Comment puis-je utiliser l'automatisation de Systems Manager pour appliquer uniquement l'accès IMDSv2 aux métadonnées de mon instance EC2 ?

Lecture de 2 minute(s)

Je souhaite utiliser uniquement le service de métadonnées d'instance version 2 (IMDSv2) pour accéder aux métadonnées d'instance depuis mon instance Amazon Elastic Compute Cloud (Amazon EC2).

Brève description

Par défaut, vous utilisez l'une des méthodes suivantes ou les deux pour récupérer les métadonnées d'une instance Amazon EC2 en cours d'exécution :

Service de métadonnées d'instance version 1 (IMDSv1), une méthode de demande/réponse
IMDSv2, une méthode orientée session

Pour exiger l'utilisation d'IMDSv2 sur une instance, exécutez le dossier d’exploitation AWSSupport-ConfigureEC2Metadata d’AWS Systems Manager.

Important : Lorsque vous appliquez IMDSv2, vous désactivez IMDSv1. Cela peut affecter les applications qui s'appuient sur IMDSv1. Avant d'appliquer IMDSv2, assurez-vous que toutes les applications qui utilisent les métadonnées Amazon EC2 sont compatibles avec IMDSv2. Pour obtenir des conseils supplémentaires sur les bonnes pratiques de mise en œuvre, consultez la section Méthode recommandée pour exiger l’utilisation d’IMDSv2.

Résolution

Prérequis : Pour exécuter l'automatisation et lire la sortie, vous devez disposer des autorisations ssm:StartAutomationExecution et ssm:GetAutomationExecution.

Exécutez l'automatisation AWSSupport-ConfigureEC2Metadata et choisissez Exécution simple pour Mode d’exécution. Vous pouvez également choisir Contrôle du débit pour exécuter l'automatisation sur plusieurs cibles. Puis, configurez les paramètres suivants pour les paramètres d'entrée :

Dans InstanceId, entrez l'ID de votre instance EC2.
Dans HttpPutResponseHopLimit, conservez la valeur par défaut 0 pour conserver la valeur actuelle. Vous pouvez également saisir une nouvelle valeur comprise entre 1 et 64.
Dans EnforceIMDSv2, choisissez obligatoire.
Dans MetadataAccess, choisissez activé.
(Facultatif) Dans AutomationAssumeRole, choisissez un rôle. Si vous ne spécifiez aucun rôle, l'automatisation utilise les autorisations de l'utilisateur qui exécute le document.
Remarque : Pour modifier l'instance EC2 cible, le rôle AutomationAssumeRole ou utilisateur doit disposer des autorisations ec2:ModifyInstanceMetadataOptions et ec2:DescribeInstances. Pour plus d'informations sur la configuration des rôles, consultez la section Créer des rôles de service pour Automation à l'aide de la console.

Informations connexes

Accéder aux métadonnées d'instance pour une instance EC2

Sujets: Management & Governance
Balises: AWS Systems Manager
Langue: Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

IP public et SSH inaccessible sur un EC2
ogbadou
demandé il y a 2 ans
Multi-comptes Services
kaziord
demandé il y a 3 mois
[ACTION REQUIRED] Update your TLS connections to 1.2 : quelles applications sont concernées ?
rePost-User-7550145
demandé il y a 3 ans
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a 2 ans
Problème d'accès à une base de données logique dans une application laravel multi-tenant
rePost-User-0746455
demandé il y a un an
Comment résoudre les problèmes liés aux échecs de la commande Exécuter de Systems Manager ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment résoudre les erreurs relatives à la politique de correctifs Quick Setup dans Systems Manager ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi Systems Manager n'affiche-t-il pas mon instance Amazon EC2 en tant qu'instance gérée ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je utiliser les journaux de SSM Agent pour résoudre les problèmes liés à SSM Agent dans mon instance gérée ?
AWS OFFICIELA mis à jour il y a 2 ans