Modificar as opções de metadados de instância para as instâncias existentes - Amazon Elastic Compute Cloud

Modificar as opções de metadados de instância para as instâncias existentes

Você pode modificar as opções de metadados da instância para as instâncias existentes. Também pode criar uma política do IAM que impeça que os usuários modifiquem as opções de metadados em instâncias existentes.

Você pode modificar as opções de metadados a seguir para as instâncias existentes.

  • Exija o uso do IMDSv2 em uma instância existente.

  • Altere o limite de saltos da resposta PUT.

  • Desative o acesso aos metadados da instância em uma instância existente.

nota

Você não pode usar o console Amazon EC2 para modificar as opções de metadados da instância. Atualmente apenas a AWS CLI e o AWS SDK são compatíveis com a alteração das opções de metadados da instância em instâncias existentes.

Como exigir o uso de IMDSv2

Você pode exigir que o IMDSv2 seja usado ao solicitar os metadados da instância. Use o comando modify-instance-metadata-options da CLI e defina o parâmetro http-tokens como required. Quando você especifica um valor para http-tokens, você também deve definir http-endpoint como enabled.

aws ec2 modify-instance-metadata-options \ --instance-id i-1234567898abcdef0 \ --http-tokens required \ --http-endpoint enabled
Como alterar o limite de salto de resposta PUT

Para instâncias existentes, é possível alterar as configurações do limite de saltos de resposta de PUT. Use o comando modify-instance-metadata-options da CLI e defina o parâmetro http-put-response-hop-limit como o número de saltos necessário. No exemplo a seguir, o limite de saltos está definido como 3. Observe que ao especificar um valor para http-put-response-hop-limit, também é necessário definir http-endpoint como enabled.

aws ec2 modify-instance-metadata-options \ --instance-id i-1234567898abcdef0 \ --http-put-response-hop-limit 3 \ --http-endpoint enabled
Como restaurar o uso de IMDSv1 em uma instância usando IMDSv2

É possível usar o comando da CLI modify-instance-metadata-options com http-tokens definido como optional para restaurar o uso de IMDSv1 ao solicitar metadados de instância.

aws ec2 modify-instance-metadata-options \ --instance-id i-1234567898abcdef0 \ --http-tokens optional \ --http-endpoint enabled
Para ativar o endpoint IPv6 para sua instância

Por padrão, o endpoint IPv6 está desabilitado. Isso é verdade mesmo se você tiver iniciado uma instância em uma sub-rede somente IPv6. O endpoint IPv6 para o serviço de metadados da instância só é acessível em Instâncias criadas no Sistema Nitro.

Use o comando modify-instance-metadata-options da CLI e defina o parâmetro http-endpoint como enabled.

aws ec2 modify-instance-metadata-options \ --instance-id i-1234567898abcdef0 \ --http-protocol-ipv6 enabled \ --http-endpoint enabled
Como desabilitar o acesso aos metadados da instância

É possível desativar o acesso aos metadados da instância desabilitando o HTTP endpoint do serviço de metadados de instância, independentemente de qual versão do serviço de metadados de instância você está usando. É possível reverter essa alteração a qualquer momento habilitando o endpoint HTTP.

Use o comando modify-instance-metadata-options da CLI e defina o parâmetro http-endpoint como disabled

aws ec2 modify-instance-metadata-options \ --instance-id i-1234567898abcdef0 \ --http-endpoint disabled
Como controlar o uso de modify-instance-metadata-options

Para controlar quais usuários do IAM podem modificar as opções de metadados em uma instância existente, especifique uma política que impeça que todos os usuários que não tenham uma função especificada usem a API ModifyInstanceMetadataOptions. Para ver um exemplo de política do IAM, consulte Trabalhar com metadados de instância.