AWSSupport-ConfigureEC2Metadata - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-ConfigureEC2Metadata

Deskripsi

Runbook ini membantu Anda mengonfigurasi opsi layanan metadata instans (IMDS) untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Dengan menggunakan runbook ini, Anda dapat mengonfigurasi yang berikut:

  • Menegakkan penggunaan IMDSv2 misalnya metadata.

  • Konfigurasikan HttpPutResponseHopLimit nilainya.

  • Izinkan atau tolak akses metadata instance.

Untuk informasi selengkapnya tentang metadata instans, lihat Mengonfigurasi Layanan Metadata Instans di Panduan Pengguna Amazon EC2.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux,macOS, Windows

Parameter

  • AutomationAssumeRole

    Jenis: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • PenegakanIMDSv2

    Jenis: String

    Nilai yang valid: wajib | opsional

    Default: opsional

    Deskripsi: (Opsional) Menegakkan IMDSv2. Jika Anda memilihrequired, instans Amazon EC2 hanya akan menggunakan IMDSv2. Jika Anda memilihoptional, Anda dapat memilih antara IMDSv1 dan IMDSv2 untuk akses metadata.

    penting

    Jika Anda menerapkan ImDSv2, aplikasi yang menggunakan IMDSv1 mungkin tidak berfungsi dengan benar. Sebelum menerapkan IMDSv2, pastikan aplikasi Anda yang menggunakan IMDS ditingkatkan ke versi yang mendukung IMDSv2. Untuk informasi tentang Layanan Metadata Instans Versi 2 (IMDSv2), lihat Mengonfigurasi Layanan Metadata Instans di Panduan Pengguna Amazon EC2.

  • HttpPutResponseHopBatasi

    Jenis: Integer

    Nilai yang valid: 0-64

    Default: 0

    Deskripsi: (Opsional) Nilai batas hop respons HTTP PUT yang diinginkan (1-64) misalnya permintaan metadata. Nilai ini mengontrol jumlah hop yang dapat dilalui oleh respons PUT. Untuk mencegah respons berjalan di luar instance, 1 tentukan nilai parameter.

  • InstanceId

    Jenis: String

    Deskripsi: (Wajib) ID instans Amazon EC2 yang pengaturan metadatanya ingin Anda konfigurasikan.

  • MetadataAccess

    Jenis: String

    Nilai yang valid: diaktifkan | dinonaktifkan

    Default: diaktifkan

    Deskripsi: (Opsional) Izinkan atau tolak akses metadata instans di instans Amazon EC2. Jika Anda menentukandisabled, semua parameter lain akan diabaikan dan akses metadata akan ditolak untuk contoh tersebut.

Izin IAM yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Langkah Dokumen

  1. cabang OnMetadataAccess - Otomatisasi cabang berdasarkan nilai MetadataAccess parameter.

  2. disableMetadataAccess - Memanggil tindakan ModifyInstanceMetadataOptions API untuk menonaktifkan akses titik akhir metadata.

  3. cabang OnHttpPutResponseHopLimit - Otomatisasi cabang berdasarkan nilai HttpPutResponseHopLimit parameter.

  4. pertahankan HopLimitAndConfigureImdsVersion - Jika HttpPutResponseHopLimit 0, pertahankan batas hop saat ini dan ubah opsi metadata lainnya.

  5. tunggu BeforeAsserting IMDSv2state - Menunggu 30 detik sebelum menegaskan status IMDSv2.

  6. set HopLimitAndConfigureImdsVersion - Jika HttpPutResponseHopLimit lebih besar dari 0, mengkonfigurasi opsi metadata menggunakan parameter input yang diberikan.

  7. tunggu BeforeAssertingHopLimit - Menunggu 30 detik sebelum menegaskan opsi metadata.

  8. assertHopLimit - Menegaskan HttpPutResponseHopLimit properti diatur ke nilai yang Anda tentukan.

  9. cabang VerificationOn IMDSV2Option - Verifikasi cabang berdasarkan nilai parameter. EnforceIMDSv2

  10. AssertImdsv2 IsOptional - Menegaskan nilai yang disetel ke. HttpTokens optional

  11. AssertImdsv2 IsEnforced - Menegaskan nilai yang disetel ke. HttpTokens required

  12. tunggu BeforeAssertingMetadataState - Menunggu 30 detik sebelum menyatakan status metadata dinonaktifkan.

  13. menegaskan MetadataIsDisabled - Menegaskan metadata adalah. disabled

  14. describeMetadataOptions - Mendapat opsi metadata setelah perubahan yang Anda tentukan telah diterapkan.

Keluaran

menggambarkan MetadataOptions .State

menggambarkanMetadataOptions. MetadataAccess

jelaskan MetadataOptions .imDSv2

menggambarkanMetadataOptions. HttpPutResponseHopBatasi