Configuración del IMDS en instancias del entorno de Elastic Beanstalk - AWS Elastic Beanstalk

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del IMDS en instancias del entorno de Elastic Beanstalk

En este tema se describe el servicio de metadatos de instancias (IMDS).

Los metadatos de instancia son datos relacionados con una instancia de Amazon Elastic Compute Cloud (Amazon EC2) que las aplicaciones pueden utilizar para configurar o administrar la instancia de ejecución. El servicio de metadatos de instancia (IMDS) es un componente de la instancia que utiliza el código de instancia para acceder de forma segura a los metadatos de la instancia. Este código puede ser el código de la plataforma Elastic Beanstalk en las instancias de su entorno, el AWS SDK que su aplicación podría estar utilizando o incluso el código propio de su aplicación. Para obtener más información, consulte Metadatos de instancia y datos de usuario en la Guía del usuario de Amazon EC2.

El código puede acceder a metadatos de instancia a partir de una instancia en ejecución mediante uno de estos dos métodos: Servicio de metadatos de instancia versión 1 (IMDSv1) o Servicio de metadatos de instancia versión 2 (IMDSv2). IMDSv2 utiliza solicitudes orientadas a la sesión y mitiga varios tipos de vulnerabilidades que podrían utilizarse para intentar acceder al IMDS. Para obtener más información sobre estos dos métodos, consulte Configuración del servicio de metadatos de instancia en la Guía del usuario de Amazon EC2.

Soporte de plataformas para IMDS

Las plataformas de Elastic Beanstalk que se ejecutan en Amazon Linux 2, Amazon Linux 2023 y el servidor Windows admiten tanto IMDSV1 como IMDSv2. Para obtener más información, consulte Configuración de IMDS mediante la consola de Elastic Beanstalk

Selección de métodos IMDS

Al tomar una decisión sobre los métodos IMDS que desea que admita su entorno, tenga en cuenta los siguientes casos de uso:

  • AWS SDK: si su aplicación utiliza un AWS SDK, asegúrese de utilizar la versión actualizada del SDK. Los SDK de AWS realizan llamadas IMDS, y las versiones más recientes del SDK usan IMDSv2 siempre que sea posible. Si alguna vez desactiva IMDSv1 o si su aplicación utiliza una versión antigua del SDK, las llamadas IMDS podrían fallar.

  • El código de su aplicación: si la aplicación realiza llamadas IMDS, considere utilizar el AWS SDK para que pueda realizar las llamadas en lugar de realizar solicitudes HTTP directas. De esta manera, no necesita realizar cambios en el código para cambiar entre los métodos IMDS. El SDK de AWS utiliza IMDSv2 siempre que sea posible.

  • Código de la plataforma Elastic Beanstalk: nuestro código realiza llamadas IMDS a través del SDK de AWS y, por lo tanto, utiliza IMDSv2 en todas las versiones compatibles de la plataforma. Si su código utiliza un SDK de AWS actualizado y realiza todas las llamadas IMDS a través del SDK, puede deshabilitar IMDSv1 de forma segura.

Configuración de IMDS mediante la consola de Elastic Beanstalk

Puede modificar la configuración de la instancia de Amazon EC2 del entorno de Elastic Beanstalk mediante la consola de Elastic Beanstalk.

importante

La configuración opcional DisableIMDSv1 puede provocar que Elastic Beanstalk cree un entorno con una plantilla de lanzamiento o actualice un entorno existente de configuraciones de lanzamiento a plantillas de lanzamiento. Para obtener más información, consulte Plantillas de lanzamiento.

Para configurar IMDS en sus instancias de Amazon EC2 mediante la consola de Elastic Beanstalk
  1. Abra la consola de Elastic Beanstalk y, en la lista Regions (Regiones), seleccione su Región de AWS.

  2. En el panel de navegación, elija Environments (Entornos) y, a continuación, elija el nombre del entorno en la lista.

    nota

    Si tiene muchos entornos, utilice la barra de búsqueda para filtrar la lista de entornos.

  3. En el panel de navegación, elija Configuration (Configuración).

  4. En la categoría de configuración Instance traffic and scaling (Escalado y tráfico de instancias), elija Edit (Editar).

  5. Seleccione Disable IMDSv1 (Desactivar IMDSv1) para aplicar IMDSv2. Desactive Disable IMDSv1 (Desactivar IMDSv1) para habilitar IMDSv1 e IMDSv2.

  6. Para guardar los cambios, elija Aplicar en la parte inferior de la página.

El espacio de nombres aws:autoscaling:launchconfiguration

Puede utilizar una opción de configuración en el espacio de nombres aws:autoscaling:launchconfiguration para configurar IMDS en las instancias del entorno.

importante

La configuración opcional DisableIMDSv1 puede provocar que Elastic Beanstalk cree un entorno con una plantilla de lanzamiento o actualice un entorno existente de configuraciones de lanzamiento a plantillas de lanzamiento. Para obtener más información, consulte Plantillas de lanzamiento.

En el siguiente ejemplo del archivo de configuración se deshabilita IMDSv1 mediante la opción DisableIMDSv1.

option_settings: aws:autoscaling:launchconfiguration: DisableIMDSv1: true

Establezca DisableIMDSv1 en true para deshabilitar IMDSv1 y aplicar IMDSv2.

Establezca DisableIMDSv1 en false para habilitar IMDSv1 e IMDSv2.