Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSSupport-ConfigureEC2Metadata
Beschreibung
Dieses Runbook hilft Ihnen bei der Konfiguration von IMDS-Optionen (Instance Metadata Service) für Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Mit diesem Runbook können Sie Folgendes konfigurieren:
-
Erzwingen Sie die Verwendung von IMDSv2 für Instanzmetadaten.
-
Konfigurieren Sie den Wert
HttpPutResponseHopLimit
. -
Erlauben oder verweigern Sie den Zugriff auf Instanz-Metadaten.
Weitere Informationen zu Instance-Metadaten finden Sie unter Configuring the Instance Metadata Service im Amazon EC2 EC2-Benutzerhandbuch.
Führen Sie diese Automatisierung aus (Konsole)
Art des Dokuments
Automatisierung
Eigentümer
Amazon
Plattformen
LinuxmacOS, Windows
Parameter
-
AutomationAssumeRole
Typ: Zeichenfolge
Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
Erzwingen Sie IMDSv2
Typ: Zeichenfolge
Gültige Werte: erforderlich | optional
Standard: optional
Beschreibung: (Optional) IMDSv2 erzwingen. Wenn Sie möchten
required
, verwendet die Amazon EC2 EC2-Instance nur IMDSv2. Wenn Sie möchtenoptional
, können Sie für den Zugriff auf Metadaten zwischen IMDSv1 und IMDSv2 wählen.Wichtig
Wenn Sie IMDSv2 erzwingen, funktionieren Anwendungen, die IMDSv1 verwenden, möglicherweise nicht richtig. Bevor Sie IMDSv2 durchsetzen, stellen Sie sicher, dass Ihre Anwendungen, die IMDS verwenden, auf eine Version aktualisiert wurden, die IMDSv2 unterstützt. Informationen zu Instance Metadata Service Version 2 (IMDSv2) finden Sie unter Configuring the Instance Metadata Service im Amazon EC2 EC2-Benutzerhandbuch.
-
HttpPutResponseHopLimit
Typ: Ganzzahl
Gültige Werte: 0-64
Standard: 0
Beschreibung: (Optional) Der gewünschte Grenzwert (1—64) für HTTP-PUT-Antwort-Hop-Anfragen für Instance-Metadaten. Dieser Wert steuert die Anzahl der Hops, die die PUT-Antwort durchlaufen kann. Um zu verhindern, dass die Antwort die Instanz verlässt, geben Sie
1
für den Parameter einen Wert an. -
InstanceId
Typ: Zeichenfolge
Beschreibung: (Erforderlich) Die ID der Amazon EC2 EC2-Instance, deren Metadateneinstellungen Sie konfigurieren möchten.
-
MetadataAccess
Typ: Zeichenfolge
Gültige Werte: aktiviert | deaktiviert
Standard: aktiviert
Beschreibung: (Optional) Erlauben oder verweigern Sie den Zugriff auf Instance-Metadaten in der Amazon EC2 EC2-Instance. Wenn Sie dies angeben
disabled
, werden alle anderen Parameter ignoriert und der Metadatenzugriff für die Instance verweigert.
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole
Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
-
ec2:DescribeInstances
-
ec2:ModifyInstanceMetadataOptions
-
ssm:GetAutomationExecution
-
ssm:StartAutomationExecution
Dokumentschritte
-
branch OnMetadataAccess — Verzweigt die Automatisierung auf der Grundlage des
MetadataAccess
Parameterwerts. -
disableMetadataAccess — Ruft die ModifyInstanceMetadataOptions API-Aktion auf, um den Zugriff auf Metadaten-Endpunkte zu deaktivieren.
-
branch OnHttpPutResponseHopLimit — Verzweigt die Automatisierung auf der Grundlage des
HttpPutResponseHopLimit
Parameterwerts. -
maintain HopLimitAndConfigureImdsVersion — Wenn 0
HttpPutResponseHopLimit
ist, wird das aktuelle Hop-Limit beibehalten und andere Metadatenoptionen geändert. -
wait BeforeAsserting IMDSv2State — Wartet 30 Sekunden, bevor der IMDSv2-Status bestätigt wird.
-
set HopLimitAndConfigureImdsVersion - Wenn größer als 0
HttpPutResponseHopLimit
ist, werden die Metadatenoptionen unter Verwendung der angegebenen Eingabeparameter konfiguriert. -
wait BeforeAssertingHopLimit — Wartet 30 Sekunden, bevor die Metadatenoptionen aktiviert werden.
-
assertHopLimit — Bestätigt, dass die
HttpPutResponseHopLimit
Eigenschaft auf den von Ihnen angegebenen Wert gesetzt ist. -
branch VerificationOn IMDSv2Option — Überprüfung von Zweigen auf der Grundlage des Parameterwerts.
EnforceIMDSv2
-
assertImDSv2 — Bestätigt den WertIsOptional , der auf gesetzt ist.
HttpTokens
optional
-
assertImDSv2 — Bestätigt den WertIsEnforced , der auf gesetzt ist.
HttpTokens
required
-
wait BeforeAssertingMetadataState — Wartet 30 Sekunden, bevor bestätigt wird, dass der Metadatenstatus deaktiviert ist.
-
assert MetadataIsDisabled — Bestätigt, dass Metadaten.
disabled
-
describeMetadataOptions — Ruft die Metadatenoptionen ab, nachdem die von Ihnen angegebenen Änderungen übernommen wurden.
Ausgaben
beschreibe MetadataOptions .State
beschreibenMetadataOptions. MetadataAccess
beschreibe MetadataOptions .IMDSv2
MetadataOptionsbeschreiben. HttpPutResponseHopBegrenzen