Wie konfiguriere ich Instance-Metadaten und aktiviere Tags auf meiner EC2-Instance?

Lesedauer: 4 Minute

Ich möchte den Instance Metadata Service (IMDS) auf meinen Amazon Elastic Compute Cloud (Amazon EC2)-Instances einrichten.

Kurzbeschreibung

Du kannst Standard-IMDS-Funktionen für neue Instances im AWS-Konto in allen AWS-Regionen einrichten. Standardmäßig verwenden die neuesten Instance-Typen Instance Metadata Service Version 2 (IMDSv2). Um Instance Metadata Service Version 1 (IMDSv1) für diese Instance-Typen zu verwenden, musst du IMDSv1 in der Instance manuell aktivieren. Es ist eine bewährte Methode, IMDSv2 aus Sicherheitsgründen zu verwenden, es sei denn, du musst IMDSv1 verwenden.

Wichtig: Wenn du IMDSv2 auf der Instance konfigurierst, funktioniert IMDSv1 nicht mehr und Anwendungen, die IMDSv1 verwenden, funktionieren möglicherweise nicht richtig. Bevor du IMDSv2 erzwingst, aktualisiere Anwendungen, die Amazon EC2-Metadaten verwenden, auf eine Version, die IMDSv2 unterstützt. Weitere Informationen zu den Unterschieden zwischen IMDSv1 und IMDSv2 findest du unter Verwenden des Instance-Metadaten-Services für den Zugriff auf Instance-Metadaten.

Standardmäßig bietet Amazon EC2 keinen Zugriff auf Instance-Tags in den Instance-Metadaten. Du musst den Zugriff beim Start der Instance oder nach dem Start auf einer laufenden oder gestoppten Instance zulassen.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version von AWS CLI verwendest.

Du kannst eine Kombination der folgenden Methoden verwenden, um Instance-Metadaten zu konfigurieren. Du legst jedoch die hierarchische Rangfolge für die Metadatenoptionen beim Start der Instance fest.

Instance-Metadaten auf AMI-Ebene konfigurieren

Du kannst ein vorhandenes oder neues Amazon Machine Image (AMI) für die Verwendung von IMDSv2 konfigurieren. Wenn du eine Instance mit dem konfigurierten AMI startest, setzt Amazon EC2 die Instance-Metadatenversion automatisch auf IMDSv2 und das Hop-Limit auf 2.

**Wichtig:**Stelle sicher, dass die AMI-Software IMDSv2 unterstützt. Nachdem du den imds-support-Wert auf v2.0 gesetzt hast, kannst du ihn nicht mehr rückgängig machen. Die einzige Möglichkeit, die AMI zurückzusetzen, besteht darin, den zugrunde liegenden Snapshot zu verwenden, um ein neues AMI zu erstellen.

Um ein neues AMI für die Verwendung von IMDSv2 zu konfigurieren, führe den folgenden AWS-CLI-Befehl register-image aus:

aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0

Hinweis: Ersetze my-image durch den AMI-Namen, **/dev/xvda ** durch den Gerätenamen des Root-Volumes, snap-0123456789example durch die Snapshot-ID und x86_64 durch die Architektur.

Um ein vorhandenes AMI für die Verwendung von IMDSv2 zu konfigurieren, führe den folgenden modify-image-attribute-Befehl aus:

aws ec2 modify-image-attribute \
    --image-id ami-0123456789example \
    --imds-support v2.0

Hinweis: Ersetze ami-0123456789example durch die bestehende AMI-ID.

Tags in Metadaten in der Startvorlage erlauben

Du kannst den Zugriff auf Tags für die AMIs nicht direkt konfigurieren. Du musst eine Amazon EC2-Startvorlage erstellen. Stelle unter Erweiterte Details die Option Tags in Metadaten zulassen auf**-** ein. Instances, die du mit dieser Startvorlage startest, ermöglichen den Zugriff auf alle Tags der Instance aus den Instance-Metadaten.

Instance-Metadaten auf Kontoebene konfigurieren

Stelle IMDSv2 für alle Instances im Konto ein. Oder, um IMDSv1 zuzulassen, wähle für Metadatenversion V1 und V2 (Token optional) aus. Um den Zugriff auf Stichwörter in Instance-Metadaten auf Kontoebene zu ermöglichen, setze unter IMDS-Standard die Option Zugriff auf Tags in Metadaten auf Aktiviert.

Wichtig: Du musst Instance-Metadaten für jede Region im Konto einmal konfigurieren.

Instance-Metadaten auf Instance-Ebene konfigurieren

Hinweis: Die AWS Identity and Access Management (IAM)-Richtlinien oder Service Control Policies (SCP) schränken möglicherweise die Änderungen ein, die du an den Instance-Einstellungen vornehmen kannst.

Um den Zugriff auf IMDS und Tags in Metadaten auf einer neuen Instance zu konfigurieren, erweitere Erweiterte Details, wenn du die Instance startest. Konfiguriere dann folgende Einstellungen:

Wähle unter Zugängliche Metadaten die Option Aktiviert aus.
Wähle für Metadatenversion nur V2 (Token erforderlich) oder V1 und V2 (Token optional) aus.
Hinweis: Wenn du eine Container-Umgebung wie Amazon Elastic Container Service (Amazon ECS) oder Amazon Elastic Kubernetes Service (Amazon EKS) verwendest, wähle für ** Metadaten-Antwort-Hop-Limit** die Option 2 aus.
Wähle für Zugriff auf Tags in Metadaten die Option Aktiviert aus.

Um eine vorhandene Instance zu ändern, ändere die Einstellungen. Um IMDSv1 oder IMDSv2 zu verwenden, wähle Optional für IMDSv2 aus. Um IMDSv2 durchzusetzen, wähle Erforderlich aus. Wähle dann unter Instanz-Einstellungen die Option Tags in Instance-Metadaten zulassen aus.

Relevanter Inhalt

Wie aktiviere und konfiguriere ich Enhanced Networking auf meinen EC2-Instancen?
AWS OFFICIALAktualisiert vor 3 Jahren
Ich habe meinen AWS-Ressourcen Tags hinzugefügt, aber meine IAM-Richtlinie funktioniert nicht. Welche AWS-Services unterstützen autorisierungsbasierte Tags?
AWS OFFICIALAktualisiert vor einem Jahr
Warum werden meine Tags auf Stack-Ebene nicht an Ressourcen in meinem CloudFormation-Stack weitergegeben?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verwende ich SCPs und Tag-Richtlinien, damit Benutzer in den Mitgliedskonten meiner Organisation in Organizations keine Ressourcen erstellen können?
AWS OFFICIALAktualisiert vor einem Jahr