AWSSupport-ConfigureEC2Metadata - AWS Systems Manager Referência do runbook de automação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSSupport-ConfigureEC2Metadata

Descrição

Este runbook ajuda a configurar opções do serviço de metadados de instância (IMDS) para instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Usando este runbook é possível configurar o seguinte:

  • Impor o uso do IMDSv2 para metadados da instância.

  • Configurar o valor de HttpPutResponseHopLimit.

  • Permitir ou negar o acesso a metadados da instância.

Para obter mais informações sobre os metadados da instância, consulte Como configurar o serviço de metadados da instância no Guia do usuário do Amazon EC2.

Execute esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

  • AutomationAssumeRole

    Tipo: String

    Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhuma função for especificada, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

  • EnforceIMDSv2

    Tipo: sequência

    Valores válidos: obrigatório | opcional

    Padrão: Optional

    Descrição: (opcional) Enforce IMDSv2. Se você escolher required, a instância do Amazon EC2 usará somente o IMDSv2. Se você escolher optional, poderá escolher entre IMDSv1 e IMDSv2 para acesso aos metadados.

    Importante

    Se você impor o IMDSv2, os aplicativos que usam o IMDSv1 podem não funcionar corretamente. Antes de impor o IMDSv2, certifique-se de que seus aplicativos que usam o IMDS estejam atualizados para uma versão compatível com o IMDSv2. Para obter informações sobre o Instance Metadata Service versão 2 (IMDSv2), consulte Como configurar o serviço de metadados de instância no Guia do usuário do Amazon EC2.

  • HttpPutResponseHopLimite

    Tipo: Integer

    Valores válidos: de 0 a 64

    Padrão: 0

    Descrição: (opcional) o limite (1 a 64) de salto de resposta HTTP PUT desejado para solicitações de metadados de instância. Esse valor controla o número de saltos que a resposta PUT pode percorrer. Para evitar que a resposta saia da instância, especifique o 1 para o valor do parâmetro.

  • InstanceId

    Tipo: sequência

    Descrição: (obrigatório) o ID da instância do Amazon EC2 cujas configurações de metadados você deseja definir.

  • MetadataAccess

    Tipo: sequência

    Valores válidos: Enabled | Disabled

    Padrão: habilitado

    Descrição: (opcional) permita ou negue o acesso aos metadados da instância na instância do Amazon EC2. Se você especificar disabled, todos os outros parâmetros serão ignorados e o acesso aos metadados será negado para a instância.

Permissões obrigatórias do IAM

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Etapas do documento

  1. ramificação OnMetadataAccess - Automação de filiais com base no valor do MetadataAccess parâmetro.

  2. disableMetadataAccess - Chama a ação da ModifyInstanceMetadataOptions API para desativar o acesso ao endpoint de metadados.

  3. ramificação OnHttpPutResponseHopLimit - Automação de filiais com base no valor do HttpPutResponseHopLimit parâmetro.

  4. manter HopLimitAndConfigureImdsVersion - Se HttpPutResponseHopLimit for 0, mantém o limite de salto atual e altera outras opções de metadados.

  5. wait BeforeAsserting IMDSv2State - Espera 30 segundos antes de declarar o status IMDSv2.

  6. set HopLimitAndConfigureImdsVersion - Se HttpPutResponseHopLimit for maior que 0, configura as opções de metadados usando os parâmetros de entrada fornecidos.

  7. wait BeforeAssertingHopLimit - Espera 30 segundos antes de declarar as opções de metadados.

  8. assertHopLimit - Afirma que a HttpPutResponseHopLimit propriedade está definida com o valor que você especificou.

  9. branch VerificationOn IMDSv2Option - Verificação de ramificações com base no valor do parâmetro. EnforceIMDSv2

  10. AssertImDSv2 IsOptional - Afirma HttpTokens o valor definido como. optional

  11. AssertImDSv2 IsEnforced - Afirma HttpTokens o valor definido como. required

  12. wait BeforeAssertingMetadataState - Espera 30 segundos antes de afirmar que o estado dos metadados está desativado.

  13. assert MetadataIsDisabled - Afirma que os metadados são. disabled

  14. describeMetadataOptions - Obtém as opções de metadados após a aplicação das alterações que você especificou.

Saídas

descreva o MetadataOptions estado

descrevemMetadataOptions. MetadataAccess

descreva MetadataOptions .IMDSv2

descrevemMetadataOptions. HttpPutResponseHopLimite