Comment configurer les métadonnées d'instance et activer les identifications sur mon instance EC2 ?

Brève description

Vous pouvez configurer les fonctionnalités IMDS par défaut pour les nouvelles instances de votre compte AWS dans toutes les régions AWS. Par défaut, les derniers types d'instance utilisent le service de métadonnées d'instance version 2 (IMDSv2). Pour utiliser le service de métadonnées d'instance version 1 (IMDSv1) sur ces types d'instance, vous devez activer manuellement IMDSv1 dans l'instance. Il est recommandé d'utiliser IMDSv2 pour des raisons de sécurité, sauf si vous devez utiliser IMDSv1.

Important : Si vous configurez IMDSv2 sur votre instance, IMDSv1 ne fonctionne plus et les applications utilisant IMDSv1 peuvent ne pas fonctionner correctement. Avant d'appliquer IMDSv2, mettez à niveau les applications qui utilisent les métadonnées Amazon EC2 vers une version qui prend en charge IMDSv2. Pour plus d'informations sur les différences entre IMDSv1 et IMDSv2, consultez la section Utiliser le service de métadonnées d'instance pour accéder aux métadonnées d'instance.

Par défaut, Amazon EC2 ne fournit pas l'accès aux identifications d'instance dans les métadonnées d'instance. Vous devez autoriser l'accès au lancement de l'instance ou après le lancement d'une instance en cours d'exécution ou arrêtée.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Vous pouvez utiliser une combinaison des méthodes suivantes pour configurer les métadonnées d'instance. Cependant, vous devez définir l'ordre de priorité hiérarchique des options de métadonnées au lancement de l'instance.

Configurer les métadonnées d'instance au niveau de l'AMI

Vous pouvez configurer une Amazon Machine Image (AMI) existante ou nouvelle afin qu’elle utilise IMDSv2. Lorsque vous lancez une instance avec l'AMI configurée, Amazon EC2 définit automatiquement la version des métadonnées d'instance sur IMDSv2 et la limite de sauts sur 2.

Important : Assurez-vous que votre logiciel AMI est compatible avec IMDSv2. Une fois que vous avez défini la valeur imds-support sur v2.0, vous ne pouvez pas l'annuler. La seule manière de réinitialiser votre AMI est d'utiliser l’instantané sous-jacent pour créer une nouvelle AMI.

Pour configurer une nouvelle AMI afin qu’elle utilise IMDSv2, exécutez la commande register-image de l’AWS CLI suivante :

aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0

Remarque : Remplacez my-image par le nom de votre AMI, /dev/xvda par le nom du périphérique de volume racine, snap-0123456789example par votre ID d’instantané et x86_64 par votre architecture.

Pour configurer une AMI existante afin qu'elle utilise IMDSv2, exécutez la commande modify-image-attribute suivante :

aws ec2 modify-image-attribute \
    --image-id ami-0123456789example \
    --imds-support v2.0

Remarque : Remplacez ami-0123456789example par votre identifiant d’AMI existant.

Autoriser les identifications dans les métadonnées de votre modèle de lancement

Il n’est pas possible de configurer directement l'accès aux identifications pour vos AMI. Vous devez créer un modèle de lancement Amazon EC2. Dans Détails avancés, définissez Autoriser les identifications dans les métadonnées sur -. Les instances que vous lancez à partir de ce modèle de lancement permettent d'accéder à toutes les identifications de l'instance depuis les métadonnées d'instance.

Configurer les métadonnées d'instance au niveau du compte

Configurez IMDSv2 pour toutes les instances de votre compte. Ou, pour autoriser IMDSv1, dans Version des métadonnées, sélectionnez V1 et V2 (jeton facultatif). Pour autoriser l'accès aux identifications dans les métadonnées d’instance au niveau du compte, sous Valeurs par défaut de l’IMDS, définissez Accéder aux identifications dans les métadonnées sur Activé.

Important : Vous devez configurer les métadonnées d'instance une fois pour chaque région de votre compte.

Configurer les métadonnées d'instance au niveau de l'instance

Remarque : Les politiques de Gestion des identités et des accès AWS (AWS IAM) ou les politiques de contrôle des services (SCP) peuvent limiter les modifications que vous pouvez apporter aux paramètres de l'instance.

Pour configurer l'accès à l'IMDS et aux identifications dans les métadonnées d'une nouvelle instance, développez Détails avancés lorsque vous lancez l'instance. Puis, configurez les paramètres suivants :

• Dans Métadonnées accessibles, sélectionnez Activé.
• Dans Version des métadonnées, sélectionnez V2 uniquement (jeton requis) ou V1 et V2 (jeton facultatif).
  Remarque : Si vous utilisez un environnement de conteneur, tel qu'Amazon Elastic Container Service (Amazon ECS) ou Amazon Elastic Kubernetes Service (Amazon EKS), dans Limite de saut de réponse de métadonnées, sélectionnez 2.
• Dans Accéder aux identifications dans les métadonnées, sélectionnez Activé.

Pour modifier une instance existante, modifiez les paramètres. Pour utiliser IMDSv1 ou IMDSv2, sélectionnez Facultatif pour IMDSv2. Pour appliquer IMDSv2, sélectionnez Obligatoire. Puis, sous Paramètres de l'instance, sélectionnez Autoriser les identifications dans les métadonnées d'instance.

Informations connexes

Service de métadonnées d'instance Amazon EC2 IMDSv2 par défaut

Bénéficier de tous les avantages de l'IMDSv2 et désactiver IMDSv1 dans votre infrastructure AWS