Como funciona o IMDSv2 Transição para uso do IMDSv2 SDKs compatíveis Exemplos para IMDSv2 Exemplos para IMDSv1

Use o serviço de metadados de instância para acessar metadados de instância

É possível acessar metadados de instância em uma instância em execução usando um dos seguintes métodos:

Serviço de metadados da instância versão 2 (IMDSv2): um método orientado a sessões

Para ver exemplos, consulte Exemplos para IMDSv2.
Serviço de metadados da instância versão 1 (IMDSv1) – um método de solicitação/resposta

Para ver exemplos, consulte Exemplos para IMDSv1.

Por padrão, é possível usar o IMDSv1 ou o IMDSv2 ou ambos.

É possível configurar o Serviço de metadados de instância (IMDS) em cada instância de modo que o código ou os usuários locais devam usar o IMDSv2. Quando você especifica que o IMDSv2 deve ser usado, o IMDSv1 não funciona mais. Para obter informações sobre como configurar sua instância para usar o IMDSv2, consulte Configurar as opções de serviço de metadados de instância.

Os cabeçalhos PUT ou GET são exclusivos do IMDSv2. Se esses cabeçalhos estiverem presentes na solicitação, a solicitação será destinada ao IMDSv2. Se nenhum cabeçalho estiver presente, presume-se que a solicitação seja destinada ao IMDSv1.

Para obter uma análise extensa do IMDSv2, consulte Adicionar defesa profunda contra firewalls abertos, proxies reversos e vulnerabilidades SSRF com melhorias no serviço de metadados da instância do EC2.

Tópicos

Como Serviço de metadados da instância versão 2 funciona
Transição para usar o Serviço de metadados da instância versão 2
Usar um AWS SDK compatível
Exemplos para IMDSv2
Exemplos para IMDSv1

Como Serviço de metadados da instância versão 2 funciona

O IMDSv2 usa solicitações orientadas a sessão. Com solicitações orientadas a sessão, você cria um token de sessão que define a duração da sessão, que pode ser, no mínimo, um segundo e, no máximo, seis horas. Durante o período especificado, é possível usar o mesmo token de sessão para solicitações subsequentes. Depois que a duração especificada expira, crie um novo token de sessão para uso em solicitações futuras.

nota

Os exemplos nesta seção usam o endereço IPv4 do Serviço de metadados da instância (IMDS): 169.254.169.254. Se você estiver recuperando metadados de instância para instâncias do EC2 pelo endereço IPv6, certifique-se de habilitar e usar o endereço IPv6: [fd00:ec2::254]. O endereço IPv6 do IMDS é compatível com comandos IMDSv2. O endereço IPv6 só é acessível em instâncias baseadas em Nitro em uma sub-rede compatível com IPv6 (pilha dupla ou somente IPv6).

Os exemplos apresentados a seguir usam um script de shell e um IMDSv2 para recuperar os itens de metadados da instância de nível superior. Cada exemplo:

Cria um token de sessão que dura seis horas (21.600 segundos) usando a solicitação PUT.
Armazena o cabeçalho do token da sessão em uma variável chamada TOKEN (para as instâncias do Linux) ou token (para as instâncias do Windows)
Solicita os itens de metadados de nível superior usando o token

É possível executar dois comandos separados ou combiná-los.

Comandos separados

Primeiro, gere um token usando o comando a seguir.


[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`

Em seguida, use o token para gerar itens de metadados de nível superior usando o comando a seguir.


[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/

Comandos combinados

É possível armazenar o token e combinar os comandos. O exemplo a seguir combina os dois comandos acima e armazena o cabeçalho do token de sessão em uma variável chamada TOKEN.

nota

Se houver um erro na criação do token, em vez de um token válido, uma mensagem de erro será armazenada na variável e o comando não funcionará.


[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
	&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/

Depois de criar um token, é possível reutilizá-lo até que ele expire. No comando de exemplo a seguir, que obtém o ID da AMI usada para executar a instância, o token armazenado em $TOKEN no exemplo anterior é reutilizado.


[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/ami-id


PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token


PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/

Depois de criar um token, é possível reutilizá-lo até que ele expire. No comando de exemplo a seguir, que obtém o ID da AMI usada para executar a instância, o token armazenado em $token no exemplo anterior é reutilizado.


PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} `
	-Method GET -uri http://169.254.169.254/latest/meta-data/ami-id

Quando você usa o IMDSv2 para solicitar os metadados da instância, a solicitação deve incluir o seguinte:

Use uma solicitação PUT para solicitar a inicialização de uma sessão para o serviço de metadados da instância. A solicitação PUT retorna um token que deve ser incluído em solicitações GET subsequentes para o serviço de metadados da instância. O token é exigido para acessar metadados usando o IMDSv2.
Inclua o token em todas as solicitações GET para o IMDS. Quando o uso do token está definido como required, as solicitações sem um token válido ou com um token expirado recebem um código de erro HTTP 401 - Unauthorized.
- O token é uma chave específica da instância. O token não é válido em outras instâncias do EC2 e será rejeitado se você tentar usá-lo fora da instância na qual foi gerado.
- A solicitação PUT deve incluir um cabeçalho que especifique a vida útil (TTL) do token, em segundos, até um máximo de seis horas (21.600 segundos). O token representa uma sessão lógica. O TTL especifica o período de validade do token e, portanto, a duração da sessão.
- Depois que o token expira, para continuar a acessar os metadados da instância, crie uma nova sessão usando outro PUT.
- É possível optar por reutilizar um token ou criar um novo token para cada solicitação. Para um número pequeno de solicitações, pode ser mais fácil gerar e usar imediatamente um token a cada vez que você precisar acessar o IMDS. Mas, para obter eficiência, é possível especificar uma duração maior para o token e reutilizá-lo, em vez de precisar escrever uma solicitação PUT toda vez que precisar solicitar metadados da instância. Não há um limite prático para o número de tokens simultâneos, cada um representando sua própria sessão. No entanto, o IMDSv2 ainda é restringido pela conexão do IMDS e pelos limites de controle de utilização. Para ter mais informações, consulte Limitação de consulta.

Os métodos HTTP GET e HEAD são permitidos em solicitações de metadados de instâncias do IMDSv2. As solicitações PUT serão rejeitadas se contiverem um cabeçalho X-Forwarded-For.

Por padrão, a resposta a solicitações PUT tem um limite de saltos de resposta (vida útil) de 1 no nível de protocolo IP. Se você precisar de um limite maior de saltos, é possível ajustar o limite usando o comando modify-instance-metadata-options da AWS CLI. Por exemplo, um limite de saltos maior pode ser necessário para compatibilidade com versões anteriores de serviços de contêiner em execução na instância. Para ter mais informações, consulte Modificar as opções de metadados de instância para as instâncias existentes.

Transição para usar o Serviço de metadados da instância versão 2

Se você optar por migrar para o IMDSv2, recomendamos que use as ferramentas e o caminho de transição a seguir.

Tópicos

Ferramentas para ajudar com a transição para o IMDSv2
Caminho recomendado para exigir IMDSv2

Ferramentas para ajudar com a transição para o IMDSv2

Se seu software usar o IMDSv1, use as ferramentas a seguir para ajudar a configurar o software para usar o IMDSv2.

Software da AWS

As versões mais recentes da AWS CLI e dos AWS SDKs são compatíveis com o IMDSv2. Para usar o IMDSv2, certifique-se de que as instâncias do EC2 tenham as versões mais recentes da CLI e dos SDKs. Para obter informações sobre como atualizar a CLI, consulte Instalação, atualização e desinstalação da AWS CLI no Guia do usuário da AWS Command Line Interface.

Todos os pacotes de software Amazon Linux 2 e Amazon Linux 2023 são compatíveis com o IMDSv2. No Amazon Linux 2023, o IMDSv1 é desabilitado por padrão.

Para obter as versões mínimas do AWS SDK compatíveis com IMDSv2, consulte Usar um AWS SDK compatível.

IMDS Packet Analyzer

O IMDS Packet Analyzer é uma ferramenta de código aberto que identifica e registra as chamadas IMDSv1 da fase de inicialização da sua instância. Isso pode ajudar a identificar o software que faz chamadas IMDSv1 em instâncias do EC2, permitindo que você identifique exatamente o que precisa atualizar para preparar suas instâncias para usar somente o IMDSv2. Você pode executar o IMDS Packet Analyzer em uma linha de comando ou instalá-lo como um serviço. Para obter mais informações, consulte IMDS Packet Analyzer no GitHub.

CloudWatch

O IMDSv2 usa sessões baseadas em token, enquanto o IMDSv1 não o faz. A métrica MetadataNoToken do CloudWatch rastreia o número de chamadas para o Serviço de metadados da instância (IMDS) que estão usando o IMDSv1. Rastreando essa métrica até zero, é possível determinar se e quando todo o software foi atualizado para usar o IMDSv2.

Após desabilitar o IMDSv1, é possível usar a métrica MetadataNoTokenRejected do CloudWatch para rastrear o número de vezes que uma chamada do IMDSv1 foi tentada e rejeitada. Ao rastrear essa métrica, você pode verificar se o software precisa ser atualizado para usar o IMDSv2.

Para ter mais informações, consulte Métricas de instância.

Atualizações para APIs e CLIs do EC2

Para novas instâncias, é possível usar a API RunInstances para executar novas instâncias que exijam o uso do IMDSv2. Para ter mais informações, consulte Configurar opções de metadados da instância para novas instâncias.

Para instâncias existentes, é possível usar a API ModifyInstanceMetadataOptions para exigir o uso do IMDSv2. Para ter mais informações, consulte Modificar as opções de metadados de instância para as instâncias existentes.

Para exigir o uso do IMDSv2 em todas as novas instâncias executadas por grupos de Auto Scaling, seus grupos de Auto Scaling podem usar um modelo de execução ou uma configuração de execução. Quando você cria um modelo de execução ou cria uma configuração de execução, é necessário configurar os parâmetros de MetadataOptions para exigir o uso do IMDSv2. O grupo do Auto Scaling inicia novas instâncias usando o novo modelo de execução ou configuração de execução, mas as instâncias existentes não serão afetadas. Para instâncias existentes em um grupo do Auto Scaling, é possível usar a API ModifyInstanceMetadataOptions para exigir o uso do IMDSv2 em instâncias existentes, ou encerrar as instâncias e o grupo do Auto Scaling executará novas instâncias de substituição com as configurações das opções de metadados de instância definidas no modelo ou na configuração de execução.

Usar uma AMI que configura o IMDSv2 por padrão

Ao iniciar uma instância, você pode configurá-la automaticamente para usar o IMDSv2 por padrão (o parâmetro HttpTokens é definido como required) iniciando-a com uma AMI configurada com o parâmetro ImdsSupport definido como v2.0. É possível definir o parâmetro ImdsSupport como v2.0 ao registrar a AMI usando o comando register-image da CLI, ou modificar uma AMI existente usando o comando modify-image-attribute da CLI. Para ter mais informações, consulte Configurar a AMI.

Políticas do IAM e SCPs

Você pode usar uma política do IAM ou uma política de controle de serviços (SCP) do AWS Organizations para controlar os usuários como se segue:

Não é possível iniciar uma instância usando a API RunInstances, a menos que a instância esteja configurada para usar o IMDSv2.
Não é possível modificar uma instância em execução usando a API ModifyInstanceMetadataOptions para reabilitar o IMDSv1.

A política do IAM ou a SCP devem conter as seguintes chaves de condição do IAM:

ec2:MetadataHttpEndpoint
ec2:MetadataHttpPutResponseHopLimit
ec2:MetadataHttpTokens

Se um parâmetro da chamada de API ou CLI não corresponder ao estado especificado na política que contém a chave de condição, a chamada de API ou CLI falhará com uma resposta UnauthorizedOperation.

Além disso, é possível escolher uma camada adicional de proteção para exigir a alteração do IMDSv1 para o IMDSv2. Na camada de gerenciamento de acesso com relação às APIs chamadas por meio de credenciais de função do EC2, é possível usar uma nova chave de condição nas políticas do IAM ou nas políticas de controle de serviço (SCPs) do AWS Organizations. Especificamente, usando a chave de condição da política ec2:RoleDelivery com um valor 2.0 nas políticas do IAM, as chamadas de API feitas com as credenciais do perfil do EC2 obtidas do IMDSv1 receberão uma resposta UnauthorizedOperation. A mesma coisa pode ser obtida de forma mais ampla com essa condição exigida por uma SCP. Isso garante que as credenciadas entregues por meio do IMDSv1 não podem ser realmente usadas para chamar APIs porque todas as chamadas à API que não corresponderem à condição especificada receberão um erro UnauthorizedOperation.

Para obter exemplos de políticas do IAM, consulte Trabalhar com metadados de instância. Para obter mais informações sobre SCPs, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.

Caminho recomendado para exigir IMDSv2

Usando as ferramentas acima, recomendamos que você siga este caminho para fazer a transição para o IMDSv2.

Etapa 1: No início

Atualize os SDKs, as CLIs e os programas de software que usam credenciais do perfil nas instâncias do EC2 para versões compatíveis com o IMDSv2. Para obter informações sobre como atualizar a CLI, consulte Atualização para a versão mais recente da AWS CLI no Guia do usuário da AWS Command Line Interface.

Depois, altere o software que acessa os metadados da instância diretamente (ou seja, que não usa um SDK) usando as solicitações do IMDSv2. Você pode usar o IMDS Packet Analyzer para identificar o software que você precisa alterar para usar as solicitações IMDSv2.

Etapa 2: acompanhar o andamento da transição

Acompanhe o andamento da transição usando a métrica do CloudWatch MetadataNoToken. Esta métrica mostra o número de chamadas IMDSv1 para o IMDS em suas instâncias. Para ter mais informações, consulte Métricas de instância.

Etapa 3: quando a utilização do IMDSv1 é zero

Quando a métrica MetadataNoToken do CloudWatch registra uma utilização zero do IMDSv1, as instâncias estão prontas para passar a usar o IMDSv2. Nessa fase, é possível fazer o seguinte:

Padrão da conta

Você pode definir o IMDSv2 como obrigatório como o padrão da conta. Quando uma instância é executada, a configuração da instância é definida automaticamente como a conta padrão.

Para definir a conta padrão, faça o seguinte:
- Console do Amazon EC2: no painel do EC2, em Atributos da conta, Proteção e segurança de dados, em Padrões do IMDS, defina Serviço de metadados da instância como Habilitado e Versão de metadados como Somente V2 (requer token). Para ter mais informações, consulte Definir o IMDSv2 como o padrão para a conta.
- AWS CLI: use o comando modify-instance-metadata-defaults da CLI e especifique --http-tokens required e --http-put-response-hop-limit 2.
Instâncias novas

Ao iniciar uma nova instância, você pode fazer o seguinte:
- No console do Amazon EC2: no assistente de inicialização de instância, defina Metadata accessible (Metadados acessíveis) como Enabled (Habilitado) e Metadata version (Versão de metadados) como V2 only (token required) (Apenas V2 [token obrigatório]). Para ter mais informações, consulte Configurar a instância na inicialização.
- AWS CLI: use o comando run-instances da CLI e especifique que o IMDSv2 é obrigatório.
Instâncias existentes

Para instâncias existentes, é possível fazer o seguinte:
- Console do Amazon EC2: na página Instâncias, selecione sua instância, escolha Ações, Configurações da instância, Modificar opções de metadados da instância e, para IMDSv2, escolha Obrigatório. Para ter mais informações, consulte Exigir o uso de IMDSv2.
- AWS CLI: use o comando modify-instance-metadata-options da CLI para especificar que apenas o IMDSv2 deverá ser usado.
É possível modificar as opções de metadados da instância em instâncias em execução, e você não precisará reiniciá-las depois de modificar as opções de metadados da instância.

Etapa 4: verificar se suas instâncias fizeram a transição para o IMDSv2

É possível verificar se alguma instância ainda não está configurada para exigir o uso do IMDSv2, em outras palavras, se o IMDSv2 ainda está configurado como optional. Se alguma instância ainda estiver configurada como optional, será possível modificar as opções de metadados da instância para tornar o IMDSv2 required. Para isso, repita a Etapa 3.

Para filtrar suas instâncias:

Console do Amazon EC2: na página Instâncias, filtre suas instâncias usando o filtro IMDSv2 = opcional. Para obter mais informações sobre filtragem, consulte Filtrar recursos usando o console. Você também pode ver se o IMDSv2 é obrigatório ou opcional para cada instância: na janela Preferências. Ative o IMDSv2 para adicionar a coluna IMDSv2 à tabela Instâncias.

AWS CLI: use o comando describe-instances da CLI e filtre por metadata-options.http-tokens = optional, da seguinte forma:


aws ec2 describe-instances --filters "Name=metadata-options.http-tokens,Values=optional" --query "Reservations[*].Instances[*].[InstanceId]" --output text

Etapa 5: quando todas as suas instâncias tiverem feito a transição para o IMDSv2

É possível usar as chaves de condição ec2:MetadataHttpTokens, ec2:MetadataHttpPutResponseHopLimit e ec2:MetadataHttpEndpoint do IAM para controlar o uso de RunInstances e das API ModifyInstanceMetadataOptions e das CLIs correspondentes. Se uma política for criada, e um parâmetro na chamada à API não corresponder ao estado especificado na política usando a chave de condição, a chamada à API ou à CLI falhará com uma resposta UnauthorizedOperation. Para obter exemplos de políticas do IAM, consulte Trabalhar com metadados de instância.

Mais ainda, após desabilitar o IMDSv1, é possível usar a métrica MetadataNoTokenRejected do CloudWatch para rastrear o número de vezes que uma chamada do IMDSv1 foi tentada e rejeitada. Se, após você desabilitar o IMDSv1, algum software não estiver funcionando corretamente e a métrica MetadataNoTokenRejected registrar as chamadas do IMDSv1, é provável que esse software precise ser atualizado para usar o IMDSv2.

Usar um AWS SDK compatível

Para usar o IMDSv2, as instâncias do EC2 devem usar uma versão do AWS SDK compatível com o uso do IMDSv2. As versões mais recentes de todos os AWS SDKs permitem usar o IMDSv2.

Importante

Recomendamos que você se mantenha atualizado com as versões do SDK para acompanhar os recursos, as atualizações de segurança e as dependências subjacentes mais recentes. O uso contínuo de uma versão não compatível do SDK não é recomendado e é feito a seu critério. Para obter mais informações, consulte a Política de manutenção de SDKs e ferramentas da AWS no Guia de referência de SDKs e ferramentas da AWS.

Veja a seguir as versões mínimas que são compatíveis com o uso do IMDSv2:

AWS CLI: 1.16.289
AWS Tools for Windows PowerShell: 4.0.1.0
AWS SDK for .NET: 3.3.634.1
AWS SDK for C++: 1.7.229
AWS SDK for Go: 1.25.38
AWS SDK para Go v2: 0.19.0
AWS SDK for Java: 1.11.678
AWS SDK for Java 2.x: 2.10.21
AWS SDK para JavaScript em Node.js: 2.722.0
AWS SDK for PHP: 3.147.7
AWS SDK para Python (Botocore) – 1.13.25
AWS SDK for Python (Boto3): 1.12.6
AWS SDK for Ruby: 3.79.0

Exemplos para IMDSv2

Execute os exemplos a seguir na sua instância do Amazon EC2 para recuperar os metadados da instância para o IMDSv2.

Em instâncias do Windows, é possível usar o Windows PowerShell ou instalar cURL ou wget. Se você instalar uma ferramenta de terceiros em uma instância do Windows, leia a documentação que a acompanha, pois as chamadas e a saída podem ser diferentes do que é descrito aqui.

Exemplos

Obter as versões disponíveis dos metadados da instância
Obter itens de metadados de nível superior.
Obtenção dos valores dos itens de metadados
Obter a lista de chaves públicas disponíveis
Mostrar os formatos nos quais a chave pública 0 está disponível
Obter a chave pública 0 (no formato de chave OpenSSH)
Obter o ID de sub-rede de uma instância
Obter as tags de instância de uma instância de uma instância

Obter as versões disponíveis dos metadados da instância

Este exemplo obtém as versões disponíveis dos metadados da instância. Cada versão indica uma compilação de metadados de instância quando novas categorias de metadados de instância foram lançadas. As versões de compilação de metadados de instância não têm correlação com as versões de API do Amazon EC2. As versões anteriores estarão disponíveis caso você tenha scripts que contam com a estrutura e as informações presentes em uma versão anterior.

Obter itens de metadados de nível superior.

Este exemplo obtém itens de metadados de nível superior. Para obter mais informações sobre os itens na resposta, consulte Categorias de metadados da instância.

Observe que as tags serão incluídas nessa saída somente se você tiver permitido o acesso. Para ter mais informações, consulte Permitir acesso a tags em metadados de instância.

Obtenção dos valores dos itens de metadados

Esses exemplos obtêm os valores de alguns dos itens de metadados de nível superior obtidos no exemplo anterior. Essas solicitações usam o token armazenado que foi criado usando o comando no exemplo anterior. O token não pode estar expirado.

Obter a lista de chaves públicas disponíveis

Este exemplo obtém uma lista de chaves públicas disponíveis.

Mostrar os formatos nos quais a chave pública 0 está disponível

Este exemplo mostra os formatos nos quais a chave pública 0 está disponível.

Obter a chave pública 0 (no formato de chave OpenSSH)

Este exemplo obtém a chave pública 0 (no formato de chave OpenSSH).

cURL


[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
ssh-rsa MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE my-public-key

PowerShell


PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token


PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
ssh-rsa MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC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 my-public-key

Obter o ID de sub-rede de uma instância

Este exemplo obtém o ID de sub-rede para uma instância.

Obter as tags de instância de uma instância de uma instância

Se o acesso às tags da instância nos metadados da instância estiver ativado, você poderá obter as tags de uma instância nos metadados da instância. Para ter mais informações, consulte Recuperar tags dos metadados da instância.

Exemplos para IMDSv1

Execute os exemplos a seguir na sua instância do Amazon EC2 para recuperar os metadados da instância para o IMDSv1.