发布于: Mar 25, 2024
现在,您可以将账户中启动的所有新 Amazon EC2 实例设置为默认使用实例元数据服务版本 2 (IMDSv2)。IMDSv2 是一项增强功能,需要面向会话的请求来增加深度防御能力,以防范未经授权的元数据访问。以前,要将实例设置为“仅使用 IMDSv2”,您必须使用 IMDS 亚马逊机器映像 (AMI) 属性,在实例启动期间配置实例元数据选项,或在启动后使用 ModifyInstanceMetadataOptions API 更新实例。
现在,在启用 IMDSv2 后,从您的账户启动的任何新实例默认都只能使用 IMDSv2。IMDS 默认设置特定于您账户中的各个 AWS 区域。此外还提供了一个新的 CloudWatch 指标 MetadataNoTokenRejected,用于指示在 IMDSv1 禁用后尝试和拒绝 IMDSv1 调用的次数。该指标可用于确保实例上的软件在要求 IMDSv2 后不会尝试调用 IMDSv1。
要开始使用,请使用 EC2 控制台或通过每个区域的单个 API 调用启用 IMDS 默认设置。启用这些默认设置不会影响您账户中的任何现有实例。您仍然可以手动覆盖这些设置,并使用实例元数据选项启动属性启用 IMDSv1。您还可以使用 IAM 控件实施不同的 IMDS 设置。有关 IAM 策略的示例,请参阅使用实例元数据。
新的 IMDS 账户默认设置现已在所有 AWS 区域和 AWS GovCloud(美国)中提供。
要了解有关新的 IMDS 账户默认设置和 MetadataNoTokenRejected CloudWatch 指标的更多信息,请参阅 IMDSv2 用户指南。