Domyślna usługa Amazon EC2 Instance Metadata Service IMDSv2

Od połowy 2024 r. nowo wydane typy instancji Amazon EC2 będą korzystać tylko z wersji 2 usługi metadanych instancji EC2 (IMDSv2). Podejmujemy również szereg kroków, aby uczynić IMDSv2 domyślnym wyborem dla szybkich startów konsoli AWS Management Console i innych ścieżek uruchamiania.

Kontekst

Ta usługa jest dostępna z poziomu instancji EC2 pod stałym adresem IP (169.254.169.254 przez IPv4 lub fd00:ec2::254 przez IPv6 w instancjach Nitro). Oferuje Tobie (lub kodowi działającemu w instancji) dostęp do bogactwa danych statycznych i dynamicznych, w tym identyfikatora AMI użytego do uruchomienia instancji, blokowania mapowań urządzeń, tymczasowych poświadczeń IAM dla ról przypisanych do instancji, informacji o interfejsie sieciowym, danych użytkownika i wiele więcej, jak opisano szczegółowo w kategorii metadanych instancji.

Usługa v1 korzysta z metody dostępu request/response, a usługa v2 korzysta z metody zorientowanej na sesję, jak opisano szczegółowo w artykule na blogu AWS. Obie usługi są w pełni bezpieczne, ale wersja 2 zapewnia dodatkowe warstwy ochrony przed czterema typami luk, które mogą zostać wykorzystane do próby uzyskania dostępu do IMDS.

Wiele aplikacji i instancji korzysta już z IMDSv2 i czerpie z niego korzyści, ale pełny zakres korzyści staje się dostępny dopiero po wyłączeniu IMDSv1 na poziomie konta AWS.

Plan migracji

Oto znaczące kroki, które twórcy AWS podjęli i te, które planują podjąć na drodze do uczynienia IMDSv2 domyślnym wyborem dla nowej infrastruktury AWS (pozostawiono trochę pola do manewru w datach 2023 i 2024):

Luty 2020 – zaczęto weryfikować, czy wszystkie nowo opublikowane produkty sprzedawców AWS Marketplace i partnerów AWS obsługują IMDSv2.

Marzec 2023 – Wprowadzono Amazon Linux 2023, który domyślnie używa IMDSv2 przy wszystkich uruchomieniach.

Wrzesień 2023 – Opublikowano artykuł na blogu AWS, aby pokazać, jak uzyskać pełne korzyści z IMDSv2 i wyłączyć IMDSv1 w całej infrastrukturze AWS.

Listopad 2023 – począwszy od dzisiaj, wszystkie premiery konsoli Quick Start będą korzystać wyłącznie z IMDSv2 (obsługują to wszystkie moduły AMI Amazon i partnerów Quick Start). Oto jak zostało to określone w konsoli EC2 w szczegółach zaawansowanych podczas uruchamiania instancji:

Luty 2024 – twórcy AWS planują wprowadzenie nowej funkcji API, która pozwoli kontrolować użycie IMDSv1 jako domyślnego na poziomie konta. Możesz już kontrolować użycie IMDSv1 w zasadach IAM (odbierając i ograniczając istniejące uprawnienia) lub jako punkt SCP stosowany globalnie na koncie, jednostce organizacyjnej (OU) lub całej organizacji. Przykładowe zasady IAM brzmią: Praca z metadanymi instancji.

Środek 2024 – nowo wydane typy instancji Amazon EC2 będą domyślnie używać tylko IMDSv2. W przypadku obsługi przejścia nadal będzie można włączyć/włączyć IMDSv1 podczas uruchamiania lub po uruchomieniu instancji na żywo, bez konieczności ponownego uruchamiania lub zatrzymywania/uruchamiania.

Co należy zrobić

Nadszedł czas, aby rozpocząć migrację z IMDSv1 do IMDSv2, korzystając z artykułu dostępnego na blogu AWS Get the full benefits.. jako przewodnika. Powinieneś także zapoznać się z narzędziami pomagającymi w przejściu na IMDSv2 wraz z zalecaną ścieżką na tej samej stronie. Oprócz rekomendowanYCH narzędzi zaprezentowano, jak skonfigurować zasady IAM, które wyłączają korzystanie z IMDSv1 i jak używać metryki MetadataNoToken CloudWatch do wykrywania pozostałego użycia:

Inny pomocny zasób można znaleźć w: AWS re:Post: How can I use Systems Manager automation to enforce that only IMDSv2 is used to access instance metadata from my Amazon EC2 instance?

Twórcom zależy na tym, aby to przejście przebiegło tak płynnie, jak to tylko możliwe dla Ciebie i Twoich klientów. Jeśli potrzebujesz dodatkowej pomocy, skontaktuj się z pomocą techniczną AWS.

źródło: AWS