Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengonfigurasi opsi metadata instans untuk instans baru
Anda dapat mengonfigurasi opsi metadata instance berikut untuk instance baru.
Anda dapat menggunakan metode berikut untuk meminta penggunaan IMDSv2 pada instance baru Anda.
Tetapkan IMDSv2 sebagai default untuk akun
Anda dapat menyetel versi default untuk layanan metadata instance (IMDS) di tingkat akun untuk masing-masing. Wilayah AWS Ini berarti bahwa ketika Anda meluncurkan instance baru, versi metadata instans secara otomatis disetel ke default tingkat akun. Namun, Anda dapat mengganti nilai secara manual saat peluncuran atau setelah peluncuran. Untuk informasi selengkapnya tentang bagaimana pengaturan tingkat akun dan penggantian manual memengaruhi instance, lihat. Urutan prioritas misalnya opsi metadata
Menyetel default tingkat akun tidak mengatur ulang instance yang ada. Misalnya, jika Anda menyetel default tingkat akun keIMDSv2, semua instance yang ada yang disetel ke tidak IMDSv1 terpengaruh. Jika Anda ingin mengubah nilai pada instance yang ada, Anda harus secara manual mengubah nilai pada instance itu sendiri.
Anda dapat mengatur default akun untuk versi metadata instans IMDSv2 agar semua instance baru di akun diluncurkan dengan IMDSv2 required, dan IMDSv1 akan dinonaktifkan. Dengan default akun ini, saat Anda meluncurkan instance, berikut ini adalah nilai default untuk instance:
- Console
-
Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.
-
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih EC2Dasbor.
-
Di bawah Atribut akun, pilih Perlindungan dan keamanan data.
-
Di samping IMDSdefault, pilih Kelola.
-
Pada halaman Kelola IMDS default, lakukan hal berikut:
-
Untuk layanan metadata Instance, pilih Diaktifkan.
-
Untuk Versi metadata, pilih V2 saja (token diperlukan).
-
Untuk batas hop respons Metadata, tentukan 2 jika instance Anda akan meng-host container. Jika tidak, pilih Tidak ada preferensi. Ketika tidak ada preferensi yang ditentukan, saat peluncuran, nilai default ke 2 jika AMI membutuhkanIMDSv2; jika tidak maka defaultnya ke 1.
-
Pilih Perbarui.
- AWS CLI
-
Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan
Gunakan modify-instance-metadata-defaultsperintah dan tentukan Wilayah untuk memodifikasi pengaturan tingkat IMDS akun. Sertakan --http-tokens
set ke required
dan --http-put-response-hop-limit
atur ke 2
jika instance Anda akan meng-host kontainer. Jika tidak, tentukan -1
untuk menunjukkan tidak ada preferensi. Ketika -1
(tidak ada preferensi) ditentukan, saat peluncuran, nilai default ke 2
if the AMI requireIMDSv2; jika tidak maka default ke. 1
aws ec2 modify-instance-metadata-defaults \
--region us-east-1
\
--http-tokens required \
--http-put-response-hop-limit 2
Output yang diharapkan
{
"Return": true
}
Untuk melihat pengaturan akun default untuk opsi metadata instance untuk Wilayah yang ditentukan
Gunakan get-instance-metadata-defaultsperintah dan tentukan Wilayah.
aws ec2 get-instance-metadata-defaults --region us-east-1
Contoh Output
{
"AccountLevel": {
"HttpTokens": "required",
"HttpPutResponseHopLimit": 2
}
}
- PowerShell
-
Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan
Gunakan Edit-EC2InstanceMetadataDefaultperintah dan tentukan Wilayah untuk memodifikasi pengaturan tingkat IMDS akun. Sertakan -HttpToken
set ke required
dan -HttpPutResponseHopLimit
atur ke 2
jika instance Anda akan meng-host kontainer. Jika tidak, tentukan -1
untuk menunjukkan tidak ada preferensi. Ketika -1
(tidak ada preferensi) ditentukan, saat peluncuran, nilai default ke 2
if the AMI requireIMDSv2; jika tidak maka default ke. 1
Edit-EC2InstanceMetadataDefault `
-Region us-east-1
`
-HttpToken required `
-HttpPutResponseHopLimit 2
Output yang diharapkan
True
Untuk melihat pengaturan akun default untuk opsi metadata instance untuk Wilayah yang ditentukan
Gunakan Get-EC2InstanceMetadataDefaultperintah dan tentukan Wilayah.
Get-EC2InstanceMetadataDefault -Region us-east-1
| Format-List
Contoh Output
HttpEndpoint :
HttpPutResponseHopLimit : 2
HttpTokens : required
InstanceMetadataTags :
Saat meluncurkan instance, Anda dapat mengonfigurasi instance agar memerlukan penggunaan IMDSv2 dengan mengonfigurasi bidang berikut:
Bila Anda menentukan yang IMDSv2 diperlukan, Anda juga harus mengaktifkan titik akhir Instance Metadata Service (IMDS) dengan menyetel Metadata yang dapat diakses ke Enabled (console) atau to (). HttpEndpoint
enabled
AWS CLI
Dalam lingkungan kontainer, bila IMDSv2 diperlukan, kami sarankan untuk mengatur batas hop ke2
. Untuk informasi selengkapnya, lihat Pertimbangan.
- New console
-
Untuk memerlukan penggunaan IMDSv2 pada instance baru
-
Saat meluncurkan instans baru di EC2 konsol Amazon, perluas Detail lanjutan, dan lakukan hal berikut:
-
Untuk Metadata yang dapat diakses, pilih Diaktifkan.
-
Untuk Versi metadata, pilih V2 saja (token diperlukan).
-
(Lingkungan kontainer) Untuk batas hop respons Metadata, pilih 2.
Untuk informasi selengkapnya, lihat Detail lanjutan.
- Old console
-
Untuk memerlukan penggunaan IMDSv2 pada instance baru
Untuk informasi selengkapnya, lihat Langkah 3: Konfigurasikan Detail Instans.
- AWS CLI
-
Untuk memerlukan penggunaan IMDSv2 pada instance baru
Contoh run-instances berikut meluncurkan instans c6i.large
dengan --metadata-options
yang diatur ke HttpTokens=required
. Jika Anda menetapkan nilai untuk HttpTokens
, maka Anda juga harus mengatur HttpEndpoint
ke enabled
. Karena header token aman disetel ke required
untuk permintaan pengambilan metadata, ini memerlukan instance untuk digunakan IMDSv2 saat meminta metadata instance.
Dalam lingkungan kontainer, bila IMDSv2 diperlukan, kami sarankan untuk mengatur batas hop ke 2
withHttpPutResponseHopLimit=2
.
aws ec2 run-instances \
--image-id ami-0abcdef1234567890
\
--instance-type c6i.large
\
...
--metadata-options "HttpEndpoint=enabled,HttpTokens=required,HttpPutResponseHopLimit=2"
- PowerShell
-
Untuk memerlukan penggunaan IMDSv2 pada instance baru
Contoh New-EC2InstanceCmdlet berikut meluncurkan c6i.large
instance dengan MetadataOptions_HttpEndpoint
set to enabled
dan parameter ke. MetadataOptions_HttpTokens
required
Jika Anda menetapkan nilai untuk HttpTokens
, maka Anda juga harus mengatur HttpEndpoint
ke enabled
. Karena header token aman disetel ke required
untuk permintaan pengambilan metadata, ini memerlukan instance untuk digunakan IMDSv2 saat meminta metadata instance.
New-EC2Instance `
-ImageId ami-0abcdef1234567890
`
-InstanceType c6i.large
`
-MetadataOptions_HttpEndpoint enabled `
-MetadataOptions_HttpTokens required
- AWS CloudFormation
-
Untuk menentukan opsi metadata untuk instance yang menggunakan AWS CloudFormation, lihat LaunchTemplate MetadataOptions properti AWS:EC2:: di AWS CloudFormation Panduan Pengguna.
Saat Anda mendaftarkan yang baru AMI atau memodifikasi yang sudah adaAMI, Anda dapat mengatur imds-support
parameternyav2.0
. Instans yang diluncurkan dari ini AMI akan memiliki versi Metadata yang disetel ke V2 saja (diperlukan token) (konsol) atau HttpTokens
disetel ke required
().AWS CLI Dengan pengaturan ini, instance mengharuskan yang IMDSv2 digunakan saat meminta metadata instance.
Perhatikan bahwa saat Anda menyetel imds-support
kev2.0
, instance yang diluncurkan dari ini juga AMI akan memiliki batas hop respons Metadata (konsol) atau http-put-response-hop-limit
(AWS CLI) disetel ke 2.
Jangan gunakan parameter ini kecuali AMI perangkat lunak Anda mendukungIMDSv2. Setelah Anda mengatur nilainya ke v2.0
, Anda tidak dapat membatalkannya. Satu-satunya cara untuk “mengatur ulang” Anda AMI adalah dengan membuat yang baru AMI dari snapshot yang mendasarinya.
Untuk mengkonfigurasi yang baru AMI untuk IMDSv2
Gunakan salah satu metode berikut untuk mengonfigurasi yang baru AMI untukIMDSv2.
- AWS CLI
-
Contoh register-image berikut mendaftarkan AMI penggunaan snapshot yang ditentukan dari volume root sebagai EBS perangkat. /dev/xvda
Tentukan v2.0
imds-support
parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.
aws ec2 register-image \
--name my-image
\
--root-device-name /dev/xvda \
--block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example
} \
--architecture x86_64 \
--imds-support v2.0
- PowerShell
-
Contoh Register-EC2ImageCmdlet berikut mendaftarkan AMI penggunaan snapshot yang ditentukan dari volume EBS root sebagai perangkat. /dev/xvda
Tentukan v2.0
ImdsSupport
parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.
Register-EC2Image `
-Name 'my-image
' `
-RootDeviceName /dev/xvda `
-BlockDeviceMapping (
New-Object `
-TypeName Amazon.EC2.Model.BlockDeviceMapping `
-Property @{
DeviceName = '/dev/xvda';
EBS = (New-Object -TypeName Amazon.EC2.Model.EbsBlockDevice -Property @{
SnapshotId = 'snap-0123456789example
'
VolumeType = 'gp3'
} )
} ) `
-Architecture X86_64 `
-ImdsSupport v2.0
Untuk mengkonfigurasi yang sudah ada AMI untuk IMDSv2
Gunakan salah satu metode berikut untuk mengonfigurasi yang sudah ada AMI untukIMDSv2.
- AWS CLI
-
modify-image-attributeContoh berikut memodifikasi yang ada IMDSv2 hanya AMI untuk. Tentukan v2.0
imds-support
parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.
aws ec2 modify-image-attribute \
--image-id ami-0123456789example
\
--imds-support v2.0
- PowerShell
-
Contoh Edit-EC2ImageAttributeCmdlet berikut memodifikasi yang ada AMI hanya untuk. IMDSv2 Tentukan v2.0
imds-support
parameter sehingga instance yang diluncurkan dari ini AMI akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.
Edit-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890
`
-ImdsSupport 'v2.0'
Anda dapat membuat IAM kebijakan yang mencegah pengguna meluncurkan instance baru kecuali mereka memerlukan IMDSv2 instans baru.
Untuk menegakkan penggunaan IMDSv2 pada semua instans baru dengan menggunakan kebijakan IAM
Untuk memastikan bahwa pengguna hanya dapat meluncurkan instance yang memerlukan penggunaan IMDSv2 saat meminta metadata instance, Anda dapat menentukan bahwa kondisi yang diperlukan IMDSv2 harus dipenuhi sebelum instance dapat diluncurkan. Untuk contoh IAM kebijakan, lihatCara menggunakan metadata instans.
Ini IMDS memiliki dua titik akhir pada sebuah instance: IPv4 (169.254.169.254
) dan IPv6 ([fd00:ec2::254]
). Saat Anda mengaktifkanIMDS, IPv4 titik akhir diaktifkan secara otomatis. IPv6Titik akhir tetap dinonaktifkan bahkan jika Anda meluncurkan instance ke subnet IPv6 -only. Untuk mengaktifkan IPv6 titik akhir, Anda perlu melakukannya secara eksplisit. Saat Anda mengaktifkan titik IPv6 akhir, IPv4 titik akhir tetap diaktifkan.
Anda dapat mengaktifkan IPv6 titik akhir saat peluncuran instance atau setelahnya.
Persyaratan untuk mengaktifkan titik akhir IPv6
Gunakan salah satu metode berikut untuk meluncurkan instance dengan IMDS IPv6 titik akhir diaktifkan.
- New console
-
Untuk mengaktifkan IMDS IPv6 titik akhir saat peluncuran instance
Untuk informasi selengkapnya, lihat Detail lanjutan.
- AWS CLI
-
Untuk mengaktifkan IMDS IPv6 titik akhir saat peluncuran instance
Contoh run-instance berikut meluncurkan c6i.large
instance dengan titik IPv6 akhir diaktifkan untuk. IMDS Untuk mengaktifkan IPv6 titik akhir, untuk --metadata-options
parameter, tentukanHttpProtocolIpv6=enabled
. Jika Anda menetapkan nilai untuk HttpProtocolIpv6
, maka Anda juga harus mengatur HttpEndpoint
ke enabled
.
aws ec2 run-instances \
--image-id ami-0abcdef1234567890
\
--instance-type c6i.large
\
...
--metadata-options "HttpEndpoint=enabled,HttpProtocolIpv6=enabled"
- PowerShell
-
Untuk mengaktifkan IMDS IPv6 titik akhir saat peluncuran instance
Contoh New-EC2InstanceCmdlet berikut meluncurkan c6i.large
instance dengan IPv6 titik akhir diaktifkan untuk. IMDS Untuk mengaktifkan IPv6 titik akhir, tentukan MetadataOptions_HttpProtocolIpv6
sebagaienabled
. Jika Anda menetapkan nilai untuk MetadataOptions_HttpProtocolIpv6
, maka Anda juga harus mengatur MetadataOptions_HttpEndpoint
ke enabled
.
New-EC2Instance `
-ImageId ami-0abcdef1234567890
`
-InstanceType c6i.large
`
-MetadataOptions_HttpEndpoint enabled `
-MetadataOptions_HttpProtocolIpv6 enabled
Anda dapat menonaktifkan akses ke metadata instans dengan menonaktifkan IMDS saat Anda meluncurkan instance. Anda dapat mengaktifkan akses nanti dengan mengaktifkan kembali file. IMDS Untuk informasi selengkapnya, lihat Aktifkan akses ke metadata instans.
Anda dapat memilih untuk menonaktifkan IMDS saat peluncuran atau setelah peluncuran. Jika Anda menonaktifkan IMDS saat peluncuran, berikut ini mungkin tidak berfungsi:
-
Anda mungkin tidak memiliki SSH akses ke instans Anda. SSHKunci publik instans Anda, tidak akan dapat diakses karena kunci biasanya disediakan dan diakses dari EC2 metadata instance. public-keys/0/openssh-key
-
EC2data pengguna tidak akan tersedia dan tidak akan berjalan saat instance start. EC2data pengguna di-host diIMDS. Jika Anda menonaktifkanIMDS, Anda secara efektif mematikan akses ke data pengguna.
Untuk mengakses fungsi ini, Anda dapat mengaktifkan kembali IMDS setelah peluncuran.
- New console
-
Untuk menonaktifkan akses ke metadata instans saat peluncuran
Untuk informasi selengkapnya, lihat Detail lanjutan.
- Old console
-
Untuk menonaktifkan akses ke metadata instans saat peluncuran
Untuk informasi selengkapnya, lihat Langkah 3: Konfigurasikan Detail Instans.
- AWS CLI
-
Untuk menonaktifkan akses ke metadata instans saat peluncuran
Luncurkan instans dengan --metadata-options
diatur ke HttpEndpoint=disabled
.
aws ec2 run-instances \
--image-id ami-0abcdef1234567890
\
--instance-type c6i.large
\
...
--metadata-options "HttpEndpoint=disabled"
- PowerShell
-
Untuk menonaktifkan akses ke metadata instans saat peluncuran
Contoh New-EC2InstanceCmdlet berikut meluncurkan instance dengan MetadataOptions_HttpEndpoint
set ke. disabled
New-EC2Instance `
-ImageId ami-0abcdef1234567890
`
-InstanceType c6i.large
`
-MetadataOptions_HttpEndpoint disabled
- AWS CloudFormation
-
Untuk menentukan opsi metadata untuk instance yang menggunakan AWS CloudFormation, lihat LaunchTemplate MetadataOptions properti AWS:EC2:: di AWS CloudFormation Panduan Pengguna.