Note di rilascio
Richiedi l'utilizzo di IMDSv2 sulle istanze di Amazon EC2
Suggerisci modifiche
PDF
BlueXP supporta Amazon EC2 Instance Metadata Service versione 2 (IMDSv2) con il connettore e con Cloud Volumes ONTAP (incluso il mediatore per le implementazioni ha). Nella maggior parte dei casi, IMDSv2 viene configurato automaticamente sulle nuove istanze EC2. IMDSv1 è stato abilitato prima di marzo 2024. Se richiesto dai criteri di protezione, potrebbe essere necessario configurare manualmente IMDSv2 sulle istanze EC2.
-
La versione del connettore deve essere 3.9.38 o successiva.
-
Cloud Volumes ONTAP deve eseguire una delle seguenti versioni:
-
9.12.1 P2 (o qualsiasi patch successivo)
-
9.13.0 P4 (o qualsiasi patch successivo)
-
9.13.1 o qualsiasi versione successiva a questa release
-
-
Questa modifica richiede il riavvio delle istanze di Cloud Volumes ONTAP.
-
Questi passaggi richiedono l'utilizzo dell'interfaccia a riga di comando di AWS, perché devi modificare il limite del nodo di risposta su 3.
IMDSv2 fornisce una maggiore protezione contro le vulnerabilità. "Scopri di più su IMDSv2 dal blog sulla sicurezza AWS"
Il servizio IMDS (Instance Metadata Service) viene attivato come segue nelle istanze EC2:
-
Per implementazioni di nuovi connettori da BlueXP o che utilizzano "Script di terraform", IMDSv2 è attivato per impostazione predefinita nell'istanza EC2.
-
Se si avvia una nuova istanza EC2 in AWS e quindi si installa manualmente il software del connettore, anche IMDSv2 viene attivato per impostazione predefinita.
-
Se si avvia il connettore da AWS Marketplace, IMDSv1 viene attivato per impostazione predefinita. È possibile configurare manualmente IMDSv2 sull'istanza EC2.
-
Per i connettori esistenti, IMDSv1 è ancora supportato, ma è possibile configurare manualmente IMDSv2 sull'istanza EC2, se si preferisce.
-
Per Cloud Volumes ONTAP, IMDSv1 è attivato per impostazione predefinita sulle istanze nuove ed esistenti. Se si preferisce, è possibile configurare manualmente IMDSv2 sulle istanze EC2.
-
Richiedere l'uso di IMDSv2 sull'istanza del connettore:
-
Connettersi alla macchina virtuale Linux per il connettore.
Quando è stata creata l'istanza del connettore in AWS, sono stati forniti una chiave di accesso AWS e una chiave segreta. È possibile utilizzare questa coppia di chiavi per SSH all'istanza. Il nome utente per l'istanza EC2 Linux è ubuntu (per i connettori creati prima di maggio 2023, il nome utente era EC2-user).
-
Installa l'interfaccia a riga di comando di AWS.
-
Utilizzare
aws ec2 modify-instance-metadata-optionsComando per richiedere l'uso di IMDSv2 e per modificare il limite di risposta PUT hop a 3.Esempio
aws ec2 modify-instance-metadata-options \ --instance-id <instance-id> \ --http-put-response-hop-limit 3 \ --http-tokens required \ --http-endpoint enabled
Il http-tokensSet di parametri IMDSv2 su richiesto. Quandohttp-tokensè obbligatorio, è necessario impostare anchehttp-endpointsu attivato. -
-
Richiedi l'utilizzo di IMDSv2 sulle istanze di Cloud Volumes ONTAP:
-
Accedere alla "Console Amazon EC2"
-
Dal riquadro di navigazione, selezionare istanze.
-
Selezionare un'istanza di Cloud Volumes ONTAP.
-
Selezionare azioni > Impostazioni istanza > Modifica opzioni metadati istanza.
-
Nella finestra di dialogo Modifica opzioni metadati istanza, selezionare quanto segue:
-
Per Servizio metadati istanza, selezionare Abilita.
-
Per IMDSv2, selezionare richiesto.
-
Selezionare Salva.
-
-
Ripetere questi passaggi per altre istanze di Cloud Volumes ONTAP, incluso il mediatore ha.
-
L'istanza del connettore e le istanze di Cloud Volumes ONTAP sono ora configurate per l'utilizzo di IMDSv2.