Exigir o uso do IMDSv2 em instâncias do Amazon EC2
O BlueXP oferece suporte ao serviço de metadados de instância do Amazon EC2 versão 2 (IMDSv2) com o conetor e com o Cloud Volumes ONTAP (incluindo o mediador para implantações de HA). Na maioria dos casos, o IMDSv2 é configurado automaticamente em novas instâncias do EC2. O IMDSv1 foi ativado antes de março de 2024. Se exigido por suas políticas de segurança, talvez seja necessário configurar manualmente o IMDSv2 em suas instâncias do EC2.
-
A versão do conetor deve ser 3.9.38 ou posterior.
-
O Cloud Volumes ONTAP deve estar executando uma das seguintes versões:
-
9.12.1 P2 (ou qualquer patch subsequente)
-
9.13.0 P4 (ou qualquer patch subsequente)
-
9.13.1 ou qualquer versão após esta versão
-
-
Essa alteração requer que você reinicie as instâncias do Cloud Volumes ONTAP.
-
Essas etapas exigem o uso da AWS CLI porque você deve alterar o limite de salto de resposta para 3.
O IMDSv2 fornece proteção aprimorada contra vulnerabilidades. "Saiba mais sobre o IMDSv2 no Blog de Segurança da AWS"
O Serviço de metadados de instância (IMDS) está habilitado da seguinte forma em instâncias EC2:
-
Para novas implantações de conetores do BlueXP ou usando "Scripts do Terraform"o , o IMDSv2 é habilitado por padrão na instância do EC2.
-
Se você iniciar uma nova instância do EC2 na AWS e instalar manualmente o software Connector, o IMDSv2 também será habilitado por padrão.
-
Se você iniciar o conetor no AWS Marketplace, o IMDSv1 será habilitado por padrão. Você pode configurar manualmente o IMDSv2 na instância do EC2.
-
Para os conetores existentes, IMDSv1 ainda é suportado, mas você pode configurar manualmente IMDSv2 na instância EC2, se preferir.
-
Para o Cloud Volumes ONTAP, o IMDSv1 é habilitado por padrão em instâncias novas e existentes. Você pode configurar manualmente o IMDSv2 nas instâncias do EC2, se preferir.
-
Exigir o uso de IMDSv2 na instância do conetor:
-
Conete-se à VM Linux para o conetor.
Quando você criou a instância do Connector na AWS, forneceu uma chave de acesso e uma chave secreta da AWS. Você pode usar esse par de chaves para SSH para a instância. O nome de usuário para a instância do EC2 Linux é ubuntu (para conetores criados antes de maio de 2023, o nome de usuário era EC2-user).
-
Instale a AWS CLI.
-
Use o
aws ec2 modify-instance-metadata-options
comando para exigir o uso de IMDSv2 e para alterar o limite de salto de resposta PUT para 3.Exemplo
aws ec2 modify-instance-metadata-options \ --instance-id <instance-id> \ --http-put-response-hop-limit 3 \ --http-tokens required \ --http-endpoint enabled
O http-tokens
parâmetro define IMDSv2 como obrigatório. Quandohttp-tokens
for necessário, também tem de definirhttp-endpoint
como ativado. -
-
Exigir o uso do IMDSv2 em instâncias do Cloud Volumes ONTAP:
-
Vá para "Console do Amazon EC2"
-
No painel de navegação, selecione instâncias.
-
Selecione uma instância do Cloud Volumes ONTAP.
-
Selecione ações > Configurações de instância > Modificar opções de metadados de instância.
-
Na caixa de diálogo Modificar opções de metadados de instância, selecione o seguinte:
-
Para Serviço de metadados de instância, selecione Ativar.
-
Para IMDSv2, selecione obrigatório.
-
Selecione Guardar.
-
-
Repita essas etapas para outras instâncias do Cloud Volumes ONTAP, incluindo o mediador de HA.
-
A instância do conetor e as instâncias do Cloud Volumes ONTAP agora estão configuradas para usar o IMDSv2.