Skip to main content
BlueXP setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Exigir o uso do IMDSv2 em instâncias do Amazon EC2

Colaboradores

O BlueXP  oferece suporte ao serviço de metadados de instância do Amazon EC2 versão 2 (IMDSv2) com o conetor e com o Cloud Volumes ONTAP (incluindo o mediador para implantações de HA). Na maioria dos casos, o IMDSv2 é configurado automaticamente em novas instâncias do EC2. O IMDSv1 foi ativado antes de março de 2024. Se exigido por suas políticas de segurança, talvez seja necessário configurar manualmente o IMDSv2 em suas instâncias do EC2.

Antes de começar
  • A versão do conetor deve ser 3.9.38 ou posterior.

  • O Cloud Volumes ONTAP deve estar executando uma das seguintes versões:

    • 9.12.1 P2 (ou qualquer patch subsequente)

    • 9.13.0 P4 (ou qualquer patch subsequente)

    • 9.13.1 ou qualquer versão após esta versão

  • Essa alteração requer que você reinicie as instâncias do Cloud Volumes ONTAP.

  • Essas etapas exigem o uso da AWS CLI porque você deve alterar o limite de salto de resposta para 3.

Sobre esta tarefa

O IMDSv2 fornece proteção aprimorada contra vulnerabilidades. "Saiba mais sobre o IMDSv2 no Blog de Segurança da AWS"

O Serviço de metadados de instância (IMDS) está habilitado da seguinte forma em instâncias EC2:

  • Para novas implantações de conetores do BlueXP  ou usando "Scripts do Terraform"o , o IMDSv2 é habilitado por padrão na instância do EC2.

  • Se você iniciar uma nova instância do EC2 na AWS e instalar manualmente o software Connector, o IMDSv2 também será habilitado por padrão.

  • Se você iniciar o conetor no AWS Marketplace, o IMDSv1 será habilitado por padrão. Você pode configurar manualmente o IMDSv2 na instância do EC2.

  • Para os conetores existentes, IMDSv1 ainda é suportado, mas você pode configurar manualmente IMDSv2 na instância EC2, se preferir.

  • Para o Cloud Volumes ONTAP, o IMDSv1 é habilitado por padrão em instâncias novas e existentes. Você pode configurar manualmente o IMDSv2 nas instâncias do EC2, se preferir.

Passos
  1. Exigir o uso de IMDSv2 na instância do conetor:

    1. Conete-se à VM Linux para o conetor.

      Quando você criou a instância do Connector na AWS, forneceu uma chave de acesso e uma chave secreta da AWS. Você pode usar esse par de chaves para SSH para a instância. O nome de usuário para a instância do EC2 Linux é ubuntu (para conetores criados antes de maio de 2023, o nome de usuário era EC2-user).

    2. Instale a AWS CLI.

    3. Use o aws ec2 modify-instance-metadata-options comando para exigir o uso de IMDSv2 e para alterar o limite de salto de resposta PUT para 3.

      Exemplo

      aws ec2 modify-instance-metadata-options \
          --instance-id <instance-id> \
          --http-put-response-hop-limit 3 \
          --http-tokens required \
          --http-endpoint enabled
    Observação O http-tokens parâmetro define IMDSv2 como obrigatório. Quando http-tokens for necessário, também tem de definir http-endpoint como ativado.
  2. Exigir o uso do IMDSv2 em instâncias do Cloud Volumes ONTAP:

    1. Vá para "Console do Amazon EC2"

    2. No painel de navegação, selecione instâncias.

    3. Selecione uma instância do Cloud Volumes ONTAP.

    4. Selecione ações > Configurações de instância > Modificar opções de metadados de instância.

    5. Na caixa de diálogo Modificar opções de metadados de instância, selecione o seguinte:

      • Para Serviço de metadados de instância, selecione Ativar.

      • Para IMDSv2, selecione obrigatório.

      • Selecione Guardar.

    6. Repita essas etapas para outras instâncias do Cloud Volumes ONTAP, incluindo o mediador de HA.

    7. "Pare e inicie as instâncias do Cloud Volumes ONTAP"

Resultado

A instância do conetor e as instâncias do Cloud Volumes ONTAP agora estão configuradas para usar o IMDSv2.