投稿日: Jun 1, 2023
インスタンスメタデータサービス (IMDS) パケットアナライザーを使用して、EC2 インスタンスの IMDSv1 コールのソースを特定できるようになりました。
インスタンスメタデータとは、実行中のインスタンスの設定または管理に使用できるインスタンスに関するデータです。インスタンスメタデータサービスバージョン 2 (IMDSv2) は、不正なメタデータアクセスに対する深層防御を追加する機能強化です。現在、AWS SDK とソフトウェアには IMDSv2 がデフォルトで使用されています。ただし、IMDSv2 の利点を最大限に活用するには、EC2 インスタンスで IMDSv1 を無効にする必要があります。そのため、まだ IMDSv1 コールを行っているユーザーのソフトウェアおよびサードパーティのアプリケーションを特定し、IMDSv2 に対応するようアップデートすることが必要です。
このたび、IMDS パケットアナライザーを使用して、IMDS の呼び出しに関連するプロセスや詳細を確認できるようになりました。IMDS パケットアナライザーはオープンソースのツールです。コマンドラインから実行するか、サービスとしてインストールして、インスタンスの起動フェーズから IMDSv1 コールを特定して記録できます。これにより、インスタンスで IMDSv2 のみが使用されるようするために更新が必要なものを正確に特定できます。
IMDS パケットアナライザーのインストール手順など、詳細については、GitHub の IMDS パケットアナライザーを参照してください。
インスタンスメタデータサービスと IMDSv2 の使用方法の詳細については、EC2 ユーザーガイドをご覧ください。