For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Come posso configurare i metadati di istanza e attivare i tag sulla mia istanza EC2?
Desidero configurare il servizio di metadati di istanza (IMDS) sulle mie istanze Amazon Elastic Compute Cloud (Amazon EC2).
Breve descrizione
Puoi configurare funzionalità IMDS predefinite per nuove istanze in un account AWS in tutte le Regioni AWS. Per impostazione predefinita, i tipi di istanza più recenti utilizzano il servizio di metadati di istanza versione 2 (IMDSv2). Per utilizzare il servizio di metadati di istanza versione 1 (IMDSv1) su questi tipi di istanza, devo attivare manualmente IMDSv1 nell'istanza. È consigliabile utilizzare IMDSv2 per motivi di sicurezza, a meno che non sia necessario utilizzare IMDSv1.
Importante: se configuri IMDSv2 sull'istanza, IMDSv1 non funziona più e le applicazioni che utilizzano IMDSv1 potrebbero non funzionare correttamente. Prima di applicare IMDSv2, aggiorna le applicazioni che utilizzano i metadati Amazon EC2 a una versione che supporti IMDSv2. Per ulteriori informazioni sulle differenze tra IMDSv1 e IMDSv2, consulta Use the Instance Metadata Service to access instance metadata (Utilizzo del servizio di metadati di istanza per accedere ai metadati di istanza).
Per impostazione predefinita, Amazon EC2 non fornisce l'accesso ai tag dell'istanza nei metadati di istanza. Devi consentire l'accesso all'avvio dell'istanza o dopo l'avvio su un'istanza in esecuzione o arrestata.
Risoluzione
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Puoi utilizzare una combinazione dei seguenti metodi per configurare i metadati di istanza. Tuttavia, imposti l'ordine gerarchico di precedenza per le opzioni dei metadati all'avvio dell'istanza.
Configura i metadati di istanza a livello di AMI
Puoi configurare un'Amazon Machine Image (AMI) esistente o nuova per utilizzare IMDSv2. Quando avvii un'istanza con l'AMI configurata, Amazon EC2 imposta automaticamente la versione dei metadati di istanza su IMDSv2 e il limite di hop su 2.
Importante: assicurati di verificare che il software dell'AMI supporti IMDSv2. Dopo aver impostato il valore imds-support su v2.0, non puoi riportarlo a quello originario. L'unico modo per reimpostare l'AMI è utilizzare lo snapshot sottostante per creare una nuova AMI.
Per utilizzare IMDSv2 configurando una nuova AMI, esegui questo comando AWS CLI register-image:
aws ec2 register-image \ --name my-image \ --root-device-name /dev/xvda \ --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \ --architecture x86_64 \ --imds-support v2.0
Nota: sostituisci my-image con il nome della tua AMI, /dev/xvda con il nome del dispositivo del tuo volume principale, snap-0123456789example con l'ID del tuo snapshot x86_64 con la tua architettura.
Per configurare un'AMI esistente per l'utilizzo di IMDSv2, esegui questo comando modify-image-attribute:
aws ec2 modify-image-attribute \ --image-id ami-0123456789example \ --imds-support v2.0
Nota: sostituisci ami-0123456789example con l'ID della tua AMI esistente.
Consenti l'inserimento di tag nei metadati del modello di avvio
Non puoi configurare direttamente l'accesso ai tag per le AMI. Devi creare un modello di avvio Amazon EC2 . In Dettagli avanzati, imposta Consenti tag nei metadati su -. Le istanze avviate da questo modello di avvio consentono l'accesso a tutti i tag dell'istanza dai metadati di istanza.
Configura i metadati di istanza a livello di account
Imposta IMDSv2 per tutte le istanze dell'account. Oppure, per consentire IMDSv1, per Versione dei metadati, seleziona V1 and V2 (token optional) (V1 e V2 (token facoltativo)). Per consentire l'accesso ai tag nei metadati di istanza a livello di account, in Impostazioni predefinite IMDS, imposta Accesso ai tag nei metadati su Abilitato.
Importante: devi configurare i metadati di istanza una volta per ogni Regione dell'account.
Configura i metadati di istanza a livello di istanza
Nota: le policy AWS Identity and Access Management (AWS IAM) o le policy di controllo dei servizi (SCP) potrebbero limitare le modifiche che puoi apportare alle impostazioni delle istanze.
Per configurare l'accesso all'IMDS e ai tag nei metadati su una nuova istanza, espandi Dettagli avanzati all'avvio dell'istanza. Quindi configura le seguenti impostazioni:
- Per Metadati accessibili, seleziona Abilitato.
- Per Versione dei metadati, seleziona solo V2 only (token required) (V2 (token richiesto)) ) o V1 and V2 (token optional) (V1 e V2 (token facoltativo)).
Nota: se utilizzi un ambiente container, come Amazon Elastic Container Service (Amazon ECS) o Amazon Elastic Kubernetes Service (Amazon EKS), per Limite di hop della risposta dei metadati seleziona 2. - Per Accesso ai tag nei metadati, seleziona Abilitato.
Per modificare un'istanza esistente, modifica le impostazioni. Per utilizzare IMDSv1 o IMDSv2, seleziona Facoltativo per IMDSv2. Per applicare IMDSv2, seleziona Richiesto. Quindi, in Impostazioni dell'istanza, seleziona Consenti tag nei metadati dell'istanza.
Informazioni correlate
Amazon EC2 Instance Metadata Service IMDSv2 by default (Servizio di metadati di istanza Amazon EC2 IMDSv2 per impostazione predefinita)
Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure (Come ottenere tutti i vantaggi di IMDSv2 e disattivare IMDSv1 in un'infrastruttura AWS)
- Argomenti
- Compute
- Lingua
- Italiano
