AWSSupport-ConfigureEC2Metadata - AWS Systems Manager 自动化运行手册参考

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWSSupport-ConfigureEC2Metadata

描述

此运行手册可帮助您为 Amazon Elastic Compute Cloud (Amazon EC2) 实例配置实例元数据服务(IMDS)选项。使用此运行手册,您可以执行以下配置:

  • 强制将 IMDSv2 用于实例元数据。

  • 配置 HttpPutResponseHopLimit 值。

  • 允许或拒绝访问实例元数据。

有关实例元数据的更多信息,请参阅 Amazon EC2 用户指南中的配置实例元数据服务

运行此自动化(控制台)

文档类型

自动化

所有者

Amazon

平台

Linux、macOS、Windows

参数

  • AutomationAssumeRole

    类型:字符串

    描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。

  • EnforceIMDSv2

    类型:字符串

    有效值:必需 | 可选

    默认:可选

    描述:(可选)强制执行 IMDSv2。如果您选择 required,则 Amazon EC2 实例将仅使用 IMDSv2。如果您选择 optional,则可以在 IMDSv1 和 IMDSv2 之间选择以获得元数据访问权限。

    重要

    如果您强制执行 IMDSv2,则使用 IMDSv1 的应用程序可能无法正常运行。在强制执行 IMDSv2 之前,请确保使用 IMDS 的应用程序已升级到支持 IMDSv2 的版本。有关实例元数据服务版本 2 (imdsv2) 的信息,请参阅 Amazon EC 2 用户指南中的配置实例元数据服务

  • HttpPutResponseHop极限

    类型:整数

    有效值:0-64

    默认:0

    描述:(可选)实例元数据请求的所需 HTTP PUT 响应跃点限制值 (1-64)。此值控制 PUT 响应可以遍历的跳点数。为防止响应在实例之外传播,请为参数值指定 1

  • InstanceId

    类型:字符串

    描述:(必需)您要配置其元数据设置 Amazon EC2 实例的 ID。

  • MetadataAccess

    类型:字符串

    有效值:启用 | 禁用

    默认值:启用

    描述:(可选)允许或拒绝访问 Amazon EC2 实例中的实例元数据。如果您指定 disabled,则所有其他参数将被忽略,且实例的元数据访问将被拒绝。

所需的 IAM 权限

AutomationAssumeRole 参数需要执行以下操作才能成功使用运行手册。

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

文档步骤

  1. branch OnMetadataAccess -基于MetadataAccess参数值的分支自动化。

  2. disableMetadataAccess -调用 ModifyInstanceMetadataOptions API 操作以禁用元数据端点访问权限。

  3. branch OnHttpPutResponseHopLimit -基于HttpPutResponseHopLimit参数值的分支自动化。

  4. 维护 HopLimitAndConfigureImdsVersion -如果HttpPutResponseHopLimit为 0,则保持当前跳数限制并更改其他元数据选项。

  5. 等待 BeforeAsserting imdsv2State-等待 30 秒后再断言 imdsv2 状态。

  6. set HopLimitAndConfigureImdsVersion -如果大HttpPutResponseHopLimit于 0,则使用给定的输入参数配置元数据选项。

  7. 等待 BeforeAssertingHopLimit -在断言元数据选项之前等待 30 秒。

  8. assertHopLimit -断言该HttpPutResponseHopLimit属性已设置为您指定的值。

  9. branch VerificationOn imdsv2Option-基于参数值进行分支验证。EnforceIMDSv2

  10. assertimdsV IsOptional 2-将值设置为HttpTokensoptional

  11. assertimdsV IsEnforced 2-将值设置为HttpTokensrequired

  12. 等待 BeforeAssertingMetadataState -在断言元数据状态已禁用之前等待 30 秒。

  13. 断言 MetadataIsDisabled -断言元数据是。disabled

  14. describeMetadataOptions -在应用您指定的更改后获取元数据选项。

输出

描述 MetadataOptions .State

描述MetadataOptions。 MetadataAccess

描述 MetadataOptions .imdsv2

描述MetadataOptions。 HttpPutResponseHop极限