Skip to main content
Setup and administration
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Amazon EC2 인스턴스에서 IMDSv2를 사용해야 합니다

기여자

BlueXP는 커넥터와 Cloud Volumes ONTAP(HA 구축을 위한 중재자 포함)를 통해 Amazon EC2 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 지원합니다. 대부분의 경우 IMDSv2는 새 EC2 인스턴스에 자동으로 구성됩니다. IMDSv1은 2024년 3월 이전에 활성화되었습니다. 보안 정책에서 요구하는 경우 EC2 인스턴스에 IMDSv2를 수동으로 구성해야 할 수 있습니다.

시작하기 전에

  • Connector 버전은 3.9.38 이상이어야 합니다.

  • Cloud Volumes ONTAP에서 다음 버전 중 하나를 실행해야 합니다.

    • 9.12.1 P2(또는 후속 패치)

    • 9.13.0 P4(또는 후속 패치)

    • 9.13.1 또는 이 릴리스 이후의 모든 버전

  • 이 변경 사항을 적용하려면 Cloud Volumes ONTAP 인스턴스를 다시 시작해야 합니다.

  • 응답 홉 제한을 3으로 변경해야 하므로 다음 단계를 수행하려면 AWS CLI를 사용해야 합니다.

이 작업에 대해

IMDSv2는 취약성에 대한 향상된 보호 기능을 제공합니다. "IMDSv2에 대한 자세한 내용은 AWS 보안 블로그 를 참조하십시오"

EC2 인스턴스에 대해 IMDS(인스턴스 메타데이터 서비스)가 다음과 같이 활성화됩니다.

  • BlueXP에서 또는 를 사용하여 새로운 Connector를 구축하는 경우 "Terraform 스크립트", IMDSv2는 EC2 인스턴스에서 기본적으로 사용하도록 설정됩니다.

  • AWS에서 새 EC2 인스턴스를 시작한 다음 Connector 소프트웨어를 수동으로 설치하면 IMDSv2도 기본적으로 사용하도록 설정됩니다.

  • AWS Marketplace에서 Connector를 실행하면 IMDSv1이 기본적으로 활성화됩니다. EC2 인스턴스에 IMDSv2를 수동으로 구성할 수 있습니다.

  • 기존 커넥터의 경우 IMDSv1은 계속 지원되지만 원하는 경우 EC2 인스턴스에서 IMDSv2를 수동으로 구성할 수 있습니다.

  • Cloud Volumes ONTAP의 경우 새 인스턴스와 기존 인스턴스에서 IMDSv1이 기본적으로 사용됩니다. 원하는 경우 EC2 인스턴스에 IMDSv2를 수동으로 구성할 수 있습니다.

단계

  1. 커넥터 인스턴스에서 IMDSv2를 사용해야 합니다.

    1. 커넥터용 Linux VM에 연결합니다.

      AWS에서 Connector 인스턴스를 생성한 경우 AWS 액세스 키와 암호 키를 제공했습니다. 이 키 쌍을 사용하여 인스턴스에 SSH를 사용할 수 있습니다. EC2 Linux 인스턴스의 사용자 이름은 Ubuntu입니다(2023년 5월 이전에 생성된 커넥터의 경우 사용자 이름은 EC2-user입니다).

      "AWS Docs: Linux 인스턴스에 연결합니다"

    2. AWS CLI를 설치합니다.

      "AWS 문서: 최신 버전의 AWS CLI를 설치하거나 업데이트합니다"

    3. 를 사용합니다 aws ec2 modify-instance-metadata-options IMDSv2의 사용을 요구하고 PUT 응답 홉 제한을 3으로 변경하는 명령어이다.

      • 예 *

      aws ec2 modify-instance-metadata-options \
    --instance-id <instance-id> \
    --http-put-response-hop-limit 3 \
    --http-tokens required \
    --http-endpoint enabled
    참고 를 클릭합니다 http-tokens 매개 변수는 IMDSv2를 Required 로 설정합니다. 시기 http-tokens 이 필수 요소이며 도 설정해야 합니다 http-endpoint 를 활성화합니다.

  2. Cloud Volumes ONTAP 인스턴스에서 IMDSv2를 사용해야 합니다.

    1. 로 이동합니다 "Amazon EC2 콘솔"

    2. 탐색 창에서 * 인스턴스 * 를 선택합니다.

    3. Cloud Volumes ONTAP 인스턴스를 선택합니다.

    4. 조치 > 인스턴스 설정 > 인스턴스 메타데이터 옵션 수정 * 을 선택합니다.

    5. 인스턴스 메타데이터 수정 옵션 * 대화 상자에서 다음을 선택합니다.

      • 인스턴스 메타데이터 서비스 * 의 경우 * 활성화 * 를 선택합니다.

      • IMDSv2 * 의 경우 * 필수 * 를 선택합니다.

      • 저장 * 을 선택합니다.

    6. HA 중재자를 포함하여 다른 Cloud Volumes ONTAP 인스턴스에 대해 이 단계를 반복합니다.

    7. "Cloud Volumes ONTAP 인스턴스를 중지하고 시작합니다"

결과

이제 커넥터 인스턴스 및 Cloud Volumes ONTAP 인스턴스가 IMDSv2를 사용하도록 구성되었습니다.