「Instance metadata and user data」(インスタンスメタデータとユーザーデータ) を参照してください。

コードは、手法としてインスタンスメタデータサービスバージョン 1 (IMDSv1) またはインスタンスメタデータサービスバージョン 2 (IMDSv2) のいずれかを使用して、実行中のインスタンスからインスタンスメタデータにアクセスできます。IMDSv2 はセッション指向のリクエストを使用し、IMDS へのアクセス試行に利用される可能性があるいくつかのタイプの脆弱性を軽減します。これら 2 つの方法の詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスメタデータサービスの設定」を参照してください。 Amazon EC2

IMDSのプラットフォームサポート

古い Elastic Beanstalk プラットフォームバージョンは IMDSv1 をサポートしていました。新しい Elastic Beanstalk プラットフォームバージョン (すべての Amazon Linux 2 プラットフォームバージョン) は、IMDSv1 と IMDSv2 の両方をサポートしています。環境を設定して、両方の手法のサポート (デフォルト) または IMDSv1 の無効化を指定できます。

注記

IMDSv1 を無効化するには、Amazon EC2 起動テンプレートの使用が必要です。この機能を環境の作成時や更新時に設定すると、Elastic Beanstalk は Amazon EC2 起動テンプレートを使用するように環境を設定しようとします (環境でまだ使用されていない場合)。この場合、ユーザーポリシーに必要なアクセス許可がないと、環境の作成や更新は失敗する可能性があります。したがって、管理ユーザーポリシーを使用するか、カスタムポリシーに必要なアクセス許可を追加することをお勧めします。必要なアクセス許可の詳細については、「カスタムユーザーポリシーの作成」を参照してください。

IMDS 手法の選択

ご使用の環境でサポートする IMDS 手法を決定する際には、次のユースケースについて考慮してください。

  • AWS SDK – アプリケーションが AWS SDK を使用している場合は、最新バージョンの SDK を使用していることを確認してください。 AWS SDKs IMDS 呼び出しを行い、新しい SDK バージョンは可能な限り IMDSv2 を使用します。IMDSv1 を無効にすると、アプリケーションで以前の SDK バージョンが使用されている場合に、IMDS 呼び出しが失敗することがあります。

  • アプリケーションコード – アプリケーションが IMDS 呼び出しを行う場合は、直接 HTTP リクエストを行うのではなく AWS 、SDK を使用して呼び出しを行うことを検討してください。このようにすると、異なる IMDS 手法間で切り替えるためにコードを変更する必要はありません。 AWS SDK は可能な限り IMDSv2 を使用します。

  • Elastic Beanstalk プラットフォームコード – このコードは AWS SDK を介して IMDS 呼び出しを行うため、サポートされているすべてのプラットフォームバージョンで IMDSv2 を使用します。コードが up-to-date AWS SDK を使用していて、SDK を介してすべての IMDS 呼び出しを行う場合は、IMDSv1 を安全に無効にできます。

Elastic Beanstalk コンソールを使用した IMDS の設定

Elastic Beanstalk コンソールで、Elastic Beanstalk 環境の Amazon EC2 インスタンス設定を変更できます。

Elastic Beanstalk コンソールで Amazon EC2 インスタンスの IMDS を設定するには

  1. Elastic Beanstalk コンソール を開き、リージョンリストで を選択します AWS リージョン。

  2. ナビゲーションペインで、[環境] を選択し、リストから環境の名前を選択します。

    注記

    環境が多数ある場合は、検索バーを使用して環境リストをフィルタリングします。

  3. ナビゲーションペインで、[設定] を選択します。

  4. [インスタンス] 設定カテゴリで、[編集] を選択します。

    Elastic Beanstalk インスタンス設定ウィンドウの IMDS オプション

  5. IMDSv2 を適用するには、[Disable IMDSv1 (IMDSv1 の無効化)] を設定します。IMDSv1 と IMDSv2 の両方を有効にするには、[Disable IMDSv1 (IMDSv1 の無効化)] をオフにします。

  6. ページの最下部で [適用] を選択し変更を保存します。

aws:autoscaling:launchconfiguration 名前空間

aws:autoscaling:launchconfiguration 名前空間の設定オプションを使用して、環境のインスタンスで IMDS を設定します。

次に示す設定ファイル例では、DisableIMDSv1 オプションを使用して IMDSv1 を無効にしています。

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true