投稿日: Mar 25, 2024
アカウントで新しく起動されるすべての Amazon EC2 インスタンスで、インスタンスメタデータサービスバージョン 2 (IMDSv2) がデフォルトで使用されるよう設定できるようになりました。IMDSv2 は、セッション指向のリクエストを要求することで、不正なメタデータアクセスに対する多層防御を追加する拡張機能です。以前は、インスタンスを「IMDSv2 のみ」に設定するには、IMDS Amazon マシンイメージ (AMI) プロパティを使用するか、インスタンスの起動時にインスタンスメタデータオプションを設定するか、ModifyInstanceMetadataOptions API を使用して起動後にインスタンスを更新する必要がありました。
有効にすると、アカウントから起動される新しいインスタンスはデフォルトで「IMDSv2 のみ」になります。IMDS のデフォルト設定は、アカウント内の個々の AWS リージョンに固有です。また、新しい CloudWatch メトリクス MetadataNoTokenRejected が利用できるようになりました。このメトリクスは、IMDSv1 が無効になった後に IMDSv1 の呼び出しが試行されて拒否された回数を示します。このメトリクスを使用すると、IMDSv2 を指定した後にインスタンス上のソフトウェアが IMDSv1 の呼び出しを試みていないことを確認できます。
開始するには、EC2 コンソールを使用するか、リージョンごとに 1 回 API コールを行って IMDS のデフォルトを有効にします。これらのデフォルトを有効にしても、アカウント内の既存のインスタンスには影響しません。インスタンスメタデータオプションの起動プロパティを使用すれば、この設定を手動でオーバーライドし、IMDSv1 を有効にすることもできます。IAM コントロールを使用して、さまざまな IMDS 設定を適用することも可能です。IAM ポリシーの例については、「インスタンスメタデータの操作」を参照してください。
新しい IMDS アカウントのデフォルト設定は現在、すべての AWS リージョンと AWS GovCloud (米国) でご利用いただけます。
新しい IMDS アカウントのデフォルト設定と MetadataNoTokenRejected CloudWatch メトリクスの詳細については、IMDSv2 ユーザーガイドを参照してください。