인스턴스 메타데이터 검색
실행 중인 인스턴스에서 인스턴스 메타데이터를 사용할 수 있기 때문에 Amazon EC2 콘솔 또는 AWS CLI를 사용할 필요가 없습니다. 이는 인스턴스에서 실행할 스크립트를 작성할 때 유용합니다. 예를 들어, 사용자는 인스턴스 메타데이터에서 인스턴스의 로컬 IP 주소에 액세스하여 외부 애플리케이션과의 연결을 관리할 수 있습니다.
인스턴스 메타데이터는 몇 가지 범주로 분류될 수 있습니다. 각 인스턴스 메타데이터 범주에 대한 설명은 인스턴스 메타데이터 카테고리 섹션을 참조하세요.
실행 중인 모든 인스턴스 메타데이터 범주를 살펴보려면 다음 IPv4 또는 IPv6 URI를 사용합니다.
IPv4
http://169.254.169.254/latest/meta-data/IPv6
http://[fd00:ec2::254]/latest/meta-data/IP 주소는 링크-로컬 주소이며 인스턴스에서만 유효합니다. 자세한 내용은 이 사용 설명서의 링크-로컬 주소 섹션과 Wikipedia의 Link-local address
참고
이 섹션의 예에서는 IMDS의 IPv4 주소(169.254.169.254)를 사용합니다. IPv6 주소를 통해 EC2 인스턴스의 인스턴스 메타데이터를 검색하는 경우, 대신 IPv6 주소([fd00:ec2::254])를 활성화하고 사용해야 합니다. IMDS의 IPv6 주소는 IMDSv2 명령과 호환됩니다. IPv6 주소는 AWS Nitro 시스템에 구축된 인스턴스에서만 액세스할 수 있습니다.
명령 형식은 IMDSv1를 사용하는지 또는 IMDSv2를 사용하는지에 따라 다릅니다. 기본적으로 두 버전의 IMDS를 모두 사용할 수 있습니다. IMDSv2를 사용해야 하도록 설정하려면 IMDSv2 사용 섹션을 참조하세요.
PowerShell cmdlet을 사용하여 URI를 검색할 수 있습니다. 예를 들어, PowerShell 버전 3.0 이상을 실행 중인 경우 다음 cmdlet을 사용합니다.
PowerShell을 사용하지 않으려면 GNU Wget 또는 cURL과 같은 타사 도구를 설치할 수 있습니다.
중요
Windows 인스턴스에 타사 도구를 설치한 경우 HTTP 호출 방법 및 출력 형식이 이 문서와 다를 수 있으므로 부속 문서를 주의 깊게 정독해야 합니다.
Linux 인스턴스에서 인스턴스 메타데이터를 검색하는 명령은 Windows 인스턴스용 Amazon EC2 사용 설명서의 인스턴스 메타데이터 검색 섹션을 참조하세요.
비용
인스턴스 메타데이터 및 사용자 데이터를 가져오기 위해 사용되는 HTTP 요청 비용은 청구되지 않습니다.
고려 사항
인스턴스 메타데이터 검색 문제를 방지하려면 다음을 고려하세요.
-
컨테이너 환경에서는 홉 제한을 2로 설정하는 것이 좋습니다.
AWS SDK는 기본적으로 IMDSv2 호출을 사용합니다. IMDSv2 호출에 응답이 없으면 SDK는 호출을 다시 시도하고 여전히 실패하면 IMDSv1를 사용합니다. 이로 인해 특히 컨테이너 환경에서 지연이 발생할 수 있습니다. 컨테이너 환경에서 홉 제한이 1인 경우 컨테이너로의 이동이 추가 네트워크 홉으로 간주되므로 IMDSv2 응답이 반환되지 않습니다. IMDSv1로 폴백하는 프로세스와 그로 인한 지연을 방지하려면 컨테이너 환경에서 홉 제한을 2로 설정하는 것이 좋습니다. 자세한 내용은 인스턴스 메타데이터 옵션 구성 단원을 참조하십시오.
-
Sysprep을 사용하여 사용자 지정 Windows AMI를 생성합니다.
사용자 지정 Windows AMI를 사용하여 Windows 인스턴스를 시작하는 경우 IMDS가 인스턴스에서 작동하게 하려면 해당 AMI가 Sysprep을 사용하여 만든 표준화된 이미지여야 합니다. 그렇지 않으면 IMDS가 작동하지 않습니다.
-
IMDSv2의 경우 토큰을 검색할 때
/latest/api/token을 사용해야 합니다.버전별 경로(예:
/2021-03-23/api/token)에 대해PUT요청을 실행하면 메타데이터 서비스에서 403 Forbidden 오류가 반환됩니다. 이는 의도된 동작입니다. -
IMDSv2가 필요한 경우 IMDSv1이 작동하지 않습니다.
인스턴스에 IMDSv2가 필요한지 확인하려면 다음과 같이 하세요. 세부 정보를 볼 인스턴스를 선택하고 IMDSv2 값을 확인합니다. 값은 필수(IMDSv2만 사용 가능) 또는 선택(IMDSv2 및 IMDSv1 사용 가능)입니다.
응답 및 오류 메시지
모든 인스턴스 메타데이터는 텍스트(HTTP 콘텐츠 유형 text/plain)로 반환됩니다.
특정 메타데이터 리소스를 요청하면 적절한 값이 반환되거나 소스를 이용할 수 없는 경우 404 - Not Found HTTP 오류 코드가 반환됩니다.
일반 메타데이터 리소스(/로 끝나는 URI)를 요청한 경우 이용 가능한 리소스 목록이 반환되거나 해당 리소스가 없는 경우 404 - Not Found HTTP 오류 코드가 반환됩니다. 목록 항목은 개별 라인에 표시되고 줄바꿈(ASCII 10)으로 끝납니다.
인스턴스 메타데이터 서비스 버전 2를 사용하여 수행한 요청의 경우 다음 HTTP 오류 코드가 반환될 수 있습니다.
-
400 - Missing or Invalid Parameters–PUT요청이 유효하지 않습니다. -
401 - Unauthorized–GET요청이 유효하지 않은 토큰을 사용합니다. 권장되는 작업은 새 토큰을 생성하는 것입니다. -
403 - Forbidden– 요청이 허용되지 않거나 IMDS가 비활성화되어 있습니다.
인스턴스 메타데이터 검색 예제
다음 예제에서는 Windows 인스턴스에서 사용할 수 있는 명령을 제공합니다. Linux 인스턴스에서 인스턴스 메타데이터를 검색하는 명령은 Windows 인스턴스용 Amazon EC2 사용 설명서의 인스턴스 메타데이터 검색 섹션을 참조하세요.
예제
인스턴스 메타데이터의 사용 가능한 버전 가져오기
이 예를 통해 이용 가능한 인스턴스 메타데이터 버전을 가져올 수 있습니다. 각 버전은 새 인스턴스 메타데이터 카테고리가 릴리스될 때 인스턴스 메타데이터 빌드를 참조합니다. 인스턴스 메타데이터 빌드 버전은 Amazon EC2 API 버전과 상관관계가 없습니다. 이전 버전의 구조 및 정보를 사용하는 스크립트인 경우 이전 버전을 사용할 수 있습니다.
참고
Amazon EC2가 새 인스턴스 메타데이터 빌드를 릴리스할 때마다 코드를 업데이트하지 않으려면 버전 번호가 아니라, 경로에서 latest를 사용하는 것이 좋습니다. 예를 들어, 다음과 같이 latest를 사용합니다.
curl http://169.254.169.254/latest/meta-data/ami-id
최고 수준 메타데이터 항목 가져오기
이 예제는 최고 수준 메타데이터 항목을 가져옵니다. 자세한 내용은 인스턴스 메타데이터 카테고리 섹션을 참조하세요.
다음 예제에서는 이전 예제에서 얻은 몇 가지 최상위 메타데이터 항목의 값을 가져옵니다. IMDSv2 요청에서는 토큰이 만료되지 않았다고 가정하고 이전 예제 명령에서 생성한 저장된 토큰을 사용합니다.
사용 가능한 퍼블릭 키 목록 가져오기
이 예제를 통해 이용 가능한 퍼블릭 키 목록을 획득할 수 있습니다.
퍼블릭 키 0을 이용할 수 있는 형식 표시
이 예제는 퍼블릭 키 0을 이용할 수 있는 형식을 보여줍니다.
퍼블릭 키 0(OpenSSH 키 형식) 가져오기
이 예제에서는 퍼블릭 키 0(OpenSSH 키 형식)을 획득합니다.
인스턴스에 대한 서브넷 ID 가져오기
이 예제에서는 인스턴스에 대한 서브넷 ID를 가져옵니다.
인스턴스에 대한 인스턴스 태그 가져오기
다음 예의 샘플 인스턴스에는 활성화된 인스턴스 메타데이터에 대한 태그와 인스턴스 태그 Name=MyInstance 및 Environment=Dev가 있습니다.
이 예에서는 인스턴스에 대한 모든 인스턴스 태그 키를 가져옵니다.
다음 예에서는 이전 예에서 얻은 Name 키 값을 가져옵니다. IMDSv2 요청에서는 이전 예제 명령에서 생성한 저장된 토큰이 만료되지 않았다고 가정하고 해당 토큰을 사용합니다.
쿼리 조절
쿼리는 인스턴스당 IMDS로 제한되고, 한 인스턴스에서 IMDS로의 동시 연결 수에도 제한이 있습니다.
IMDS를 사용하여 AWS 보안 인증 정보를 가져올 경우 모든 트랜잭션 중에 또는 많은 스레드나 프로세스에서 동시에 자격 증명을 쿼리하지 마세요. 이렇게 하면 제한이 발생할 수 있습니다. 자격 증명 만료일이 다가오기 전까지는 자격 증명을 캐시에 저장하는 것이 좋습니다. IAM 역할 및 해당 역할과 연결된 보안 자격 증명에 대한 자세한 내용은 인스턴스 메타데이터에서 보안 자격 증명 검색 섹션을 참조하세요.
IMDS에 액세스하는 동안 제한이 발생하면 지수 백오프 전략으로 쿼리를 다시 시도하세요.
IMDS 액세스 제한
로컬 방화벽 규칙을 사용하여 IMDS에 대한 일부 또는 모든 프로세스의 액세스를 비활성화할 수 있습니다.
참고
AWS Nitro 시스템에 구축된 인스턴스의 경우 IMDS는 VPC 안의 네트워크 어플라이언스(예: 가상 라우터)가 패킷을 IMDS 주소로 전달할 때 자체 네트워크에서 연결할 수 있으므로 인스턴스의 기본 소스/대상 확인가 비활성화됩니다. VPC 외부 소스에서 IMDS에 연결할 수 없도록 하려면 대상 IPv4 주소가 IMDS 169.254.169.254이고 IPv6 엔드포인트를 활성화한 경우 IPv6 주소가 IMDS [fd00:ec2::254]인 패킷을 삭제하도록 네트워크 어플라이언스의 구성을 수정하는 것이 좋습니다.
Windows 방화벽을 사용하여 액세스 제한
다음 PowerShell 예제에서는 기본 제공 Windows 방화벽을 사용하여 Internet Information Server 웹 서버(기본 설치 사용자 ID NT AUTHORITY\IUSR 기준)가 169.254.169.254에 액세스할 수 없도록 설정합니다. 이 예제에서는 거부 규칙을 사용하여 해당 사용자로 실행하는 모든 프로세스의 모든 인스턴스 메타데이터 요청(IMDSv1이든 IMDSv2든 상관없이)을 거부합니다.
PS C:\>$blockPrincipal = New-Object -TypeName System.Security.Principal.NTAccount ("NT AUTHORITY\IUSR")PS C:\>$BlockPrincipalSID = $blockPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).ValuePS C:\>$BlockPrincipalSDDL = "D:(A;;CC;;;$BlockPrincipalSID)"PS C:\>New-NetFirewallRule -DisplayName "Block metadata service from IIS" -Action block -Direction out ` -Protocol TCP -RemoteAddress 169.254.169.254 -LocalUser $BlockPrincipalSDDL
또는 허용 규칙을 사용하여 특정 사용자 또는 그룹에 대한 액세스만 허용할 수도 있습니다. 허용 규칙을 사용하면 어떤 소프트웨어가 인스턴스 메타데이터에 액세스해야 하는지를 결정해야 하므로, 허용 규칙은 보안 관점에서 더 관리하기 쉬울 수 있습니다. 허용 규칙을 사용하면 인스턴스의 소프트웨나 구성을 나중에 변경하는 경우 소프트웨어가 메타데이터 서비스(액세스할 의도가 없는 서비스)에 액세스하도록 우발적으로 허용할 가능성이 낮습니다. 방화벽 규칙을 변경할 필요 없이 허용 그룹에서 사용자를 추가하고 제거할 수 있도록, 그룹 사용을 허용 규칙과 결합할 수도 있습니다.
다음 예제에서는 blockPrincipal에서 지정한 프로세스(이 예제에서는 Everyone라는 그룹)를 제외하고, 변수 exceptionPrincipal에서 지정한 OS 그룹으로 실행하는 모든 프로세스(이 예제에서는 Windows 그룹 trustworthy-users)가 인스턴스 메타데이터에 액세스할 수 없도록 설정합니다. Linux iptables의 ! --uid-owner trustworthy-user 규칙과 달리 Windows 방화벽은 다른 모든 보안 주체를 거부하여 특정 보안 주체만 허용하는 바로 가기 메커니즘을 제공하지 않으므로, 보안 주체 거부 및 허용을 모두 지정해야 합니다.
PS C:\>$blockPrincipal = New-Object -TypeName System.Security.Principal.NTAccount ("Everyone")PS C:\>$BlockPrincipalSID = $blockPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).ValuePS C:\>$exceptionPrincipal = New-Object -TypeName System.Security.Principal.NTAccount ("trustworthy-users")PS C:\>$ExceptionPrincipalSID = $exceptionPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).ValuePS C:\>$PrincipalSDDL = "O:LSD:(D;;CC;;;$ExceptionPrincipalSID)(A;;CC;;;$BlockPrincipalSID)"PS C:\>New-NetFirewallRule -DisplayName "Block metadata service for $($blockPrincipal.Value), exception: $($exceptionPrincipal.Value)" -Action block -Direction out ` -Protocol TCP -RemoteAddress 169.254.169.254 -LocalUser $PrincipalSDDL
참고
로컬 방화벽 규칙을 사용하려면 이전 예제 명령을 필요에 맞게 조정해야 합니다.
netsh 규칙을 사용하여 액세스 제한
netsh 규칙을 사용하여 모든 소프트웨어를 차단할 수 있지만, 이러한 규칙은 훨씬 더 유연합니다.
C:\>netsh advfirewall firewall add rule name="Block metadata service altogether" dir=out protocol=TCP remoteip=169.254.169.254 action=block
참고
-
로컬 방화벽 규칙을 사용하려면 이전 예제 명령을 필요에 맞게 조정해야 합니다.
-
netsh규칙은 승격된 명령 프롬프트에서 설정해야 하며, 특정 보안 주체를 거부하거나 허용하도록 설정할 수 없습니다.
