Amazon Web Services 한국 블로그
Amazon EC2 인스턴스 메타데이터 서비스 IMDSv2(기본 설정)
2024년 중반부터 새로 출시되는 Amazon EC2 인스턴스 유형은 EC2 인스턴스 메타데이터 서비스의 버전 2(IMDSv2)만 사용할 예정입니다. 또한 IMDSv2를 AWS Management Console 퀵 스타트 및 기타 시작 경로의 기본 선택으로 만들기 위한 일련의 조치가 진행 중에 있습니다.
배경
이 서비스는 고정 IP 주소(IPv4를 통해 169.254.169.254 또는 Nitro 인스턴스에서 IPv6를 통해 fd00:ec2::254)의 EC2 인스턴스 내에서 액세스할 수 있습니다. 이를 통해 사용자(또는 인스턴스에서 실행되는 코드)가 인스턴스 시작에 사용된 AMI의 ID, 블록 디바이스 매핑, 인스턴스에 연결된 역할의 임시 IAM 보안 인증, 네트워크 인터페이스 정보, 사용자 데이터 등 풍부한 정적 및 동적 데이터에 액세스할 수 있습니다(인스턴스 메타데이터 카테고리 참조).
v1 서비스는 요청/응답 액세스 방법을 사용하고 v2 서비스는 세션 지향 방법을 사용합니다. 자세한 내용은 이 블로그 게시물에 설명되어 있습니다. 두 서비스 모두 완벽하게 안전하지만 v2는 IMDS에 액세스하려고 시도하는 데 사용될 수 있는 네 가지 유형의 취약점에 대한 추가 보호 계층을 제공합니다.
이미 많은 애플리케이션 및 인스턴스가 IMDSv2를 사용하고 그 이점을 활용하고 있지만, AWS 계정 수준에서 IMDSv1을 비활성화해야만 모든 이점을 누릴 수 있습니다.
마이그레이션 계획
IMDSv2를 새로운 AWS 인프라의 기본 선택으로 만들기 위해 AWS가 취한 중요한 조치 및 향후에 계획된 조치는 다음과 같습니다(2023년 및 2024년 날짜는 약간의 변동 여지가 있음).
2019년 11월 — IMDSv2를 출시하고 이 서비스를 사용하여 심층 방어를 추가하는 방법을 제시했습니다.
2020년 2월 — AWS Marketplace 판매자와 AWS 파트너가 새로 게시한 모든 제품이 IMDSv2를 지원하는지 확인하기 시작했습니다.
2023년 3월 — 모든 시작에 기본적으로 IMDSv2를 사용하는 Amazon Linux 2023을 출시했습니다.
2023년 9월 — IMDSv2의 이점을 최대한 활용하고 AWS 인프라 전체에서 IMDSv1을 비활성화하는 방법을 보여주는 블로그 게시물을 게시했습니다.
2023년 11월 — 오늘부터 모든 콘솔 퀵 스타트 시작에서 IMDSv2 전용 버전을 사용할 예정입니다(모든 Amazon 및 파트너 퀵 스타트 AMI에서 지원). 다음은 인스턴스를 시작할 때 EC2 콘솔의 고급 세부 정보에서 이를 지정하는 방법입니다.
2024년 2월 — 계정 수준에서 IMDSv1을 기본값으로 사용하도록 제어할 수 있는 새로운 API 함수를 도입할 계획입니다. 이미 IAM 정책(기존 권한 제거 및 제한)에서 또는 계정, 조직구성단위(OU) 또는 전체 조직에 전 세계적으로 적용되는 SCP로서 IMDSv1 사용을 제어할 수 있습니다. 예를 들어 IAM 정책은 인스턴스 메타데이터 사용을 참조하세요.
2024년 중반 — 새로 출시되는 Amazon EC2 인스턴스 유형은 기본적으로 IMDSv2만 사용합니다. 전환 지원을 위해, 시작 시 또는 시작 후 재시작 또는 중지/시작할 필요 없이 라이브로 인스턴스에서 IMDSv1을 활성화할 수 있습니다.
어떻게 해야 합니까?
이제 IMDSv2의 이점을 최대한 활용.. 블로그를 가이드로 사용하여 IMDSv1에서 IMDSv2로 마이그레이션을 시작할 때입니다. 또한 IMDSv2로 전환하는 데 도움이 되는 도구와 같은 페이지의 권장 경로에 대해서도 잘 알고 있어야 합니다. 이 페이지에서는 권장 도구 외에도 IMDSv1 사용을 비활성화하는 IAM 정책을 설정하는 방법과 MetadataNoToken
CloudWatch 지표를 사용하여 남은 사용량을 감지하는 방법을 보여줍니다.
또 다른 유용한 리소스는 AWS re:Post: 내 Amazon EC2 인스턴스에서 인스턴스 메타데이터에 액세스하기 위해 IMDSv2만 사용하도록 시행하려면 Systems Manager 자동화를 어떻게 사용해야 하나요?에서 찾을 수 있습니다.
귀사와 귀사의 고객 모두 최대한 순조롭게 전환할 수 있기를 바랍니다. 추가 도움이 필요한 경우 AWS Support에 문의하세요.
— Jeff