AWSSupport-ConfigureEC2Metadata - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-ConfigureEC2Metadata

Beschreibung

Dieses Runbook hilft Ihnen bei der Konfiguration von IMDS-Optionen (Instance Metadata Service) für Amazon Elastic Compute Cloud (Amazon EC2) -Instances. Mit diesem Runbook können Sie Folgendes konfigurieren:

  • Erzwingen Sie die Verwendung von IMDSv2 für Instanzmetadaten.

  • Konfigurieren Sie den WertHttpPutResponseHopLimit.

  • Erlauben oder verweigern Sie den Zugriff auf Instanz-Metadaten.

Weitere Informationen zu Instance-Metadaten finden Sie unter Configuring the Instance Metadata Service im Amazon EC2 EC2-Benutzerhandbuch.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • Erzwingen Sie IMDSv2

    Typ: Zeichenfolge

    Gültige Werte: erforderlich | optional

    Standard: optional

    Beschreibung: (Optional) IMDSv2 erzwingen. Wenn Sie möchtenrequired, verwendet die Amazon EC2 EC2-Instance nur IMDSv2. Wenn Sie möchtenoptional, können Sie für den Zugriff auf Metadaten zwischen IMDSv1 und IMDSv2 wählen.

    Wichtig

    Wenn Sie IMDSv2 erzwingen, funktionieren Anwendungen, die IMDSv1 verwenden, möglicherweise nicht richtig. Bevor Sie IMDSv2 durchsetzen, stellen Sie sicher, dass Ihre Anwendungen, die IMDS verwenden, auf eine Version aktualisiert wurden, die IMDSv2 unterstützt. Informationen zu Instance Metadata Service Version 2 (IMDSv2) finden Sie unter Configuring the Instance Metadata Service im Amazon EC2 EC2-Benutzerhandbuch.

  • HttpPutResponseHopLimit

    Typ: Ganzzahl

    Gültige Werte: 0-64

    Standard: 0

    Beschreibung: (Optional) Der gewünschte Grenzwert (1—64) für HTTP-PUT-Antwort-Hop-Anfragen für Instance-Metadaten. Dieser Wert steuert die Anzahl der Hops, die die PUT-Antwort durchlaufen kann. Um zu verhindern, dass die Antwort die Instanz verlässt, geben Sie 1 für den Parameter einen Wert an.

  • InstanceId

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der Amazon EC2 EC2-Instance, deren Metadateneinstellungen Sie konfigurieren möchten.

  • MetadataAccess

    Typ: Zeichenfolge

    Gültige Werte: aktiviert | deaktiviert

    Standard: aktiviert

    Beschreibung: (Optional) Erlauben oder verweigern Sie den Zugriff auf Instance-Metadaten in der Amazon EC2 EC2-Instance. Wenn Sie dies angebendisabled, werden alle anderen Parameter ignoriert und der Metadatenzugriff für die Instance verweigert.

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Dokumentschritte

  1. branch OnMetadataAccess — Verzweigt die Automatisierung auf der Grundlage des MetadataAccess Parameterwerts.

  2. disableMetadataAccess — Ruft die ModifyInstanceMetadataOptions API-Aktion auf, um den Zugriff auf Metadaten-Endpunkte zu deaktivieren.

  3. branch OnHttpPutResponseHopLimit — Verzweigt die Automatisierung auf der Grundlage des HttpPutResponseHopLimit Parameterwerts.

  4. maintain HopLimitAndConfigureImdsVersion — Wenn 0 HttpPutResponseHopLimit ist, wird das aktuelle Hop-Limit beibehalten und andere Metadatenoptionen geändert.

  5. wait BeforeAsserting IMDSv2State — Wartet 30 Sekunden, bevor der IMDSv2-Status bestätigt wird.

  6. set HopLimitAndConfigureImdsVersion - Wenn größer als 0 HttpPutResponseHopLimit ist, werden die Metadatenoptionen unter Verwendung der angegebenen Eingabeparameter konfiguriert.

  7. wait BeforeAssertingHopLimit — Wartet 30 Sekunden, bevor die Metadatenoptionen aktiviert werden.

  8. assertHopLimit — Bestätigt, dass die HttpPutResponseHopLimit Eigenschaft auf den von Ihnen angegebenen Wert gesetzt ist.

  9. branch VerificationOn IMDSv2Option — Überprüfung von Zweigen auf der Grundlage des Parameterwerts. EnforceIMDSv2

  10. assertImDSv2 — Bestätigt den WertIsOptional , der auf gesetzt ist. HttpTokens optional

  11. assertImDSv2 — Bestätigt den WertIsEnforced , der auf gesetzt ist. HttpTokens required

  12. wait BeforeAssertingMetadataState — Wartet 30 Sekunden, bevor bestätigt wird, dass der Metadatenstatus deaktiviert ist.

  13. assert MetadataIsDisabled — Bestätigt, dass Metadaten. disabled

  14. describeMetadataOptions — Ruft die Metadatenoptionen ab, nachdem die von Ihnen angegebenen Änderungen übernommen wurden.

Ausgaben

beschreibe MetadataOptions .State

beschreibenMetadataOptions. MetadataAccess

beschreibe MetadataOptions .IMDSv2

MetadataOptionsbeschreiben. HttpPutResponseHopBegrenzen