Erfordern die Verwendung von IMDSv2 auf Amazon EC2 Instanzen
Änderungen vorschlagen
PDFs
BlueXP unterstützt den Amazon EC2 Instance Metadata Service Version 2 (IMDSv2) mit dem Connector und Cloud Volumes ONTAP (einschließlich des Mediators für HA-Implementierungen). In den meisten Fällen wird IMDSv2 automatisch auf neuen EC2-Instanzen konfiguriert. IMDSv1 wurde vor März 2024 aktiviert. Falls dies durch Ihre Sicherheitsrichtlinien erforderlich ist, müssen Sie IMDSv2 möglicherweise manuell auf Ihren EC2-Instanzen konfigurieren.
-
Die Connector-Version muss 3.9.38 oder höher sein.
-
Cloud Volumes ONTAP muss eine der folgenden Versionen ausführen:
-
9.12.1 P2 (oder jedes weitere Patch)
-
9.13.0 P4 (oder jedes weitere Patch)
-
9.13.1 oder eine beliebige Version nach dieser Version
-
-
Diese Änderung erfordert einen Neustart der Cloud Volumes ONTAP-Instanzen.
-
Für diese Schritte ist die Verwendung der AWS CLI erforderlich, da Sie das Limit für den Response-Hop auf 3 ändern müssen.
IMDSv2 bietet einen verbesserten Schutz vor Schwachstellen. "Weitere Informationen zu IMDSv2 finden Sie im AWS Security Blog"
Der Instance Metadata Service (IMDS) wird in EC2-Instanzen wie folgt aktiviert:
-
Für neue Connector-Implementierungen von BlueXP oder durch die Nutzung von "Terraform-Skripte", IMDSv2 ist standardmäßig auf der EC2-Instanz aktiviert.
-
Wenn Sie eine neue EC2-Instanz in AWS starten und dann die Connector-Software manuell installieren, ist IMDSv2 standardmäßig ebenfalls aktiviert.
-
Wenn Sie den Connector vom AWS Marketplace starten, ist IMDSv1 standardmäßig aktiviert. Sie können IMDSv2 auf der EC2-Instanz manuell konfigurieren.
-
Für bestehende Connectors wird IMDSv1 weiterhin unterstützt, Sie können IMDSv2 jedoch manuell auf der EC2-Instanz konfigurieren, wenn Sie dies wünschen.
-
Für Cloud Volumes ONTAP ist IMDSv1 standardmäßig auf neuen und bestehenden Instanzen aktiviert. Sie können IMDSv2 auf den EC2-Instanzen manuell konfigurieren, wenn Sie möchten.
-
Erfordern die Verwendung von IMDSv2 auf der Connector-Instanz:
-
Stellen Sie eine Verbindung zur Linux-VM für den Connector her.
Als Sie die Connector-Instanz in AWS erstellt haben, haben Sie einen AWS-Zugriffsschlüssel und einen geheimen Schlüssel angegeben. Sie können dieses Schlüsselpaar für SSH zur Instanz verwenden. Der Benutzername für die EC2 Linux-Instanz ist ubuntu (für Connectors, die vor Mai 2023 erstellt wurden, war der Benutzername ec2-user).
-
Installieren Sie die AWS CLI.
-
Verwenden Sie die
aws ec2 modify-instance-metadata-optionsBefehl, um die Verwendung von IMDSv2 zu erfordern und das PUT Response Hop Limit auf 3 zu ändern.Beispiel
aws ec2 modify-instance-metadata-options \ --instance-id <instance-id> \ --http-put-response-hop-limit 3 \ --http-tokens required \ --http-endpoint enabled
Der http-tokensParameter setzt IMDSv2 auf erforderlich. Wennhttp-tokensIst erforderlich, müssen Sie auch festlegenhttp-endpointAuf aktiviert. -
-
Erfordern die Verwendung von IMDSv2 auf Cloud Volumes ONTAP Instanzen:
-
Wechseln Sie zum "Amazon EC2 Konsole"
-
Wählen Sie im Navigationsbereich instances aus.
-
Wählen Sie eine Cloud Volumes ONTAP-Instanz aus.
-
Wählen Sie Aktionen > Instanzeinstellungen > Optionen für Instanzmetadaten ändern.
-
Wählen Sie im Dialogfeld Modify Instance Metadata options Folgendes aus:
-
Wählen Sie für Instance Metadata Service enable aus.
-
Wählen Sie für IMDSv2 required aus.
-
Wählen Sie Speichern.
-
-
Wiederholen Sie diese Schritte für andere Cloud Volumes ONTAP Instanzen, einschließlich des HA Mediators.
-
Die Connector-Instanz und die Cloud Volumes ONTAP-Instanzen sind jetzt so konfiguriert, dass sie IMDSv2 verwenden.