Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione delle opzioni del servizio di metadati di istanza
<a name="configuring-instance-metadata-options"></a>

Il servizio di metadati di istanza (IMDS) viene eseguito localmente su ogni istanza EC2. Le *opzioni relative ai metadati dell'istanza* si riferiscono a un insieme di configurazioni che controllano l'accessibilità e il comportamento dell'IMDS su un'istanza EC2.

Per ciascuna istanza puoi configurare le seguenti opzioni dei metadati di istanza:

**Servizio di metadati di istanza (IMDS)**: `enabled` \$1 `disabled`  
È possibile abilitare o disabilitare l'IMDS su un'istanza. Se disabilitato, né tu né alcun codice sarete in grado di accedere ai metadati di istanza dell'istanza.  
L'IMDS ha due endpoint su un'istanza: IPv4 (`169.254.169.254`) e IPv6 (). `[fd00:ec2::254]` Quando si abilita l'IMDS, l' IPv4 endpoint viene abilitato automaticamente. Se si desidera abilitare l' IPv6 endpoint, è necessario farlo in modo esplicito.

**Endpoint IMDS: \$1 IPv6 ** `enabled` `disabled`  
È possibile abilitare esplicitamente l'endpoint IPv6 IMDS su un'istanza. Quando l'IPv6 endpoint è abilitato, l'endpoint rimane abilitato. IPv4 L' IPv6endpoint è supportato solo su [istanze basate su Nitro](instance-types.md#instance-hypervisor-type) in [sottoreti IPv6 supportate (dual stack](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range) o solo). IPv6 

**Versione dei metadati**: `IMDSv1 or IMDSv2 (token optional)` \$1 `IMDSv2 only (token required)`  
Quando si richiedono i metadati dell'istanza, le chiamate richiedono un token. IMDSv2 IMDSv1le chiamate non richiedono un token. È possibile configurare un'istanza per consentire entrambe IMDSv1 IMDSv2 le chiamate (dove un token è facoltativo) o per consentire solo IMDSv2 le chiamate (dove è richiesto un token).

**Limite di hop di risposta dei metadati**: `1`–`64`  
Il limite di hop è il numero di hop di rete che la risposta PUT può effettuare. È possibile impostare il limite di hop su un minimo di `1` e un massimo di `64`. In un ambiente container, un limite di hop di `1` può causare problemi. Per informazioni su come mitigare questi problemi, consulta le informazioni sugli ambienti container in [Considerazioni sull'accesso ai metadati dell'istanza](instancedata-data-retrieval.md#imds-considerations).

**Accesso ai tag nei metadati di istanza**: `enabled` \$1 `disabled`  
È possibile abilitare o disabilitare l'accesso ai tag di un'istanza dai metadati dell'istanza. Per ulteriori informazioni, consulta [Visualizza i tag per le istanze EC2 utilizzando i metadati dell'istanza](work-with-tags-in-IMDS.md).

Per visualizzare la configurazione corrente di un’istanza, consulta [Esegui una query sulle opzioni dei metadati dell'istanza per le istanze esistenti](instancedata-data-retrieval.md#query-IMDS-existing-instances).

## Dove configurare le opzioni dei metadati di istanza
<a name="where-to-configure-instance-metadata-options"></a>

Le opzioni dei metadati di istanza possono essere configurate a diversi livelli, come segue:
+ **Account**: è possibile impostare valori predefiniti per le opzioni dei metadati di istanza a livello di account per ciascuna Regione AWS. All'avvio di un'istanza, le opzioni dei metadati dell'istanza vengono impostate automaticamente sui valori a livello di account. Puoi modificare questi valori al momento dell'avvio. I valori predefiniti a livello di account non influiscono sulle istanze esistenti.
+ **AMI**: quando registri o modifichi un'AMI, puoi impostare il parametro `imds-support` su `v2.0`. Quando un'istanza viene avviata con questa AMI, la versione dei metadati dell'istanza viene impostata automaticamente su IMDSv2 e il limite di hop è impostato su 2.
+ **Istanza**: puoi modificare tutte le opzioni dei metadati dell'istanza su un'istanza all'avvio, ignorando le impostazioni predefinite. È inoltre possibile modificare le opzioni dei metadati dell'istanza dopo l'avvio su un'istanza in esecuzione o interrotta. Tieni presente che le modifiche possono essere limitate da una policy IAM o SCP.

Per ulteriori informazioni, consultare [Configurazione delle opzioni dei metadati dell'istanza per le nuove istanze](configuring-IMDS-new-instances.md) e [Modifica delle opzioni dei metadati dell'istanza per le istanze esistenti](configuring-IMDS-existing-instances.md).

## Ordine di precedenza per le opzioni dei metadati di istanza
<a name="instance-metadata-options-order-of-precedence"></a>

Il valore per ciascuna opzione dei metadati di istanza viene determinato all'avvio dell'istanza, seguendo un ordine gerarchico di precedenza. La gerarchia, con la precedenza più alta nella parte superiore, è la seguente:
+ **Precedenza 1: configurazione dell'istanza all'avvio**: i valori possono essere specificati nel modello di avvio o nella configurazione dell'istanza. Tutti i valori qui specificati sostituiscono i valori specificati a livello di account o nell'AMI.
+ **Precedenza 2: impostazioni dell'account:** se non viene specificato un valore all'avvio dell'istanza, viene determinato dalle impostazioni a livello di account (impostate per ciascuna di esse). Regione AWS Le impostazioni a livello di account includono un valore per ciascuna opzione di metadati o non indicano alcuna preferenza.
+ **Precedenza 3: configurazione dell'AMI:** se un valore non è specificato all'avvio dell'istanza o a livello di account, viene determinato dalla configurazione dell'AMI. Questo vale solo per gli eventi `HttpTokens` e `HttpPutResponseHopLimit`.

Ciascuna opzione di metadati viene valutata separatamente. L'istanza può essere configurata con una combinazione di configurazione diretta dell'istanza, impostazioni predefinite a livello di account e configurazione dall'AMI.

È possibile modificare il valore di qualsiasi opzione di metadati dopo l'avvio su un'istanza in esecuzione o interrotta, a meno che le modifiche non siano limitate da una policy IAM o SCP.

**Nota**  
L'impostazione di IMDSv2 applicazione a livello di account viene valutata dopo che l'ordine di precedenza ha determinato le impostazioni IMDS dell'istanza. Quando l' IMDSv2imposizione è abilitata, le istanze abilitate con avranno esito negativo. IMDSv1 Per ulteriori informazioni sull'applicazione, consulta[Applica a livello di account IMDSv2](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

**avvertimento**  
Se IMDSv2 l'applicazione è abilitata e `httpTokens` non è stata impostata né `required` nella configurazione dell'istanza all'avvio, né nelle impostazioni dell'account o nella configurazione AMI, l'avvio avrà esito negativo.

**Esempio 1: determinare i valori per le opzioni dei metadati**

In questo esempio, un'istanza EC2 viene avviata in una regione in cui `HttpPutResponseHopLimit` è impostato su `1` a livello di account. L'AMI specificata ha `ImdsSupport` impostato su `v2.0`. Nessuna opzione di metadati viene specificata direttamente sull'istanza al momento dell'avvio. L'istanza viene avviata con le seguenti opzioni di metadati:

```
"MetadataOptions": {
    ...
    "HttpTokens": "required",
    "HttpPutResponseHopLimit": 1,
    ...
```

Questi valori sono stati determinati nel modo seguente:
+ **Nessuna opzione di metadati specificata all'avvio:** durante l'avvio dell'istanza, i valori specifici per le opzioni di metadati non sono stati forniti né nei parametri di avvio dell'istanza né nel modello di avvio.
+ **Le impostazioni dell'account hanno priorità successiva:** in assenza di valori specifici indicati all'avvio, le impostazioni a livello di account all'interno della Regione hanno la precedenza. Ciò significa che vengono applicati i valori predefiniti configurati a livello di account. In questo caso, `HttpPutResponseHopLimit` era impostato su `1`.
+ **Le impostazioni AMI hanno priorità per ultime:** in assenza di un valore specifico indicato all'avvio o a livello di account per `HttpTokens` (la versione dei metadati di istanza), viene applicata l'impostazione dell'AMI. In questo caso, l'impostazione `ImdsSupport: v2.0` dell'AMI ha determinato che `HttpTokens` era impostato su `required`. Tieni presente che, sebbene l'impostazione `ImdsSupport: v2.0` dell'AMI sia progettata per essere impostata su `HttpPutResponseHopLimit: 2`, è stata sostituita dall'impostazione `HttpPutResponseHopLimit: 1` a livello di account, che ha una priorità più alta.

**Esempio 2 — Determinazione dei valori per le opzioni dei metadati**

In questo esempio, l'istanza EC2 viene avviata con le stesse impostazioni del precedente Esempio 1, ma con `HttpTokens` impostato su `optional` direttamente sull'istanza al momento dell'avvio. L'istanza viene avviata con le seguenti opzioni di metadati:

```
"MetadataOptions": {
    ...
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    ...
```

Il valore di `HttpPutResponseHopLimit` è determinato nello stesso modo dell'Esempio 1. Tuttavia, il valore di `HttpTokens` è determinato come segue: le opzioni di metadati configurate sull'istanza al momento dell'avvio hanno la priorità. Anche se l'AMI era configurata con `ImdsSupport: v2.0` (in altre parole, `HttpTokens` è impostato su `required`), il valore specificato nell'istanza all'avvio (`HttpTokens` impostato su `optional`) aveva la precedenza.

**Esempio 3 — Determinare i valori per le opzioni dei metadati con l'opzione abilitata HttpTokensEnforced **

In questo esempio, l'account nella regione dispone di `HttpTokens = required` e`HttpTokensEnforced = enabled`.

Considera i seguenti tentativi di avvio di un'istanza EC2:
+ Tentativo di avvio `HttpTokens` impostato su`optional`: l'avvio fallisce perché l'applicazione a livello di account è abilitata (`HttpTokensEnforced = enabled`) e il parametro di avvio ha la precedenza sul valore predefinito dell'account.
+ Tentativo di avvio con `HttpTokens` set to`required`: l'avvio ha esito positivo perché è conforme all'applicazione a livello di account. 
+ Tentativo di avvio senza `HttpTokens` valore specificato: l'avvio ha esito positivo perché il valore predefinito è basato sulle impostazioni dell'account. `required` 

### Configurazione della versione dei metadati di istanza
<a name="metadata-version-order-of-precedence"></a>

Quando viene avviata un'istanza, il valore per la *versione dei metadati* dell'istanza è **IMDSv1 o IMDSv2 (token opzionale) (`httpTokens=optional`)** o **IMDSv2only (token richiesto) (**). `httpTokens=required`

All'avvio dell'istanza, è possibile specificare manualmente il valore per la versione dei metadati o utilizzare il valore predefinito. Se specifichi manualmente il valore, esso sostituisce qualsiasi valore predefinito. Se scegliete di non specificare manualmente il valore, questo verrà determinato da una combinazione di impostazioni predefinite.

Il seguente diagramma di flusso mostra come la versione dei metadati per un'istanza al momento del lancio è determinata dalle impostazioni ai diversi livelli della configurazione e da dove viene valutata l'applicazione. La tabella che segue fornisce le impostazioni specifiche per ogni livello.

![\[Un diagramma di flusso che mostra i punti di valutazione per la versione e IMDSv2 l'applicazione dei metadati dell'istanza.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/imds-defaults-launch-flow.png)


La tabella mostra come la versione dei metadati per un'istanza all'avvio (indicata dalla **Configurazione dell'istanza risultante** nella colonna 4) è determinata dalle impostazioni ai diversi livelli di configurazione. L'ordine di precedenza va da sinistra a destra, dove la prima colonna ha la priorità più alta, come segue:
+ Colonna 1: **parametro di avvio**: rappresenta l'impostazione sull'istanza specificata manualmente all'avvio.
+ Colonna 2: **livello di account predefinito**: rappresenta l'impostazione dell'account.
+ Colonna 3: **AMI predefinita**: rappresenta l'impostazione sull'AMI.


| Parametro di avvio | Livello di account predefinito | AMI predefinita | Configurazione dell'istanza risultante | 
| --- | --- | --- | --- | 
| Solo V2 (token richiesto) | Nessuna preferenza | Solo V2 | Solo V2 | 
| Solo V2 (token richiesto) | Solo V2 | Solo V2 | Solo V2 | 
| Solo V2 (token richiesto) | V1 o V2 | Solo V2 | Solo V2 | 
| V1 o V2 (token facoltativo) | Nessuna preferenza | Solo V2 | V1 o V2 | 
| V1 o V2 (token facoltativo) | Solo V2 | Solo V2 | V1 o V2 | 
| V1 o V2 (token facoltativo) | V1 o V2 | Solo V2 | V1 o V2 | 
| Non impostato | Nessuna preferenza | Solo V2 | Solo V2 | 
| Non impostato | Solo V2 | Solo V2 | Solo V2 | 
| Non impostato | V1 o V2 | Solo V2 | V1 o V2 | 
| Solo V2 (token richiesto) | Nessuna preferenza | null | Solo V2 | 
| Solo V2 (token richiesto) | Solo V2 | null | Solo V2 | 
| Solo V2 (token richiesto) | V1 o V2 | null | Solo V2 | 
| V1 o V2 (token facoltativo) | Nessuna preferenza | null | V1 o V2 | 
| V1 o V2 (token facoltativo) | Solo V2 | null | V1 o V2 | 
| V1 o V2 (token facoltativo) | V1 o V2 | null | V1 o V2 | 
| Non impostato | Nessuna preferenza | null | V1 o V2 | 
| Non impostato | Solo V2 | null | Solo V2 | 
| Non impostato | V1 o V2 | null | V1 o V2 | 

## Utilizza le chiavi di condizione IAM per limitare le opzioni dei metadati di istanza
<a name="iam-condition-keys-and-imds"></a>

È possibile utilizzare le chiavi di condizione IAM in una policy IAM o SCP come riportato di seguito:
+ Consentire il lancio di un'istanza solo se è configurata per richiedere l'uso di IMDSv2
+ Limitare il numero di hop consentiti
+ Disattivazione dell'accesso ai metadati dell'istanza

**Topics**
+ [

## Dove configurare le opzioni dei metadati di istanza
](#where-to-configure-instance-metadata-options)
+ [

## Ordine di precedenza per le opzioni dei metadati di istanza
](#instance-metadata-options-order-of-precedence)
+ [

## Utilizza le chiavi di condizione IAM per limitare le opzioni dei metadati di istanza
](#iam-condition-keys-and-imds)
+ [

# Configurazione delle opzioni dei metadati dell'istanza per le nuove istanze
](configuring-IMDS-new-instances.md)
+ [

# Modifica delle opzioni dei metadati dell'istanza per le istanze esistenti
](configuring-IMDS-existing-instances.md)

**Nota**  
È opportuno procedere con cautela e condurre test accurati prima di apportare qualsiasi modifica. Prendi nota di quanto segue:  
Se si impone l'uso di IMDSv2, le applicazioni o gli agenti che utilizzano, ad IMDSv1 esempio, i metadati verranno interrotti.
Se disattivi tutto l'accesso ai metadati dell'istanza, applicazioni o agenti il cui funzionamento si basa sull'accesso ai metadati dell'istanza verranno interrotti.
Infatti IMDSv2, è necessario utilizzarlo `/latest/api/token` quando si recupera il token.
(Solo Windows) Se la PowerShell versione in uso è precedente alla 4.0, è necessario [eseguire l'aggiornamento a Windows Management Framework 4.0](https://devblogs.microsoft.com/powershell/windows-management-framework-wmf-4-0-update-now-available-for-windows-server-2012-windows-server-2008-r2-sp1-and-windows-7-sp1/) per richiedere l'uso di. IMDSv2

# Configurazione delle opzioni dei metadati dell'istanza per le nuove istanze
<a name="configuring-IMDS-new-instances"></a>

Puoi configurare le seguenti opzioni dei metadati di istanza per le nuove istanze.

**Topics**
+ [

## Richiede l'uso di IMDSv2
](#configure-IMDS-new-instances)
+ [

## Abilita l'IMDS IPv4 e gli endpoint IPv6
](#configure-IMDS-new-instances-ipv4-ipv6-endpoints)
+ [

## Disattivazione dell'accesso ai metadati dell'istanza
](#configure-IMDS-new-instances--turn-off-instance-metadata)
+ [

## Per consentire l'accesso ai tag nei metadati delle istanze
](#configure-IMDS-new-instances-tags-in-instance-metadata)

**Nota**  
Le impostazioni per queste opzioni sono configurate a livello di account, direttamente nell'account o utilizzando una policy dichiarativa. Devono essere configurate in ogni Regione AWS in cui si desidera configurare le opzioni dei metadati di istanza. L'utilizzo di una policy dichiarativa consente di applicare le impostazioni contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare le impostazioni direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione delle impostazioni direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.

## Richiede l'uso di IMDSv2
<a name="configure-IMDS-new-instances"></a>

È possibile utilizzare i seguenti metodi per richiedere l'utilizzo di IMDSv2 sulle nuove istanze.

**Topics**
+ [

### Imposta IMDSv2 come impostazione predefinita per l'account
](#set-imdsv2-account-defaults)
+ [

### Applica a livello di account IMDSv2
](#enforce-imdsv2-at-the-account-level)
+ [

### Configurazione dell'istanza all'avvio
](#configure-IMDS-new-instances-instance-settings)
+ [

### Configurazione dell'AMI
](#configure-IMDS-new-instances-ami-configuration)
+ [

### Utilizzo di una policy IAM
](#configure-IMDS-new-instances-iam-policy)

### Imposta IMDSv2 come impostazione predefinita per l'account
<a name="set-imdsv2-account-defaults"></a>

È possibile impostare la versione predefinita per l'Instance Metadata Service (IMDS) a livello di account per ciascuno di essi. Regione AWS Ciò significa che quando si avvia una *nuova* istanza, la versione dei metadati dell'istanza viene impostata automaticamente sul valore predefinito a livello di account. Tuttavia, è possibile sovrascrivere manualmente il valore all'avvio o dopo l'avvio. Per ulteriori informazioni su come le impostazioni a livello di account e le sostituzioni manuali influiscono su un'istanza, consulta [Ordine di precedenza per le opzioni dei metadati di istanza](configuring-instance-metadata-options.md#instance-metadata-options-order-of-precedence).

**Nota**  
La configurazione dell'impostazione predefinita a livello di account non ripristina le istanze *esistenti*. Ad esempio, se imposti l'impostazione predefinita a livello di account su IMDSv2, le eventuali istanze esistenti impostate su non ne risentiranno. IMDSv1 Se desideri modificare il valore sulle istanze esistenti, devi modificare manualmente il valore sulle istanze stesse.

È possibile impostare l'account predefinito per la versione dei metadati dell'istanza in IMDSv2 modo che tutte le *nuove* istanze nell'account vengano avviate come IMDSv2 richiesto e vengano disabilitate. IMDSv1 Con questa impostazione predefinita dell'account, all'avvio un'istanza, i valori predefiniti dell'istanza sono i seguenti:
+ Console: la **versione dei metadati** è impostata su **Solo V2 (è richiesto il token)** e il **limite di hop di risposta dei metadati** è impostato su **2**.
+ AWS CLI: `HttpTokens` è impostato su `required` e `HttpPutResponseHopLimit` è impostato su `2`. 

**Nota**  
Prima di impostare l'account predefinito su IMDSv2, assicurati che le tue istanze non dipendano da. IMDSv1 Per ulteriori informazioni, consulta [Percorso consigliato per la richiesta IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2).

------
#### [ Console ]

**Da impostare IMDSv2 come predefinito per l'account per la regione specificata**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Per modificare la Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli Protezione e sicurezza **dei dati**.

1. Accanto a **Impostazioni IMDS predefinite**, scegli **Gestisci**.

1. Nella pagina **Gestisci impostazioni IMDS predefinite** procedi come segue:

   1. In **Servizio di metadati dell'istanza** scegli **Abilitato**.

   1. Per **Metadata version** (Versione metadati), seleziona **V2 only (token required)** (Solo V2 [token richiesto]).

   1. Per il **Limite di hop di risposta ai metadati**, specifica **2** se le istanze ospiteranno container. Altrimenti, seleziona **Nessuna preferenza**. Quando non viene specificata alcuna preferenza, il valore predefinito all’avvio è **2** se l’AMI dispone dell’impostazione `ImdsSupport: v2.0`; in caso contrario, il valore predefinito è **1**.

   1. Scegliere **Aggiorna**.

------
#### [ AWS CLI ]

**Da impostare IMDSv2 come predefinito per l'account per la regione specificata**  
Usa il [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)comando e specifica la regione in cui modificare le impostazioni a livello di account IMDS. Includi `--http-tokens` impostato su `required` e `--http-put-response-hop-limit` impostato su `2` se le istanze ospiteranno container. Altrimenti, specifica `-1` per non indicare alcuna preferenza. Quando `-1` (nessuna preferenza) viene specificato, il valore predefinito all’avvio è `2` se l’AMI dispone dell’impostazione `ImdsSupport: v2.0`; in caso contrario, il valore predefinito è `1`.

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-put-response-hop-limit 2
```

Di seguito è riportato un output di esempio.

```
{
    "Return": true
}
```

**Per visualizzare le impostazioni predefinite dell'account per le opzioni dei metadati dell'istanza per la regione specificata**  
Usa il [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)comando e specifica la regione.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Di seguito è riportato un output di esempio.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpPutResponseHopLimit": 2
    },
    "ManagedBy": "account"
}
```

Il campo `ManagedBy` indica l'entità che ha configurato le impostazioni. In questo esempio, `account` indica che le impostazioni sono state configurate direttamente nell'account. Il valore di `declarative-policy` indicherebbe che le impostazioni sono state configurate in base a una policy dichiarativa. Per ulteriori informazioni, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.

**Da impostare IMDSv2 come predefinito per l'account per tutte le regioni**  
Utilizzare il [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)comando per modificare le impostazioni a livello di account IMDS per tutte le regioni. Includi `--http-tokens` impostato su `required` e `--http-put-response-hop-limit` impostato su `2` se le istanze ospiteranno container. Altrimenti, specifica `-1` per non indicare alcuna preferenza. Quando `-1` (nessuna preferenza) viene specificato, il valore predefinito all’avvio è `2` se l’AMI dispone dell’impostazione `ImdsSupport: v2.0`; in caso contrario, il valore predefinito è `1`.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens required \
            --http-put-response-hop-limit 2 \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Di seguito è riportato un output di esempio.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Per visualizzare le impostazioni predefinite dell'account per le opzioni dei metadati dell'istanza per tutte le regioni**  
Utilizza il comando [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level          Hops    HttpTokens" ; \
echo -e "-------------- \t ------------   ----    ----------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Di seguito è riportato un output di esempio.

```
Region           Level          Hops    HttpTokens
--------------   ------------   ----    ----------
ap-south-1       ACCOUNTLEVEL   2       required
eu-north-1       ACCOUNTLEVEL   2       required
eu-west-3        ACCOUNTLEVEL   2       required
...
```

------
#### [ PowerShell ]

**Da impostare IMDSv2 come predefinito per l'account per la regione specificata**  
Utilizzare il [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet e specificare la regione in cui modificare le impostazioni a livello di account IMDS. Includi `-HttpToken` impostato su `required` e `-HttpPutResponseHopLimit` impostato su `2` se le istanze ospiteranno container. Altrimenti, specifica `-1` per non indicare alcuna preferenza. Quando `-1` (nessuna preferenza) viene specificato, il valore predefinito all’avvio è `2` se l’AMI dispone dell’impostazione `ImdsSupport: v2.0`; in caso contrario, il valore predefinito è `1`.

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Di seguito è riportato un output di esempio.

```
True
```

**Per visualizzare le impostazioni predefinite dell'account per le opzioni dei metadati dell'istanza per la regione specificata**  
Utilizzare il [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html)cmdlet e specificare la regione.

```
Get-EC2InstanceMetadataDefault -Region us-east-1 | Format-List
```

Di seguito è riportato un output di esempio.

```
HttpEndpoint            : 
HttpPutResponseHopLimit : 2
HttpTokens              : required
InstanceMetadataTags    :
```

**Da impostare IMDSv2 come predefinito per l'account per tutte le regioni**  
Utilizzare il [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet per modificare le impostazioni a livello di account IMDS per tutte le regioni. Includi `-HttpToken` impostato su `required` e `-HttpPutResponseHopLimit` impostato su `2` se le istanze ospiteranno container. Altrimenti, specifica `-1` per non indicare alcuna preferenza. Quando `-1` (nessuna preferenza) viene specificato, il valore predefinito all’avvio è `2` se l’AMI dispone dell’impostazione `ImdsSupport: v2.0`; in caso contrario, il valore predefinito è `1`.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Output previsto

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**Per visualizzare le impostazioni predefinite dell'account per le opzioni dei metadati dell'istanza per tutte le regioni**  
Utilizza il cmdlet [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html).

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Output di esempio

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Applica a livello di account IMDSv2
<a name="enforce-imdsv2-at-the-account-level"></a>

Puoi imporre l'uso di IMDSv2 a livello di account per ciascuno di essi. Regione AWS Se applicate, le istanze possono essere avviate solo se sono configurate in modo da richiedere. IMDSv2 Questa applicazione si applica indipendentemente dalla configurazione dell'istanza o dell'AMI.

**Nota**  
Prima di abilitare l' IMDSv2 applicazione a livello di account, assicurati che le applicazioni e il AMIs supporto siano disponibili IMDSv2. Per ulteriori informazioni, consulta [Percorso consigliato per la richiesta IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2). Se IMDSv2 l'applicazione è abilitata e non `httpTokens` è impostata né `required` nella configurazione dell'istanza all'avvio, né nelle impostazioni dell'account o nella configurazione AMI, l'avvio dell'istanza avrà esito negativo. Per informazioni sulla risoluzione dei problemi, consulta [L'avvio di un' IMDSv1istanza abilitata non riesce](troubleshooting-launch.md#launching-an-imdsv1-enabled-instance-fails).

**Nota**  
Questa impostazione non modifica la versione IMDS delle istanze esistenti, ma blocca l'attivazione IMDSv1 sulle istanze esistenti attualmente disattivate. IMDSv1

------
#### [ Console ]

**Da applicare IMDSv2 per l'account nella regione specificata**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Per modificare la Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione seleziona **Pannello di controllo**.

1. Nella scheda **Attributi dell'account**, in **Impostazioni**, scegli **Protezione e sicurezza dei dati**.

1. Accanto a **Impostazioni IMDS predefinite**, scegli **Gestisci**.

1. Nella pagina **Gestisci impostazioni IMDS predefinite** procedi come segue:

   1. Per **Metadata version** (Versione metadati), seleziona **V2 only (token required)** (Solo V2 [token richiesto]).

   1. Per **Enforce IMDSv2**, scegli **Abilitato**.

   1. Scegliere **Aggiorna**.

------
#### [ AWS CLI ]

**IMDSv2 Per applicare l'account nella regione specificata**  
 Usa il [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)comando e specifica la regione in cui applicare IMDSv2. 

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-tokens-enforced enabled
```

Di seguito è riportato un output di esempio.

```
{
"Return": true
}
```

**Per visualizzare le impostazioni di IMDSv2 applicazione per l'account in una regione specifica**  
Usa il [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)comando e specifica la regione.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Di seguito è riportato un output di esempio.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpTokensEnforced": "enabled"
    },
    "ManagedBy": "account"
}
```

Il campo `ManagedBy` indica l'entità che ha configurato le impostazioni. In questo esempio, `account` indica che le impostazioni sono state configurate direttamente nell'account. Il valore di `declarative-policy` indicherebbe che le impostazioni sono state configurate in base a una policy dichiarativa. Per ulteriori informazioni, consulta [le politiche dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *AWS Organizations User Guide*.

**IMDSv2 Per applicare l'account in tutte le regioni**  
Usa il [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)comando per applicarlo IMDSv2 in tutte le regioni.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Di seguito è riportato un output di esempio.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Per visualizzare le impostazioni di IMDSv2 applicazione per l'account in tutte le regioni**  
Utilizza il comando [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level           HttpTokensEnforced" ; \
echo -e "-------------- \t ------------   ----------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --query 'AccountLevel.HttpTokensEnforced' \           
            --output text)
        echo -e "$region \t ACCOUNTLEVEL $output" 
    );
done
```

Di seguito è riportato un output di esempio.

```
Region           Level          HttpTokensEnforced
--------------   ------------   ------------------
ap-south-1       ACCOUNTLEVEL   enabled
eu-north-1       ACCOUNTLEVEL   enabled
eu-west-3        ACCOUNTLEVEL   enabled
...
```

------
#### [ PowerShell ]

**IMDSv2 Per applicare l'account nella regione specificata**  
Utilizzare il [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet e specificare la regione in cui applicare. IMDSv2 

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Di seguito è riportato un output di esempio.

```
@{
    Return = $true
}
```

**Per visualizzare l'impostazione di IMDSv2 applicazione per l'account in una regione specifica**  
Usa il Get-EC2InstanceMetadataDefault comando e specifica la regione.

```
Get-EC2InstanceMetadataDefault -Region us-east-1
```

Di seguito è riportato un output di esempio.

```
@{
    AccountLevel = @{
        HttpTokens = "required"
        HttpTokensEnforced = "enabled"
    }
    ManagedBy = "account"
}
```

Il campo `ManagedBy` indica l'entità che ha configurato le impostazioni. In questo esempio, `account` indica che le impostazioni sono state configurate direttamente nell'account. Il valore di `declarative-policy` indicherebbe che le impostazioni sono state configurate in base a una policy dichiarativa. Per ulteriori informazioni, consulta [le politiche dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *AWS Organizations User Guide*.

**IMDSv2 Per applicare l'account in tutte le regioni**  
Usa il [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)comando per applicarlo IMDSv2 in tutte le regioni.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Di seguito è riportato un output di esempio.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Da impostare IMDSv2 come predefinito per l'account per tutte le regioni**  
Utilizzare il [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet per modificare le impostazioni a livello di account IMDS per tutte le regioni. Includi `-HttpToken` impostato su `required` e `-HttpPutResponseHopLimit` impostato su `2` se le istanze ospiteranno container. Altrimenti, specifica `-1` per non indicare alcuna preferenza. Quando `-1` (nessuna preferenza) viene specificato, il valore predefinito all’avvio è `2` se l’AMI dispone dell’impostazione `ImdsSupport: v2.0`; in caso contrario, il valore predefinito è `1`.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Output previsto

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**Per visualizzare le impostazioni predefinite dell'account per le opzioni dei metadati dell'istanza per tutte le regioni**  
Utilizza il cmdlet [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html).

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Output di esempio

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Configurazione dell'istanza all'avvio
<a name="configure-IMDS-new-instances-instance-settings"></a>

Quando si [avvia un'istanza](ec2-launch-instance-wizard.md), è possibile configurare l'istanza in modo che richieda l'utilizzo IMDSv2 configurando i seguenti campi:
+ Console di Amazon EC2: imposta **Metadata version** (Versione metadati) su **V2 only (token required)** (Solo V2 [token richiesto]).
+ AWS CLI: imposta `HttpTokens` su `required`.

Quando specificate che IMDSv2 è obbligatorio, dovete anche abilitare l'endpoint Instance Metadata Service (IMDS) impostando **Metadata accessibile** su **Enabled** (console) o su (). `HttpEndpoint` `enabled`AWS CLI

In un ambiente container, quando IMDSv2 richiesto, consigliamo di impostare il limite di hop su. `2` Per ulteriori informazioni, consulta [Considerazioni sull'accesso ai metadati dell'istanza](instancedata-data-retrieval.md#imds-considerations).

------
#### [ Console ]

**Per richiedere l'uso di IMDSv2 su una nuova istanza**
+ Quando avvii una nuova istanza nella console Amazon EC2, espandi **Advanced details** (Dettagli avanzati) e procedi come segue:
  + Per **Metadata accessible** (Metadati accessibili), scegli **Enabled** (Abilitato).
  + Per **Metadata version** (Versione metadati), seleziona **V2 only (token required)** (Solo V2 [token richiesto]).
  + (Ambiente container) Per il **Limite di hop di risposta ai metadati**, scegliere **2**.

  Per ulteriori informazioni, consulta [Dettagli avanzati](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Per richiedere l'uso di IMDSv2 su una nuova istanza**  
L'esempio [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) avvia un'istanza `c6i.large` con `--metadata-options` impostato su `HttpTokens=required`. Quando si specifica un valore per `HttpTokens`, è necessario impostare `HttpEndpoint` anche su `enabled`. Poiché l'intestazione del token sicuro è impostata `required` per le richieste di recupero dei metadati, è necessario che l'istanza venga utilizzata per la richiesta dei IMDSv2 metadati dell'istanza.

In un ambiente container, quando necessario, consigliamo di impostare IMDSv2 il limite di hop su with. `2` `HttpPutResponseHopLimit=2`

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
	...
    --metadata-options "HttpEndpoint=enabled,HttpTokens=required,HttpPutResponseHopLimit=2"
```

------
#### [ PowerShell ]

**Per richiedere l'uso di IMDSv2 su una nuova istanza**  
Il seguente esempio di [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet avvia un'`c6i.large`istanza con `MetadataOptions_HttpEndpoint` set to `enabled` e il `MetadataOptions_HttpTokens` parametro to. `required` Quando si specifica un valore per `HttpTokens`, è necessario impostare `HttpEndpoint` anche su `enabled`. Poiché l'intestazione secure token è impostata `required` per le richieste di recupero dei metadati, è necessario che l'istanza venga utilizzata per la richiesta dei metadati dell'istanza. IMDSv2 

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpTokens required
```

------
#### [ CloudFormation ]

*Per specificare le opzioni relative ai metadati per l'utilizzo di un'istanza CloudFormation, consultate la proprietà nella Guida per l'utente. [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)AWS CloudFormation *

------

### Configurazione dell'AMI
<a name="configure-IMDS-new-instances-ami-configuration"></a>

Quando registri una nuova AMI o modifichi un'AMI esistente, puoi impostare il parametro `imds-support` su `v2.0`. Per le istanze avviate da questa AMI, **Versione metadati** sarà impostato su **Solo V2 (token obbligatorio)** (console) o `HttpTokens` sarà impostato su `required` (AWS CLI). Con queste impostazioni, l'istanza richiede che IMDSv2 venga utilizzata quando si richiedono i metadati dell'istanza.

Tieni presente che quando imposti `imds-support` su `v2.0`, anche per le istanze avviate da questa AMI **Metadata response hop limit** (Limite hop risposta metadati) (console) o `http-put-response-hop-limit` (AWS CLI) sarà impostato su **2**.

**Importante**  
Non utilizzare questo parametro a meno che il software AMI non lo supportiIMDSv2. Dopo aver impostato il valore su `v2.0`, non è possibile annullare l'operazione. L'unico modo per "reimpostare" l'AMI consiste nel creare una nuova AMI dallo snapshot sottostante.

**Per configurare una nuova AMI per IMDSv2**  
Utilizza uno dei seguenti metodi per configurare una nuova AMI perIMDSv2.

------
#### [ AWS CLI ]

L'esempio [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) seguente registra un'AMI utilizzando lo snapshot specificato di un volume root EBS come dispositivo `/dev/xvda`. Specificare `v2.0` il `imds-support` parametro in modo che le istanze avviate da questo AMI richiedano che IMDSv2 venga utilizzato quando si richiedono i metadati dell'istanza.

```
aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

Il seguente esempio di [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet registra un AMI utilizzando l'istantanea specificata di un volume root EBS come dispositivo. `/dev/xvda` Specificare `v2.0` il `ImdsSupport` parametro in modo che le istanze avviate da questo AMI richiedano che IMDSv2 venga utilizzato quando si richiedono i metadati dell'istanza.

```
Register-EC2Image `
    -Name 'my-image' `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping  ( 
    New-Object `
        -TypeName Amazon.EC2.Model.BlockDeviceMapping `
        -Property @{ 
        DeviceName = '/dev/xvda'; 
        EBS        = (New-Object -TypeName Amazon.EC2.Model.EbsBlockDevice -Property @{ 
                SnapshotId = 'snap-0123456789example'
                VolumeType = 'gp3' 
                } )      
        }  ) `
    -Architecture X86_64 `
    -ImdsSupport v2.0
```

------

**Per configurare un AMI esistente per IMDSv2**  
Utilizza uno dei seguenti metodi per configurare un'AMI esistente perIMDSv2.

------
#### [ AWS CLI ]

L'[modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)esempio seguente modifica IMDSv2 solo un AMI esistente. Specificare `v2.0` il `imds-support` parametro in modo che le istanze avviate da questo AMI richiedano che IMDSv2 venga utilizzato quando si richiedono i metadati dell'istanza.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

Il seguente esempio di [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)cmdlet modifica solo un AMI esistente. IMDSv2 Specificare `v2.0` il `imds-support` parametro in modo che le istanze avviate da questo AMI richiedano che IMDSv2 venga utilizzato quando si richiedono i metadati dell'istanza.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ImdsSupport 'v2.0'
```

------

### Utilizzo di una policy IAM
<a name="configure-IMDS-new-instances-iam-policy"></a>

Puoi creare una policy IAM che esegua una delle seguenti operazioni:
+ Impedisce agli utenti di avviare nuove istanze a meno che non lo richiedano IMDSv2 sulla nuova istanza.
+ Impedisce agli utenti di chiamare l' ModifyInstanceMetadataOptions API per modificare le opzioni dei metadati di un'istanza in esecuzione. Limita l'accesso alla proprietà ModifyInstanceMetadataOptions HttpTokens per impedire aggiornamenti involontari delle istanze in esecuzione.
+ Impedisci agli utenti di chiamare l' ModifyInstanceMetadataDefaults API per modificare le impostazioni predefinite dell'account di HttpTokens e. httpTokensEnforced La limitazione dell'accesso a queste due proprietà garantirà che solo i ruoli autorizzati possano modificare le impostazioni predefinite dell'account.

**Per imporre l'uso di IMDSv2 su tutte le nuove istanze utilizzando una policy IAM**  
Per garantire che gli utenti possano avviare solo le istanze che richiedono l'uso di IMDSv2 quando richiedono i metadati dell'istanza, procedi come segue:
+ Limita l'accesso sia all'`ModifyInstanceMetadataDefaults`API che alle proprietà `ModifyInstanceMetadataOptions` e, in particolare, alle `httpTokens` proprietà and. `httpTokensEnforced`
+ Quindi, imposta l'account predefinito su `httpTokens = required` and`httpTokensEnforced = enabled`.

  Per un esempio di policy IAM, consulta [Utilizzo dei metadati delle istanze](ExamplePolicies_EC2.md#iam-example-instance-metadata).

## Abilita l'IMDS IPv4 e gli endpoint IPv6
<a name="configure-IMDS-new-instances-ipv4-ipv6-endpoints"></a>

L'IMDS ha due endpoint su un'istanza: IPv4 (`169.254.169.254`) e (). IPv6 `[fd00:ec2::254]` Quando si abilita l'IMDS, l' IPv4endpoint viene abilitato automaticamente. L' IPv6 endpoint rimane disabilitato anche se si avvia un'istanza in una IPv6 sottorete solo. Per abilitare l' IPv6 endpoint, è necessario farlo in modo esplicito. Quando si abilita l' IPv6 endpoint, l' IPv4endpoint rimane abilitato.

È possibile abilitare l' IPv6 endpoint all'avvio dell'istanza o dopo.

**Requisiti per l'abilitazione dell'endpoint IPv6**
+ Il tipo di istanza selezionato è [Istanza basata su Nitro](instance-types.md#instance-hypervisor-type).
+ La sottorete selezionata supporta IPv6, se la sottorete è a [doppio stack o solo](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range). IPv6 

Utilizza uno dei seguenti metodi per avviare un'istanza con l'endpoint IPv6 IMDS abilitato.

------
#### [ Console ]

**Per abilitare l' IPv6 endpoint IMDS all'avvio dell'istanza**
+ [Avvia l'istanza](ec2-launch-instance-wizard.md) nella console di Amazon EC2 con le opzioni specificate di seguito in **Advanced details** (Dettagli avanzati):
  + **Per **Metadata IPv6 endpoint**, scegli Abilitato.**

Per ulteriori informazioni, consulta [Dettagli avanzati](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Per abilitare l' IPv6 endpoint IMDS all'avvio dell'istanza**  
Il seguente esempio di [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) avvia un'`c6i.large`istanza con l'endpoint abilitato per l' IPv6 IMDS. Per abilitare l' IPv6 endpoint, specificare per il parametro. `--metadata-options` `HttpProtocolIpv6=enabled` Quando si specifica un valore per `HttpProtocolIpv6`, è necessario impostare `HttpEndpoint` anche su `enabled`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ...
    --metadata-options "HttpEndpoint=enabled,HttpProtocolIpv6=enabled"
```

------
#### [ PowerShell ]

**Per abilitare l' IPv6 endpoint IMDS all'avvio dell'istanza**  
Il seguente esempio di [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet avvia un'`c6i.large`istanza con l' IPv6 endpoint abilitato per l'IMDS. Per abilitare l'endpoint, specificare come. IPv6 `MetadataOptions_HttpProtocolIpv6` `enabled` Quando si specifica un valore per `MetadataOptions_HttpProtocolIpv6`, è necessario impostare `MetadataOptions_HttpEndpoint` anche su `enabled`.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpProtocolIpv6 enabled
```

------

## Disattivazione dell'accesso ai metadati dell'istanza
<a name="configure-IMDS-new-instances--turn-off-instance-metadata"></a>

È possibile disattivare l'accesso ai metadati dell'istanza disabilitando l'IMDS all'avvio di un'istanza. È possibile attivare l'accesso in un secondo momento riabilitando l'IMDS. Per ulteriori informazioni, consulta [Attivazione dell'accesso ai metadati dell'istanza](configuring-IMDS-existing-instances.md#enable-instance-metadata-on-existing-instances).

**Importante**  
È possibile scegliere di disabilitare l'IMDS all'avvio o dopo l'avvio. Se disabiliti l'IMDS *all'avvio*, quanto segue potrebbe non funzionare:  
Potresti non disporre dell'accesso SSH all'istanza. La `public-keys/0/openssh-key`, che è la chiave SSH pubblica dell'istanza, non sarà accessibile perché normalmente la chiave viene fornita dai metadati dell'istanza EC2 e l'accesso avviene tramite gli stessi.
I dati utente EC2 non saranno disponibili e non verranno eseguiti all'avvio dell'istanza. I dati utente EC2 sono ospitati sull'IMDS. Se disabiliti l'IMDS, disattivi di fatto l'accesso ai dati utente.
Per accedere a questa funzionalità, è possibile riabilitare l'IMDS dopo l'avvio.

------
#### [ Console ]

**Disattivazione dell'accesso ai metadati dell'istanza all'avvio**
+ [Avvia l'istanza](ec2-launch-instance-wizard.md) nella console di Amazon EC2 con le opzioni specificate di seguito in **Advanced details** (Dettagli avanzati):
  + Per **Metadata accessible** (Metadati accessibili), scegli **Disabled** (Disabilitato).

Per ulteriori informazioni, consulta [Dettagli avanzati](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Disattivazione dell'accesso ai metadati dell'istanza all'avvio**  
Avvia l'istanza con `--metadata-options` impostato su `HttpEndpoint=disabled`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ... 
    --metadata-options "HttpEndpoint=disabled"
```

------
#### [ PowerShell ]

**Disattivazione dell'accesso ai metadati dell'istanza all'avvio**  
Il seguente esempio di [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet avvia un'istanza con set to. `MetadataOptions_HttpEndpoint` `disabled`

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint disabled
```

------
#### [ CloudFormation ]

*Per specificare le opzioni relative ai metadati per un'istanza che utilizza CloudFormation, consulta la [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)proprietà nella Guida per l'utente.CloudFormation * 

------

## Per consentire l'accesso ai tag nei metadati delle istanze
<a name="configure-IMDS-new-instances-tags-in-instance-metadata"></a>

Per impostazione predefinita, non è possibile accedere ai tag dell'istanza nei metadati dell'istanza. Per ogni istanza è necessario consentire l'accesso esplicitamente. Se l'accesso è consentito, le *chiavi* dei tag dell'istanza devono rispettare specifiche restrizioni relative ai caratteri, altrimenti l'avvio dell'istanza avrà esito negativo. Per ulteriori informazioni, consulta [Abilita l’accesso ai tag nei metadati dell’istanza](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

# Modifica delle opzioni dei metadati dell'istanza per le istanze esistenti
<a name="configuring-IMDS-existing-instances"></a>

Puoi modificare le opzioni dei metadati dell'istanza per le istanze esistenti.

Puoi inoltre creare una policy IAM che impedisce agli utenti di modificare le opzioni dei metadati dell'istanza in istanze esistenti. Per controllare quali utenti possono modificare le opzioni dei metadati dell'istanza, specifica una politica che impedisca a tutti gli utenti diversi dagli utenti con un ruolo specifico di utilizzare l'[ModifyInstanceMetadataOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataOptions.html)API. Per un esempio di policy IAM, consulta [Utilizzo dei metadati delle istanze](ExamplePolicies_EC2.md#iam-example-instance-metadata).

**Nota**  
Se è stata utilizzata una policy dichiarativa per configurare le opzioni dei metadati dell'istanza, non puoi modificarle direttamente all'interno dell'account. Per ulteriori informazioni, consulta [Policy dichiarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) nella *Guida per l'utente di AWS Organizations *.

## Richiedi l'uso di IMDSv2
<a name="modify-require-IMDSv2"></a>

Utilizzate uno dei seguenti metodi per modificare le opzioni dei metadati dell'istanza su un'istanza esistente in modo da richiederne l'utilizzo quando IMDSv2 si richiedono i metadati dell'istanza. Quando IMDSv2 è richiesto, IMDSv1 non può essere utilizzato.

**Nota**  
Prima di IMDSv2 richiederlo, assicurati che l'istanza non stia effettuando IMDSv1 chiamate. La `MetadataNoToken` CloudWatch metrica tiene traccia delle IMDSv1 chiamate. Quando `MetadataNoToken` registra un IMDSv1 utilizzo pari a zero per un'istanza, l'istanza è pronta per essere richiesta IMDSv2.

------
#### [ Console ]

**Per richiedere l'uso di IMDSv2 su un'istanza esistente**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l'istanza.

1. Seleziona **Operazioni**, **Impostazioni istanza**, **Modifica opzioni dei metadati dell'istanza**.

1. Nella finestra di dialogo **Modifica opzioni dei metadati dell'istanza**, esegui una delle operazioni indicate di seguito:

   1. In **Servizio di metadati dell'istanza**, seleziona **Abilita**.

   1. Per **IMDSv2**, scegli **Obbligatorio**.

   1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Per richiedere l'uso di IMDSv2 su un'istanza esistente**  
Utilizzate il comando [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI e impostate il `http-tokens` parametro su. `required` Quando si specifica un valore per `http-tokens`, è necessario impostare `http-endpoint` anche su `enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Per richiedere l'uso di IMDSv2 su un'istanza esistente**  
Utilizzare il [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)cmdlet e impostare il `HttpTokens` parametro su. `required` Quando si specifica un valore per `HttpTokens`, è necessario impostare `HttpEndpoint` anche su `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens required `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Ripristina l'uso di IMDSv1
<a name="modify-restore-IMDSv1"></a>

Quando IMDSv2 è richiesto su un'istanza, l'utilizzo di una IMDSv1 richiesta avrà esito negativo. Quando IMDSv2 è facoltativo, allora entrambi IMDSv2 IMDSv1 funzioneranno. Pertanto, per ripristinare IMDSv1, impostate su IMDSv2 optional (`httpTokens = optional`) utilizzando uno dei seguenti metodi.

La proprietà `httpTokensEnforced` IMDS impedisce inoltre i tentativi di attivazione IMDSv1 su un'istanza esistente. Se abilitato per un account in una regione, un tentativo di impostazione su `httpTokens` `optional` genererà un'`UnsupportedOperation`eccezione. Per ulteriori informazioni, vedere[Risoluzione dei problemi](#troubleshoot-modifying-an-imdsv1-enabled-instance-fails).

**Importante**  
Se l'avvio dell'istanza non riesce a causa dell' IMDSv2 imposizione, sono disponibili due opzioni per consentire il corretto avvio dell'istanza:  
**Avvia le istanze solo come IMDSv2 -only**: se il software in esecuzione sulle istanze utilizza IMDSv2 solo le istanze (nessuna dipendenza da IMDSv1), puoi avviare le istanze solo come istanze. IMDSv2 A tale scopo, esegui la configurazione IMDSv2 solo impostando nei parametri di avvio `httpTokens = required` o nei metadati le impostazioni predefinite per l'account nella regione. 
**Disabilita l'applicazione**: se il software dipende ancora da IMDSv1, imposta l'opzione `httpTokensEnforced` `disabled` per l'account nella regione. Per ulteriori informazioni, consulta [Applica a livello di account IMDSv2](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

------
#### [ Console ]

**Per ripristinare l'uso di IMDSv1 su un'istanza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l'istanza.

1. Seleziona **Operazioni**, **Impostazioni istanza**, **Modifica opzioni dei metadati dell'istanza**.

1. Nella finestra di dialogo **Modifica opzioni dei metadati dell'istanza**, esegui una delle operazioni indicate di seguito:

   1. In **Servizio di metadati dell'istanza**, assicurati che l'opzione **Abilita** sia selezionata.

   1. Per **IMDSv2**, scegli **Facoltativo**.

   1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Per ripristinare l'uso di IMDSv1 su un'istanza**  
È possibile utilizzare il comando [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI con `http-tokens` set to per `optional` ripristinare l'uso dei metadati dell'istanza IMDSv1 quando si richiedono i metadati dell'istanza.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens optional \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Per ripristinare l'uso di su un'istanza IMDSv1**  
È possibile utilizzare il [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)cmdlet con `HttpTokens` set to per `optional` ripristinare l'utilizzo di IMDSv1 quando si richiedono i metadati dell'istanza.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens optional `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Modifica del limite di hop di risposta PUT
<a name="modify-PUT-response-hop-limit"></a>

Per istanze esistenti, puoi modificare le impostazioni del limite di hop della risposta `PUT`.

Attualmente AWS SDKs supporta solo AWS CLI e la modifica del limite dell'hop di risposta PUT.

------
#### [ AWS CLI ]

**Per modificare il limite di hop di risposta PUT**  
Utilizzate il comando [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI e impostate il `http-put-response-hop-limit` parametro sul numero di hop richiesto. Nell'esempio seguente, il limite di hop è impostato su `3`. Tieni presente che quando si specifica un valore per `http-put-response-hop-limit`, è necessario anche impostare `http-endpoint` su `enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-put-response-hop-limit 3 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Per modificare il limite di hop di risposta PUT**  
Utilizzare il [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)cmdlet e impostare il `HttpPutResponseHopLimit` parametro sul numero di hop richiesto. Nell'esempio seguente, il limite di hop è impostato su `3`. Tieni presente che quando si specifica un valore per `HttpPutResponseHopLimit`, è necessario anche impostare `HttpEndpoint` su `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpPutResponseHopLimit 3 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Abilita l'IMDS e gli endpoint IPv4 IPv6
<a name="enable-ipv6-endpoint-for-existing-instances"></a>

L'IMDS ha due endpoint su un'istanza: IPv4 (`169.254.169.254`) e (). IPv6 `[fd00:ec2::254]` Quando si abilita l'IMDS, l' IPv4endpoint viene abilitato automaticamente. L' IPv6 endpoint rimane disabilitato anche se si avvia un'istanza in una IPv6 sottorete solo. Per abilitare l' IPv6 endpoint, è necessario farlo in modo esplicito. Quando si abilita l' IPv6 endpoint, l' IPv4endpoint rimane abilitato.

È possibile abilitare l' IPv6 endpoint all'avvio dell'istanza o dopo.

**Requisiti per l'abilitazione dell'endpoint IPv6**
+ Il tipo di istanza selezionato è [Istanza basata su Nitro](instance-types.md#instance-hypervisor-type).
+ La sottorete selezionata supporta IPv6, se la sottorete è a [doppio stack o solo](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range). IPv6 

Attualmente AWS SDKs supporta solo l' AWS CLI abilitazione dell' IPv6endpoint IMDS dopo il lancio dell'istanza.

------
#### [ AWS CLI ]

**Per abilitare l' IPv6 endpoint IMDS per la tua istanza**  
Utilizzate il comando [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI e impostate il `http-protocol-ipv6` parametro su. `enabled` Tieni presente che quando si specifica un valore per `http-protocol-ipv6`, è necessario anche impostare `http-endpoint` su `enabled`.

```
aws ec2 modify-instance-metadata-options \
	--instance-id i-1234567890abcdef0 \
	--http-protocol-ipv6 enabled \
	--http-endpoint enabled
```

------
#### [ PowerShell ]

**Per abilitare l' IPv6 endpoint IMDS per la tua istanza**  
Utilizzare il [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)cmdlet e impostare il parametro su. `HttpProtocolIpv6` `enabled` Tieni presente che quando si specifica un valore per `HttpProtocolIpv6`, è necessario anche impostare `HttpEndpoint` su `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpProtocolIpv6 enabled `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Attivazione dell'accesso ai metadati dell'istanza
<a name="enable-instance-metadata-on-existing-instances"></a>

Puoi attivare l'accesso ai metadati dell'istanza abilitando l'endpoint HTTP del servizio di metadati dell'istanza (IMDS), indipendentemente dalla versione in uso. Puoi invertire questa modifica in qualsiasi momento disabilitando l'endpoint HTTP.

Per attivare l'accesso ai metadati dell'istanza, utilizza uno dei metodi seguenti.

------
#### [ Console ]

**Per attivare l'accesso ai metadati dell'istanza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l'istanza.

1. Seleziona **Operazioni**, **Impostazioni istanza**, **Modifica opzioni dei metadati dell'istanza**.

1. Nella finestra di dialogo **Modifica opzioni dei metadati dell'istanza**, esegui una delle operazioni indicate di seguito:

   1. In **Servizio di metadati dell'istanza**, seleziona **Abilita**.

   1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Per attivare l'accesso ai metadati dell'istanza**  
Utilizzate il comando [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI e impostate il `http-endpoint` parametro su. `enabled`

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Per attivare l'accesso ai metadati dell'istanza**  
Utilizzare il [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)cmdlet e impostare il `HttpEndpoint` parametro su. `enabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Disattivazione dell'accesso ai metadati dell'istanza
<a name="disable-instance-metadata-on-existing-instances"></a>

Puoi disattivare l'accesso ai metadati dell'istanza disabilitando l'endpoint HTTP del servizio di metadati dell'istanza (IMDS), indipendentemente dalla versione in uso. Puoi invertire questa modifica in qualsiasi momento abilitando l'endpoint HTTP.

Per disattivare l'accesso ai metadati dell'istanza, utilizza uno dei metodi seguenti.

------
#### [ Console ]

**Come disattivare l'accesso ai metadati dell'istanza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l'istanza.

1. Seleziona **Operazioni**, **Impostazioni istanza**, **Modifica opzioni dei metadati dell'istanza**.

1. Nella finestra di dialogo **Modifica opzioni dei metadati dell'istanza**, esegui una delle operazioni indicate di seguito:

   1. In **Servizio di metadati dell'istanza**, deseleziona **Abilita**.

   1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Come disattivare l'accesso ai metadati dell'istanza**  
Utilizzate il comando [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI e impostate il `http-endpoint` parametro su. `disabled`

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint disabled
```

------
#### [ PowerShell ]

**Come disattivare l'accesso ai metadati dell'istanza**  
Utilizzare il [Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)cmdlet e impostare il `HttpEndpoint` parametro su. `disabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint disabled).InstanceMetadataOptions
```

------

## Per consentire l'accesso ai tag nei metadati delle istanze
<a name="modify-access-to-tags-in-instance-metadata-on-existing-instances"></a>

Puoi consentire l'accesso ai tag nei metadati dell'istanza su un'istanza in esecuzione o interrotta. Per ogni istanza è necessario consentire l'accesso esplicitamente. Se l'accesso è consentito, le *chiavi* dei tag dell'istanza devono rispettare specifiche restrizioni relative ai caratteri, altrimenti si verifica un errore. Per ulteriori informazioni, consulta [Abilita l’accesso ai tag nei metadati dell’istanza](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

## Risoluzione dei problemi
<a name="troubleshoot-modifying-an-imdsv1-enabled-instance-fails"></a>

### La modifica di un' IMDSv1istanza -enabled non riesce
<a name="modifying-an-imdsv1-enabled-instance-fails"></a>

#### Description
<a name="modifying-an-imdsv1-enabled-instance-fails-description"></a>

Viene visualizzato il seguente messaggio di errore:

`You can't launch instances with IMDSv1 because httpTokensEnforced is enabled for this account. Either launch the instance with httpTokens=required or contact your account owner to disable httpTokensEnforced using the ModifyInstanceMetadataDefaults API or the account settings in the EC2 console.`

#### Causa
<a name="modifying-an-imdsv1-enabled-instance-fails-cause"></a>

Questo errore viene generato quando si tenta di modificare un'istanza esistente da IMDSv1 abilitare (`httpTokens = optional`) in un account in cui le impostazioni dell'account EC2 o una politica dichiarativa AWS dell'organizzazione impongono l'uso di (). IMDSv2 `httpTokensEnforced = enabled` 

#### Soluzione
<a name="modifying-an-imdsv1-enabled-instance-fails-solution"></a>

Se hai bisogno di IMDSv1 assistenza su istanze esistenti, dovrai disabilitare l'IMDSv2 applicazione per l'account nella regione. Per disabilitare IMDSv2 l'applicazione, imposta su`HttpTokensEnforced`. `disabled` Per ulteriori informazioni, [ModifyInstanceMetadataDefaults](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataDefaults.html)consulta Amazon EC2 API Reference. Se preferisci configurare questa impostazione utilizzando la console, consulta[Applica a livello di account IMDSv2](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

Ti consigliamo di utilizzare IMDSv2 only (`httpTokens=required`). Per ulteriori informazioni, consulta [Passaggio all'utilizzo di Servizio di metadati dell'istanza Versione 2](instance-metadata-transition-to-version-2.md).