Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accedi e configura Instance Metadata Service (IMDS) su Lightsail
Puoi accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei metodi seguenti:
+ Instance Metadata Service Version 1 (): un metodo IMDSv1 request/response
+ Instance Metadata Service Version 2 (IMDSv2): un metodo orientato alla sessione
**Importante**
Non tutti i blueprint di istanza in Lightsail supportano. IMDSv2 Utilizza la metrica dell'`MetadataNoToken`istanza per tenere traccia del numero di chiamate al servizio di metadati dell'istanza che stai utilizzando. IMDSv1 Per ulteriori informazioni, consulta [Visualizzazione dei parametri delle istanze](amazon-lightsail-viewing-instance-health-metrics.md).
Per impostazione predefinita, puoi utilizzare uno IMDSv1 o IMDSv2 entrambi. Il servizio di metadati delle istanze distingue tra IMDSv2 le richieste IMDSv1 e le richieste in base alla presenza `PUT` o meno di un'`GET`intestazione or, che è unica per IMDSv2, in una determinata richiesta. Per ulteriori informazioni, consulta [Aggiungere protezione in profondità contro firewall aperti, proxy inversi e vulnerabilità SSRF con miglioramenti al servizio metadati dell'istanza EC2](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/).
Puoi configurare il servizio di metadati dell'istanza su ogni istanza in modo che il codice locale o gli utenti utilizzino IMDSv2. Quando si specifica che IMDSv2 deve essere utilizzato, IMDSv1 non funziona più. Per ulteriori informazioni, consulta [Configurazione delle opzioni di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) nella *Guida per l'utente di Amazon Elastic Compute Cloud per le istanze Linux*.
Per recuperare metadati delle istanze, consulta [Recupero dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html) nella *Guida per l'utente di Amazon Elastic Compute Cloud per le istanze Linux*.
**Nota**
Gli esempi in questa sezione utilizzano l' IPv4 indirizzo del servizio di metadati dell'istanza:`169.254.169.254`. Se stai recuperando i metadati dell'istanza per le istanze tramite l' IPv6 indirizzo, assicurati di abilitare e utilizzare invece l'indirizzo:. IPv6 `fd00:ec2::254` L' IPv6 indirizzo del servizio di metadati dell'istanza è compatibile con i comandi. IMDSv2
## Funzionamento di Servizio di metadati dell'istanza Versione 2
IMDSv2 utilizza richieste orientate alla sessione. Con richieste orientate alla sessione, puoi creare un token di sessione che definisce la durata della sessione, che può essere compresa tra un minimo di un secondo e un massimo di sei ore. Durante la specifica della durata, puoi utilizzare lo stesso token di sessione per le richieste successive. Al termine della durata specificata, è necessario creare un nuovo token di sessione da utilizzare per richieste future.
**Importante**
Le istanze Lightsail lanciate dai blueprint IMDSv2 di Amazon Linux 2023 e Ubuntu 24 saranno configurate per impostazione predefinita.
I seguenti esempi utilizzano Linux e PowerShell shell script IMDSv2 per recuperare gli elementi di metadati dell'istanza di primo livello. Questi esempi eseguono le seguenti operazioni:
+ Crea un token di sessione della durata di sei ore (21.600 secondi) utilizzando la richiesta `PUT`
+ Memorizza l'intestazione del token di sessione in una variabile denominata `TOKEN` (su Linux) oppure `token` (su Windows)
+ Richiedi gli elementi di metadati di livello superiore utilizzando il token
Inizia eseguendo i comandi di seguito:
+ **In Linux:**
+ Innanzitutto, generare un token con il comando riportato di seguito.
```
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
```
+ Quindi, utilizza il token per generare elementi di metadati di primo livello utilizzando il seguente comando.
```
[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
```
+ **In Windows:**
+ Innanzitutto, genera un token con il comando riportato di seguito.
```
PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token
```
+ Quindi, utilizza il token per generare elementi di metadati di primo livello utilizzando il seguente comando.
```
PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/
```
Dopo aver creato un token, puoi riutilizzarlo finché non scade. Negli esempi seguenti, ogni comando ottiene l'ID dello schema (Amazon Machine Image (AMI)) utilizzato per avviare l'istanza. Il token dell'esempio precedente viene riutilizzato. È memorizzato su `$TOKEN` (su Linux) oppure su `$token` (su Windows).
+ **In Linux:**
```
[ec2-user ~]$ curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/ami-id
```
+ **In Windows:**
```
PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} `
-Method GET -uri http://169.254.169.254/latest/meta-data/ami-id
```
Quando si utilizza IMDSv2 per richiedere i metadati dell'istanza, la richiesta deve includere quanto segue:
+ **Una richiesta `PUT`**: utilizza una richiesta `PUT` per inizializzare una sessione al servizio di metadati dell'istanza. La richiesta `PUT` restituisce un token che deve essere incluso nelle richieste `GET` successive al servizio di metadati dell'istanza. Il token è necessario per accedere ai metadati durante l'utilizzo. IMDSv2
+ **Il token** includi il token in tutte le richieste `GET` al servizio di metadati dell'istanza. Quando l'uso del token è impostato su `required`, le richieste senza una token valido o con un token scaduto ricevono un codice di errore HTTP `401 - Unauthorized`. Per informazioni sulla modifica dei requisiti di utilizzo del token, consulta [update-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-instance-metadata-options.html)la sezione *AWS CLI Command Reference.*
+ Il token è una chiave specifica dell'istanza. Il token non è valido su altre istanze e verrà rifiutato se si tenta di utilizzarlo all'esterno dell'istanza su cui è stato generato.
+ La richiesta `PUT` deve includere un'intestazione che specifica il Time To Live (TTL) per il token, in secondi. Il TTL può essere specificato per un massimo di sei ore (21.600 secondi). Il token rappresenta una sessione logica. Il TTL specifica la durata di validità del token e, pertanto, la durata della sessione.
+ Dopo che un token scade, per continuare ad accedere ai metadati dell'istanza, devi creare una nuova sessione utilizzando un'altra richiesta `PUT`.
+ Puoi scegliere di riutilizzare un token o creare un nuovo token con ogni richiesta. Per un piccolo numero di richieste, potrebbe essere più semplice generare e utilizzare immediatamente un token ogni volta che occorre accedere al servizio di metadati dell'istanza. Per maggior efficienza, puoi specificare una durata maggiore per il token e riutilizzarlo, piuttosto che riscrivere una richiesta `PUT` ogni volta che devi richiedere metadati dell'istanza. Non esiste un limite pratico al numero di token simultanei, ognuno dei quali rappresenta la propria sessione. IMDSv2 è tuttavia ancora vincolato dai normali limiti di connessione e limitazione del servizio di metadati di istanza. Per ulteriori informazioni, consulta [Limitazione delle query](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#instancedata-throttling) nella *Guida per l'utente di Amazon Elastic Compute Cloud per le istanze Linux*.
Nei metodi HTTP `GET` e `HEAD` sono consentite richieste dei metadati dell'istanza IMDSv2. Le richieste `PUT` vengono rifiutate se contengono un'intestazione `X-Forwarded-For`.
Per impostazione predefinita, la risposta alle richieste `PUT` dispone di un limite di hop della risposta (time-to-live) di `1` a livello del protocollo IP. Puoi regolare il limite di hop utilizzando il comando `update-instance-metadata-options` se è necessario aumentarlo. Ad esempio, potrebbe essere necessario un limite di hop più grande per la compatibilità con le versioni precedenti dei servizi di container in esecuzione sull'istanza. Per ulteriori informazioni, consulta [update-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-instance-metadata-options.html) nella *documentazione di riferimento dei comandi della AWS CLI *.
## Passaggio all'utilizzo di Servizio di metadati dell'istanza Versione 2
L'uso di Instance Metadata Service versione 2 () è facoltativo. IMDSv2 La versione 1 (IMDSv1) di Instance Metadata Service continuerà a essere supportata a tempo indeterminato. Se scegli di passare a Using IMDSv2, ti consigliamo di utilizzare i seguenti strumenti e il percorso di transizione.
**Strumenti per semplificare la transizione a IMDSv2**
Se il software lo utilizza IMDSv1, utilizza i seguenti strumenti per riconfigurare il software da utilizzare. IMDSv2
+ **AWS software:** le versioni più recenti di AWS SDKs e il AWS CLI supporto IMDSv2. Per IMDSv2 utilizzarle, assicurati che le tue istanze dispongano delle versioni più recenti di AWS SDKs e di AWS CLI. Per informazioni sull'aggiornamento di AWS CLI, consulta [Installazione, aggiornamento e disinstallazione di AWS CLI nella Guida](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) per l'*AWS Command Line Interface utente*. Supportano tutti i pacchetti software Amazon Linux 2 IMDSv2.
+ **Metrica dell'istanza**: IMDSv2 utilizza sessioni supportate da token, mentre IMDSv1 non lo fa. La metrica dell'`MetadataNoToken`istanza tiene traccia del numero di chiamate al servizio di metadati dell'istanza utilizzate. IMDSv1 Monitorando questo parametro a zero, puoi determinare se e quando tutto il software è stato aggiornato per utilizzare IMDSv2. Per ulteriori informazioni, consulta [Visualizzazione dei parametri delle istanze in Amazon Lightsail](amazon-lightsail-viewing-instance-health-metrics.md).
+ **Aggiornamenti alle operazioni AWS CLI e ai comandi dell'API Lightsail**: per le istanze esistenti, puoi utilizzare [update-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-instance-metadata-options.html) AWS CLI il comando (o l'operazione API) per richiedere [UpdateInstanceMetadataOptions](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_UpdateInstanceMetadataOptions.html)l'uso di. IMDSv2 Il comando seguente è un esempio. Assicurati di sostituirlo {{InstanceName}} con il nome dell'istanza e {{RegionName}} con il nome dell'istanza in Regione AWS uso.
```
aws lightsail update-instance-metadata-options --region {{RegionName}} --instance-name {{InstanceName}} --http-tokens required
```
**Percorso consigliato di richiesta dell'accesso a IMDSv2**
Utilizzando gli strumenti precedenti, ti consigliamo di seguire questo percorso per eseguire la transizione a IMDSv2:
### Fase 1: all'inizio
Aggiorna il AWS SDKs AWS CLI, il e il software che utilizza le credenziali di ruolo sulle istanze a versioni IMDSv2 compatibili. *Per informazioni sull'aggiornamento di AWS CLI, consulta [Aggiornamento alla versione più recente di nella Guida per l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/install-linux.html#install-linux-awscli-upgrade)utente.AWS Command Line Interface *
Quindi, modifica il software che accede direttamente ai metadati dell'istanza (in altre parole, che non utilizza un AWS SDK) utilizzando le richieste. IMDSv2
### Fase 2: durante la transizione
Monitora l'avanzamento della transizione utilizzando il parametro dell'istanza `MetadataNoToken`. Questa metrica mostra il numero di chiamate al servizio di metadati dell'istanza utilizzate sulle tue istanze. IMDSv1 Per ulteriori informazioni, consulta [Visualizzazione dei parametri delle istanze](amazon-lightsail-viewing-instance-health-metrics.md).
### Fase 3: quando è tutto pronto su tutte le istanze
Tutto è pronto per tutte le istanze quando la metrica `MetadataNoToken` dell'istanza registra un utilizzo pari a zero. IMDSv1 In questa fase, puoi richiederne IMDSv2 l'uso tramite il [update-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-instance-metadata-options.html)comando. Puoi apportare queste modifiche su istanze in esecuzione; non è necessario riavviare le istanze.
L'aggiornamento delle opzioni dei metadati delle istanze per le istanze esistenti è disponibile solo tramite l'API Lightsail o il. AWS CLI Al momento non è disponibile nella console Lightsail. Per ulteriori informazioni, consulta [update-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-instance-metadata-options.html).
## Documentazione IMDS aggiuntiva
La seguente documentazione IMDS è disponibile nella *Guida per l'utente di Amazon Elastic Compute Cloud per le istanze Linux* e nella *Guida per l'utente di Amazon Elastic Compute Cloud per le istanze Windows*:
**Nota**
In Amazon EC2, i blueprint delle istanze sono denominati Amazon Machine Images (). AMIs
+ Per le istanze Linux:
+ [Configura le opzioni dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)
+ [Recupero dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html)
+ [Utilizzo dei dati utente dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-add-user-data.html)
+ [Recupero dei dati dinamici](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-dynamic-data-retrieval.html)
+ [Categorie di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-categories.html)
+ [Esempio: valore dell'indice di avvio dell'AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMI-launch-index-examples.html)
+ [Documenti di identità dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-identity-documents.html)
+ Per le istanze Windows:
+ [Configura le opzioni dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)
+ [Recupero dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html)
+ [Utilizzo dei dati utente dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-add-user-data.html)
+ [Recupero dei dati dinamici](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-dynamic-data-retrieval.html)
+ [Categorie di metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-categories.html)
+ [Esempio: valore dell'indice di avvio dell'AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMI-launch-index-examples.html)
+ [Documenti di identità dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-identity-documents.html)