Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren der Optionen des Instance-Metadaten-Services
<a name="configuring-instance-metadata-options"></a>

Der Instance Metadata Service (IMDS) wird lokal auf jeder EC2-Instance ausgeführt. Die *Instance-Metadatenoptionen* beziehen sich auf eine Reihe von Konfigurationen, welche die Zugänglichkeit und das Verhalten des IMDS auf einer EC2-Instance steuern.

Sie können die folgenden Optionen für Instance-Metadaten für jede Instance konfigurieren:

**Instance Metadata Service (IMDS)**: `enabled` \$1 `disabled`  
Sie können den IMDS auf einer Instance aktivieren oder deaktivieren. Wenn diese Option deaktiviert ist, können Sie oder ein anderer Code nicht auf die Instance-Metadaten auf der Instance zugreifen.  
Das IMDS hat zwei Endpunkte auf einer Instanz: IPv4 (`169.254.169.254`) und IPv6 (). `[fd00:ec2::254]` Wenn Sie das IMDS aktivieren, wird der IPv4 Endpunkt automatisch aktiviert. Wenn Sie den IPv6 Endpunkt aktivieren möchten, müssen Sie dies explizit tun.

** IPv6 IMDS-Endpunkt**: \$1 `enabled` `disabled`  
Sie können den IPv6 IMDS-Endpunkt auf einer Instanz explizit aktivieren. Wenn der IPv6 Endpunkt aktiviert ist, bleibt der IPv4 Endpunkt aktiviert. Der IPv6 Endpunkt wird nur auf [Nitro-basierten Instances](instance-types.md#instance-hypervisor-type) in [Subnetzen unterstützt, die IPv6 von -unterstützt werden](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range) (Dual Stack oder IPv6 nur).

**Metadaten-Version**: `IMDSv1 or IMDSv2 (token optional)` \$1 `IMDSv2 only (token required)`  
Bei der Anforderung von Instanz-Metadaten ist für IMDSv2 Aufrufe ein Token erforderlich. IMDSv1Für Aufrufe ist kein Token erforderlich. Sie können eine Instanz so konfigurieren, dass sie entweder IMDSv1 oder IMDSv2 -Aufrufe zulässt (wobei ein Token optional ist) oder dass sie nur IMDSv2 Aufrufe zulässt (wenn ein Token erforderlich ist).

**Metadaten-Antwort-Hop-Limits**: `1`   – `64`  
Das Hop-Limit ist die Anzahl der Netzwerk-Hops, die PUT-Antwort ausführen darf. Sie können das Hop-Limit auf ein Minimum von `1` und ein Maximum von `64` festlegen. In einer Container-Umgebung kann ein Hop-Limit von `1` zu Problemen führen. Informationen zur Behebung dieser Probleme finden Sie in den Informationen zu Containerumgebungen unter [Überlegungen zum Instance-Zugriff auf Instance-Metadaten](instancedata-data-retrieval.md#imds-considerations).

**Zugriffs auf Tags in Instance-Metadaten**: `enabled` \$1 `disabled`  
Sie können den Zugriff auf die Tags der Instance in den Metadaten der Instance aktivieren oder deaktivieren. Weitere Informationen finden Sie unter [Tags für Ihre EC2-Instances mithilfe von Instance-Metadaten anzeigen](work-with-tags-in-IMDS.md).

Informationen zum Anzeigen der aktuellen Konfiguration einer Instance finden Sie unter [Abfragen von Instance-Metadatenoptionen für vorhandene Instances](instancedata-data-retrieval.md#query-IMDS-existing-instances).

## Konfigurieren der Instance-Metadaten-Optionen
<a name="where-to-configure-instance-metadata-options"></a>

Die Optionen für Instance-Metadaten können wie folgt auf verschiedenen Ebenen konfiguriert werden:
+ **Konto** – Sie können Standardwerte für die Instance-Metadatenoptionen auf Kontoebene für jede AWS-Region festlegen. Wenn eine Instance gestartet wird, werden die Optionen für die Instance-Metadaten automatisch auf die Werte auf Kontoebene festgelegt. Sie können diese Werte beim Start ändern. Standardwerte auf Kontoebene wirken sich nicht auf bestehende Instances aus.
+ **AMI** – Wenn Sie ein neues AMI registrieren oder ein vorhandenes AMI ändern, können Sie den Parameter `imds-support` auf `v2.0` setzen. Wenn eine Instance mit diesem AMI gestartet wird, wird die Version der Instance-Metadaten automatisch auf IMDSv2 und das Hop-Limit auf 2 gesetzt.
+ **Instance** – Sie können alle Optionen für Instance-Metadaten einer Instance beim Start ändern und dabei die Standardeinstellungen überschreiben. Sie können auch nach dem Start auf einer ausgeführten oder angehaltenen Instance die Instance-Metadaten-Optionen ändern. Beachten Sie, dass Änderungen möglicherweise durch eine IAM- oder SCP-Richtlinie eingeschränkt werden.

Weitere Informationen erhalten Sie unter [Konfigurieren von Instance-Metadatenoptionen für neue Instances](configuring-IMDS-new-instances.md) und [Modifizieren von Instance-Metadatenoptionen für vorhandene Instances](configuring-IMDS-existing-instances.md).

## Rangfolge der Optionen für Instance-Metadaten
<a name="instance-metadata-options-order-of-precedence"></a>

Der Wert für jede Instance-Metadatenoption wird beim Start der Instance in einer hierarchischen Rangfolge festgelegt. Die Hierarchie mit der höchsten Priorität an oberster Stelle sieht wie folgt aus:
+ **Priorität 1: Instance-Konfiguration beim Start** – Werte können entweder in der Startvorlage oder in der Instance-Konfiguration angegeben werden. Alle hier angegebenen Werte haben Vorrang vor Werten, die auf Kontoebene oder im AMI angegeben wurden.
+ **Priorität 2: Kontoeinstellungen** — Wenn beim Start der Instance kein Wert angegeben wird, wird er durch die Einstellungen auf Kontoebene bestimmt (die für jede Instanz festgelegt sind). AWS-Region Einstellungen auf Kontoebene enthalten entweder einen Wert für jede Metadatenoption oder geben an, dass überhaupt keine Präferenz ausgewählt wird.
+ **Priorität 3: AMI-Konfiguration** – Wenn beim Start der Instance oder auf Kontoebene kein Wert angegeben wird, wird er durch die AMI-Konfiguration bestimmt. Dies gilt nur für `HttpTokens` und `HttpPutResponseHopLimit`.

Jede Metadatenoption wird separat bewertet. Die Instance kann mit einer Mischung aus direkter Instance-Konfiguration, Standardeinstellungen auf Kontoebene und der Konfiguration aus dem AMI konfiguriert werden.

Sie können den Wert jeder Metadatenoption nach dem Start einer laufenden oder angehaltenen Instance ändern, sofern die Änderungen nicht durch eine IAM- oder SCP-Richtlinie eingeschränkt sind.

**Anmerkung**  
Die Einstellung für die IMDSv2 Durchsetzung auf Kontoebene wird bewertet, nachdem die IMDS-Einstellungen der Instanz anhand der Rangfolge festgelegt wurden. Wenn die IMDSv2 Durchsetzung aktiviert ist, schlagen Instances fehl, die mit aktiviert wurden. IMDSv1 Weitere Informationen zur Durchsetzung finden Sie unter[IMDSv2 Auf Kontoebene durchsetzen](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

**Warnung**  
Wenn die IMDSv2 Erzwingung aktiviert `httpTokens` ist und weder `required` in der Instance-Konfiguration beim Start noch in den Kontoeinstellungen oder in der AMI-Konfiguration darauf festgelegt wurde, schlägt Ihr Start fehl.

**Beispiel 1 — Ermitteln Sie Werte für Metadatenoptionen**

In diesem Beispiel wird eine EC2-Instance in einer Region gestartet, für die das `HttpPutResponseHopLimit` auf `1` auf Kontoebene festgelegt ist. Das angegebene AMI hat `ImdsSupport` auf `v2.0` eingestellt. Beim Start werden keine Metadatenoptionen direkt auf der Instance angegeben. Die Instance wird mit den folgenden Metadatenoptionen gestartet:

```
"MetadataOptions": {
    ...
    "HttpTokens": "required",
    "HttpPutResponseHopLimit": 1,
    ...
```

Diese Werte wurden wie folgt bestimmt:
+ **Beim Start wurden keine Metadatenoptionen angegeben:** Beim Start der Instance wurden weder in den Instance-Startparametern noch in der Startvorlage spezifische Werte für die Metadatenoptionen angegeben.
+ **Kontoeinstellungen haben als Nächstes Vorrang:** Wenn beim Start keine spezifischen Werte angegeben wurden, haben die Einstellungen auf Kontoebene innerhalb der Region Vorrang. Das bedeutet, dass die auf Kontoebene konfigurierten Standardwerte angewendet werden. In diesem Fall wurde der `HttpPutResponseHopLimit` auf `1` gesetzt.
+ **AMI-Einstellungen haben letzten Vorrang:** Wenn beim Start oder auf Kontoebene kein bestimmter Wert angegeben wurde für `HttpTokens` (die Instance-Metadatenversion), wird die AMI-Einstellung angewendet. In diesem Fall wurde anhand der AMI-Einstellung `ImdsSupport: v2.0` festgelegt, dass `HttpTokens` auf `required` eingestellt war. Beachten Sie, dass die AMI-Einstellung `ImdsSupport: v2.0` zwar für die Einstellung `HttpPutResponseHopLimit: 2` vorgesehen ist, sie jedoch durch die Einstellung `HttpPutResponseHopLimit: 1` auf Kontoebene, die höhere Priorität hat, außer Kraft gesetzt wurde.

**Beispiel 2 — Ermitteln Sie Werte für Metadatenoptionen**

In diesem Beispiel wird die EC2-Instance mit den gleichen Einstellungen wie im vorherigen Beispiel 1 gestartet, allerdings `HttpTokens` mit der Einstellung `optional` direkt auf der Instance beim Start. Die Instance wird mit den folgenden Metadatenoptionen gestartet:

```
"MetadataOptions": {
    ...
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    ...
```

Der Wert für `HttpPutResponseHopLimit` wird auf die gleiche Weise wie in Beispiel 1 bestimmt. Der Wert für `HttpTokens` wird jedoch wie folgt bestimmt: Metadatenoptionen, die beim Start auf der Instance konfiguriert wurden, haben Vorrang. Obwohl das AMI mit `ImdsSupport: v2.0` konfiguriert war (mit anderen Worten `HttpTokens` ist auf`required` gesetzt), hatte der Wert, der beim Start auf der Instance angegeben wurde (`HttpTokens` gesetzt auf `optional`), Vorrang.

**Beispiel 3 — Ermitteln Sie Werte für Metadatenoptionen, wenn HttpTokensEnforced diese Option aktiviert ist**

In diesem Beispiel hat das Konto in der Region `HttpTokens = required` und`HttpTokensEnforced = enabled`.

Betrachten Sie die folgenden Versuche, eine EC2-Instance zu starten:
+ Startversuch mit `HttpTokens` Einstellung auf `optional` — Der Start schlägt fehl, weil die Durchsetzung auf Kontoebene aktiviert ist (`HttpTokensEnforced = enabled`) und der Startparameter Vorrang vor der Standardeinstellung für das Konto hat.
+ Startversuch mit `HttpTokens` Einstellung auf `required` — Der Start ist erfolgreich, weil er den Vorschriften für die Durchsetzung auf Kontoebene entspricht. 
+ Startversuch ohne Angabe eines `HttpTokens` Werts — Der Start ist erfolgreich, da der Standardwert auf der `required` Grundlage der Kontoeinstellungen voreingestellt ist. 

### Version der Instance-Metadaten festlegen
<a name="metadata-version-order-of-precedence"></a>

Wenn eine Instance gestartet wird, lautet der Wert für die *Version der Instance-Metadaten* entweder **IMDSv1 oder IMDSv2 (Token optional)** (`httpTokens=optional`) oder **IMDSv2nur (Token erforderlich) (`httpTokens=required`)**.

Beim Start der Instance können Sie den Wert für die Metadatenversion entweder manuell angeben oder den Standardwert verwenden. Wenn Sie den Wert manuell angeben, überschreibt er alle Standardwerte. Wenn Sie den Wert nicht manuell angeben möchten, wird er durch eine Kombination von Standardeinstellungen bestimmt.

Das folgende Flussdiagramm zeigt, wie die Metadatenversion für eine Instance beim Start durch die Einstellungen auf den verschiedenen Konfigurationsebenen bestimmt wird und wo die Durchsetzung bewertet wird. Die folgende Tabelle enthält die spezifischen Einstellungen auf jeder Ebene.

![\[Ein Flussdiagramm, das die Evaluierungspunkte für die Version und IMDSv2 Durchsetzung der Instanz-Metadaten zeigt.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/imds-defaults-launch-flow.png)


Die Tabelle zeigt, wie die Metadatenversion für eine Instance beim Start (angezeigt durch **Resultierende Instance-Konfiguration** in Spalte 4) durch die Einstellungen auf den verschiedenen Konfigurationsebenen bestimmt wird. Die Rangfolge erfolgt von links nach rechts, wobei die erste Spalte den höchsten Vorrang hat, und zwar wie folgt:
+ Spalte 1: **Startparameter** – Stellt die Einstellung für die Instance dar, die Sie beim Start manuell angeben.
+ Spalte 2: **Standard auf Kontoebene** – Stellt die Einstellung für das Konto dar.
+ Spalte 3: **AMI-Standard** – Stellt die Einstellung auf dem AMI dar.


| Startparameter | Standard auf Kontoebene | Standard-AMI | Resultierende Instance-Konfiguration | 
| --- | --- | --- | --- | 
| Nur V2 (Token erforderlich) | Keine Präferenz | Nur V2 | Nur V2 | 
| Nur V2 (Token erforderlich) | Nur V2 | Nur V2 | Nur V2 | 
| Nur V2 (Token erforderlich) | V1 oder V2 | Nur V2 | Nur V2 | 
| V1 oder V2 (Token optional) | Keine Präferenz | Nur V2 | V1 oder V2 | 
| V1 oder V2 (Token optional) | Nur V2 | Nur V2 | V1 oder V2 | 
| V1 oder V2 (Token optional) | V1 oder V2 | Nur V2 | V1 oder V2 | 
| Nicht gesetzt | Keine Präferenz | Nur V2 | Nur V2 | 
| Nicht gesetzt | Nur V2 | Nur V2 | Nur V2 | 
| Nicht gesetzt | V1 oder V2 | Nur V2 | V1 oder V2 | 
| Nur V2 (Token erforderlich) | Keine Präferenz | Null | Nur V2 | 
| Nur V2 (Token erforderlich) | Nur V2 | Null | Nur V2 | 
| Nur V2 (Token erforderlich) | V1 oder V2 | Null | Nur V2 | 
| V1 oder V2 (Token optional) | Keine Präferenz | Null | V1 oder V2 | 
| V1 oder V2 (Token optional) | Nur V2 | Null | V1 oder V2 | 
| V1 oder V2 (Token optional) | V1 oder V2 | Null | V1 oder V2 | 
| Nicht gesetzt | Keine Präferenz | Null | V1 oder V2 | 
| Nicht gesetzt | Nur V2 | Null | Nur V2 | 
| Nicht gesetzt | V1 oder V2 | Null | V1 oder V2 | 

## Verwenden Sie IAM-Bedingungsschlüssel, um die Optionen für Instance-Metadaten einzuschränken
<a name="iam-condition-keys-and-imds"></a>

Sie können auch IAM-Bedingungsschlüssel in einer IAM-Richtlinie oder SCP wie folgt verwenden:
+ Zulassen, dass eine Instance nur gestartet wird, wenn sie so konfiguriert ist, dass sie die Verwendung von IMDSv2 erzwingt
+ Beschränken der Anzahl der zulässigen Hops
+ Deaktivieren des Zugriffs auf Instance-Metadaten

**Topics**
+ [Konfigurieren der Instance-Metadaten-Optionen](#where-to-configure-instance-metadata-options)
+ [Rangfolge der Optionen für Instance-Metadaten](#instance-metadata-options-order-of-precedence)
+ [Verwenden Sie IAM-Bedingungsschlüssel, um die Optionen für Instance-Metadaten einzuschränken](#iam-condition-keys-and-imds)
+ [Konfigurieren von Instance-Metadatenoptionen für neue Instances](configuring-IMDS-new-instances.md)
+ [Modifizieren von Instance-Metadatenoptionen für vorhandene Instances](configuring-IMDS-existing-instances.md)

**Anmerkung**  
Sie sollten vorsichtig vorgehen und sorgfältige Tests durchführen, bevor Sie Änderungen vornehmen. Beachten Sie die folgenden Punkte:  
Wenn Sie die Verwendung von erzwingen IMDSv2, werden Anwendungen oder Agenten, die IMDSv1 beispielsweise den Zugriff auf Instanzmetadaten verwenden, unterbrochen.
Wenn Sie den gesamten Zugriff auf Instance-Metadaten deaktivieren, werden Anwendungen oder Agenten, die auf Instance-Metadaten angewiesen sind, den Zugriff auf die Funktion verlieren.
Denn IMDSv2 müssen Sie `/latest/api/token` beim Abrufen des Tokens verwenden.
(Nur Windows) Wenn Ihre PowerShell Version älter als 4.0 ist, müssen Sie [auf Windows Management Framework 4.0 aktualisieren](https://devblogs.microsoft.com/powershell/windows-management-framework-wmf-4-0-update-now-available-for-windows-server-2012-windows-server-2008-r2-sp1-and-windows-7-sp1/), um die Verwendung von IMDSv2 zu erfordern.

# Konfigurieren von Instance-Metadatenoptionen für neue Instances
<a name="configuring-IMDS-new-instances"></a>

Sie können die folgenden Instance-Metadatenoptionen für neue Instances konfigurieren.

**Topics**
+ [Erfordert die Verwendung von IMDSv2](#configure-IMDS-new-instances)
+ [Aktivieren Sie das IMDS IPv4 und die Endpoints IPv6](#configure-IMDS-new-instances-ipv4-ipv6-endpoints)
+ [Deaktivieren des Zugriffs auf Instance-Metadaten](#configure-IMDS-new-instances--turn-off-instance-metadata)
+ [Zulassen des Zugriffs auf Tags in Instance-Metadaten](#configure-IMDS-new-instances-tags-in-instance-metadata)

**Anmerkung**  
Diese Einstellung wird auf Kontoebene konfiguriert, entweder direkt im Konto oder mithilfe einer deklarativen Richtlinie. Sie müssen in jeder AWS-Region konfiguriert werden, in der Sie die Optionen für Instance-Metadaten konfigurieren möchten. Mithilfe einer deklarativen Richtlinie können Sie die Einstellung auf mehrere Regionen gleichzeitig, sowie auf mehrere Konten gleichzeitig anwenden. Wenn eine deklarative Richtlinie verwendet wird, können Sie die Einstellung nicht direkt in einem Konto ändern. In diesem Thema wird beschrieben, wie Sie die Einstellung direkt in einem Konto konfigurieren. Informationen zur Verwendung deklarativer Richtlinien finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.

## Erfordert die Verwendung von IMDSv2
<a name="configure-IMDS-new-instances"></a>

Sie können die folgenden Methoden verwenden, um die Verwendung von IMDSv2 auf Ihren neuen Instances vorzuschreiben.

**Topics**
+ [IMDSv2 Als Standard für das Konto festlegen](#set-imdsv2-account-defaults)
+ [IMDSv2 Auf Kontoebene durchsetzen](#enforce-imdsv2-at-the-account-level)
+ [Konfigurieren der Instance beim Start](#configure-IMDS-new-instances-instance-settings)
+ [Konfigurieren des AMI](#configure-IMDS-new-instances-ami-configuration)
+ [Verwenden einer IAM-Richtlinie](#configure-IMDS-new-instances-iam-policy)

### IMDSv2 Als Standard für das Konto festlegen
<a name="set-imdsv2-account-defaults"></a>

Sie können die Standardversion für den Instanz-Metadaten-Service (IMDS) jeweils AWS-Region auf Kontoebene festlegen. Das heißt, wenn Sie eine *neue* Instance starten, wird die Instance-Metadatenversion automatisch auf den Standard auf Kontoebene gesetzt. Sie können den Wert jedoch beim Start oder nach dem Start manuell überschreiben. Weitere Informationen darüber, wie sich Einstellungen auf Kontoebene und manuelle Überschreibungen auf eine Instance auswirken, finden Sie unter [Rangfolge der Optionen für Instance-Metadaten](configuring-instance-metadata-options.md#instance-metadata-options-order-of-precedence).

**Anmerkung**  
*Durch das Festlegen der Standardeinstellung auf Kontoebene werden bestehende Instances nicht zurückgesetzt.* Wenn Sie beispielsweise die Standardeinstellung auf Kontoebene auf festlegen, sind alle vorhandenen Instanzen IMDSv2, die auf festgelegt sind, nicht betroffen IMDSv1 . Wenn Sie den Wert für bestehende Instances ändern möchten, müssen Sie den Wert für die Instances selbst manuell ändern.

Sie können den Kontostandard für die Version der Instanz-Metadaten auf festlegen, IMDSv2 sodass alle *neuen* Instances im Konto mit IMDSv2 erforderlich gestartet werden und deaktiviert IMDSv1 werden. Bei diesem standardmäßigen Konto gelten beim Start einer Instance die folgenden Standardwerte für die Instance:
+ Konsole: Die **Metadatenversion** ist **nur auf V2 festgelegt (Token erforderlich)** und das **Limit für den Metadaten-Response-Hop** ist auf **2** festgelegt.
+ AWS CLI: `HttpTokens` ist auf `required` gesetzt und `HttpPutResponseHopLimit` ist auf `2` gesetzt. 

**Anmerkung**  
Bevor Sie den Kontostandard auf festlegen IMDSv2, stellen Sie sicher, dass Ihre Instances nicht von abhängig sind IMDSv1. Weitere Informationen finden Sie unter [Empfohlener Pfad zur Anforderung IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2).

------
#### [ Console ]

**Um es IMDSv2 als Standard für das Konto für die angegebene Region festzulegen**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.

1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz** und Sicherheit aus.

1. Wählen Sie neben **IMDS-Standardeinstellungen** die Option **Verwalten** aus.

1. Gehen Sie auf der Seite **IMDS-Standardwerte verwalten** wie folgt vor:

   1. Für den **Instance-Metadaten-Services** wählen Sie die Option **Aktivieren**.

   1. Wählen Sie für **Metadatenversion** die Option **Nur V2 (Token erforderlich)** aus.

   1. Geben Sie für **Metadaten-Antwort-Hop-Limit** den Wert **2** an, wenn Ihre Instances Container hosten sollen. Wählen Sie andernfalls **Keine Präferenz** aus. Wenn keine Präferenz angegeben wird, ist der Wert beim Start standardmäßig **2**, wenn das AMI die Einstellung `ImdsSupport: v2.0` hat; andernfalls ist er standardmäßig **1**.

   1. Wählen Sie **Aktualisieren** aus.

------
#### [ AWS CLI ]

**Um es IMDSv2 als Standard für das Konto für die angegebene Region festzulegen**  
Verwenden Sie den [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)Befehl und geben Sie die Region an, in der die Einstellungen auf IMDS-Kontoebene geändert werden sollen. Schließen Sie die Einstellung `--http-tokens` auf `required` ein und legen Sie `--http-put-response-hop-limit` auf `2` fest, wenn Ihre Instances Container hosten werden. Geben Sie andernfalls `-1` an, dass keine Präferenz angegeben werden soll. Wenn `-1` (keine Präferenz) angegeben wird, ist der Wert beim Start standardmäßig `2`, wenn das AMI die Einstellung `ImdsSupport: v2.0` hat; andernfalls ist er standardmäßig `1`.

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-put-response-hop-limit 2
```

Es folgt eine Beispielausgabe.

```
{
    "Return": true
}
```

**So zeigen Sie die Standard-Kontoeinstellungen für die Instance-Metadatenoptionen für die angegebene Region an**  
Verwenden Sie den [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)Befehl und geben Sie die Region an.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Es folgt eine Beispielausgabe.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpPutResponseHopLimit": 2
    },
    "ManagedBy": "account"
}
```

Das `ManagedBy`-Feld gibt die Entität an, die die Einstellung konfiguriert hat. `account` zeigt in diesem Beispiel an, dass die Einstellung direkt im Konto konfiguriert wurde. Ein Wert von `declarative-policy` würde bedeuten, dass die Einstellung durch eine deklarative Richtlinie konfiguriert wurde. Weitere Informationen finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.

**Um es IMDSv2 als Standard für das Konto für alle Regionen festzulegen**  
Verwenden Sie den [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)Befehl, um die Einstellungen auf IMDS-Kontoebene für alle Regionen zu ändern. Schließen Sie die Einstellung `--http-tokens` auf `required` ein und legen Sie `--http-put-response-hop-limit` auf `2` fest, wenn Ihre Instances Container hosten werden. Geben Sie andernfalls `-1` an, dass keine Präferenz angegeben werden soll. Wenn `-1` (keine Präferenz) angegeben wird, ist der Wert beim Start standardmäßig `2`, wenn das AMI die Einstellung `ImdsSupport: v2.0` hat; andernfalls ist er standardmäßig `1`.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens required \
            --http-put-response-hop-limit 2 \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Es folgt eine Beispielausgabe.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**So zeigen Sie die Standard-Kontoeinstellungen für die Instance-Metadatenoptionen für alle Regionen an**  
Verwenden Sie den Befehl [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level          Hops    HttpTokens" ; \
echo -e "-------------- \t ------------   ----    ----------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Es folgt eine Beispielausgabe.

```
Region           Level          Hops    HttpTokens
--------------   ------------   ----    ----------
ap-south-1       ACCOUNTLEVEL   2       required
eu-north-1       ACCOUNTLEVEL   2       required
eu-west-3        ACCOUNTLEVEL   2       required
...
```

------
#### [ PowerShell ]

**Um es IMDSv2 als Standard für das Konto für die angegebene Region festzulegen**  
Verwenden Sie das [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)Cmdlet und geben Sie die Region an, in der die Einstellungen auf IMDS-Kontoebene geändert werden sollen. Schließen Sie die Einstellung `-HttpToken` auf `required` ein und legen Sie `-HttpPutResponseHopLimit` auf `2` fest, wenn Ihre Instances Container hosten werden. Geben Sie andernfalls `-1` an, dass keine Präferenz angegeben werden soll. Wenn `-1` (keine Präferenz) angegeben wird, ist der Wert beim Start standardmäßig `2`, wenn das AMI die Einstellung `ImdsSupport: v2.0` hat; andernfalls ist er standardmäßig `1`.

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Es folgt eine Beispielausgabe.

```
True
```

**So zeigen Sie die Standard-Kontoeinstellungen für die Instance-Metadatenoptionen für die angegebene Region an**  
Verwenden Sie das [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html)Cmdlet und geben Sie die Region an.

```
Get-EC2InstanceMetadataDefault -Region us-east-1 | Format-List
```

Es folgt eine Beispielausgabe.

```
HttpEndpoint            : 
HttpPutResponseHopLimit : 2
HttpTokens              : required
InstanceMetadataTags    :
```

**Um es IMDSv2 als Standard für das Konto für alle Regionen festzulegen**  
Verwenden Sie das [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)Cmdlet, um die Einstellungen auf IMDS-Kontoebene für alle Regionen zu ändern. Schließen Sie die Einstellung `-HttpToken` auf `required` ein und legen Sie `-HttpPutResponseHopLimit` auf `2` fest, wenn Ihre Instances Container hosten werden. Geben Sie andernfalls `-1` an, dass keine Präferenz angegeben werden soll. Wenn `-1` (keine Präferenz) angegeben wird, ist der Wert beim Start standardmäßig `2`, wenn das AMI die Einstellung `ImdsSupport: v2.0` hat; andernfalls ist er standardmäßig `1`.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Erwartete Ausgabe

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**So zeigen Sie die Standard-Kontoeinstellungen für die Instance-Metadatenoptionen für alle Regionen an**  
Verwenden Sie das cmdlet [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html).

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Beispielausgabe

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### IMDSv2 Auf Kontoebene durchsetzen
<a name="enforce-imdsv2-at-the-account-level"></a>

Sie können die Verwendung von jeweils IMDSv2 auf Kontoebene durchsetzen AWS-Region. Wenn diese Option erzwungen wird, können Instances nur gestartet werden, wenn sie so konfiguriert sind, dass sie dies erfordernIMDSv2. Diese Durchsetzung gilt unabhängig davon, wie die Instance oder das AMI konfiguriert ist.

**Anmerkung**  
Bevor Sie die IMDSv2 Durchsetzung auf Kontoebene aktivieren, stellen Sie sicher, dass Ihre Anwendungen und Ihr AMIs Support IMDSv2 Weitere Informationen finden Sie unter [Empfohlener Pfad zur Anforderung IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2). Wenn die IMDSv2 Erzwingung aktiviert `httpTokens` ist und weder `required` in der Instance-Konfiguration beim Start noch in den Kontoeinstellungen oder in der AMI-Konfiguration auf festgelegt ist, schlägt der Instance-Start fehl. Informationen zur Problembehebung finden Sie unter [Das Starten einer IMDSv1 -fähigen Instance schlägt fehl](troubleshooting-launch.md#launching-an-imdsv1-enabled-instance-fails).

**Anmerkung**  
Diese Einstellung ändert nicht die IMDS-Version vorhandener Instances, blockiert jedoch die Aktivierung IMDSv1 vorhandener Instances, die derzeit IMDSv1 deaktiviert sind.

------
#### [ Console ]

**Um dies IMDSv2 für das Konto in der angegebenen Region durchzusetzen**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Dashboard (Dashboard)**.

1. Wählen Sie auf der Karte **Kontoattribute** unter **Einstellungen** die Option **Datenschutz und Sicherheit** aus.

1. Wählen Sie neben **IMDS-Standardeinstellungen** die Option **Verwalten** aus.

1. Gehen Sie auf der Seite **IMDS-Standardwerte verwalten** wie folgt vor:

   1. Wählen Sie für **Metadatenversion** die Option **Nur V2 (Token erforderlich)** aus.

   1. Wählen Sie für „**Erzwingen IMDSv2**“ die Option **Aktiviert** aus.

   1. Wählen Sie **Aktualisieren** aus.

------
#### [ AWS CLI ]

**Um dies IMDSv2 für das Konto in der angegebenen Region durchzusetzen**  
 Verwenden Sie den [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)Befehl und geben Sie die Region an, in der die Durchsetzung erfolgen soll IMDSv2. 

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-tokens-enforced enabled
```

Es folgt eine Beispielausgabe.

```
{
"Return": true
}
```

**Um die IMDSv2 Erzwingungseinstellungen für das Konto in einer bestimmten Region anzuzeigen**  
Verwenden Sie den [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)Befehl und geben Sie die Region an.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Es folgt eine Beispielausgabe.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpTokensEnforced": "enabled"
    },
    "ManagedBy": "account"
}
```

Das `ManagedBy`-Feld gibt die Entität an, die die Einstellung konfiguriert hat. `account` zeigt in diesem Beispiel an, dass die Einstellung direkt im Konto konfiguriert wurde. Ein Wert von `declarative-policy` würde bedeuten, dass die Einstellung durch eine deklarative Richtlinie konfiguriert wurde. Weitere Informationen finden Sie unter [Declarative Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations User Guide*.

**Um das Konto IMDSv2 für alle Regionen durchzusetzen**  
Verwenden Sie den [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)Befehl, um die Durchsetzung IMDSv2 in allen Regionen durchzusetzen.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Es folgt eine Beispielausgabe.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Um die IMDSv2 Durchsetzungseinstellungen für das Konto in allen Regionen einzusehen**  
Verwenden Sie den Befehl [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level           HttpTokensEnforced" ; \
echo -e "-------------- \t ------------   ----------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --query 'AccountLevel.HttpTokensEnforced' \           
            --output text)
        echo -e "$region \t ACCOUNTLEVEL $output" 
    );
done
```

Es folgt eine Beispielausgabe.

```
Region           Level          HttpTokensEnforced
--------------   ------------   ------------------
ap-south-1       ACCOUNTLEVEL   enabled
eu-north-1       ACCOUNTLEVEL   enabled
eu-west-3        ACCOUNTLEVEL   enabled
...
```

------
#### [ PowerShell ]

**Um die Durchsetzung IMDSv2 für das Konto in der angegebenen Region durchzusetzen**  
Verwenden Sie das [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)Cmdlet und geben Sie die Region an, in der die Durchsetzung erfolgen soll. IMDSv2 

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Es folgt eine Beispielausgabe.

```
@{
    Return = $true
}
```

**Um die IMDSv2 Durchsetzungseinstellungen für das Konto in einer bestimmten Region anzuzeigen**  
Verwenden Sie den Get-EC2InstanceMetadataDefault Befehl und geben Sie die Region an.

```
Get-EC2InstanceMetadataDefault -Region us-east-1
```

Es folgt eine Beispielausgabe.

```
@{
    AccountLevel = @{
        HttpTokens = "required"
        HttpTokensEnforced = "enabled"
    }
    ManagedBy = "account"
}
```

Das `ManagedBy`-Feld gibt die Entität an, die die Einstellung konfiguriert hat. `account` zeigt in diesem Beispiel an, dass die Einstellung direkt im Konto konfiguriert wurde. Ein Wert von `declarative-policy` würde bedeuten, dass die Einstellung durch eine deklarative Richtlinie konfiguriert wurde. Weitere Informationen finden Sie unter [Declarative Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations User Guide*.

**Um das Konto IMDSv2 für alle Regionen durchzusetzen**  
Verwenden Sie den [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)Befehl, um die Durchsetzung IMDSv2 in allen Regionen durchzusetzen.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Es folgt eine Beispielausgabe.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Um es IMDSv2 als Standard für das Konto für alle Regionen festzulegen**  
Verwenden Sie das [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)Cmdlet, um die Einstellungen auf IMDS-Kontoebene für alle Regionen zu ändern. Schließen Sie die Einstellung `-HttpToken` auf `required` ein und legen Sie `-HttpPutResponseHopLimit` auf `2` fest, wenn Ihre Instances Container hosten werden. Geben Sie andernfalls `-1` an, dass keine Präferenz angegeben werden soll. Wenn `-1` (keine Präferenz) angegeben wird, ist der Wert beim Start standardmäßig `2`, wenn das AMI die Einstellung `ImdsSupport: v2.0` hat; andernfalls ist er standardmäßig `1`.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Erwartete Ausgabe

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**So zeigen Sie die Standard-Kontoeinstellungen für die Instance-Metadatenoptionen für alle Regionen an**  
Verwenden Sie das cmdlet [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html).

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Beispielausgabe

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Konfigurieren der Instance beim Start
<a name="configure-IMDS-new-instances-instance-settings"></a>

Wenn Sie [eine Instance starten](ec2-launch-instance-wizard.md), können Sie die Instance so konfigurieren, dass die Verwendung von erforderlich ist, IMDSv2 indem Sie die folgenden Felder konfigurieren:
+ Amazon-EC2-Konsole: Stellen Sie **Metadata version** (Metadatenversion) auf **V2 only (token required)** (Nur V2 (Token erforderlich)) ein.
+ AWS CLI: Stellen Sie `HttpTokens` auf `required` ein.

Wenn Sie angeben, dass dies erforderlich IMDSv2 ist, müssen Sie auch den IMDS-Endpunkt (Instance Metadata Service) aktivieren, indem Sie **Metadaten zugänglich** auf **Aktiviert** (Konsole) oder `HttpEndpoint` auf `enabled` (AWS CLI) setzen.

In einer Container-Umgebung empfehlen wir, IMDSv2 das Hop-Limit auf zu `2` setzen, sofern dies erforderlich ist. Weitere Informationen finden Sie unter [Überlegungen zum Instance-Zugriff auf Instance-Metadaten](instancedata-data-retrieval.md#imds-considerations).

------
#### [ Console ]

**Um die Verwendung von IMDSv2 auf einer neuen Instance zu verlangen**
+ Wenn Sie eine neue Instance in der Amazon-EC2-Konsole starten, erweitern Sie **Erweiterte Details** wie folgt:
  + Für **Metadaten zugänglich** wählen Sie **Aktiviert**.
  + Wählen Sie für **Metadatenversion** die Option **Nur V2 (Token erforderlich)** aus.
  + (Container-Umgebung) Wählen Sie für **Metadata-Antwort-Hop-Limit** den Wert **2** aus.

  Weitere Informationen finden Sie unter [Erweiterte Details](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Um die Verwendung von IMDSv2 auf einer neuen Instanz zu verlangen**  
Im folgenden Beispiel für [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) wird eine `c6i.large`-Instance gestartet, bei der `--metadata-options` auf `HttpTokens=required` gesetzt ist. Wenn Sie einen Wert für `HttpTokens` angeben, müssen Sie auch `HttpEndpoint` auf `enabled` einstellen. Da der Secure-Token-Header auf `required` für Anfragen zum Abrufen von Metadaten eingestellt ist, muss die Instanz IMDSv2 bei der Anforderung von Instanz-Metadaten verwendet werden.

In einer Containerumgebung empfehlen wir, IMDSv2 das Hop-Limit auf `2` with `HttpPutResponseHopLimit=2` zu setzen, sofern dies erforderlich ist.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
	...
    --metadata-options "HttpEndpoint=enabled,HttpTokens=required,HttpPutResponseHopLimit=2"
```

------
#### [ PowerShell ]

**Um die Verwendung von IMDSv2 auf einer neuen Instance zu verlangen**  
Das folgende [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)Cmdlet-Beispiel startet eine `c6i.large` Instanz mit `MetadataOptions_HttpEndpoint` set to `enabled` und dem `MetadataOptions_HttpTokens` Parameter to. `required` Wenn Sie einen Wert für `HttpTokens` angeben, müssen Sie auch `HttpEndpoint` auf `enabled` einstellen. Da der Secure-Token-Header auf `required` für Anfragen zum Abrufen von Metadaten festgelegt ist, muss die Instanz ihn IMDSv2 bei der Anforderung von Instanzmetadaten verwenden.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpTokens required
```

------
#### [ CloudFormation ]

Informationen zur Angabe der Metadatenoptionen für eine Instanz, die verwendet CloudFormation wird, finden Sie in der entsprechenden [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)Eigenschaft im *AWS CloudFormation Benutzerhandbuch*.

------

### Konfigurieren des AMI
<a name="configure-IMDS-new-instances-ami-configuration"></a>

Wenn Sie ein neues AMI registrieren oder ein vorhandenes AMI ändern, können Sie den Parameter `imds-support` auf `v2.0` setzen. Bei Instances, die über dieses AMI gestartet werden, ist **Metadatenversion** auf **Nur V2 (Token erforderlich)** (Konsole) eingestellt, oder `HttpTokens` ist auf `required` eingestellt (AWS CLI). Bei diesen Einstellungen setzt die Instanz voraus, dass diese bei der Anforderung von Instanz-Metadaten verwendet IMDSv2 wird.

Hinweis: Wenn Sie `imds-support` auf `v2.0` einstellen, wird bei Instances, die über dieses AMI gestartet werden, auch **Metadata response hop limit** (Limit für Metadaten-Antwort-Hop) (Konsole) oder `http-put-response-hop-limit` (AWS CLI) auf **2** eingestellt.

**Wichtig**  
Verwenden Sie diesen Parameter nur, wenn Ihre AMI-Software ihn unterstütztIMDSv2. Nachdem Sie den Wert auf `v2.0` gesetzt haben, können Sie das nicht mehr rückgängig machen. Die einzige Möglichkeit, Ihr AMI „zurückzusetzen“, besteht darin, ein neues AMI aus dem zugrunde liegenden Snapshot zu erstellen.

**Um ein neues AMI zu konfigurieren für IMDSv2**  
Verwenden Sie eine der folgenden Methoden, um ein neues AMI für zu konfigurierenIMDSv2.

------
#### [ AWS CLI ]

Das folgende [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html)-Beispiel registriert ein AMI mit dem angegebenen Snapshot eines EBS-Stamm-Volumes als `/dev/xvda` des Geräts. Geben Sie `v2.0` den `imds-support` Parameter so an, dass Instances, die über dieses AMI gestartet werden, diesen benötigen, IMDSv2 wenn Instance-Metadaten angefordert werden.

```
aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

Das folgende [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)Cmdlet-Beispiel registriert ein AMI, das den angegebenen Snapshot eines EBS-Root-Volumes als Gerät verwendet. `/dev/xvda` Geben Sie `v2.0` den `ImdsSupport` Parameter so an, dass Instances, die über dieses AMI gestartet werden, diesen benötigen, IMDSv2 wenn Instance-Metadaten angefordert werden.

```
Register-EC2Image `
    -Name 'my-image' `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping  ( 
    New-Object `
        -TypeName Amazon.EC2.Model.BlockDeviceMapping `
        -Property @{ 
        DeviceName = '/dev/xvda'; 
        EBS        = (New-Object -TypeName Amazon.EC2.Model.EbsBlockDevice -Property @{ 
                SnapshotId = 'snap-0123456789example'
                VolumeType = 'gp3' 
                } )      
        }  ) `
    -Architecture X86_64 `
    -ImdsSupport v2.0
```

------

**So konfigurieren Sie ein vorhandenes AMI für IMDSv2**  
Verwenden Sie eine der folgenden Methoden, um ein vorhandenes AMI für zu konfigurierenIMDSv2.

------
#### [ AWS CLI ]

Im folgenden [modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)Beispiel wird ein vorhandenes AMI IMDSv2 nur für geändert. Geben Sie `v2.0` den `imds-support` Parameter so an, dass Instances, die über dieses AMI gestartet werden, diesen benötigen, IMDSv2 wenn Instance-Metadaten angefordert werden.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

Das folgende [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)Cmdlet-Beispiel ändert ein vorhandenes AMI nur für. IMDSv2 Geben Sie `v2.0` den `imds-support` Parameter so an, dass Instances, die über dieses AMI gestartet werden, diesen benötigen, IMDSv2 wenn Instance-Metadaten angefordert werden.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ImdsSupport 'v2.0'
```

------

### Verwenden einer IAM-Richtlinie
<a name="configure-IMDS-new-instances-iam-policy"></a>

Sie können eine IAM-Richtlinie erstellen, die eine der folgenden Aktionen ausführt:
+ Hindert Benutzer daran, neue Instances zu starten, es sei denn, sie benötigen IMDSv2 die neue Instance.
+ Hindert Benutzer daran, die ModifyInstanceMetadataOptions API aufzurufen, um die Metadatenoptionen einer laufenden Instanz zu ändern. Beschränken Sie den Zugriff auf die Eigenschaft ModifyInstanceMetadataOptions HttpTokens, um unbeabsichtigte Aktualisierungen laufender Instanzen zu verhindern.
+ Verhindern Sie, dass Benutzer die ModifyInstanceMetadataDefaults API aufrufen, um die Kontostandardeinstellungen von HttpTokens und zu ändern. httpTokensEnforced Durch die Beschränkung des Zugriffs auf diese beiden Eigenschaften wird sichergestellt, dass nur autorisierte Rollen die Kontostandardwerte ändern können.

**Um die Verwendung von IMDSv2 auf allen neuen Instances mithilfe einer IAM-Richtlinie zu erzwingen**  
Gehen Sie wie folgt vor, um sicherzustellen, dass Benutzer nur Instances starten können, für die IMDSv2 bei der Anforderung von Instance-Metadaten die Verwendung von erforderlich ist:
+ Beschränken Sie den Zugriff `ModifyInstanceMetadataOptions` sowohl auf die `ModifyInstanceMetadataDefaults` API als auch auf die `httpTokensEnforced` Eigenschaften `httpTokens` und.
+ Stellen Sie dann den Kontostandard auf `httpTokens = required` und ein`httpTokensEnforced = enabled`.

  Die IAM-Beispielrichtlinie finden Sie unter [Arbeiten mit Instance-Metadaten](ExamplePolicies_EC2.md#iam-example-instance-metadata).

## Aktivieren Sie das IMDS IPv4 und die Endpoints IPv6
<a name="configure-IMDS-new-instances-ipv4-ipv6-endpoints"></a>

Das IMDS hat zwei Endpunkte auf einer Instanz: IPv4 (`169.254.169.254`) und (). IPv6 `[fd00:ec2::254]` Wenn Sie das IMDS aktivieren, wird der IPv4 Endpunkt automatisch aktiviert. Der IPv6 Endpunkt bleibt auch dann deaktiviert, wenn Sie eine Instance in einem Subnetz starten, das IPv6 nur für das Subnetz zuständig ist. Um den IPv6 Endpunkt zu aktivieren, müssen Sie dies explizit tun. Wenn Sie den IPv6 Endpunkt aktivieren, bleibt der IPv4 Endpunkt aktiviert.

Sie können den IPv6 Endpunkt beim Start der Instance oder danach aktivieren.

**Anforderungen für die Aktivierung des IPv6 Endpunkts**
+ Der ausgewählte Instance-Typ ist eine [Nitro-basierte Instance](instance-types.md#instance-hypervisor-type).
+ Das ausgewählte Subnetz unterstützt IPv6, wobei es sich bei dem Subnetz entweder um ein [Dual-Stack-Netzwerk oder IPv6 ](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range) um ein reines Subnetz handelt.

Verwenden Sie eine der folgenden Methoden, um eine Instance mit aktiviertem IPv6 IMDS-Endpunkt zu starten.

------
#### [ Console ]

**Um den IPv6 IMDS-Endpunkt beim Start der Instanz zu aktivieren**
+ [Starten Sie die Instance](ec2-launch-instance-wizard.md) in der Amazon-EC2-Konsole mit den folgenden Angaben unter **Advanced details** (Erweiterte Details):
  + Wählen Sie für den ** IPv6 Metadaten-Endpunkt** die Option **Aktiviert** aus.

Weitere Informationen finden Sie unter [Erweiterte Details](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Um den IPv6 IMDS-Endpunkt beim Start der Instanz zu aktivieren**  
Im folgenden [Run-Instance-Beispiel wird eine `c6i.large` Instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) gestartet, bei der der IPv6 Endpunkt für das IMDS aktiviert ist. Um den IPv6 Endpunkt zu aktivieren, geben Sie für den `--metadata-options` Parameter Folgendes an. `HttpProtocolIpv6=enabled` Wenn Sie einen Wert für `HttpProtocolIpv6` angeben, müssen Sie auch `HttpEndpoint` auf `enabled` einstellen.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ...
    --metadata-options "HttpEndpoint=enabled,HttpProtocolIpv6=enabled"
```

------
#### [ PowerShell ]

**Um den IPv6 IMDS-Endpunkt beim Start der Instanz zu aktivieren**  
Das folgende [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)Cmdlet-Beispiel startet eine `c6i.large` Instanz, bei der der IPv6 Endpunkt für das IMDS aktiviert ist. Um den IPv6 Endpunkt zu aktivieren, geben Sie as an. `MetadataOptions_HttpProtocolIpv6` `enabled` Wenn Sie einen Wert für `MetadataOptions_HttpProtocolIpv6` angeben, müssen Sie auch `MetadataOptions_HttpEndpoint` auf `enabled` einstellen.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpProtocolIpv6 enabled
```

------

## Deaktivieren des Zugriffs auf Instance-Metadaten
<a name="configure-IMDS-new-instances--turn-off-instance-metadata"></a>

Sie können den Zugriff auf die Instance-Metadaten deaktivieren, indem Sie den IMDS deaktivieren, wenn Sie eine Instance starten. Sie können den Zugriff später wieder aktivieren, indem Sie den IMDS erneut aktivieren. Weitere Informationen finden Sie unter [Aktivieren des Zugriffs auf Instance-Metadaten](configuring-IMDS-existing-instances.md#enable-instance-metadata-on-existing-instances).

**Wichtig**  
Sie können wählen, ob Sie den IMDS beim Start oder nach dem Start deaktivieren möchten. Wenn Sie den IMDS *beim Start* deaktivieren, funktioniert Folgendes möglicherweise nicht:  
Möglicherweise haben Sie keinen SSH-Zugriff auf Ihre Instance. Auf den `public-keys/0/openssh-key`, den öffentlichen SSH-Schlüssel Ihrer Instance, kann nicht zugegriffen werden, da der Schlüssel normalerweise über die EC2-Instance-Metadaten bereitgestellt und abgerufen wird.
EC2-Benutzerdaten sind nicht verfügbar und werden beim Start der Instance nicht ausgeführt. EC2-Benutzerdaten werden auf dem IMDS gehostet. Wenn Sie den IMDS deaktivieren, deaktivieren Sie effektiv den Zugriff auf Benutzerdaten.
Sie können den IMDS nach dem Start wieder aktivieren, um auf diese Funktion zuzugreifen.

------
#### [ Console ]

**So deaktivieren Sie den Zugriff auf Instance-Metadaten beim Start**
+ [Starten Sie die Instance](ec2-launch-instance-wizard.md) in der Amazon-EC2-Konsole mit den folgenden Angaben unter **Advanced details** (Erweiterte Details):
  + Für **Metadaten zugänglich** wählen Sie **Deaktiviert**.

Weitere Informationen finden Sie unter [Erweiterte Details](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**So deaktivieren Sie den Zugriff auf Instance-Metadaten beim Start**  
Starten Sie die Instance, wobei `--metadata-options` auf `HttpEndpoint=disabled` eingestellt ist.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ... 
    --metadata-options "HttpEndpoint=disabled"
```

------
#### [ PowerShell ]

**So deaktivieren Sie den Zugriff auf Instance-Metadaten beim Start**  
Das folgende [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)Cmdlet-Beispiel startet eine Instanz mit der `MetadataOptions_HttpEndpoint` Einstellung auf. `disabled`

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint disabled
```

------
#### [ CloudFormation ]

Informationen zum Angeben der Metadatenoptionen für eine Instanz, die Sie verwenden CloudFormation, finden Sie in der [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)entsprechenden Eigenschaft im *CloudFormation Benutzerhandbuch*. 

------

## Zulassen des Zugriffs auf Tags in Instance-Metadaten
<a name="configure-IMDS-new-instances-tags-in-instance-metadata"></a>

Standardmäßig gibt es keinen Zugriff auf Instance-Tags in den Instance-Metadaten. Sie müssen den Zugriff für jede Instance explizit zulassen. Wenn der Zugriff erlaubt ist, müssen die Instance-Tag-*Schlüssel* bestimmten Zeichenbeschränkungen entsprechen, andernfalls schlägt der Instance-Start fehl. Weitere Informationen finden Sie unter [Zugriff auf Tags in Instance-Metadaten ermöglichen](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

# Modifizieren von Instance-Metadatenoptionen für vorhandene Instances
<a name="configuring-IMDS-existing-instances"></a>

Sie können die Instance-Metadatenoptionen für vorhandene Instances ändern.

Sie können auch eine IAM-Richtlinie erstellen, die verhindert, dass Benutzer die Instance-Metadatenoptionen für vorhandene Instances ändern. Um zu kontrollieren, welche Benutzer die Optionen für Instanz-Metadaten ändern können, geben Sie eine Richtlinie an, die verhindert, dass alle Benutzer außer Benutzern mit einer bestimmten Rolle die [ModifyInstanceMetadataOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataOptions.html)API verwenden. Die IAM-Beispielrichtlinie finden Sie unter [Arbeiten mit Instance-Metadaten](ExamplePolicies_EC2.md#iam-example-instance-metadata).

**Anmerkung**  
Wenn zur Konfiguration der Instance-Metadatenoptionen eine deklarative Richtlinie verwendet wurde, können Sie diese nicht direkt im Konto ändern. Weitere Informationen finden Sie unter [Deklarative Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) im *AWS Organizations -Benutzerhandbuch*.

## Erfordern die Verwendung von IMDSv2
<a name="modify-require-IMDSv2"></a>

Verwenden Sie eine der folgenden Methoden, um die Optionen für Instanzmetadaten auf einer vorhandenen Instanz so zu ändern, dass diese Option bei der Anforderung von Instanz-Metadaten erforderlich IMDSv2 ist. Wann IMDSv2 ist erforderlich, IMDSv1 kann nicht verwendet werden.

**Anmerkung**  
Bevor Sie verlangen, dass dies verwendet IMDSv2 wird, stellen Sie sicher, dass die Instanz keine IMDSv1 Aufrufe tätigt. Die `MetadataNoToken` CloudWatch Metrik verfolgt IMDSv1 Anrufe. Wenn für eine Instance keine IMDSv1 Nutzung `MetadataNoToken` aufgezeichnet wird, ist die Instance bereit, sie zu nutzen IMDSv2.

------
#### [ Console ]

**Um die Verwendung von IMDSv2 auf einer vorhandenen Instanz vorzuschreiben**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie Ihre Instance aus.

1. Wählen Sie **Aktionen**, **Instance-Einstellungen** und **Instance-Metadata-Optionen ändern**.

1. Führen Sie im Dialogfeld **Instance-Metadatenoptionen ändern** Folgendes aus:

   1. Für den **Instance-Metadatenservice** wählen Sie die Option **Aktivieren**.

   1. Wählen Sie für **IMDSv2**die Option **Erforderlich** aus.

   1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**Um die Verwendung von IMDSv2 auf einer vorhandenen Instanz zu verlangen**  
Verwenden Sie den [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI-Befehl und setzen Sie den `http-tokens` Parameter auf`required`. Wenn Sie einen Wert für `http-tokens` angeben, müssen Sie auch `http-endpoint` auf `enabled` einstellen.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Um die Verwendung von IMDSv2 auf einer vorhandenen Instanz zu verlangen**  
Verwenden Sie das [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)Cmdlet und setzen Sie den `HttpTokens` Parameter auf. `required` Wenn Sie einen Wert für `HttpTokens` angeben, müssen Sie auch `HttpEndpoint` auf `enabled` einstellen.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens required `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Stellen Sie die Verwendung von wieder her IMDSv1
<a name="modify-restore-IMDSv1"></a>

Wenn dies für eine Instanz erforderlich IMDSv2 ist, schlägt die Verwendung einer IMDSv1 Anfrage fehl. Wann IMDSv2 ist optional, dann IMDSv1 funktionieren IMDSv2 sowohl als auch. Setzen Sie daher zum Wiederherstellen IMDSv1 IMDSv2 den Wert auf optional (`httpTokens = optional`). Verwenden Sie dazu eine der folgenden Methoden.

Die `httpTokensEnforced` IMDS-Eigenschaft verhindert auch Versuche, die Aktivierung IMDSv1 auf einer vorhandenen Instanz durchzuführen. Wenn die Option für ein Konto in einer Region aktiviert ist, führt der Versuch, den Wert `httpTokens` auf zu `optional` setzen, zu einer `UnsupportedOperation` Ausnahme. Weitere Informationen finden Sie unter[Fehlerbehebung](#troubleshoot-modifying-an-imdsv1-enabled-instance-fails).

**Wichtig**  
Wenn Ihre Instance-Starts aufgrund von IMDSv2 Zwangsmaßnahmen fehlschlagen, haben Sie zwei Möglichkeiten, um sicherzustellen, dass Starts erfolgreich sind:  
**Instances nur als IMDSv2 -only starten** — Wenn die Software, die auf den Instances ausgeführt wird, IMDSv2 Only verwendet (keine Abhängigkeit von IMDSv1), können Sie die Instances als IMDSv2 Only starten. Konfigurieren Sie dies IMDSv2 nur, indem Sie `httpTokens = required` entweder in den Startparametern oder in den Metadaten die Standardeinstellungen für das Konto in der Region festlegen. 
**Erzwingung deaktivieren** — Wenn Ihre Software weiterhin davon abhängt IMDSv1, legen Sie `disabled` für `httpTokensEnforced` das Konto in der Region die Einstellung auf fest. Weitere Informationen finden Sie unter [IMDSv2 Auf Kontoebene durchsetzen](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

------
#### [ Console ]

**Um die Nutzung von IMDSv1 auf einer Instanz wiederherzustellen**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie Ihre Instance aus.

1. Wählen Sie **Aktionen**, **Instance-Einstellungen** und **Instance-Metadata-Optionen ändern**.

1. Führen Sie im Dialogfeld **Instance-Metadatenoptionen ändern** Folgendes aus:

   1. Vergewissern Sie sich, dass für den **Instance-Metadatenservice** die Option **Aktivieren** ausgewählt ist.

   1. Wählen **IMDSv2**Sie für **Optional**.

   1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**Um die Verwendung von IMDSv1 auf einer Instanz wiederherzustellen**  
Sie können den [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI-Befehl mit `http-tokens` set to verwenden, `optional` um die Verwendung von IMDSv1 bei der Anforderung von Instance-Metadaten wiederherzustellen.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens optional \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Um die Verwendung von IMDSv1 auf einer Instanz wiederherzustellen**  
Sie können das [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)Cmdlet mit der `HttpTokens` Einstellung auf verwenden, `optional` um die Verwendung von IMDSv1 bei der Anforderung von Instanzmetadaten wiederherzustellen.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens optional `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Ändern des PUT-Antwort-Hop-Limits
<a name="modify-PUT-response-hop-limit"></a>

Für bestehende Instances können Sie die Einstellungen für das `PUT`-Antwort-Hop-Limit ändern.

Derzeit AWS SDKs unterstützen nur die AWS CLI und die Änderung des PUT-Antwort-Hop-Limits.

------
#### [ AWS CLI ]

**So ändern Sie das PUT-Antwort-Hop-Limit**  
Verwenden Sie den [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI-Befehl und setzen Sie den `http-put-response-hop-limit` Parameter auf die erforderliche Anzahl von Hops. Im folgenden Beispiel wird das Hop-Limit auf `3` gesetzt. Beachten Sie, dass Sie beim Angeben eines Werts für `http-put-response-hop-limit` auch `http-endpoint` auf `enabled` setzen müssen.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-put-response-hop-limit 3 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**So ändern Sie das PUT-Antwort-Hop-Limit**  
Verwenden Sie das [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)Cmdlet und setzen Sie den `HttpPutResponseHopLimit` Parameter auf die erforderliche Anzahl von Hops. Im folgenden Beispiel wird das Hop-Limit auf `3` gesetzt. Beachten Sie, dass Sie beim Angeben eines Werts für `HttpPutResponseHopLimit` auch `HttpEndpoint` auf `enabled` setzen müssen.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpPutResponseHopLimit 3 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Aktivieren Sie das IMDS und die Endpoints IPv4 IPv6
<a name="enable-ipv6-endpoint-for-existing-instances"></a>

Das IMDS hat zwei Endpunkte auf einer Instanz: IPv4 (`169.254.169.254`) und (). IPv6 `[fd00:ec2::254]` Wenn Sie das IMDS aktivieren, wird der IPv4 Endpunkt automatisch aktiviert. Der IPv6 Endpunkt bleibt auch dann deaktiviert, wenn Sie eine Instance in einem Subnetz starten, das IPv6 nur für das Subnetz zuständig ist. Um den IPv6 Endpunkt zu aktivieren, müssen Sie dies explizit tun. Wenn Sie den IPv6 Endpunkt aktivieren, bleibt der IPv4 Endpunkt aktiviert.

Sie können den IPv6 Endpunkt beim Start der Instance oder danach aktivieren.

**Anforderungen für die Aktivierung des IPv6 Endpunkts**
+ Der ausgewählte Instance-Typ ist eine [Nitro-basierte Instance](instance-types.md#instance-hypervisor-type).
+ Das ausgewählte Subnetz unterstützt IPv6, wobei es sich bei dem Subnetz entweder um ein [Dual-Stack-Netzwerk oder IPv6 ](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range) um ein reines Subnetz handelt.

Derzeit AWS SDKs unterstützen nur die AWS CLI und die Aktivierung des IPv6 IMDS-Endpunkts nach dem Start der Instance.

------
#### [ AWS CLI ]

**Um den IPv6 IMDS-Endpunkt für Ihre Instance zu aktivieren**  
Verwenden Sie den [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI-Befehl und setzen Sie den `http-protocol-ipv6` Parameter auf`enabled`. Beachten Sie, dass Sie beim Angeben eines Werts für `http-protocol-ipv6` auch `http-endpoint` auf `enabled` setzen müssen.

```
aws ec2 modify-instance-metadata-options \
	--instance-id i-1234567890abcdef0 \
	--http-protocol-ipv6 enabled \
	--http-endpoint enabled
```

------
#### [ PowerShell ]

**Um den IPv6 IMDS-Endpunkt für Ihre Instance zu aktivieren**  
Verwenden Sie das [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)Cmdlet und setzen Sie den `HttpProtocolIpv6` Parameter auf. `enabled` Beachten Sie, dass Sie beim Angeben eines Werts für `HttpProtocolIpv6` auch `HttpEndpoint` auf `enabled` setzen müssen.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpProtocolIpv6 enabled `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Aktivieren des Zugriffs auf Instance-Metadaten
<a name="enable-instance-metadata-on-existing-instances"></a>

Sie können den Zugriff auf Instance-Metadaten aktivieren, indem Sie den HTTP-Endpunkt des IMDS auf Ihrer Instance aktivieren, unabhängig davon, welche Version des IMDS Sie verwenden. Sie können diese Änderung jederzeit rückgängig machen, indem Sie den HTTP-Endpunkt deaktivieren.

Verwenden Sie eine der folgenden Methoden, um den Zugriff auf Instance-Metadaten für eine Instance zu aktivieren.

------
#### [ Console ]

**So aktivieren Sie den Zugriff auf Instance-Metadaten**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie Ihre Instance aus.

1. Wählen Sie **Aktionen**, **Instance-Einstellungen** und **Instance-Metadata-Optionen ändern**.

1. Führen Sie im Dialogfeld **Instance-Metadatenoptionen ändern** Folgendes aus:

   1. Für den **Instance-Metadatenservice** wählen Sie die Option **Aktivieren**.

   1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**So aktivieren Sie den Zugriff auf Instance-Metadaten**  
Verwenden Sie den [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI-Befehl und setzen Sie den `http-endpoint` Parameter auf`enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**So aktivieren Sie den Zugriff auf Instance-Metadaten**  
Verwenden Sie das [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)Cmdlet und setzen Sie den `HttpEndpoint` Parameter auf. `enabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Deaktivieren des Zugriffs auf Instance-Metadaten
<a name="disable-instance-metadata-on-existing-instances"></a>

Sie können den Zugriff auf Instance-Metadaten deaktivieren, indem Sie den HTTP-Endpunkt des IMDS auf Ihrer Instance deaktivieren, unabhängig davon, welche Version des IMDS Sie verwenden. Sie können diese Änderung jederzeit rückgängig machen, indem Sie den HTTP-Endpunkt aktivieren.

Verwenden Sie eine der folgenden Methoden, um den Zugriff auf Instance-Metadaten für eine Instance zu deaktivieren.

------
#### [ Console ]

**So deaktivieren Sie den Zugriff auf Instance-Metadaten**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie Ihre Instance aus.

1. Wählen Sie **Aktionen**, **Instance-Einstellungen** und **Instance-Metadata-Optionen ändern**.

1. Führen Sie im Dialogfeld **Instance-Metadatenoptionen ändern** Folgendes aus:

   1. Für den **Instance-Metadatenservice** entfernen Sie die Option **Aktivieren**.

   1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**So deaktivieren Sie den Zugriff auf Instance-Metadaten**  
Verwenden Sie den [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI-Befehl und setzen Sie den `http-endpoint` Parameter auf`disabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint disabled
```

------
#### [ PowerShell ]

**So deaktivieren Sie den Zugriff auf Instance-Metadaten**  
Verwenden Sie das [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)Cmdlet und setzen Sie den `HttpEndpoint` Parameter auf. `disabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint disabled).InstanceMetadataOptions
```

------

## Zulassen des Zugriffs auf Tags in Instance-Metadaten
<a name="modify-access-to-tags-in-instance-metadata-on-existing-instances"></a>

Sie können den Zugriff auf Tags in den Instance-Metadaten einer laufenden oder angehaltenen Instance erlauben. Sie müssen den Zugriff für jede Instance explizit zulassen. Wenn der Zugriff erlaubt ist, müssen die Instance-Tag-*Schlüssel* bestimmten Zeichenbeschränkungen entsprechen, andernfalls schlägt der Instance-Start fehl. Weitere Informationen finden Sie unter [Zugriff auf Tags in Instance-Metadaten ermöglichen](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

## Fehlerbehebung
<a name="troubleshoot-modifying-an-imdsv1-enabled-instance-fails"></a>

### Das Ändern einer Instanz mit IMDSv1 -enabled schlägt fehl
<a name="modifying-an-imdsv1-enabled-instance-fails"></a>

#### Description
<a name="modifying-an-imdsv1-enabled-instance-fails-description"></a>

Sie erhalten die folgende Fehlermeldung:

`You can't launch instances with IMDSv1 because httpTokensEnforced is enabled for this account. Either launch the instance with httpTokens=required or contact your account owner to disable httpTokensEnforced using the ModifyInstanceMetadataDefaults API or the account settings in the EC2 console.`

#### Ursache
<a name="modifying-an-imdsv1-enabled-instance-fails-cause"></a>

Dieser Fehler wird ausgelöst, wenn Sie versuchen, eine bestehende Instance so zu ändern, dass sie IMDSv1 aktiviert wird (`httpTokens = optional`) in einem Konto, für das die EC2-Kontoeinstellungen oder eine deklarative AWS Organisationsrichtlinie die Verwendung von IMDSv2 () erzwingen. `httpTokensEnforced = enabled` 

#### Lösung
<a name="modifying-an-imdsv1-enabled-instance-fails-solution"></a>

Wenn Sie IMDSv1 Unterstützung für bestehende Instances benötigen, müssen Sie die IMDSv2 Durchsetzung für das Konto in der Region deaktivieren. Um die IMDSv2 Durchsetzung zu deaktivieren, stellen Sie `HttpTokensEnforced` auf ein`disabled`. Weitere Informationen finden Sie [ModifyInstanceMetadataDefaults](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataDefaults.html)in der Amazon EC2 API-Referenz. Wenn Sie diese Einstellung lieber über die Konsole konfigurieren möchten, finden Sie weitere Informationen unter[IMDSv2 Auf Kontoebene durchsetzen](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

Wir empfehlen, IMDSv2 nur (`httpTokens=required`) zu verwenden. Weitere Informationen finden Sie unter [Übergang zur Verwendung von Instance-Metadatenservice Version 2](instance-metadata-transition-to-version-2.md).