Publicado: Mar 25, 2024
Agora, você pode definir que todas as novas inicializações de instâncias do Amazon EC2 em sua conta usem o Instance Metadata Service Version 2 (IMDSv2) por padrão. O IMDSv2 é um aprimoramento que exige solicitações orientadas a sessão para adicionar defesa avançada contra o acesso não autorizado a metadados. Antes, para definir que suas instâncias usassem apenas IMDSv2, era necessário usar a propriedade Amazon Machine Image (AMI) do IMDS, definir as opções de Instance Metadata durante a inicialização da instância ou atualizar as instâncias após a inicialização usando a API ModifyInstanceMetadataOptions.
Agora, com essa definição, todas as novas instâncias iniciadas em sua conta serão IMDSv2 por padrão. As configurações padrão do IMDS são específicas para regiões individuais da AWS em sua conta. Também está disponível a nova métrica MetadataNoTokenRejected do CloudWatch, que indica o número de vezes que uma chamada ao IMDSv1 foi tentada e rejeitada após a desativação do IMDSv1. Essa métrica pode ser usada para garantir que o software em sua instância não esteja tentando fazer chamadas IMDSv1 depois de exigir o IMDSv2.
Para começar a usar, use o console do EC2 ou ative os padrões do IMDS com uma única chamada de API por região. A ativação desses padrões não afeta nenhuma instância existente em sua conta. Você ainda pode substituir manualmente essas configurações e habilitar o IMDSv1 usando as propriedades de inicialização da opção Instance Metadata. Você também pode usar controles do IAM para aplicar diferentes configurações do IMDS. Para ver exemplos de políticas do IAM, consulte Trabalhar com metadados da instância.
Os novos padrões de conta do IMDS já estão disponíveis em todas as regiões da AWS e na AWS GovCloud (EUA).
Para saber mais sobre os novos padrões da conta IMDS e a métrica MetadataNoTokenRejected do CloudWatch, consulte o Guia do usuário do IMDSv2.