发布于: Mar 27, 2024
现在,您可以将账户中启动的所有新 Amazon EC2 实例设置为默认使用实例元数据服务版本 2(IMDSv2)。IMDSv2 是一项增强功能,要求使用以会话为导向的请求,以增加针对未经授权的元数据访问的深度防御。要将实例设置为仅使用 IMDSv2,您必须事先使用 IMDS 亚马逊机器映像(AMI)属性、在实例启动期间设置实例元数据选项,或在启动后使用 ModifyInstanceMetadataOptions API 更新实例。
现在,启用该设置后,默认情况下,从您的帐户启动的任何新实例都将仅支持 IMDSv2。IMDS 默认设置特定于您账户中的各个亚马逊云科技区域。另外还提供了一个新的 CloudWatch 指标 MetadataNoTokenRejected,指示在禁用 IMDSv1 后尝试并拒绝 IMDSv1 调用的次数。此指标可用于确保实例上的软件在要求 IMDSv2 后不会尝试 IMDSv1 调用。
要开始使用,请使用 EC2 控制台或通过每个区域的单个 API 调用启用 IMDS 默认设置。启用这些默认设置不会影响您账户中的任何现有实例。您仍然可以手动覆盖这些设置并使用实例元数据选项启动属性启用 IMDSv1。您还可以使用 IAM 控件强制执行不同的 IMDS 设置。有关 IAM 策略的示例,请参阅使用实例元数据。
这些新的 IMDS 账户默认设置现已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。
要了解有关新的 IMDS 账户默认设置和 MetadataNoTokenRejected CloudWatch 指标的更多信息,请参阅 IMDSv2 用户指南。