Veröffentlicht am: Mar 25, 2024
Sie können den Start für alle neuen Amazon EC2-Instances in Ihrem Konto so einrichten, dass Instance Metadata Service Version 2 (IMDSv2) standardmäßig verwendet wird. IMDSv2 ist eine Erweiterung, die sitzungsorientierte Anfragen benötigt, um umfassenden Schutz gegen unbefugte Metadatenzugriffe zu bieten. Um Ihre Instances auf „Nur IMDSv2“ zu setzen, mussten Sie bisher die IMDS Amazon Machine Image (AMI)-Eigenschaft verwenden, beim Start die Optionen für Instance-Metadaten festlegen oder nach dem Start Instances mithilfe der ModifyInstanceMetadataOptions-API aktualisieren.
Jetzt bei Aktivierung werden alle neuen Instances, die von Ihrem Konto aus gestartet werden, standardmäßig nur IMDSv2 sein. Die IMDS-Standardeinstellungen gelten speziell für einzelne AWS-Regionen in Ihrem Konto. Zusätzlich ist eine neue CloudWatch Metrik MetadatanoTokenRejected verfügbar, die anzeigt, wie oft ein IMDSv1-Aufrufe versucht oder abgelehnt wurde, nachdem IMDSv1 deaktiviert wurde. Diese Metrik kann verwendet werden, um sicherzustellen, dass die Software auf Ihrer Instance keine IMDSv1-Aufrufe versucht, nachdem IMDSv2 angefordert wurde.
Rufen Sie zunächst die EC2-Konsole auf oder aktivieren Sie die IMDS-Standards mit einem einzigen API-Aufruf pro Region. Die Aktivierung dieser Standards hat keine Auswirkungen auf bestehende Instances in Ihrem Konto. Sie können diese Einstellungen weiterhin manuell überschreiben und IMDSv1 mit den optionalen Instance-Metadata-Starteigenschaften aktivieren. Sie können IAM-Kontrollen weiterhin verwenden, um verschiedene IMDS-Einstellungen durchzusetzen. Ein Beispiel für IAM-Richtlinien finden Sie unter Arbeiten mit Instance-Metadaten.
Die neuen IMDS-Kontostandards sind jetzt in allen AWS-Regionen und in der Region AWS GovCloud (USA) verfügbar.
Weitere Informationen zu den neuen IMDS-Kontostandards und der CloudWatch-Metrik MetadatanoTokenRejected finden Sie im IMDSv2-Benutzerhandbuch.