Mengonfigurasi opsi metadata instans untuk instans baru - Amazon Elastic Compute Cloud
Kebutuhan penggunaan IMDSv2Aktifkan IMDS IPv4 dan titik IPv6 akhirNonaktifkan akses untuk metadata instans

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi opsi metadata instans untuk instans baru

Anda dapat mengonfigurasi opsi metadata instance berikut untuk instance baru.

Kebutuhan penggunaan IMDSv2

Anda dapat menggunakan metode berikut untuk meminta penggunaan IMDSv2 pada instance baru Anda.

Tetapkan IMDSv2 sebagai default untuk akun

Anda dapat menyetel versi default untuk layanan metadata instance (IMDS) di tingkat akun untuk masing-masing. Wilayah AWS Ini berarti bahwa ketika Anda meluncurkan instance baru, versi metadata instans secara otomatis disetel ke default tingkat akun. Namun, Anda dapat mengganti nilai secara manual saat peluncuran atau setelah peluncuran. Untuk informasi selengkapnya tentang bagaimana pengaturan tingkat akun dan penggantian manual memengaruhi instance, lihat. Urutan prioritas misalnya opsi metadata

catatan

Menyetel default tingkat akun tidak mengatur ulang instance yang ada. Misalnya, jika Anda menyetel default tingkat akun keIMDSv2, semua instance yang ada yang disetel ke tidak IMDSv1 terpengaruh. Jika Anda ingin mengubah nilai pada instance yang ada, Anda harus secara manual mengubah nilai pada instance itu sendiri.

Anda dapat mengatur default akun untuk versi metadata instans IMDSv2 agar semua instance baru di akun diluncurkan dengan IMDSv2 required, dan IMDSv1 akan dinonaktifkan. Dengan default akun ini, saat Anda meluncurkan instance, berikut ini adalah nilai default untuk instance:

  • Konsol: Versi metadata diatur ke V2 saja (diperlukan token) dan batas hop respons Metadata diatur ke 2.

  • AWS CLI: HttpTokens diatur ke required dan HttpPutResponseHopLimit diatur ke2.

catatan

Sebelum menyetel default akunIMDSv2, pastikan instans Anda tidak bergantung padaIMDSv1. Untuk informasi selengkapnya, lihat Jalur yang direkomendasikan untuk membutuhkan IMDSv2.

Console
Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih EC2Dasbor.

  4. Di bawah Atribut akun, pilih Perlindungan dan keamanan data.

  5. Di samping IMDSdefault, pilih Kelola.

  6. Pada halaman Kelola IMDS default, lakukan hal berikut:

    1. Untuk layanan metadata Instance, pilih Diaktifkan.

    2. Untuk Versi metadata, pilih V2 saja (token diperlukan).

    3. Untuk batas hop respons Metadata, tentukan 2 jika instance Anda akan meng-host container. Jika tidak, pilih Tidak ada preferensi. Ketika tidak ada preferensi yang ditentukan, saat peluncuran, nilai default ke 2 jika AMI membutuhkanIMDSv2; jika tidak maka defaultnya ke 1.

    4. Pilih Perbarui.

AWS CLI
Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan

Gunakan modify-instance-metadata-defaultsperintah dan tentukan Wilayah untuk memodifikasi pengaturan tingkat IMDS akun. Sertakan --http-tokens set ke required dan --http-put-response-hop-limit atur ke 2 jika instance Anda akan meng-host kontainer. Jika tidak, tentukan -1 untuk menunjukkan tidak ada preferensi. Ketika -1 (tidak ada preferensi) ditentukan, saat peluncuran, nilai default ke 2 if the AMI requireIMDSv2; jika tidak maka default ke. 1

aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-put-response-hop-limit 2

Output yang diharapkan

{
    "Return": true
}
Untuk melihat pengaturan akun default untuk opsi metadata instance untuk Wilayah yang ditentukan

Gunakan get-instance-metadata-defaultsperintah dan tentukan Wilayah.

aws ec2 get-instance-metadata-defaults --region us-east-1

Contoh Output

{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpPutResponseHopLimit": 2
    }
}
PowerShell
Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan

Gunakan Edit-EC2InstanceMetadataDefaultperintah dan tentukan Wilayah untuk memodifikasi pengaturan tingkat IMDS akun. Sertakan -HttpToken set ke required dan -HttpPutResponseHopLimit atur ke 2 jika instance Anda akan meng-host kontainer. Jika tidak, tentukan -1 untuk menunjukkan tidak ada preferensi. Ketika -1 (tidak ada preferensi) ditentukan, saat peluncuran, nilai default ke 2 if the AMI requireIMDSv2; jika tidak maka default ke. 1

Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2

Output yang diharapkan

True
Untuk melihat pengaturan akun default untuk opsi metadata instance untuk Wilayah yang ditentukan

Gunakan Get-EC2InstanceMetadataDefaultperintah dan tentukan Wilayah.

Get-EC2InstanceMetadataDefault -Region us-east-1 | Format-List

Contoh Output

HttpEndpoint            : 
HttpPutResponseHopLimit : 2
HttpTokens              : required
InstanceMetadataTags    :

Konfigurasikan instans saat peluncuran

Saat meluncurkan instance, Anda dapat mengonfigurasi instance agar memerlukan penggunaan IMDSv2 dengan mengonfigurasi bidang berikut:

  • EC2Konsol Amazon: Setel versi Metadata ke V2 saja (diperlukan token).

  • AWS CLI: Atur HttpTokens ke required.

Bila Anda menentukan yang IMDSv2 diperlukan, Anda juga harus mengaktifkan titik akhir Instance Metadata Service (IMDS) dengan menyetel Metadata yang dapat diakses ke Enabled (console) atau to (). HttpEndpoint enabledAWS CLI

Dalam lingkungan kontainer, bila IMDSv2 diperlukan, kami sarankan untuk mengatur batas hop ke2. Untuk informasi selengkapnya, lihat Pertimbangan.

New console
Untuk memerlukan penggunaan IMDSv2 pada instance baru

  • Saat meluncurkan instans baru di EC2 konsol Amazon, perluas Detail lanjutan, dan lakukan hal berikut:

    • Untuk Metadata yang dapat diakses, pilih Diaktifkan.

    • Untuk Versi metadata, pilih V2 saja (token diperlukan).

    • (Lingkungan kontainer) Untuk batas hop respons Metadata, pilih 2.

    Untuk informasi selengkapnya, lihat Detail lanjutan.

Old console
Untuk memerlukan penggunaan IMDSv2 pada instance baru

  • Saat meluncurkan instance baru di EC2 konsol Amazon, pilih opsi berikut di halaman Konfigurasi Detail Instance:

    • Pada Detail Tingkat Lanjut, untuk Metadata yang dapat diakses, pilih Diaktifkan.

    • Untuk Versi metadata, pilih V2 (token diperlukan).

Untuk informasi selengkapnya, lihat Langkah 3: Konfigurasikan Detail Instans.

AWS CLI
Untuk memerlukan penggunaan IMDSv2 pada instance baru

Contoh run-instances berikut meluncurkan instans c6i.large dengan --metadata-options yang diatur ke HttpTokens=required. Jika Anda menetapkan nilai untuk HttpTokens, maka Anda juga harus mengatur HttpEndpoint ke enabled. Karena header token aman disetel ke required untuk permintaan pengambilan metadata, ini memerlukan instance untuk digunakan IMDSv2 saat meminta metadata instance.

Dalam lingkungan kontainer, bila IMDSv2 diperlukan, kami sarankan untuk mengatur batas hop ke 2 withHttpPutResponseHopLimit=2.

aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
	...
    --metadata-options "HttpEndpoint=enabled,HttpTokens=required,HttpPutResponseHopLimit=2"
PowerShell
Untuk memerlukan penggunaan IMDSv2 pada instance baru

Contoh New-EC2InstanceCmdlet berikut meluncurkan c6i.large instance dengan MetadataOptions_HttpEndpoint set to enabled dan parameter ke. MetadataOptions_HttpTokens required Jika Anda menetapkan nilai untuk HttpTokens, maka Anda juga harus mengatur HttpEndpoint ke enabled. Karena header token aman disetel ke required untuk permintaan pengambilan metadata, ini memerlukan instance untuk digunakan IMDSv2 saat meminta metadata instance.

New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpTokens required
AWS CloudFormation

Untuk menentukan opsi metadata untuk instance yang menggunakan AWS CloudFormation, lihat LaunchTemplate MetadataOptions properti AWS:EC2:: di AWS CloudFormation Panduan Pengguna.

Konfigurasikan AMI

Saat Anda mendaftarkan yang baru AMI atau memodifikasi yang sudah adaAMI, Anda dapat mengatur imds-support parameternyav2.0. Instans yang diluncurkan dari ini AMI akan memiliki versi Metadata yang disetel ke V2 saja (diperlukan token) (konsol) atau HttpTokens disetel ke required ().AWS CLI Dengan pengaturan ini, instance mengharuskan yang IMDSv2 digunakan saat meminta metadata instance.

Perhatikan bahwa saat Anda menyetel imds-support kev2.0, instance yang diluncurkan dari ini juga AMI akan memiliki batas hop respons Metadata (konsol) atau http-put-response-hop-limit (AWS CLI) disetel ke 2.

penting

Jangan gunakan parameter ini kecuali AMI perangkat lunak Anda mendukungIMDSv2. Setelah Anda mengatur nilainya ke v2.0, Anda tidak dapat membatalkannya. Satu-satunya cara untuk “mengatur ulang” Anda AMI adalah dengan membuat yang baru AMI dari snapshot yang mendasarinya.

Untuk mengkonfigurasi yang baru AMI untuk IMDSv2

Gunakan salah satu metode berikut untuk mengonfigurasi yang baru AMI untukIMDSv2.

AWS CLI

Contoh register-image berikut mendaftarkan AMI penggunaan snapshot yang ditentukan dari volume root sebagai EBS perangkat. /dev/xvda Tentukan v2.0 imds-support parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0
PowerShell

Contoh Register-EC2ImageCmdlet berikut mendaftarkan AMI penggunaan snapshot yang ditentukan dari volume EBS root sebagai perangkat. /dev/xvda Tentukan v2.0 ImdsSupport parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

Register-EC2Image `
    -Name 'my-image' `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping  ( 
    New-Object `
        -TypeName Amazon.EC2.Model.BlockDeviceMapping `
        -Property @{ 
        DeviceName = '/dev/xvda'; 
        EBS        = (New-Object -TypeName Amazon.EC2.Model.EbsBlockDevice -Property @{ 
                SnapshotId = 'snap-0123456789example'
                VolumeType = 'gp3' 
                } )      
        }  ) `
    -Architecture X86_64 `
    -ImdsSupport v2.0
Untuk mengkonfigurasi yang sudah ada AMI untuk IMDSv2

Gunakan salah satu metode berikut untuk mengonfigurasi yang sudah ada AMI untukIMDSv2.

AWS CLI

modify-image-attributeContoh berikut memodifikasi yang ada IMDSv2 hanya AMI untuk. Tentukan v2.0 imds-support parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

aws ec2 modify-image-attribute \
    --image-id ami-0123456789example \
    --imds-support v2.0
PowerShell

Contoh Edit-EC2ImageAttributeCmdlet berikut memodifikasi yang ada AMI hanya untuk. IMDSv2 Tentukan v2.0 imds-support parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ImdsSupport 'v2.0'

Gunakan IAM kebijakan

Anda dapat membuat IAM kebijakan yang mencegah pengguna meluncurkan instance baru kecuali mereka memerlukan IMDSv2 instans baru.

Untuk menegakkan penggunaan IMDSv2 pada semua instans baru dengan menggunakan kebijakan IAM

Untuk memastikan bahwa pengguna hanya dapat meluncurkan instance yang memerlukan penggunaan IMDSv2 saat meminta metadata instance, Anda dapat menentukan bahwa kondisi yang diperlukan IMDSv2 harus dipenuhi sebelum instance dapat diluncurkan. Untuk contoh IAM kebijakan, lihatCara menggunakan metadata instans.

Aktifkan IMDS IPv4 dan titik IPv6 akhir

Ini IMDS memiliki dua titik akhir pada sebuah instance: IPv4 (169.254.169.254) dan IPv6 ([fd00:ec2::254]). Saat Anda mengaktifkanIMDS, IPv4 titik akhir diaktifkan secara otomatis. IPv6Titik akhir tetap dinonaktifkan bahkan jika Anda meluncurkan instance ke subnet IPv6 -only. Untuk mengaktifkan IPv6 titik akhir, Anda perlu melakukannya secara eksplisit. Saat Anda mengaktifkan titik IPv6 akhir, IPv4 titik akhir tetap diaktifkan.

Anda dapat mengaktifkan IPv6 titik akhir saat peluncuran instance atau setelahnya.

Persyaratan untuk mengaktifkan titik akhir IPv6

Gunakan salah satu metode berikut untuk meluncurkan instance dengan IMDS IPv6 titik akhir diaktifkan.

New console
Untuk mengaktifkan IMDS IPv6 titik akhir saat peluncuran instance

  • Luncurkan instance di EC2 konsol Amazon dengan hal berikut yang ditentukan di bawah Detail lanjutan:

    • Untuk IPv6titik akhir Metadata, pilih Diaktifkan.

Untuk informasi selengkapnya, lihat Detail lanjutan.

AWS CLI
Untuk mengaktifkan IMDS IPv6 titik akhir saat peluncuran instance

Contoh run-instance berikut meluncurkan c6i.large instance dengan titik IPv6 akhir diaktifkan untuk. IMDS Untuk mengaktifkan IPv6 titik akhir, untuk --metadata-options parameter, tentukanHttpProtocolIpv6=enabled. Jika Anda menetapkan nilai untuk HttpProtocolIpv6, maka Anda juga harus mengatur HttpEndpoint ke enabled.

aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ...
    --metadata-options "HttpEndpoint=enabled,HttpProtocolIpv6=enabled"
PowerShell
Untuk mengaktifkan IMDS IPv6 titik akhir saat peluncuran instance

Contoh New-EC2InstanceCmdlet berikut meluncurkan c6i.large instance dengan IPv6 titik akhir diaktifkan untuk. IMDS Untuk mengaktifkan IPv6 titik akhir, tentukan MetadataOptions_HttpProtocolIpv6 sebagaienabled. Jika Anda menetapkan nilai untuk MetadataOptions_HttpProtocolIpv6, maka Anda juga harus mengatur MetadataOptions_HttpEndpoint ke enabled.

New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpProtocolIpv6 enabled

Nonaktifkan akses untuk metadata instans

Anda dapat menonaktifkan akses ke metadata instans dengan menonaktifkan IMDS saat Anda meluncurkan instance. Anda dapat mengaktifkan akses nanti dengan mengaktifkan kembali file. IMDS Untuk informasi selengkapnya, lihat Aktifkan akses ke metadata instans.

penting

Anda dapat memilih untuk menonaktifkan IMDS saat peluncuran atau setelah peluncuran. Jika Anda menonaktifkan IMDS saat peluncuran, berikut ini mungkin tidak berfungsi:

  • Anda mungkin tidak memiliki SSH akses ke instans Anda. SSHKunci publik instans Anda, tidak akan dapat diakses karena kunci biasanya disediakan dan diakses dari EC2 metadata instance. public-keys/0/openssh-key

  • EC2data pengguna tidak akan tersedia dan tidak akan berjalan saat instance start. EC2data pengguna di-host diIMDS. Jika Anda menonaktifkanIMDS, Anda secara efektif mematikan akses ke data pengguna.

Untuk mengakses fungsi ini, Anda dapat mengaktifkan kembali IMDS setelah peluncuran.

New console
Untuk menonaktifkan akses ke metadata instans saat peluncuran

  • Luncurkan instance di EC2 konsol Amazon dengan hal berikut yang ditentukan di bawah Detail lanjutan:

    • Untuk Metadata yang dapat diakses, pilih Diaktifkan.

Untuk informasi selengkapnya, lihat Detail lanjutan.

Old console
Untuk menonaktifkan akses ke metadata instans saat peluncuran

  • Luncurkan instance di EC2 konsol Amazon dengan opsi berikut yang dipilih di halaman Konfigurasi Detail Instance:

    • Pada Detail Tingkat Lanjut, untuk Metadata yang dapat diakses, pilih Dinonaktifkan.

Untuk informasi selengkapnya, lihat Langkah 3: Konfigurasikan Detail Instans.

AWS CLI
Untuk menonaktifkan akses ke metadata instans saat peluncuran

Luncurkan instans dengan --metadata-options diatur ke HttpEndpoint=disabled.

aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ... 
    --metadata-options "HttpEndpoint=disabled"
PowerShell
Untuk menonaktifkan akses ke metadata instans saat peluncuran

Contoh New-EC2InstanceCmdlet berikut meluncurkan instance dengan MetadataOptions_HttpEndpoint set ke. disabled

New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint disabled
AWS CloudFormation

Untuk menentukan opsi metadata untuk instance yang menggunakan AWS CloudFormation, lihat LaunchTemplate MetadataOptions properti AWS:EC2:: di AWS CloudFormation Panduan Pengguna.