Veröffentlicht am: Oct 3, 2022
Sie können jetzt ein EC2 Amazon Machine Image (AMI) einrichten, um die Instance Metadata Service Version 2 (IMDSv2) standardmäßig zu verwenden. IMDSv2 ist eine Erweiterung für Instance-Metadaten-Zugriff, die sitzungsorientierte Anfragen benötigt, um umfassenden Schutz gegen unbefugte Metadatenzugriffe zu bieten. Bei IMDSv2 wird eine PUT-Anfrage benötigt, die eine Sitzung mit dem Instance-Metadatenservice initiiert und einen Token abruft. Zuvor mussten Sie, um Ihre Instances als „IMDSv2-only“ einzustellen, die Instance-Metadata-Optionen während des Instance-Starts konfigurieren oder Ihre Instance nach dem Start mit der ModifyInstanceMetadataOptions-API konfigurieren.
Mit der IMDS-AMI-Eigenschaft können Sie jetzt alle von dem AMI gestarteten Instances so einrichten, dass sie standardmäßig „IMDSv2-only“ (nur IMDSv2) sind. Wenn Sie diese Eigenschaft auf „IMDSv2 supported“ (IMDSv2 unterstützt) einstellen, wird jede mit diesem AMI gestartete Instance nur IMDSv2 nutzen und Ihr standardmäßiges Hop-Limit wird auf 2 eingestellt, um containerisierte Workloads zu unterstützen.
Beginnen Sie, indem Sie Ihr AMI registrieren, um diese Eigenschaft auf „IMDSv2“ einzustellen. Sie können diese Einstellungen weiterhin manuell überschreiben und IMDSv1 mit den optionalen Instance-Metadata-Starteigenschaften aktivieren. Sie können IAM-Kontrollen weiterhin verwenden, um verschiedene IMDS-Einstellungen durchzusetzen.
Die neue IMDS-AMI-Eigenschaft ist jetzt in allen AWS-Regionen und in der Region AWS GovCloud (USA) verfügbar.
Um mehr über die neue IMDS-AMI-Eigenschaft zu erfahren, lesen Sie das IMDSv2-Benutzerhandbuch.