Configuração do IMDS nas instâncias do ambiente Elastic Beanstalk - AWS Elastic Beanstalk
Suporte de plataforma ao IMDSEscolher métodos de IMDSConfigurar o IMDS usando o console do Elastic BeanstalkO namespace aws:autoscaling:launchconfiguration

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração do IMDS nas instâncias do ambiente Elastic Beanstalk

Este tópico descreve o Serviço de Metadados de Instância (IMDS).

Os metadados da instância são dados relacionados a uma instância do Amazon Elastic Compute Cloud EC2 (Amazon) que os aplicativos podem usar para configurar ou gerenciar a instância em execução. O serviço de metadados da instância (IMDS) é um componente na instância que o código na instância usa para acessar metadados da instância com segurança. Esse código pode ser o código da plataforma Elastic Beanstalk nas instâncias do seu ambiente AWS , o SDK que seu aplicativo pode estar usando ou até mesmo o próprio código do seu aplicativo. Para obter mais informações, consulte Metadados da instância e dados do usuário no Guia do EC2 usuário da Amazon.

O código pode acessar os metadados da instância de uma instância em execução usando um dos dois métodos: Instance Metadata Service Version 1 (IMDSv1) ou Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 usa solicitações orientadas à sessão e mitiga vários tipos de vulnerabilidades que poderiam ser usadas para tentar acessar o IMDS. Para obter informações sobre esses dois métodos, consulte Como configurar o serviço de metadados da instância no Guia EC2 do usuário da Amazon.

Suporte de plataforma ao IMDS

Todas as plataformas do Elastic Beanstalk executadas no Amazon Linux 2 e no Amazon Linux 2023 e no Windows Server oferecem suporte a ambos e. IMDSv1 IMDSv2 Para ter mais informações, consulte Configurar o IMDS usando o console do Elastic Beanstalk

Escolher métodos de IMDS

Ao tomar uma decisão sobre os métodos de IMDS que você deseja que o ambiente suporte, considere os seguintes casos de uso do:

  • AWS SDK — Se seu aplicativo usa um AWS SDK, certifique-se de usar a versão mais recente do SDK. Eles AWS SDKs fazem chamadas IMDS e as versões mais recentes do SDK são usadas IMDSv2 sempre que possível. Se você alguma vez desativar IMDSv1 ou se seu aplicativo usar uma versão antiga do SDK, as chamadas do IMDS poderão falhar.

  • O código do seu aplicativo — Se seu aplicativo fizer chamadas IMDS, considere usar o AWS SDK para que você possa fazer as chamadas em vez de fazer solicitações HTTP diretas. Assim, não é necessário fazer alterações no código para alternar entre os métodos de IMDS. O AWS SDK é usado IMDSv2 sempre que possível.

  • Código da plataforma Elastic Beanstalk — Nosso código faz chamadas IMDS AWS por meio do SDK e IMDSv2 , portanto, é usado em todas as versões de suporte da plataforma. Se seu código usa um up-to-date AWS SDK e faz todas as chamadas IMDS por meio do SDK, você pode desativá-lo com segurança. IMDSv1

Configurar o IMDS usando o console do Elastic Beanstalk

Você pode modificar a configuração da instância Amazon do seu ambiente do Elastic Beanstalk no console EC2 do Elastic Beanstalk.

Importante

A configuração da opção do DisableIMDSv1 pode fazer com que o Elastic Beanstalk crie um ambiente com um modelo de inicialização ou atualize um ambiente existente a partir de configurações de inicialização para modelos de inicialização. Isso requer as permissões necessárias para gerenciar os modelos de lançamento. Essas permissões estão incluídas em nossa política gerenciada. Se você usar políticas personalizadas em vez de nossas políticas gerenciadas, a criação ou as atualizações do ambiente podem falhar quando você habilita instâncias spot para seu ambiente. Para obter mais informações e outras considerações, consulteModelos de lançamento para seu ambiente Elastic Beanstalk.

Para configurar o IMDS em suas EC2 instâncias da Amazon no console do Elastic Beanstalk

  1. Abra o console do Elastic Beanstalk e, na lista Regiões, selecione sua. Região da AWS

  2. No painel de navegação, selecione Ambientes e selecione o nome do ambiente na lista.

    nota

    Se você tiver muitos ambientes, use a barra de pesquisa para filtrar a lista de ambientes.

  3. No painel de navegação, escolha Configuration (Configuração).

  4. Na categoria de configuração Instances (Instâncias), escolha Edit (Editar).

  5. Defina Desativar IMDSv1 para impor IMDSv2. IMDSv1Desmarque a opção Desativar para ativar IMDSv1 os dois IMDSv2.

  6. Para salvar as alterações, escolha Apply (Aplicar) na parte inferior da página.

O namespace aws:autoscaling:launchconfiguration

É possível usar uma opção de configuração no namespace aws:autoscaling:launchconfiguration para configurar o IMDS nas instâncias do ambiente.

Importante

A configuração da opção do DisableIMDSv1 pode fazer com que o Elastic Beanstalk crie um ambiente com um modelo de inicialização ou atualize um ambiente existente a partir de configurações de inicialização para modelos de inicialização. Isso requer as permissões necessárias para gerenciar os modelos de lançamento. Essas permissões estão incluídas em nossa política gerenciada. Se você usar políticas personalizadas em vez de nossas políticas gerenciadas, a criação ou as atualizações do ambiente podem falhar quando você habilita instâncias spot para seu ambiente. Para obter mais informações e outras considerações, consulteModelos de lançamento para seu ambiente Elastic Beanstalk.

O exemplo de arquivo de configuração a seguir desativa o IMDSv1 uso da DisableIMDSv1 opção.

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true

IMDSv1Defina Desativar true como para desativar IMDSv1 e aplicar IMDSv2.

IMDSv1Defina Desativar como false para ativar ambos IMDSv1 IMDSv2 e.