Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration du service des métadonnées d’instance
<a name="configuring-instance-metadata-options"></a>

Le service de métadonnées d’instance (IMDS) s’exécute localement sur chaque instance EC2. Les *options de métadonnées d’instance* font référence à un ensemble de configurations qui contrôlent l’accessibilité et le comportement de l’IMDS sur une instance EC2.

Vous pouvez configurer les options de métadonnées d’instance suivantes.

**Service de métadonnées d’instance (IMDS)** : `enabled` \$1 `disabled`  
Vous pouvez activer ou désactiver l’IMDS sur une instance. Lorsque cette option est désactivée, ni vous ni aucun code ne pouvez accéder aux métadonnées de l’instance.  
L'IMDS possède deux points de terminaison sur une instance : IPv4 (`169.254.169.254`) et IPv6 (`[fd00:ec2::254]`). Lorsque vous activez l'IMDS, le IPv4 point de terminaison est automatiquement activé. Si vous souhaitez activer le IPv6 point de terminaison, vous devez le faire explicitement.

Point de ** IPv6 terminaison IMDS** : \$1 `enabled` `disabled`  
Vous pouvez activer explicitement le point de terminaison IPv6 IMDS sur une instance. Lorsque le IPv6 point de terminaison est activé, il reste activé. IPv4 Le IPv6 point de terminaison n'est pris en charge que sur [les instances basées sur Nitro](instance-types.md#instance-hypervisor-type) dans [des sous-réseaux IPv6 compatibles](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range) (double pile ou IPv6 uniquement).

**Version des métadonnées** : `IMDSv1 or IMDSv2 (token optional)` \$1 `IMDSv2 only (token required)`  
Lors de la demande de métadonnées d'instance, IMDSv2 les appels nécessitent un jeton. IMDSv1les appels ne nécessitent pas de jeton. Vous pouvez configurer une instance pour autoriser les IMDSv2 appels (lorsqu'un jeton est facultatif), ou pour autoriser uniquement les IMDSv2 appels (lorsqu'un jeton est requis). IMDSv1 

**Limite de saut de réponse des métadonnées** : `1`–`64`  
La limite de saut est le nombre de saut de réseau que la réponse PUT est autorisée à effectuer. Vous pouvez définir la limite de sauts sur un minimum `1` et un maximum de`64`. Dans un environnement de conteneurs, une limite de saut de `1` peut entraîner des problèmes. Pour plus d’informations sur la manière d’atténuer ces problèmes, consultez les informations sur les environnements de conteneurs sous [Considérations sur l’accès aux métadonnées d’instance](instancedata-data-retrieval.md#imds-considerations).

**Autoriser l’accès aux balises dans les métadonnées de l’instance** : `enabled` \$1 `disabled`  
Vous pouvez activer ou désactiver l’accès aux balises de l’instance à partir des métadonnées de l’instance. Pour de plus amples informations, veuillez consulter [Affichez les balises pour vos instances EC2 à l'aide des métadonnées d'instance](work-with-tags-in-IMDS.md).

Pour consulter la configuration actuelle d’une instance, consultez la section [Interroger les options de métadonnées d’instance pour les instances existantes](instancedata-data-retrieval.md#query-IMDS-existing-instances).

## Où configurer les options de métadonnées d’instance
<a name="where-to-configure-instance-metadata-options"></a>

Les options de métadonnées d’instance peuvent être configurées à différents niveaux, comme suit :
+ **Compte** : vous pouvez définir des valeurs par défaut pour les options de métadonnées de l’instance au niveau du compte pour chacune d’entre elles Région AWS. Lorsqu’une instance est lancée, les options de métadonnées de l’instance sont automatiquement définies sur les valeurs au niveau du compte. Vous pouvez modifier ces valeurs au lancement. Les valeurs par défaut au niveau du compte n’affectent pas les instances existantes.
+ **AMI** – Vous pouvez définir le paramètre `imds-support` vers `v2.0` lorsque vous enregistrez ou modifiez une AMI. Lorsqu'une instance est lancée avec cette AMI, la version des métadonnées de l'instance est automatiquement définie sur 2 IMDSv2 et la limite de sauts est définie sur 2.
+ **Instance** : vous pouvez modifier toutes les options de métadonnées d’une instance au lancement, en remplaçant les paramètres par défaut. Vous pouvez également modifier les options de métadonnées de l’instance après le lancement sur une instance en cours d’exécution ou arrêtée. Notez que les modifications peuvent être limitées par une politique IAM ou SCP.

Pour plus d’informations, consultez [Configurer les options de métadonnées d’instance pour les nouvelles instances](configuring-IMDS-new-instances.md) et [Configurer les options de métadonnées d’instance pour les instances existantes](configuring-IMDS-existing-instances.md).

## Ordre de priorité pour les options de métadonnées des instances
<a name="instance-metadata-options-order-of-precedence"></a>

La valeur de chaque option de métadonnées d’instance est déterminée au lancement de l’instance, selon un ordre de priorité hiérarchique. La hiérarchie, avec la priorité la plus élevée au sommet, est la suivante :
+ **Priorité 1 : Configuration de l’instance au lancement** — Les valeurs peuvent être spécifiées dans le modèle de lancement ou dans la configuration de l’instance. Toutes les valeurs spécifiées ici remplacent les valeurs spécifiées au niveau du compte ou dans l’AMI.
+ **Priorité 2 : paramètres du compte** — Si aucune valeur n'est spécifiée au lancement de l'instance, elle est déterminée par les paramètres au niveau du compte (qui sont définis pour chacun). Région AWS Les paramètres au niveau du compte incluent une valeur pour chaque option de métadonnées ou n’indiquent aucune préférence.
+ **Priorité 3 : configuration de l’AMI** — Si aucune valeur n’est spécifiée au lancement de l’instance ou au niveau du compte, elle est déterminée par la configuration de l’AMI. Cela s’applique uniquement à `HttpTokens` et `HttpPutResponseHopLimit`.

Chaque option de métadonnées est évaluée séparément. L’instance peut être configurée à l’aide d’une combinaison de configuration directe, de paramètres par défaut au niveau du compte et de configuration depuis l’AMI.

Vous pouvez modifier la valeur de n’importe quelle option de métadonnées après le lancement sur une instance en cours d’exécution ou arrêtée, sauf si les modifications sont limitées par une politique IAM ou SCP.

**Note**  
Le paramètre d' IMDSv2 application au niveau du compte est évalué une fois que l'ordre de priorité a déterminé les paramètres IMDS de l'instance. Lorsque IMDSv2 l'application est activée, les instances activées avec IMDSv1 échouent. Pour plus d'informations sur l'application, voir[Appliquer IMDSv2 au niveau du compte](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

**Avertissement**  
Si IMDSv2 l'application est activée et n'`httpTokens`a pas été définie `required` dans la configuration de l'instance au lancement, dans les paramètres du compte ou dans la configuration de l'AMI, votre lancement échouera.

**Exemple 1 — Déterminer les valeurs des options de métadonnées**

Dans cet exemple, une instance EC2 est lancée dans une région où le paramètre `HttpPutResponseHopLimit` est défini `1` au niveau du compte. L’AMI spécifiée est `ImdsSupport` définie sur`v2.0`. Aucune option de métadonnées n’est spécifiée directement sur l’instance au lancement. L’instance est lancée avec les options de métadonnées suivantes :

```
"MetadataOptions": {
    ...
    "HttpTokens": "required",
    "HttpPutResponseHopLimit": 1,
    ...
```

Ces valeurs ont été déterminées comme suit :
+ **Aucune option de métadonnées spécifiée au lancement :** lors du lancement de l’instance, aucune valeur spécifique pour les options de métadonnées n’était fournie ni dans les paramètres de lancement de l’instance ni dans le modèle de lancement.
+ **Les paramètres du compte ont la priorité suivante :** en l’absence de valeurs spécifiques spécifiées au lancement, les paramètres au niveau du compte dans la région sont prioritaires. Cela signifie que les valeurs par défaut configurées au niveau du compte sont appliquées. Dans ce cas, le `HttpPutResponseHopLimit` a été réglé sur`1`.
+ Les **paramètres de l’AMI ont la dernière priorité :** en l’absence de valeur spécifique spécifiée au lancement ou au niveau du compte pour `HttpTokens` (la version des métadonnées de l’instance), le paramètre de l’AMI est appliqué. Dans ce cas, le paramètre AMI a `ImdsSupport: v2.0` déterminé que ce paramètre `HttpTokens` était défini sur`required`. Notez que bien que le paramètre AMI `ImdsSupport: v2.0` soit conçu pour être défini`HttpPutResponseHopLimit: 2`, il a été remplacé par le paramètre au niveau du compte`HttpPutResponseHopLimit: 1`, qui a une priorité plus élevée.

**Exemple 2 — Déterminer les valeurs des options de métadonnées**

Dans cet exemple, l’instance EC2 est lancée avec les mêmes paramètres que dans l’exemple 1 précédent, mais avec la valeur `HttpTokens` définie sur `optional` directement sur l’instance au lancement. L’instance est lancée avec les options de métadonnées suivantes :

```
"MetadataOptions": {
    ...
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    ...
```

La valeur pour `HttpPutResponseHopLimit` est déterminée de la même manière que dans l’exemple 1. Toutefois, la valeur pour `HttpTokens` est déterminée comme suit : Les options de métadonnées configurées sur l’instance au lancement sont prioritaires. Même si l’AMI était configurée avec `ImdsSupport: v2.0` (en d’autres termes, elle `HttpTokens` est définie sur`required`), la valeur spécifiée sur l’instance au lancement (`HttpTokens`définie sur`optional`) était prioritaire.

**Exemple 3 — Déterminer les valeurs des options de métadonnées lorsque cette option HttpTokensEnforced est activée**

Dans cet exemple, le compte de la région possède `HttpTokens = required` et`HttpTokensEnforced = enabled`.

Tenez compte des tentatives de lancement d'instance EC2 suivantes :
+ Tentative de lancement avec `HttpTokens` set to `optional` : le lancement échoue car l'application au niveau du compte est activée (`HttpTokensEnforced = enabled`) et le paramètre de lancement a priorité sur le paramètre par défaut du compte.
+ Tentative de lancement avec la valeur `HttpTokens` définie sur `required` : le lancement réussit car il est conforme à l'application au niveau du compte. 
+ Tentative de lancement sans `HttpTokens` valeur spécifiée — Le lancement réussit car la valeur par défaut est `required` basée sur les paramètres du compte. 

### Définissez la version des métadonnées de l’instance
<a name="metadata-version-order-of-precedence"></a>

Lorsqu'une instance est lancée, la valeur de la *version des métadonnées* de l'instance est **IMDSv1 soit IMDSv2 (jeton facultatif)** (`httpTokens=optional`), soit **IMDSv2uniquement (jeton requis) (`httpTokens=required`)**.

Au lancement de l’instance, vous pouvez soit spécifier manuellement la valeur de la version des métadonnées, soit utiliser la valeur par défaut. Si vous spécifiez manuellement la valeur, elle remplace toutes les valeurs par défaut. Si vous choisissez de ne pas spécifier manuellement la valeur, elle sera déterminée par une combinaison de paramètres par défaut.

L'organigramme suivant montre comment la version des métadonnées d'une instance au lancement est déterminée par les paramètres aux différents niveaux de la configuration et indique où l'application est évaluée. Le tableau ci-dessous fournit les paramètres spécifiques à chaque niveau.

![\[Un organigramme qui montre les points d'évaluation de la version et de l' IMDSv2 application des métadonnées de l'instance.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/imds-defaults-launch-flow.png)


Le tableau montre comment la version des métadonnées d’une instance au lancement (indiquée par **Configuration de l’instance résultante** dans la colonne 4) est déterminée par les paramètres aux différents niveaux de configuration. L’ordre de priorité est de gauche à droite, la première colonne ayant la priorité la plus élevée, comme suit :
+ Colonne 1 : **paramètre de lancement** : représente le paramètre de l’instance que vous spécifiez manuellement au lancement.
+ Colonne 2 : **Niveau de compte par défaut** — Représente le paramètre du compte.
+ Colonne 3 : **valeur par défaut de l’AMI** — Représente le paramètre de l’AMI.


| Paramètre de lancement | Niveau du compte par défaut | AMI par défaut | Configuration des instances qui en résulte | 
| --- | --- | --- | --- | 
| V2 uniquement (jeton requis) | Aucune préférence | V2 uniquement | V2 uniquement | 
| V2 uniquement (jeton requis) | V2 uniquement | V2 uniquement | V2 uniquement | 
| V2 uniquement (jeton requis) | V1 ou V2 | V2 uniquement | V2 uniquement | 
| V1 ou V2 (jeton facultatif) | Aucune préférence | V2 uniquement | V1 ou V2 | 
| V1 ou V2 (jeton facultatif) | V2 uniquement | V2 uniquement | V1 ou V2 | 
| V1 ou V2 (jeton facultatif) | V1 ou V2 | V2 uniquement | V1 ou V2 | 
| Non défini | Aucune préférence | V2 uniquement | V2 uniquement | 
| Non défini | V2 uniquement | V2 uniquement | V2 uniquement | 
| Non défini | V1 ou V2 | V2 uniquement | V1 ou V2 | 
| V2 uniquement (jeton requis) | Aucune préférence | null | V2 uniquement | 
| V2 uniquement (jeton requis) | V2 uniquement | null | V2 uniquement | 
| V2 uniquement (jeton requis) | V1 ou V2 | null | V2 uniquement | 
| V1 ou V2 (jeton facultatif) | Aucune préférence | null | V1 ou V2 | 
| V1 ou V2 (jeton facultatif) | V2 uniquement | null | V1 ou V2 | 
| V1 ou V2 (jeton facultatif) | V1 ou V2 | null | V1 ou V2 | 
| Non défini | Aucune préférence | null | V1 ou V2 | 
| Non défini | V2 uniquement | null | V2 uniquement | 
| Non défini | V1 ou V2 | null | V1 ou V2 | 

## Utiliser les clés de condition IAM pour restreindre les options de métadonnées de l’instance
<a name="iam-condition-keys-and-imds"></a>

Vous pouvez utiliser les clés de condition IAM dans une politique IAM ou un SCP comme suit :
+ Autoriser le lancement d'une instance uniquement si elle est configurée pour exiger l'utilisation d'IMDSv2
+ Restreindre le nombre de sauts autorisés
+ Désactiver l’accès aux métadonnées d’instance

**Topics**
+ [

## Où configurer les options de métadonnées d’instance
](#where-to-configure-instance-metadata-options)
+ [

## Ordre de priorité pour les options de métadonnées des instances
](#instance-metadata-options-order-of-precedence)
+ [

## Utiliser les clés de condition IAM pour restreindre les options de métadonnées de l’instance
](#iam-condition-keys-and-imds)
+ [

# Configurer les options de métadonnées d’instance pour les nouvelles instances
](configuring-IMDS-new-instances.md)
+ [

# Configurer les options de métadonnées d’instance pour les instances existantes
](configuring-IMDS-existing-instances.md)

**Note**  
Vous devez procéder avec précautions et effectuer des tests méticuleux avant toute modification. Notez les informations suivantes :  
Si vous en forcez l'utilisation IMDSv2, les applications ou les agents qui utilisent, par IMDSv1 exemple, l'accès aux métadonnées seront interrompus.
Si vous désactivez tous les accès aux métadonnées d’instance, les applications ou agents dont le fonctionnement repose sur l’accès aux métadonnées d’instance cesseront de fonctionner.
Car IMDSv2, vous devez l'utiliser `/latest/api/token` lors de la récupération du jeton.
(Windows uniquement) Si votre PowerShell version est antérieure à 4.0, vous devez effectuer la [mise à jour vers Windows Management Framework 4.0](https://devblogs.microsoft.com/powershell/windows-management-framework-wmf-4-0-update-now-available-for-windows-server-2012-windows-server-2008-r2-sp1-and-windows-7-sp1/) pour exiger l'utilisation de IMDSv2.

# Configurer les options de métadonnées d’instance pour les nouvelles instances
<a name="configuring-IMDS-new-instances"></a>

Vous pouvez configurer les options de métadonnées d’instance suivantes pour les nouvelles instances.

**Topics**
+ [

## Exiger l'utilisation de IMDSv2
](#configure-IMDS-new-instances)
+ [

## Activez l'IMDS IPv4 et les points de terminaison IPv6
](#configure-IMDS-new-instances-ipv4-ipv6-endpoints)
+ [

## Désactiver l’accès aux métadonnées d’instance
](#configure-IMDS-new-instances--turn-off-instance-metadata)
+ [

## Autoriser l’accès aux identifications dans les métadonnées d’instance
](#configure-IMDS-new-instances-tags-in-instance-metadata)

**Note**  
Les paramètres de ces options sont configurés au niveau du compte, soit directement dans le compte, soit à l’aide d’une politique déclarative. Ils doivent être configurés dans chaque endroit Région AWS où vous souhaitez configurer les options de métadonnées de l’instance. L’utilisation d’une politique déclarative vous permet d’appliquer les paramètres à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier les paramètres directement dans un compte. Cette rubrique décrit la procédure à suivre pour configurer les paramètres directement à l’intérieur d’un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

## Exiger l'utilisation de IMDSv2
<a name="configure-IMDS-new-instances"></a>

Vous pouvez utiliser les méthodes suivantes pour exiger l'utilisation de IMDSv2 sur vos nouvelles instances.

**Topics**
+ [

### Définir IMDSv2 comme valeur par défaut pour le compte
](#set-imdsv2-account-defaults)
+ [

### Appliquer IMDSv2 au niveau du compte
](#enforce-imdsv2-at-the-account-level)
+ [

### Configurer l’instance au lancement
](#configure-IMDS-new-instances-instance-settings)
+ [

### Configurer l’AMI
](#configure-IMDS-new-instances-ami-configuration)
+ [

### Utiliser une politique IAM
](#configure-IMDS-new-instances-iam-policy)

### Définir IMDSv2 comme valeur par défaut pour le compte
<a name="set-imdsv2-account-defaults"></a>

Vous pouvez définir la version par défaut du service de métadonnées d'instance (IMDS) au niveau du compte pour chacun Région AWS d'entre eux. Cela signifie que lorsque vous lancez une *nouvelle* instance, la version des métadonnées de l’instance est automatiquement définie sur la valeur par défaut au niveau du compte. Vous pouvez toutefois modifier manuellement la valeur au lancement ou après le lancement. Pour plus d’informations sur la manière dont les paramètres au niveau du compte et les remplacements manuels affectent une instance, consultez [Ordre de priorité pour les options de métadonnées des instances](configuring-instance-metadata-options.md#instance-metadata-options-order-of-precedence).

**Note**  
La définition de la valeur par défaut au niveau du compte ne réinitialise pas les instances *existantes*. Par exemple, si vous définissez la valeur par défaut au niveau du compte sur IMDSv2, les instances existantes définies sur ne IMDSv1 sont pas affectées. Si vous souhaitez modifier la valeur des instances existantes, vous devez modifier manuellement la valeur des instances elles-mêmes.

Vous pouvez définir la valeur par défaut du compte pour la version des métadonnées de l'instance de IMDSv2 telle sorte que toutes les *nouvelles* instances du compte soient lancées comme IMDSv2 requises et IMDSv1 soient désactivées. Avec ce compte par défaut, lorsque vous lancez une instance, les valeurs par défaut pour l’instance sont les suivantes :
+ Console : la **version des métadonnées** est définie sur **V2 uniquement (jeton requis)** et la **limite de sauts de réponse des métadonnées** est définie sur **2**.
+ AWS CLI: `HttpTokens` est défini sur `required` et `HttpPutResponseHopLimit` est défini sur `2`. 

**Note**  
Avant de définir la valeur par défaut du compte sur IMDSv2, assurez-vous que vos instances ne dépendent pas de IMDSv1. Pour de plus amples informations, veuillez consulter [Chemin recommandé pour exiger IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2).

------
#### [ Console ]

**À définir IMDSv2 comme compte par défaut pour la région spécifiée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Protection et sécurité des données**.

1. À côté des paramètres **IMDS par défaut**, choisissez **Gérer**.

1. Sur la page **Gérer les paramètres par défaut de l’IMDS**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, sélectionnez **Activer**.

   1. Pour **Choisir une version des métadonnées**, sélectionnez **V2 (jeton obligatoire)**.

   1. Pour la **limite de sauts de réponse aux métadonnées**, spécifiez **2** si vos instances hébergeront des conteneurs. Sinon, sélectionnez **Aucune préférence**. Lorsqu’aucune préférence n’est spécifiée, au lancement, la valeur est par défaut de **2** si l’AMI a le paramètre `ImdsSupport: v2.0` ; sinon, elle est par défaut de **1**.

   1. Choisissez **Mettre à jour**.

------
#### [ AWS CLI ]

**À définir IMDSv2 comme compte par défaut pour la région spécifiée**  
Utilisez la [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)commande et spécifiez la région dans laquelle vous souhaitez modifier les paramètres au niveau du compte IMDS. Incluez `--http-tokens` set to `required` et `--http-put-response-hop-limit` set to `2` si vos instances hébergeront des conteneurs. Dans le cas contraire, spécifiez `-1` pour n’indiquer aucune préférence. Lorsque `-1` (aucune préférence) est spécifié, au lancement, la valeur par défaut est `2` si l’AMI nécessite `ImdsSupport: v2.0` ; sinon, elle est définie par défaut sur `1`.

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-put-response-hop-limit 2
```

Voici un exemple de sortie.

```
{
    "Return": true
}
```

**Pour afficher les paramètres de compte par défaut pour les options de métadonnées de l’instance pour la région spécifiée**  
Utilisez la [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)commande et spécifiez la région.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Voici un exemple de sortie.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpPutResponseHopLimit": 2
    },
    "ManagedBy": "account"
}
```

Le champ `ManagedBy` indique l’entité qui a configuré les paramètres. Dans cet exemple, `account` indique que les paramètres ont été configurés directement dans le compte. Une valeur de `declarative-policy` signifierait que les paramètres ont été configurés par une politique déclarative. Pour plus d’informations, consultez la rubrique [Politiques gérées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

**À définir IMDSv2 comme compte par défaut pour toutes les régions**  
Utilisez la [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)commande pour modifier les paramètres au niveau du compte IMDS pour toutes les régions. Incluez `--http-tokens` set to `required` et `--http-put-response-hop-limit` set to `2` si vos instances hébergeront des conteneurs. Dans le cas contraire, spécifiez `-1` pour n’indiquer aucune préférence. Lorsque `-1` (aucune préférence) est spécifié, au lancement, la valeur par défaut est `2` si l’AMI nécessite `ImdsSupport: v2.0` ; sinon, elle est définie par défaut sur `1`.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens required \
            --http-put-response-hop-limit 2 \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Voici un exemple de sortie.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Pour afficher les paramètres de compte par défaut pour les options de métadonnées de l’instance pour toutes les régions**  
Utilisez la commande [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level          Hops    HttpTokens" ; \
echo -e "-------------- \t ------------   ----    ----------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Voici un exemple de sortie.

```
Region           Level          Hops    HttpTokens
--------------   ------------   ----    ----------
ap-south-1       ACCOUNTLEVEL   2       required
eu-north-1       ACCOUNTLEVEL   2       required
eu-west-3        ACCOUNTLEVEL   2       required
...
```

------
#### [ PowerShell ]

**À définir IMDSv2 comme compte par défaut pour la région spécifiée**  
Utilisez l'[Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)applet de commande et spécifiez la région dans laquelle vous souhaitez modifier les paramètres au niveau du compte IMDS. Incluez `-HttpToken` set to `required` et `-HttpPutResponseHopLimit` set to `2` si vos instances hébergeront des conteneurs. Dans le cas contraire, spécifiez `-1` pour n’indiquer aucune préférence. Lorsque `-1` (aucune préférence) est spécifié, au lancement, la valeur par défaut est `2` si l’AMI nécessite `ImdsSupport: v2.0` ; sinon, elle est définie par défaut sur `1`.

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Voici un exemple de sortie.

```
True
```

**Pour afficher les paramètres de compte par défaut pour les options de métadonnées de l’instance pour la région spécifiée**  
Utilisez l'[Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html)applet de commande et spécifiez la région.

```
Get-EC2InstanceMetadataDefault -Region us-east-1 | Format-List
```

Voici un exemple de sortie.

```
HttpEndpoint            : 
HttpPutResponseHopLimit : 2
HttpTokens              : required
InstanceMetadataTags    :
```

**À définir IMDSv2 comme compte par défaut pour toutes les régions**  
Utilisez l'[Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)applet de commande pour modifier les paramètres au niveau du compte IMDS pour toutes les régions. Incluez `-HttpToken` set to `required` et `-HttpPutResponseHopLimit` set to `2` si vos instances hébergeront des conteneurs. Dans le cas contraire, spécifiez `-1` pour n’indiquer aucune préférence. Lorsque `-1` (aucune préférence) est spécifié, au lancement, la valeur par défaut est `2` si l’AMI nécessite `ImdsSupport: v2.0` ; sinon, elle est définie par défaut sur `1`.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Sortie attendue

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**Pour afficher les paramètres de compte par défaut pour les options de métadonnées de l’instance pour toutes les régions**  
Utilisez l’applet de commande [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html).

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Exemple de sortie

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Appliquer IMDSv2 au niveau du compte
<a name="enforce-imdsv2-at-the-account-level"></a>

Vous pouvez imposer l'utilisation de IMDSv2 au niveau du compte pour chacun d'entre eux Région AWS. Lorsqu'elles sont appliquées, les instances ne peuvent être lancées que si elles sont configurées pour l'exigerIMDSv2. Cette application s'applique quelle que soit la manière dont l'instance ou l'AMI est configurée.

**Note**  
Avant d'activer IMDSv2 l'application au niveau du compte, assurez-vous que vos applications et votre AMIs support sont conformes IMDSv2. Pour de plus amples informations, veuillez consulter [Chemin recommandé pour exiger IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2). Si IMDSv2 l'application est activée et n'`httpTokens`est définie ni `required` dans la configuration de l'instance au lancement, ni dans les paramètres du compte, ni dans la configuration de l'AMI, le lancement de l'instance échouera. Pour plus d’informations sur le dépannage, consultez [Le lancement d'une instance IMDSv1 activée échoue](troubleshooting-launch.md#launching-an-imdsv1-enabled-instance-fails).

**Note**  
Ce paramètre ne modifie pas la version IMDS des instances existantes, mais bloque l'activation IMDSv1 sur les instances existantes actuellement IMDSv1 désactivées.

------
#### [ Console ]

**IMDSv2 Pour faire appliquer le compte dans la région spécifiée**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

1. Dans le panneau de navigation, sélectionnez **Dashboard** (Tableau de bord).

1. Sur la fiche **Attributs du compte**, sous **Paramètres**, sélectionnez **Protection et sécurité des données**.

1. À côté des paramètres **IMDS par défaut**, choisissez **Gérer**.

1. Sur la page **Gérer les paramètres par défaut de l’IMDS**, procédez comme suit :

   1. Pour **Choisir une version des métadonnées**, sélectionnez **V2 (jeton obligatoire)**.

   1. Pour **Enforce IMDSv2**, choisissez **Enabled**.

   1. Choisissez **Mettre à jour**.

------
#### [ AWS CLI ]

**IMDSv2 Pour faire appliquer le compte dans la région spécifiée**  
 Utilisez la [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)commande et spécifiez la région dans laquelle appliquer IMDSv2. 

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-tokens-enforced enabled
```

Voici un exemple de sortie.

```
{
"Return": true
}
```

**Pour consulter le paramètre d' IMDSv2 application du compte dans une région spécifique**  
Utilisez la [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)commande et spécifiez la région.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Voici un exemple de sortie.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpTokensEnforced": "enabled"
    },
    "ManagedBy": "account"
}
```

Le champ `ManagedBy` indique l’entité qui a configuré les paramètres. Dans cet exemple, `account` indique que les paramètres ont été configurés directement dans le compte. Une valeur de `declarative-policy` signifierait que les paramètres ont été configurés par une politique déclarative. Pour plus d'informations, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l'utilisateur AWS des Organizations*.

**IMDSv2 Pour appliquer le compte à toutes les régions**  
Utilisez la [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)commande pour appliquer IMDSv2 dans toutes les régions.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Voici un exemple de sortie.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Pour consulter les paramètres IMDSv2 d'application du compte dans toutes les régions**  
Utilisez la commande [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level           HttpTokensEnforced" ; \
echo -e "-------------- \t ------------   ----------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --query 'AccountLevel.HttpTokensEnforced' \           
            --output text)
        echo -e "$region \t ACCOUNTLEVEL $output" 
    );
done
```

Voici un exemple de sortie.

```
Region           Level          HttpTokensEnforced
--------------   ------------   ------------------
ap-south-1       ACCOUNTLEVEL   enabled
eu-north-1       ACCOUNTLEVEL   enabled
eu-west-3        ACCOUNTLEVEL   enabled
...
```

------
#### [ PowerShell ]

**IMDSv2 Pour faire appliquer le compte dans la région spécifiée**  
Utilisez l'[Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)applet de commande et spécifiez la région dans laquelle appliquer. IMDSv2 

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Voici un exemple de sortie.

```
@{
    Return = $true
}
```

**Pour consulter le paramètre d' IMDSv2 application du compte dans une région spécifique**  
Utilisez la Get-EC2InstanceMetadataDefault commande et spécifiez la région.

```
Get-EC2InstanceMetadataDefault -Region us-east-1
```

Voici un exemple de sortie.

```
@{
    AccountLevel = @{
        HttpTokens = "required"
        HttpTokensEnforced = "enabled"
    }
    ManagedBy = "account"
}
```

Le champ `ManagedBy` indique l’entité qui a configuré les paramètres. Dans cet exemple, `account` indique que les paramètres ont été configurés directement dans le compte. Une valeur de `declarative-policy` signifierait que les paramètres ont été configurés par une politique déclarative. Pour plus d'informations, consultez la section [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l'utilisateur AWS des Organizations*.

**IMDSv2 Pour appliquer le compte à toutes les régions**  
Utilisez la [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)commande pour appliquer IMDSv2 dans toutes les régions.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Voici un exemple de sortie.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**À définir IMDSv2 comme compte par défaut pour toutes les régions**  
Utilisez l'[Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)applet de commande pour modifier les paramètres au niveau du compte IMDS pour toutes les régions. Incluez `-HttpToken` set to `required` et `-HttpPutResponseHopLimit` set to `2` si vos instances hébergeront des conteneurs. Dans le cas contraire, spécifiez `-1` pour n’indiquer aucune préférence. Lorsque `-1` (aucune préférence) est spécifié, au lancement, la valeur par défaut est `2` si l’AMI nécessite `ImdsSupport: v2.0` ; sinon, elle est définie par défaut sur `1`.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Sortie attendue

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**Pour afficher les paramètres de compte par défaut pour les options de métadonnées de l’instance pour toutes les régions**  
Utilisez l’applet de commande [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html).

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Exemple de sortie

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Configurer l’instance au lancement
<a name="configure-IMDS-new-instances-instance-settings"></a>

Lorsque vous [lancez une instance](ec2-launch-instance-wizard.md), vous pouvez configurer l'instance pour qu'elle nécessite l'utilisation de IMDSv2 en configurant les champs suivants :
+ Console Amazon EC2 : définissez **Metadata version** (Version des métadonnées) sur **V2 only (token required)** (V2 uniquement [jeton obligatoire]).
+ AWS CLI : définissez `HttpTokens` sur `required`.

Lorsque vous spécifiez que cela IMDSv2 est obligatoire, vous devez également activer le point de terminaison du service de métadonnées d'instance (IMDS) en définissant **les métadonnées accessibles** sur **Enabled** (console) ou `HttpEndpoint` sur `enabled` (AWS CLI).

Dans un environnement de conteneurs, lorsque cela IMDSv2 est nécessaire, nous vous recommandons de définir la limite de sauts sur`2`. Pour de plus amples informations, veuillez consulter [Considérations sur l’accès aux métadonnées d’instance](instancedata-data-retrieval.md#imds-considerations).

------
#### [ Console ]

**Pour exiger l'utilisation de IMDSv2 sur une nouvelle instance**
+ Lors du lancement d’une nouvelle instance dans la console Amazon EC2, développez **Détails avancés**, et procédez comme suit :
  + Pour**Accéder aux métadonnées**, choisissez**Activé**.
  + Pour **Choisir une version des métadonnées**, sélectionnez **V2 (jeton obligatoire)**.
  + (Environnement de conteneur) Pour **Limite de sauts de réponse aux métadonnées**, choisissez **2**.

  Pour de plus amples informations, veuillez consulter [Détails avancés](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Pour exiger l'utilisation de IMDSv2 sur une nouvelle instance**  
L’exemple [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) ci-dessous lance une instance `c6i.large` avec `--metadata-options` défini sur `HttpTokens=required`. Lorsque vous spécifiez une valeur pour `HttpTokens`, vous devez également définir `HttpEndpoint` sur `enabled`. Comme l'en-tête du jeton sécurisé est configuré `required` pour les demandes de récupération de métadonnées, cela nécessite que l'instance soit utilisée IMDSv2 lors de la demande de métadonnées d'instance.

Dans un environnement de conteneurs, lorsque cela IMDSv2 est nécessaire, nous vous recommandons de définir la limite de sauts sur `2` with`HttpPutResponseHopLimit=2`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
	...
    --metadata-options "HttpEndpoint=enabled,HttpTokens=required,HttpPutResponseHopLimit=2"
```

------
#### [ PowerShell ]

**Pour exiger l'utilisation de IMDSv2 sur une nouvelle instance**  
L'exemple d'[New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)applet de commande suivant lance une `c6i.large` instance dont le paramètre est `MetadataOptions_HttpEndpoint` défini sur `enabled` et le `MetadataOptions_HttpTokens` paramètre sur. `required` Lorsque vous spécifiez une valeur pour `HttpTokens`, vous devez également définir `HttpEndpoint` sur `enabled`. Comme l'en-tête du jeton sécurisé est configuré `required` pour les demandes de récupération de métadonnées, cela nécessite que l'instance soit utilisée IMDSv2 lors de la demande de métadonnées d'instance.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpTokens required
```

------
#### [ CloudFormation ]

Pour spécifier les options de métadonnées pour une instance utilisant CloudFormation, consultez la [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)propriété dans le *guide de AWS CloudFormation l'utilisateur*.

------

### Configurer l’AMI
<a name="configure-IMDS-new-instances-ami-configuration"></a>

Lorsque vous enregistrez une nouvelle AMI ou que vous modifiez une AMI existante, vous pouvez définir le paramètre `imds-support` sur `v2.0`. Les instances lancées à partir de cette AMI verront le paramètre **Version des métadonnées** défini sur **V2 uniquement (jeton obligatoire)** (console) ou `HttpTokens` défini sur `required` (AWS CLI). Avec ces paramètres, l'instance exige que cela IMDSv2 soit utilisé lors de la demande de métadonnées d'instance.

Notez que lorsque vous définissez `imds-support` sur `v2.0`, les instances lancées à partir de cette AMI verront également le paramètre **Metadata response hop limit** (Limite de saut de réponse des métadonnées) (console) ou `http-put-response-hop-limit` (AWS CLI) défini sur **2**.

**Important**  
N'utilisez pas ce paramètre à moins que votre logiciel AMI ne le prenne en chargeIMDSv2. Une fois que vous avez défini la valeur sur `v2.0`, vous ne pouvez pas revenir en arrière. La seule façon de « réinitialiser » votre AMI est de créer une nouvelle AMI à partir de l’instantané sous-jacent.

**Pour configurer une nouvelle AMI pour IMDSv2**  
Utilisez l'une des méthodes suivantes pour configurer une nouvelle AMI pourIMDSv2.

------
#### [ AWS CLI ]

L’exemple [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) suivant enregistre une AMI en utilisant l’instantané spécifié d’un volume racine EBS en tant que périphérique `/dev/xvda`. Spécifiez `v2.0` le `imds-support` paramètre afin que les instances lancées à partir de cette AMI nécessitent son utilisation lors de la demande de métadonnées d'instance. IMDSv2 

```
aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

L'exemple d'[Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)applet de commande suivant enregistre une AMI en utilisant l'instantané spécifié d'un volume racine EBS en tant que périphérique. `/dev/xvda` Spécifiez `v2.0` le `ImdsSupport` paramètre afin que les instances lancées à partir de cette AMI nécessitent son utilisation lors de la demande de métadonnées d'instance. IMDSv2 

```
Register-EC2Image `
    -Name 'my-image' `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping  ( 
    New-Object `
        -TypeName Amazon.EC2.Model.BlockDeviceMapping `
        -Property @{ 
        DeviceName = '/dev/xvda'; 
        EBS        = (New-Object -TypeName Amazon.EC2.Model.EbsBlockDevice -Property @{ 
                SnapshotId = 'snap-0123456789example'
                VolumeType = 'gp3' 
                } )      
        }  ) `
    -Architecture X86_64 `
    -ImdsSupport v2.0
```

------

**Pour configurer une AMI existante pour IMDSv2**  
Utilisez l'une des méthodes suivantes pour configurer une AMI existante pourIMDSv2.

------
#### [ AWS CLI ]

L'[modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)exemple suivant modifie une AMI existante pour IMDSv2 uniquement. Spécifiez `v2.0` le `imds-support` paramètre afin que les instances lancées à partir de cette AMI nécessitent son utilisation lors de la demande de métadonnées d'instance. IMDSv2 

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

L'exemple d'[Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)applet de commande suivant modifie une AMI existante uniquement pour. IMDSv2 Spécifiez `v2.0` le `imds-support` paramètre afin que les instances lancées à partir de cette AMI nécessitent son utilisation lors de la demande de métadonnées d'instance. IMDSv2 

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ImdsSupport 'v2.0'
```

------

### Utiliser une politique IAM
<a name="configure-IMDS-new-instances-iam-policy"></a>

Vous pouvez créer une politique IAM qui effectue l'une des opérations suivantes :
+ Empêche les utilisateurs de lancer de nouvelles instances à moins qu'ils n'en aient besoinIMDSv2 .
+ Empêche les utilisateurs d'appeler l' ModifyInstanceMetadataOptions API pour modifier les options de métadonnées d'une instance en cours d'exécution. Limitez l'accès à la propriété ModifyInstanceMetadataOptions HttpTokens pour empêcher les mises à jour involontaires des instances en cours d'exécution.
+ Empêchez les utilisateurs d'appeler l' ModifyInstanceMetadataDefaults API pour modifier les paramètres par défaut du compte à la fois pour HttpTokens ethttpTokensEnforced. La restriction de l'accès à ces deux propriétés garantit que seuls les rôles autorisés peuvent modifier les paramètres par défaut du compte.

**Pour imposer l'utilisation de IMDSv2 sur toutes les nouvelles instances à l'aide d'une politique IAM**  
Pour garantir que les utilisateurs ne peuvent lancer que des instances dont l'utilisation est requise IMDSv2 lors de la demande de métadonnées d'instance, procédez comme suit :
+ Limitez l'accès à la fois à `ModifyInstanceMetadataDefaults` l'API `ModifyInstanceMetadataOptions` et plus particulièrement aux `httpTokensEnforced` propriétés `httpTokens` et.
+ Définissez ensuite le compte par défaut sur `httpTokens = required` et`httpTokensEnforced = enabled`.

  Pour examiner l’exemple de stratégie IAM, consultez [Utiliser des métadonnées d’instance](ExamplePolicies_EC2.md#iam-example-instance-metadata).

## Activez l'IMDS IPv4 et les points de terminaison IPv6
<a name="configure-IMDS-new-instances-ipv4-ipv6-endpoints"></a>

L'IMDS possède deux points de terminaison sur une instance : IPv4 (`169.254.169.254`) et IPv6 (`[fd00:ec2::254]`). Lorsque vous activez l'IMDS, le IPv4 point de terminaison est automatiquement activé. Le IPv6 point de terminaison reste désactivé même si vous lancez une instance dans un IPv6 sous-réseau uniquement. Pour activer le IPv6 point de terminaison, vous devez le faire explicitement. Lorsque vous activez le IPv6 point de IPv4 terminaison, celui-ci reste activé.

Vous pouvez activer le IPv6 point de terminaison au lancement de l'instance ou après.

**Conditions requises pour activer le IPv6 point de terminaison**
+ Le type d’instance sélectionné est une [instance basée sur Nitro](instance-types.md#instance-hypervisor-type).
+ Le sous-réseau sélectionné prend IPv6 en charge les sous-réseaux à [double pile ou IPv6 uniquement](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range).

Utilisez l'une des méthodes suivantes pour lancer une instance avec le point de IPv6 terminaison IMDS activé.

------
#### [ Console ]

**Pour activer le point de IPv6 terminaison IMDS lors du lancement de l'instance**
+ [Lancez l’instance](ec2-launch-instance-wizard.md) dans la console Amazon EC2 avec les informations suivantes spécifiées sous **Advanced details** (Détails avancés) :
  + Pour le ** IPv6 point de terminaison des métadonnées**, choisissez **Enabled**.

Pour de plus amples informations, veuillez consulter [Détails avancés](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Pour activer le point de IPv6 terminaison IMDS lors du lancement de l'instance**  
L'exemple d'[exécution d'instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) suivant lance une `c6i.large` instance avec le IPv6 point de terminaison activé pour l'IMDS. Pour activer le IPv6 point de terminaison, spécifiez le `--metadata-options` paramètre`HttpProtocolIpv6=enabled`. Lorsque vous spécifiez une valeur pour `HttpProtocolIpv6`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ...
    --metadata-options "HttpEndpoint=enabled,HttpProtocolIpv6=enabled"
```

------
#### [ PowerShell ]

**Pour activer le point de IPv6 terminaison IMDS lors du lancement de l'instance**  
L'exemple d'[New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)applet de commande suivant lance une `c6i.large` instance avec le IPv6 point de terminaison activé pour l'IMDS. Pour activer le IPv6 point de terminaison, spécifiez `MetadataOptions_HttpProtocolIpv6` comme`enabled`. Lorsque vous spécifiez une valeur pour `MetadataOptions_HttpProtocolIpv6`, vous devez également définir `MetadataOptions_HttpEndpoint` sur `enabled`.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpProtocolIpv6 enabled
```

------

## Désactiver l’accès aux métadonnées d’instance
<a name="configure-IMDS-new-instances--turn-off-instance-metadata"></a>

Vous pouvez désactiver l’accès aux métadonnées de l’instance en désactivant l’IMDS lorsque vous lancez une instance. Vous pouvez activer l’accès ultérieurement en réactivant l’IMDS. Pour de plus amples informations, veuillez consulter [Activer l’accès aux métadonnées d’instance](configuring-IMDS-existing-instances.md#enable-instance-metadata-on-existing-instances).

**Important**  
Vous pouvez choisir de désactiver l’IMDS au lancement ou après le lancement. Si vous désactivez l’IMDS *au lancement*, les opérations suivantes risquent de ne pas fonctionner :  
Vous pourriez ne pas avoir d’accès SSH à votre instance. La `public-keys/0/openssh-key`, qui est la clé SSH publique de votre instance, ne sera pas accessible, car lelle est normalement fournie et accessible à partir des métadonnées de l’instance EC2.
Les données utilisateur EC2 ne seront pas disponibles et ne seront pas exécutées au démarrage de l’instance. Les données utilisateur EC2 sont hébergées sur l’IMDS. Si vous désactivez l’IMDS, vous empêchez l’accès aux données utilisateur.
Pour accéder à cette fonctionnalité, vous pouvez réactiver l’IMDS après le lancement.

------
#### [ Console ]

**Pour désactiver l’accès aux métadonnées d’instance**
+ [Lancez l’instance](ec2-launch-instance-wizard.md) dans la console Amazon EC2 avec les informations suivantes spécifiées sous **Advanced details** (Détails avancés) :
  + Pour**Accéder aux métadonnées**, choisissez **Activé**.

Pour de plus amples informations, veuillez consulter [Détails avancés](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Pour désactiver l’accès aux métadonnées d’instance au lancement**  
Lancez l’instance avec `--metadata-options` défini sur `HttpEndpoint=disabled`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ... 
    --metadata-options "HttpEndpoint=disabled"
```

------
#### [ PowerShell ]

**Pour désactiver l’accès aux métadonnées d’instance au lancement**  
L'exemple d'[New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)applet de commande suivant lance une instance `MetadataOptions_HttpEndpoint` définie sur. `disabled`

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint disabled
```

------
#### [ CloudFormation ]

Pour spécifier les options de métadonnées pour une instance utilisant CloudFormation, consultez la [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)propriété dans le *guide de CloudFormation l'utilisateur*. 

------

## Autoriser l’accès aux identifications dans les métadonnées d’instance
<a name="configure-IMDS-new-instances-tags-in-instance-metadata"></a>

Par défaut, les balises d’instance ne sont pas accessibles dans les métadonnées d’instance. Pour chaque instance, vous devez explicitement autoriser l’accès. Si l’accès est autorisé, *les clés* des balises d’instance doivent respecter des restrictions de caractères spécifiques, sinon le lancement de l’instance échouera. Pour de plus amples informations, veuillez consulter [Activation de l’accès aux balises dans les métadonnées d’instance](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

# Configurer les options de métadonnées d’instance pour les instances existantes
<a name="configuring-IMDS-existing-instances"></a>

Vous pouvez modifier les options des métadonnées d’instance pour les instances existantes.

De même, vous pouvez créer une politique IAM qui empêche les utilisateurs de modifier les options des métadonnées d’instance sur des instances existantes. Pour contrôler quels utilisateurs peuvent modifier les options de métadonnées de l'instance, spécifiez une politique qui empêche tous les utilisateurs autres que ceux ayant un rôle spécifique d'utiliser l'[ModifyInstanceMetadataOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataOptions.html)API. Pour examiner l’exemple de stratégie IAM, consultez [Utiliser des métadonnées d’instance](ExamplePolicies_EC2.md#iam-example-instance-metadata).

**Note**  
Si une politique déclarative a été utilisée pour configurer les options de métadonnées de l’instance, vous ne pouvez pas les modifier directement dans le compte. Pour plus d’informations, consultez la rubrique [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

## Exiger l'utilisation de IMDSv2
<a name="modify-require-IMDSv2"></a>

Utilisez l'une des méthodes suivantes pour modifier les options de métadonnées d'instance sur une instance existante afin d'exiger qu'elle IMDSv2 soit utilisée lors de la demande de métadonnées d'instance. Lorsque cela IMDSv2 est nécessaire, IMDSv1 ne peut pas être utilisé.

**Note**  
Avant de demander que cela IMDSv2 soit utilisé, assurez-vous que l'instance ne passe pas d' IMDSv1 appels. La `MetadataNoToken` CloudWatch métrique suit les IMDSv1 appels. Lorsqu'`MetadataNoToken`aucune IMDSv1 utilisation n'est enregistrée pour une instance, celle-ci est alors prête à être requise IMDSv2.

------
#### [ Console ]

**Pour exiger l'utilisation de IMDSv2 sur une instance existante**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, sélectionnez **Activer**.

   1. Pour **IMDSv2**, choisissez **Obligatoire**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour exiger l'utilisation de IMDSv2 sur une instance existante**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-tokens` paramètre sur`required`. Lorsque vous spécifiez une valeur pour `http-tokens`, vous devez également définir `http-endpoint` sur `enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour exiger l'utilisation de IMDSv2 sur une instance existante**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpTokens` paramètre sur. `required` Lorsque vous spécifiez une valeur pour `HttpTokens`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens required `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Restaurez l'utilisation de IMDSv1
<a name="modify-restore-IMDSv1"></a>

Lorsque cela IMDSv2 est requis sur une instance, l'utilisation d'une IMDSv1 demande échouera. Quand IMDSv2 c'est facultatif, alors IMDSv2 les deux IMDSv1 fonctionneront. Par conséquent, pour effectuer une restauration IMDSv1, définissez IMDSv2 le paramètre sur optional (`httpTokens = optional`) à l'aide de l'une des méthodes suivantes.

La propriété `httpTokensEnforced` IMDS empêche également les tentatives d'activation IMDSv1 sur une instance existante. Lorsque cette option est activée pour un compte dans une région, une tentative `httpTokens` de définition `optional` entraîne une `UnsupportedOperation` exception. Pour plus d'informations, voir[Résolution des problèmes](#troubleshoot-modifying-an-imdsv1-enabled-instance-fails).

**Important**  
Si le lancement de votre instance échoue pour des raisons d' IMDSv2 application, deux options s'offrent à vous pour garantir le succès des lancements :  
**Lancer les instances IMDSv2 uniquement** : si le logiciel exécuté sur les instances les utilise IMDSv2 uniquement (sans dépendance IMDSv1), vous pouvez lancer les instances en tant que telles IMDSv2 uniquement. Pour ce faire, configurez IMDSv2 uniquement en définissant `httpTokens = required` les paramètres de lancement ou les métadonnées par défaut du compte dans la région. 
**Désactiver l'application** : si votre logiciel en dépend toujours IMDSv1, `httpTokensEnforced` `disabled` réglez-le sur le compte de la région. Pour de plus amples informations, veuillez consulter [Appliquer IMDSv2 au niveau du compte](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

------
#### [ Console ]

**Pour rétablir l'utilisation de IMDSv1 sur une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, assurez-vous que l’option **Activer** est sélectionnée.

   1. Pour **IMDSv2**, choisissez **Facultatif**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour rétablir l'utilisation de IMDSv1 sur une instance**  
Vous pouvez utiliser la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI avec `http-tokens` set `optional` to pour rétablir l'utilisation de IMDSv1 lorsque vous demandez des métadonnées d'instance.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens optional \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour rétablir l'utilisation de IMDSv1 sur une instance**  
Vous pouvez utiliser l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande avec `HttpTokens` set `optional` to pour rétablir l'utilisation de IMDSv1 lorsque vous demandez des métadonnées d'instance.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens optional `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Modifier la durée de vie de la réponse PUT
<a name="modify-PUT-response-hop-limit"></a>

Pour les instances existantes, vous pouvez modifier les paramètres de la durée de vie (hop limit) de la réponse `PUT`.

Actuellement, seuls les AWS CLI et AWS SDKs prennent en charge la modification de la limite de sauts de réponse PUT.

------
#### [ AWS CLI ]

**Pour modifier la durée de vie (hop limit) de la réponse PUT**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-put-response-hop-limit` paramètre sur le nombre de sauts requis. Dans l’exemple suivant, la durée de vie (hop limit) est définie `3`. Notez que lorsque vous spécifiez une valeur pour `http-put-response-hop-limit`, vous devez également définir `http-endpoint` sur `enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-put-response-hop-limit 3 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour modifier la durée de vie (hop limit) de la réponse PUT**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpPutResponseHopLimit` paramètre sur le nombre de sauts requis. Dans l’exemple suivant, la durée de vie (hop limit) est définie `3`. Notez que lorsque vous spécifiez une valeur pour `HttpPutResponseHopLimit`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpPutResponseHopLimit 3 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Activez l'IMDS IPv4 et les points de terminaison IPv6
<a name="enable-ipv6-endpoint-for-existing-instances"></a>

L'IMDS possède deux points de terminaison sur une instance : IPv4 (`169.254.169.254`) et IPv6 (`[fd00:ec2::254]`). Lorsque vous activez l'IMDS, le IPv4 point de terminaison est automatiquement activé. Le IPv6 point de terminaison reste désactivé même si vous lancez une instance dans un IPv6 sous-réseau uniquement. Pour activer le IPv6 point de terminaison, vous devez le faire explicitement. Lorsque vous activez le IPv6 point de IPv4 terminaison, celui-ci reste activé.

Vous pouvez activer le IPv6 point de terminaison au lancement de l'instance ou après.

**Conditions requises pour activer le IPv6 point de terminaison**
+ Le type d’instance sélectionné est une [instance basée sur Nitro](instance-types.md#instance-hypervisor-type).
+ Le sous-réseau sélectionné prend IPv6 en charge les sous-réseaux à [double pile ou IPv6 uniquement](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range).

Actuellement, seul le AWS SDKs support AWS CLI et active le point de IPv6 terminaison IMDS après le lancement de l'instance.

------
#### [ AWS CLI ]

**Pour activer le point de IPv6 terminaison IMDS pour votre instance**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-protocol-ipv6` paramètre sur`enabled`. Notez que lorsque vous spécifiez une valeur pour `http-protocol-ipv6`, vous devez également définir `http-endpoint` sur `enabled`.

```
aws ec2 modify-instance-metadata-options \
	--instance-id i-1234567890abcdef0 \
	--http-protocol-ipv6 enabled \
	--http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour activer le point de IPv6 terminaison IMDS pour votre instance**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpProtocolIpv6` paramètre sur. `enabled` Notez que lorsque vous spécifiez une valeur pour `HttpProtocolIpv6`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpProtocolIpv6 enabled `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Activer l’accès aux métadonnées d’instance
<a name="enable-instance-metadata-on-existing-instances"></a>

Vous pouvez activer l’accès aux métadonnées d’instance en activant le point de terminaison HTTP de l’IMDS sur votre instance, quelle que soit la version de ce dernier que vous utilisez. Vous pouvez annuler cette modification à tout moment en désactivant à nouveau le point de terminaison HTTP.

Pour activer l’accès aux métadonnées d’instance sur une instance, utilisez l’une des méthodes suivantes.

------
#### [ Console ]

**Activation de l’accès aux métadonnées d’instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, sélectionnez **Activer**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Activation de l’accès aux métadonnées d’instance**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-endpoint` paramètre sur`enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Activation de l’accès aux métadonnées d’instance**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpEndpoint` paramètre sur. `enabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Désactiver l’accès aux métadonnées d’instance
<a name="disable-instance-metadata-on-existing-instances"></a>

Vous pouvez désactiver l’accès aux métadonnées d’instance en désactivant le point de terminaison HTTP de l’IMDS sur votre instance, quelle que soit la version de ce dernier que vous utilisez. Vous pouvez annuler cette modification à tout moment en activant à nouveau le point de terminaison HTTP.

Pour désactiver l’accès aux métadonnées d’instance sur une instance, utilisez l’une des méthodes suivantes.

------
#### [ Console ]

**Désactivation de l’accès aux métadonnées d’instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, désélectionnez **Activer**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Désactivation de l’accès aux métadonnées d’instance**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-endpoint` paramètre sur`disabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint disabled
```

------
#### [ PowerShell ]

**Désactivation de l’accès aux métadonnées d’instance**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpEndpoint` paramètre sur. `disabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint disabled).InstanceMetadataOptions
```

------

## Autoriser l’accès aux identifications dans les métadonnées d’instance
<a name="modify-access-to-tags-in-instance-metadata-on-existing-instances"></a>

Vous pouvez autoriser l’accès aux balises dans les métadonnées de l’instance sur une instance en cours d’exécution ou arrêtée. Pour chaque instance, vous devez explicitement autoriser l’accès. Si l’accès est autorisé, *les clés des* balises d’instance doivent respecter des restrictions de caractères spécifiques, sinon vous obtenez une erreur. Pour de plus amples informations, veuillez consulter [Activation de l’accès aux balises dans les métadonnées d’instance](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

## Résolution des problèmes
<a name="troubleshoot-modifying-an-imdsv1-enabled-instance-fails"></a>

### La modification d'une instance IMDSv1 activée échoue
<a name="modifying-an-imdsv1-enabled-instance-fails"></a>

#### Description
<a name="modifying-an-imdsv1-enabled-instance-fails-description"></a>

Le message d'erreur suivant s'affiche :

`You can't launch instances with IMDSv1 because httpTokensEnforced is enabled for this account. Either launch the instance with httpTokens=required or contact your account owner to disable httpTokensEnforced using the ModifyInstanceMetadataDefaults API or the account settings in the EC2 console.`

#### Cause
<a name="modifying-an-imdsv1-enabled-instance-fails-cause"></a>

Cette erreur est générée lorsque vous tentez de modifier une instance existante pour qu'elle soit IMDSv1 activée (`httpTokens = optional`) dans un compte où les paramètres du compte EC2 ou une politique déclarative de AWS l'organisation imposent l'utilisation de IMDSv2 (). `httpTokensEnforced = enabled` 

#### Solution
<a name="modifying-an-imdsv1-enabled-instance-fails-solution"></a>

Si vous avez besoin d' IMDSv1 assistance sur des instances existantes, vous devez désactiver IMDSv2 l'application pour le compte dans la Région. Pour désactiver IMDSv2 l'application, définissez `HttpTokensEnforced` sur`disabled`. Pour plus d'informations, consultez [ModifyInstanceMetadataDefaults](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataDefaults.html)le manuel Amazon EC2 API Reference. Si vous préférez configurer ce paramètre à l'aide de la console, consultez[Appliquer IMDSv2 au niveau du compte](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

Nous vous recommandons d'utiliser IMDSv2 uniquement (`httpTokens=required`). Pour de plus amples informations, veuillez consulter [Passer à l’utilisation de Service des métadonnées d’instance Version 2](instance-metadata-transition-to-version-2.md).