Publicado en: Mar 25, 2024
Ahora puede configurar todos los lanzamientos de instancias nuevas de Amazon EC2 en su cuenta para que usen la versión 2 del servicio de metadatos de instancia (IMDSv2) de forma predeterminada. El IMDS versión 2 constituye una mejora que requiere de solicitudes orientadas a la sesión para incorporar una mayor protección contra el acceso no autorizado a los metadatos. Para establecer sus instancias como exclusivas de IMDSv2, previamente tenía que usar la propiedad Imagen de Máquina de Amazon (AMI) del IMDS, establecer las opciones de metadatos de la instancia durante el lanzamiento de la instancia o actualizar las instancias después del lanzamiento mediante la API ModifyInstanceMetadataOptions.
Ahora, cuando esté habilitada, cualquier instancia nueva que se lance desde su cuenta será solo para IMDSv2 de forma predeterminada. La configuración predeterminada del IMDS es específica de cada región de AWS en su cuenta. También está disponible una nueva métrica de CloudWatch, MetadataNotokenRejed, que indica el número de veces que se intentó y rechazó una llamada de IMDSv1 después de deshabilitar IMDSv1. Esta métrica se puede usar para garantizar que el software de la instancia no intente realizar llamadas a IMDSv1 después de necesitar IMDSv2.
Para empezar, utilice la consola EC2 o habilite los valores predeterminados del IMDS con una única llamada a la API por región. La activación de estos valores predeterminados no afecta a ninguna instancia existente en su cuenta. Aún podrá anular manualmente esta configuración y habilitar el IMDS versión 1 mediante las propiedades de inicio de las opciones de metadatos de instancias. Además, aún puede utilizar los controles de IAM para aplicar diferentes opciones de configuración del IMDS. Para ver, por ejemplo, las políticas de IAM, consulte Trabajar con metadatos de instancias.
Los nuevos valores predeterminados de la cuenta IMDS ya están disponibles en todas las regiones de AWS y en AWS GovCloud (EE. UU.).
Para obtener más información sobre los nuevos valores predeterminados de la cuenta IMDS y la métrica MetadataNotokenRejected de CloudWatch, consulte la guía del usuario de IMDSv2.