게시된 날짜: Mar 25, 2024
이제 계정에서의 모든 새로운 Amazon EC2 인스턴스 시작을 기본적으로 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용하도록 설정할 수 있습니다. IMDSv2는 세션 지향 요청을 필요로 하는 향상된 기능으로, 무단 메타데이터 액세스에 대한 심층 방어를 강화합니다. 이전에는 인스턴스를 IMDSv2 전용으로 설정하려면 IMDS Amazon Machine Image(AMI) 속성을 사용하거나 인스턴스 시작 시 인스턴스 메타데이터 옵션을 설정하거나 ModifyInstanceMetadataOptions API를 사용하여 시작 후 인스턴스를 업데이트해야 했습니다.
이제 활성화되면 계정에서 시작되는 모든 새 인스턴스는 기본적으로 IMDSv2 전용으로 설정됩니다. IMDS 기본 설정은 계정의 개별 AWS 리전에 따라 다릅니다. 또한 IMDSv1이 비활성화된 후 IMDSv1 호출이 시도되고 거부된 횟수를 나타내는 새로운 CloudWatch 지표 MetadataNoTokenRejected도 사용할 수 있습니다. 이 지표를 사용하여 인스턴스의 소프트웨어가 IMDSv2를 요구한 후 IMDSv1 호출을 시도하지 않는지 확인할 수 있습니다.
시작하려면 EC2 콘솔을 사용하거나 리전별 단일 API 호출로 IMDS 기본값을 활성화하면 됩니다. 이러한 기본값을 활성화해도 계정의 모든 기존 인스턴스에는 영향을 주지 않습니다. 인스턴스 메타데이터 옵션 시작 속성을 사용하여 이러한 설정을 수동으로 재정의해 IMDSv1을 활성화할 수도 있습니다. 그리고 IAM 컨트롤을 사용해 다른 IMDS 설정을 적용할 수도 있습니다. IAM 정책의 예는 인스턴스 메타데이터 사용을 참조하세요.
새로운 IMDS 계정 기본값은 이제 모든 AWS 리전과 AWS GovCloud(미국)에서 사용할 수 있습니다.
새로운 IMDS 계정 기본값 및 MetadataNoTokenRejected CloudWatch 지표에 대한 자세한 내용은 IMDSv2 사용 설명서를 참조하세요.