投稿日: Oct 3, 2022
デフォルトで Instance Metadata Service Version 2 (IMDSv2) が使用されるように、EC2 の Amazon マシンイメージ (AMI) を設定できるようになりました。IMDSv2 は、セッション指向のリクエストを必要とするインスタンスメタデータアクセスへの機能強化で、不正なメタデータアクセスに対する多層防御を追加します。IMDSv2 では、インスタンスメタデータサービスへのセッションの開始とトークンの取得に PUT リクエストが必要です。インスタンスを IMDSv2-only に設定するには、これまではインスタンス起動時に Instance Metadata オプションを設定するか、起動後に ModifyInstanceMetadataOptions API を使ってインスタンスを更新する必要がありました。
今は IMDS AMI プロパティを使って、AMI から起動されるすべての新しいインスタンスを、デフォルトで IMDSv2-only に設定できます。このプロパティを、サポートされている IMDSv2 に設定すると、AMI で起動されたすべてのインスタンスで IMDSv2-only が使用され、デフォルトのホップ制限は、コンテナ化されたワークロードに対応するために 2 に設定されます。
開始するには、AMI を登録して、このプロパティを IMDSv2 に設定します。この設定は、Instance Metadata オプションの起動プロパティを使用して手動で上書きし、引き続き IMDSv1 を有効にすることもできます。IAM コントロールを使用して、さまざまな IMDS 設定を適用することも可能です。
新しい IMDS AMI は現在、すべての AWS リージョン と AWS GovCloud (米国) で利用可能です。
新しい IMDS AMI プロパティの詳細については、IMDSv2 ユーザーガイドをご覧ください。