AWSSupport-ConfigureEC2Metadata - AWS Systems Manager 自動化手冊參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-ConfigureEC2Metadata

Description

此執行手冊可協助您設定 Amazon 彈性運算雲端 (Amazon EC2) 執行個體的執行個體中繼資料服務 (IMDS) 選項。使用此 runbook,您可以配置以下內容:

  • 針對執行個體中繼資料強制使用 IMDSv2。

  • 設定HttpPutResponseHopLimit值。

  • 允許或拒絕執行個體元資料存取。

如需執行個體中繼資料的詳細資訊,請參Amazon EC2 使用者指南中的設定執行個體中繼資料服務

運行此自動化(控制台)

文件類型

 自動化

擁有者

Amazon

平台

Linux,macOS, Windows

參數

  • AutomationAssumeRole

    類型:字串

    說明:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 (ARN)。如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

  • 強制執行 V2

    類型:字串

    有效值:必要 | 選用

    預設值:選擇性

    說明:(選擇性) 強制執行 ImDSv2。如果您選擇required,亞馬遜 EC2 執行個體將僅使用 IMDSv2。如果您選擇optional,您可以選擇 IMDSv1 和 IMDSv2 進行中繼資料存取。

    重要

    如果您強制執行 IMDSv2,使用 IMDSv1 的應用程式可能無法正常運作。在強制執行 ImDSv2 之前,請確定您使用 IMDS 的應用程式已升級至支援 IMDSv2 的版本。如需執行個體中繼資料服務第 2 版 (IMDSv2) 的相關資訊,請參閱 Amazon EC2 使用者指南中的設定執行個體中繼資料服務

  • HttpPutResponseHop極限

    類型:整數

    有效值:0-64

    預設:0

    說明:(選用) 執行個體中繼資料要求所需的 HTTP PUT 回應躍點限制值 (1-64)。此值控制 PUT 回應可以遍歷的躍點數目。若要防止回應傳送至執行個體之外,請1為參數值指定。

  • InstanceId

    類型:字串

    說明:(必填) 您要設定其中繼資料設定之 Amazon EC2 執行個體的 ID。

  • MetadataAccess

    類型:字串

    有效值:已啟用 | 已停用

    預設:啟用

    說明:(選用) 允許或拒絕 Amazon EC2 執行個體中繼資料存取。如果您指定disabled,則會忽略所有其他參數,而且會拒絕執行個體的中繼資料存取。

必要的 IAM 許可

AutomationAssumeRole參數需要下列動作才能成功使用 runbook。

  • ec2:DescribeInstances

  • ec2:ModifyInstanceMetadataOptions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

文件步驟

  1. 分支 OnMetadataAccess -基於MetadataAccess參數值的分支自動化。

  2. disableMetadataAccess -呼叫 ModifyInstanceMetadataOptions API 動作以停用中繼資料端點存取。

  3. 分支 OnHttpPutResponseHopLimit -基於HttpPutResponseHopLimit參數值的分支自動化。

  4. 維護 HopLimitAndConfigureImdsVersion -如果HttpPutResponseHopLimit為 0,則維持目前的躍點限制並變更其他中繼資料選項。

  5. 等待 BeforeAsserting Imdsv2 狀態-在宣告 ImDSv2 狀態之前等待 30 秒。

  6. set HopLimitAndConfigureImdsVersion -如果大HttpPutResponseHopLimit於 0,則使用給定的輸入參數配置元數據選項。

  7. wait BeforeAssertingHopLimit -在宣告中繼資料選項之前等待 30 秒。

  8. assertHopLimit -宣告HttpPutResponseHopLimit屬性設定為您指定的值。

  9. 分支 VerificationOn IMDSV2Option-根據參數的值進行分支驗證。EnforceIMDSv2

  10. 判斷提示 V2 IsOptional -宣告設定為HttpTokens的值。optional

  11. 判斷提示 V2 IsEnforced -宣告設定為HttpTokens的值。required

  12. wait BeforeAssertingMetadataState -在宣告中繼資料狀態停用之前等待 30 秒。

  13. 斷言 MetadataIsDisabled -斷言元數據是。disabled

  14. describeMetadataOptions -套用您指定的變更後,會取得中繼資料選項。

輸出

描述MetadataOptions. 狀態

描述MetadataOptions。 MetadataAccess

描述 MetadataOptions

描述MetadataOptions。 HttpPutResponseHop極限