AWSSupport-ConfigureEC2Metadata - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-ConfigureEC2Metadata

Description

Ce runbook vous aide à configurer les options du service de métadonnées d'instance (IMDS) pour les instances Amazon Elastic Compute Cloud (Amazon EC2). À l'aide de ce runbook, vous pouvez configurer les éléments suivants :

  • Imposez l'utilisation d'IMDSv2 pour les métadonnées des instances.

  • Configurez la HttpPutResponseHopLimit valeur.

  • Autorisez ou refusez l'accès aux métadonnées de l'instance.

Pour plus d'informations sur les métadonnées d'instance, consultez Configuration du service de métadonnées d'instance dans le guide de l'utilisateur Amazon EC2.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

LinuxmacOS, Windows

Paramètres

  • AutomationAssumeRole

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • Appliquer IMDS V2

    Type : chaîne

    Valeurs valides : obligatoire | facultatif

    Par défaut : optionnel

    Description : (Facultatif) Appliquez IMDSv2. Si vous le souhaitezrequired, l'instance Amazon EC2 utilisera uniquement IMDSv2. Si vous le souhaitezoptional, vous pouvez choisir entre IMDSv1 et IMDSv2 pour l'accès aux métadonnées.

    Important

    Si vous appliquez IMDSv2, les applications qui utilisent IMDSv1 risquent de ne pas fonctionner correctement. Avant d'appliquer IMDSv2, assurez-vous que vos applications qui utilisent IMDS sont mises à niveau vers une version compatible IMDSv2. Pour plus d'informations sur le service de métadonnées d'instance version 2 (IMDSv2), consultez la section Configuration du service de métadonnées d'instance dans le guide de l'utilisateur Amazon EC2.

  • HttpPutResponseHopLimite

    Type : entier

    Valeurs valides : 0 à 64

    Par défaut : 0

    Description : (Facultatif) La valeur limite de saut de réponse HTTP PUT souhaitée (1 à 64) pour les demandes de métadonnées d'instance. Cette valeur contrôle le nombre de sauts que la réponse PUT peut effectuer. Pour empêcher la réponse de voyager en dehors de l'instance, spécifiez 1 la valeur du paramètre.

  • InstanceId

    Type : chaîne

    Description : (Obligatoire) L'ID de l'instance Amazon EC2 dont vous souhaitez configurer les paramètres de métadonnées.

  • MetadataAccess

    Type : chaîne

    Valeurs valides : activé | désactivé

    Par défaut : activé

    Description : (Facultatif) Autorisez ou refusez l'accès aux métadonnées de l'instance Amazon EC2. Si vous le spécifiezdisabled, tous les autres paramètres seront ignorés et l'accès aux métadonnées sera refusé à l'instance.

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Étapes de document

  1. branche OnMetadataAccess - Automatisation des branches basée sur la valeur du MetadataAccess paramètre.

  2. disableMetadataAccess - Appelle l'action ModifyInstanceMetadataOptions API pour désactiver l'accès au point de terminaison des métadonnées.

  3. branche OnHttpPutResponseHopLimit - Automatisation des branches basée sur la valeur du HttpPutResponseHopLimit paramètre.

  4. maintain HopLimitAndConfigureImdsVersion - Si la valeur HttpPutResponseHopLimit est 0, elle maintient la limite de sauts actuelle et modifie les autres options de métadonnées.

  5. wait BeforeAsserting IMDSv2State - Attend 30 secondes avant de confirmer le statut IMDSv2.

  6. set HopLimitAndConfigureImdsVersion - Si la HttpPutResponseHopLimit valeur est supérieure à 0, configure les options de métadonnées en utilisant les paramètres d'entrée donnés.

  7. attendre BeforeAssertingHopLimit  : attend 30 secondes avant de définir les options de métadonnées.

  8. assertHopLimit - Affirme que la HttpPutResponseHopLimit propriété est définie sur la valeur que vous avez spécifiée.

  9. branch VerificationOn IMDSv2Option - Vérification des branches en fonction de la valeur du paramètre. EnforceIMDSv2

  10. AssertImDSv2 IsOptional - Affirme une valeur définie sur. HttpTokens optional

  11. AssertImDSv2 IsEnforced - Affirme une valeur définie sur. HttpTokens required

  12. attendre BeforeAssertingMetadataState  : attend 30 secondes avant de confirmer que l'état des métadonnées est désactivé.

  13. assert MetadataIsDisabled - Affirme que les métadonnées sontdisabled.

  14. describeMetadataOptions - Obtient les options de métadonnées une fois que les modifications que vous avez spécifiées ont été appliquées.

Sorties

décrire MetadataOptions .State

décrireMetadataOptions. MetadataAccess

décrire MetadataOptions .IMDSv2

décrireMetadataOptions. HttpPutResponseHopLimite