AWSSupport-ConfigureEC2Metadata - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-ConfigureEC2Metadata

설명

이 실행서는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 인스턴스 메타데이터 서비스(IMDS) 옵션을 구성하는 데 도움이 됩니다. 이 실행서를 사용하면, 다음과 같은 방법으로 구성 가능합니다.

  • 인스턴스 메타데이터에 대해 IMDSv2 사용을 강제 시행합니다.

  • HttpPutResponseHopLimit 값을 구성합니다.

  • 인스턴스 메타데이터 액세스를 허용하거나 거부합니다.

인스턴스 메타데이터에 대한 자세한 내용은 Amazon EC2 사용 설명서의 인스턴스 메타데이터 서비스 구성을 참조하십시오.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

Parameters

  • AutomationAssumeRole

    타입: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • EnforceIMDSv2

    타입: 문자열

    유효한 값: required | optional

    기본값: optional

    설명: (선택 사항) IMDSv2를 강제 시행합니다. required을 선택하는 경우, Amazon EC2 인스턴스는 IMDSv2만 사용하게 됩니다. optional을 선택하는 경우, 메타데이터 액세스를 위해 IMDSv1과 IMDSv2 중에서 선택할 수 있습니다.

    중요

    IMDSv2를 강제 시행할 경우, IMDSv1을 사용하는 애플리케이션이 제대로 작동하지 않을 수 있습니다. IMDSv2를 강제 시행하기 전에, IMDS를 사용하는 애플리케이션이 IMDSv2를 지원하는 버전으로 업그레이드되어 있어야 합니다. 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 에 대한 자세한 내용은 Amazon EC2 사용 설명서의 인스턴스 메타데이터 서비스 구성을 참조하십시오.

  • HttpPutResponseHop한도

    유형: 정수

    유효한 값: 0~64

    기본값: 0

    설명: (선택 사항) 인스턴스 메타데이터 요청에 대해 원하는 HTTP PUT 응답 홉 제한 값(1~64)입니다. 이 값은 PUT 응답이 탐색할 수 있는 홉 수를 제어합니다. 응답이 인스턴스 외부로 이동하는 것을 방지하려면 파라미터 값에 1을 지정하세요.

  • InstanceId

    타입: 문자열

    설명: (필수) 구성하려는 메타데이터 설정이 있는 Amazon EC2 인스턴스의 ID입니다.

  • MetadataAccess

    타입: 문자열

    유효한 값: enabled | disabled

    기본값: enabled

    설명: (선택 사항) Amazon EC2 인스턴스에서 인스턴스 메타데이터 액세스를 허용하거나 거부합니다. disabled을 지정하는 경우, 다른 모든 파라미터가 무시되고 인스턴스에 대한 메타데이터 액세스가 거부됩니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

문서 단계

  1. branch OnMetadataAccess - MetadataAccess 매개변수 값을 기반으로 하는 브랜치 자동화.

  2. disableMetadataAccess - ModifyInstanceMetadataOptions API 작업을 호출하여 메타데이터 엔드포인트 액세스를 비활성화합니다.

  3. branch OnHttpPutResponseHopLimit - HttpPutResponseHopLimit 파라미터 값에 따른 브랜치 자동화.

  4. 유지 HopLimitAndConfigureImdsVersion - HttpPutResponseHopLimit 0인 경우, 현재 홉 제한을 유지하고 다른 메타데이터 옵션을 변경합니다.

  5. BeforeAssertingIMDSv2 상태 대기 - IMDSv2 상태를 확인하기 전에 30초 동안 기다립니다.

  6. set HopLimitAndConfigureImdsVersion - HttpPutResponseHopLimit 이 0보다 큰 경우, 지정된 입력 파라미터를 사용하여 메타데이터 옵션을 구성합니다.

  7. wait BeforeAssertingHopLimit - 메타데이터 옵션을 설정하기 전에 30초 동안 기다립니다.

  8. assertHopLimit - HttpPutResponseHopLimit 속성이 지정한 값으로 설정되어 있는지 확인합니다.

  9. 브랜치 VerificationOn IMDSv2옵션 - 파라미터 값을 기반으로 브랜치를 검증합니다. EnforceIMDSv2

  10. ImDSv2 어설션 - 설정된 값을 지정합니다. IsOptional HttpTokens optional

  11. ImDSv2 어설션 IsEnforced - 값을 로 설정합니다. HttpTokens required

  12. wait BeforeAssertingMetadataState - 메타데이터 상태가 비활성화되었음을 확인하기 전에 30초 동안 기다립니다.

  13. assert - 메타데이터가 다음과 같음을 확인합니다. MetadataIsDisabled disabled

  14. describeMetadataOptions - 지정한 변경 내용이 적용된 후 메타데이터 옵션을 가져옵니다.

출력

MetadataOptions.State를 설명하세요

설명해 주세요MetadataOptions. MetadataAccess

MetadataOptions.imdsv2를 설명하세요

MetadataOptions설명해 주세요. HttpPutResponseHop한도