Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer les options de métadonnées d’instance pour les instances existantes
Vous pouvez modifier les options des métadonnées d’instance pour les instances existantes.
De même, vous pouvez créer une politique IAM qui empêche les utilisateurs de modifier les options des métadonnées d’instance sur des instances existantes. Pour contrôler quels utilisateurs peuvent modifier les options de métadonnées de l'instance, spécifiez une politique qui empêche tous les utilisateurs autres que les utilisateurs ayant un rôle spécifique d'utiliser l'ModifyInstanceMetadataOptionsAPI. Pour examiner l’exemple de stratégie IAM, consultez Utiliser des métadonnées d’instance.
Interroger les options de métadonnées d’instance pour les instances existantes
Vous pouvez interroger les options de métadonnées d’instance pour vos instances existantes en utilisant l’une des méthodes suivantes.
- Console
-
Pour interroger les options de métadonnées d’instance pour une instance existante à l’aide de la console
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
-
Dans le panneau de navigation, sélectionnez Instances.
-
Sélectionnez votre instance.
-
Choisissez Actions, Paramètres de l’instance, puis Modifier les options des métadonnées d’instance.
-
Passez en revue les options de métadonnées d’instance actuelles dans la boîte de dialogue Modifier les options de métadonnées d’instance.
- AWS CLI
-
Pour interroger les options de métadonnées d'instance pour une instance existante à l'aide du AWS CLI
Utilisez la commande describe-instances de l’interface de ligne de commande.
aws ec2 describe-instances \
--instance-id i-1234567898abcdef0
\
--query 'Reservations[].Instances[].MetadataOptions'
- PowerShell
-
Pour interroger les options de métadonnées d'instance pour une instance existante à l'aide des outils de PowerShell
Utilisez l'Get-EC2Instanceapplet de commande.
(Get-EC2Instance `
-InstanceId i-1234567898abcdef0
).Instances.MetadataOptions
Exigence d’utilisation d’IMDSv2
Utilisez l’une des méthodes suivantes pour modifier les options des métadonnées d’instance sur une instance existante afin d’imposer l’utilisation d’IMDSv2 pour pouvoir demander des métadonnées d’instance. Lorsque IMDSv2 est requis, IMDSv1 ne peut pas être utilisé.
Avant de demander l'utilisation d'IMDSv2, assurez-vous que l'instance n'effectue pas d'appels IMDSv1. La MetadataNoToken
CloudWatch métrique suit les appels IMDSv1. Lorsqu'aucune MetadataNoToken
utilisation d'IMDSv1 n'est enregistrée pour une instance, celle-ci est alors prête à nécessiter IMDSv2.
- Console
-
Imposition de l’utilisation d’IMDSv2 sur une instance existante
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
-
Dans le panneau de navigation, sélectionnez Instances.
-
Sélectionnez votre instance.
-
Choisissez Actions, Paramètres de l’instance, puis Modifier les options des métadonnées d’instance.
-
Dans la boîte de dialogue Modifier les options des métadonnées d’instance, procédez comme suit :
-
Pour Service de métadonnées d’instance, sélectionnez Activer.
-
Pour IMDSv2, choisissez Requis.
-
Choisissez Enregistrer.
- AWS CLI
-
Imposition de l’utilisation d’IMDSv2 sur une instance existante
Utilisez la commande modify-instance-metadata-optionsCLI et définissez le http-tokens
paramètre surrequired
. Lorsque vous spécifiez une valeur pour http-tokens
, vous devez également définir http-endpoint
sur enabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-tokens required \
--http-endpoint enabled
- PowerShell
-
Imposition de l’utilisation d’IMDSv2 sur une instance existante
Utilisez l'Edit-EC2InstanceMetadataOptionapplet de commande et définissez le HttpTokens
paramètre sur. required
Lorsque vous spécifiez une valeur pour HttpTokens
, vous devez également définir HttpEndpoint
sur enabled
.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpTokens required `
-HttpEndpoint enabled).InstanceMetadataOptions
Restaurer l’utilisation d’IMDSv1
Lorsque IMDSv2 est requis, IMDSv1 ne fonctionne pas lors de la demande de métadonnées d’instance. Lorsque IMDSv2 est facultatif, IMDSv2 et IMDSv1 fonctionnent. Par conséquent, pour restaurer IMDSv1, rendez IMDSv2 facultatif en utilisant l’une des méthodes suivantes.
- Console
-
Restauration de l’utilisation d’IMDSv1 sur une instance
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
-
Dans le panneau de navigation, sélectionnez Instances.
-
Sélectionnez votre instance.
-
Choisissez Actions, Paramètres de l’instance, puis Modifier les options des métadonnées d’instance.
-
Dans la boîte de dialogue Modifier les options des métadonnées d’instance, procédez comme suit :
-
Pour Service de métadonnées d’instance, assurez-vous que l’option Activer est sélectionnée.
-
Pour IMDSv2, choisissez Facultatif.
-
Choisissez Enregistrer.
- AWS CLI
-
Restauration de l’utilisation d’IMDSv1 sur une instance
Vous pouvez utiliser la commande modify-instance-metadata-optionsCLI avec http-tokens
set optional
to pour rétablir l'utilisation d'IMDSv1 lors de la demande de métadonnées d'instance.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-tokens optional \
--http-endpoint enabled
- PowerShell
-
Restauration de l’utilisation d’IMDSv1 sur une instance
Vous pouvez utiliser l'Edit-EC2InstanceMetadataOptionapplet de commande avec HttpTokens
set optional
to pour rétablir l'utilisation d'IMDSv1 lors de la demande de métadonnées d'instance.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpTokens optional `
-HttpEndpoint enabled).InstanceMetadataOptions
Modifier la durée de vie de la réponse PUT
Pour les instances existantes, vous pouvez modifier les paramètres de la durée de vie (hop limit) de la réponse PUT
.
Actuellement, seuls les AWS SDK AWS CLI et prennent en charge la modification de la limite de sauts de réponse PUT.
- AWS CLI
-
Pour modifier la durée de vie (hop limit) de la réponse PUT
Utilisez la commande modify-instance-metadata-optionsCLI et définissez le http-put-response-hop-limit
paramètre sur le nombre de sauts requis. Dans l’exemple suivant, la durée de vie (hop limit) est définie 3
. Notez que lorsque vous spécifiez une valeur pour http-put-response-hop-limit
, vous devez également définir http-endpoint
sur enabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-put-response-hop-limit 3
\
--http-endpoint enabled
- PowerShell
-
Pour modifier la durée de vie (hop limit) de la réponse PUT
Utilisez l'Edit-EC2InstanceMetadataOptionapplet de commande et définissez le HttpPutResponseHopLimit
paramètre sur le nombre de sauts requis. Dans l’exemple suivant, la durée de vie (hop limit) est définie 3
. Notez que lorsque vous spécifiez une valeur pour HttpPutResponseHopLimit
, vous devez également définir HttpEndpoint
sur enabled
.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpPutResponseHopLimit 3 `
-HttpEndpoint enabled).InstanceMetadataOptions
Activer les points de terminaison IPv4 et IPv6 de l'IMDS
L'IMDS possède deux points de terminaison sur une instance : IPv4 (169.254.169.254
) et IPv6 (). [fd00:ec2::254]
Lorsque vous activez l'IMDS, le point de terminaison IPv4 est automatiquement activé. Le point de terminaison IPv6 reste désactivé même si vous lancez une instance dans un sous-réseau IPv6 uniquement. Pour activer le point de terminaison IPv6, vous devez le faire explicitement. Lorsque vous activez le point de terminaison IPv6, le point de terminaison IPv4 reste activé.
Vous pouvez activer le point de terminaison IPv6 au lancement de l'instance ou après.
Conditions requises pour activer le point de terminaison IPv6
Actuellement, seuls les AWS SDK AWS CLI et prennent en charge l'activation du point de terminaison IPv6 IMDS après le lancement de l'instance.
- AWS CLI
-
Pour activer le point de terminaison IPv6 IMDS pour votre instance
Utilisez la commande modify-instance-metadata-optionsCLI et définissez le http-protocol-ipv6
paramètre surenabled
. Notez que lorsque vous spécifiez une valeur pour http-protocol-ipv6
, vous devez également définir http-endpoint
sur enabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-protocol-ipv6 enabled \
--http-endpoint enabled
- PowerShell
-
Pour activer le point de terminaison IPv6 IMDS pour votre instance
Utilisez l'Edit-EC2InstanceMetadataOptionapplet de commande et définissez le HttpProtocolIpv6
paramètre sur. enabled
Notez que lorsque vous spécifiez une valeur pour HttpProtocolIpv6
, vous devez également définir HttpEndpoint
sur enabled
.
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpProtocolIpv6 enabled `
-HttpEndpoint enabled).InstanceMetadataOptions
Vous pouvez activer l’accès aux métadonnées d’instance en activant le point de terminaison HTTP de l’IMDS sur votre instance, quelle que soit la version de ce dernier que vous utilisez. Vous pouvez annuler cette modification à tout moment en désactivant à nouveau le point de terminaison HTTP.
Pour activer l’accès aux métadonnées d’instance sur une instance, utilisez l’une des méthodes suivantes.
- Console
-
Activation de l’accès aux métadonnées d’instance
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
-
Dans le panneau de navigation, sélectionnez Instances.
-
Sélectionnez votre instance.
-
Choisissez Actions, Paramètres de l’instance, puis Modifier les options des métadonnées d’instance.
-
Dans la boîte de dialogue Modifier les options des métadonnées d’instance, procédez comme suit :
-
Pour Service de métadonnées d’instance, sélectionnez Activer.
-
Choisissez Enregistrer.
- AWS CLI
-
Activation de l’accès aux métadonnées d’instance
Utilisez la commande modify-instance-metadata-optionsCLI et définissez le http-endpoint
paramètre surenabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-endpoint enabled
- PowerShell
-
Activation de l’accès aux métadonnées d’instance
Utilisez l'Edit-EC2InstanceMetadataOptionapplet de commande et définissez le HttpEndpoint
paramètre sur. enabled
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpEndpoint enabled).InstanceMetadataOptions
Vous pouvez désactiver l’accès aux métadonnées d’instance en désactivant le point de terminaison HTTP de l’IMDS sur votre instance, quelle que soit la version de ce dernier que vous utilisez. Vous pouvez annuler cette modification à tout moment en activant à nouveau le point de terminaison HTTP.
Pour désactiver l’accès aux métadonnées d’instance sur une instance, utilisez l’une des méthodes suivantes.
- Console
-
Désactivation de l’accès aux métadonnées d’instance
Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
-
Dans le panneau de navigation, sélectionnez Instances.
-
Sélectionnez votre instance.
-
Choisissez Actions, Paramètres de l’instance, puis Modifier les options des métadonnées d’instance.
-
Dans la boîte de dialogue Modifier les options des métadonnées d’instance, procédez comme suit :
-
Pour Service de métadonnées d’instance, désélectionnez Activer.
-
Choisissez Enregistrer.
- AWS CLI
-
Désactivation de l’accès aux métadonnées d’instance
Utilisez la commande modify-instance-metadata-optionsCLI et définissez le http-endpoint
paramètre surdisabled
.
aws ec2 modify-instance-metadata-options \
--instance-id i-1234567898abcdef0
\
--http-endpoint disabled
- PowerShell
-
Désactivation de l’accès aux métadonnées d’instance
Utilisez l'Edit-EC2InstanceMetadataOptionapplet de commande et définissez le HttpEndpoint
paramètre sur. disabled
(Edit-EC2InstanceMetadataOption `
-InstanceId i-1234567898abcdef0
`
-HttpEndpoint disabled).InstanceMetadataOptions