Comment utiliser Systems Manager Automation pour imposer que seul IMDSv2 soit utilisé pour accéder aux métadonnées d'instance de mon instance Amazon EC2 ?

Brève description

Par défaut, vous pouvez récupérer les métadonnées d'instance d'une instance Amazon EC2 en cours d'exécution en utilisant l'une ou l'autre des méthodes suivantes, ou les deux :

• Instance Metadata Service Version 1 (IMDSv1) : une méthode de requête/réponse
• Instance Metadata Service Version 2 (IMDSv2) : une méthode orientée session

Pour exiger l'utilisation d'IMDSv2 sur une instance, vous pouvez exécuter le document d'automatisation d'AWS Systems Manager AWSSupport-ConfigureEC2Metadata.

Important : si vous imposez l'utilisation d'IMDSv2, IMDSv1 ne fonctionnera plus et les applications qui utilisent IMDSv1 risquent de ne pas fonctionner correctement. Avant d'imposer l'utilisation d'IMDSv2, vérifiez que toutes les applications qui utilisent les métadonnées d'Amazon EC2 sont mises à niveau vers une version qui prend en charge IMDSv2. Pour plus d'informations sur les métadonnées d'instance, consultez Configuration du service de métadonnées d'instance.

Résolution

Conditions préalables

Pour exécuter l'automatisation et lire la sortie, vous devez disposer des autorisations ssm:StartAutomationExecution et ssm:GetAutomationExecution.

Exécuter le document d'automatisation AWSSupport-ConfigureEC2Metadata

1. Ouvrez la console Systems Manager, puis choisissez Automation (Automatisation) dans le panneau de navigation.
2. Choisissez Execute automation (Exécuter l'automatisation).
3. Dans l'onglet Owned by Amazon (Propriété d'Amazon), pour Automation document (Document d'automatisation), saisissez AWSSupport-ConfigureEC2Metadata, puis appuyez sur Entrée.
4. Sélectionnez le bouton radio pour le document AWSSupport-ConfigureEC2Metadata, puis choisissez Next (Suivant).
5. PourExecute automation document (Exécuter le document d’automatisation), sélectionnez Simple execution (Exécution simple).
   Remarque : si vous devez exécuter l'automatisation sur plusieurs cibles, choisissez Rate Control (Contrôle du débit).
6. Pour Input parameters (Paramètres d'entrée), spécifiez les paramètres suivants :
   InstanceId : saisissez l'ID de l'instance Amazon EC2 pour laquelle vous souhaitez configurer les paramètres de métadonnées.
   HttpPutResponseHopLimit : laissez la valeur 0 pour conserver la valeur actuelle, ou saisissez la valeur de votre choix (1–64).
   EnforceIMDSv2 : choisissez required (obligatoire).
   MetadataAccess : Choisissez enabled (activé).
7. (Facultatif) Pour AutomationAssumeRole, choisissez un rôle. Si un rôle n'est pas spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui exécute le document.
   Remarque : pour modifier l'instance Amazon EC2 cible, le rôle AutomationAssumeRole ou le rôle utilisateur doit disposer des autorisations ec2:ModifyInstanceMetadataOptions et ec2:DescribeInstances. Pour plus d'informations sur la création du rôle d'endossement pour Systems Manager Automation, consultez Création d'une fonction du service pour Automation.
8. Sélectionnez Execute (Exécuter).

Vous pouvez également utiliser le document AWSSupport-ConfigureEC2Metadata pour modifier d'autres métadonnées d'instance Amazon EC2. Par exemple, vous pouvez désactiver les métadonnées ou modifier la valeur de l'attribut HttpPutResponseHopLimit. Pour plus d'informations, consultez AWSSupport-ConfigureEC2Metadata.

Informations connexes

Récupération des métadonnées d'instance