AWSSupport-ConfigureEC2Metadata - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-ConfigureEC2Metadata

Descrizione

Questo runbook ti aiuta a configurare le opzioni del servizio di metadata dell'istanza (IMDS) per le istanze Amazon Elastic Compute Cloud (Amazon EC2). Utilizzando questo runbook, puoi configurare quanto segue:

  • Imponi l'uso di IMDSv2, ad esempio i metadati.

  • HttpPutResponseHopLimitConfigura il valore.

  • Consenti o nega l'accesso ai metadati dell'istanza.

Per ulteriori informazioni sui metadati delle istanze, consulta Configuring the Instance Metadata Service nella Amazon EC2 User Guide.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parametri

  • AutomationAssumeRole

    ▬Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • Applica IMDS V2

    ▬Tipo: stringa

    Valori validi: obbligatori | facoltativi

    Predefinito: opzionale

    Descrizione: (Facoltativo) Applica IMDSv2. Se lo desiderirequired, l'istanza Amazon EC2 utilizzerà solo IMDSv2. Se lo desiderioptional, puoi scegliere tra IMDSv1 e IMDSv2 per l'accesso ai metadati.

    Importante

    Se applichi IMDSv2, le applicazioni che utilizzano IMDSv1 potrebbero non funzionare correttamente. Prima di applicare IMDSv2, assicurati che le applicazioni che utilizzano IMDS siano aggiornate a una versione che supporti IMDSv2. Per informazioni su Instance Metadata Service versione 2 (IMDSv2), consulta Configurazione del servizio di metadati dell'istanza nella Guida per l'utente di Amazon EC2.

  • HttpPutResponseHopLimite

    Tipo: integer

    Valori validi: 0-64

    Impostazione predefinita: 0

    Descrizione: (Facoltativo) Il valore limite dell'hop di risposta HTTP PUT desiderato (1-64), ad esempio le richieste di metadati. Questo valore controlla il numero di hop che la risposta PUT può attraversare. Per evitare che la risposta si sposti all'esterno dell'istanza, specificate il 1 valore del parametro.

  • InstanceId

    ▬Tipo: stringa

    Descrizione: (Obbligatorio) L'ID dell'istanza Amazon EC2 di cui desideri configurare le impostazioni dei metadati.

  • MetadataAccess

    ▬Tipo: stringa

    Valori validi: abilitato | disabilitato

    Impostazione predefinita: abilitato

    Descrizione: (Facoltativo) Consenti o nega l'accesso ai metadati dell'istanza nell'istanza Amazon EC2. Se lo specifichidisabled, tutti gli altri parametri verranno ignorati e l'accesso ai metadati verrà negato per l'istanza.

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Fasi del documento

  1. branch OnMetadataAccess - Automazione delle filiali in base al valore del MetadataAccess parametro.

  2. disableMetadataAccess - Richiama l'azione ModifyInstanceMetadataOptions API per disabilitare l'accesso agli endpoint dei metadati.

  3. branch OnHttpPutResponseHopLimit - Automazione delle filiali in base al valore del HttpPutResponseHopLimit parametro.

  4. mantieni HopLimitAndConfigureImdsVersion - Se HttpPutResponseHopLimit è 0, mantiene il limite di hop corrente e modifica altre opzioni di metadati.

  5. wait BeforeAsserting IMDSv2State - Attende 30 secondi prima di affermare lo stato di IMDSv2.

  6. set HopLimitAndConfigureImdsVersion - Se HttpPutResponseHopLimit è maggiore di 0, configura le opzioni dei metadati utilizzando i parametri di input forniti.

  7. wait BeforeAssertingHopLimit - Attende 30 secondi prima di affermare le opzioni dei metadati.

  8. assertHopLimit - Asserisce che la HttpPutResponseHopLimit proprietà è impostata sul valore specificato.

  9. branch VerificationOn IMDSv2Option - Verifica dei rami in base al valore del parametro. EnforceIMDSv2

  10. assertImDSv2 - IsOptional Asserisce il valore impostato su. HttpTokens optional

  11. assertimDSv2 - Asserisce IsEnforced il valore impostato su. HttpTokens required

  12. wait BeforeAssertingMetadataState - Attende 30 secondi prima di affermare che lo stato dei metadati sia disabilitato.

  13. assert MetadataIsDisabled - Asserisce che i metadati sono. disabled

  14. describeMetadataOptions - Ottiene le opzioni relative ai metadati dopo l'applicazione delle modifiche specificate.

Output

descrivi .State MetadataOptions

descrivereMetadataOptions. MetadataAccess

descrivi MetadataOptions .IMDSv2

descrivereMetadataOptions. HttpPutResponseHopLimite