要求在 Amazon EC2 執行個體上使用 IMDSv2
建議變更
PDF
NetApp控制台透過控制台代理程式和Cloud Volumes ONTAP (包括 HA 部署的中介)支援 Amazon EC2 執行個體元資料服務版本 2 (IMDSv2)。大多數情況下,IMDSv2 會在新的 EC2 執行個體上自動設定。 IMDSv1 於 2024 年 3 月前啟用。如果您的安全性原則需要,您可能需要在 EC2 執行個體上手動設定 IMDSv2。
-
控制台代理版本必須為 3.9.38 或更高版本。
-
Cloud Volumes ONTAP必須執行下列版本之一:
-
9.12.1 P2(或任何後續補丁)
-
9.13.0 P4(或任何後續補丁)
-
9.13.1 或此版本之後的任何版本
-
-
此變更要求您重新啟動Cloud Volumes ONTAP實例。
-
這些步驟需要使用 AWS CLI,因為您必須將回應跳數限制變更為 3。
IMDSv2 提供了增強的針對漏洞的保護。 "從 AWS 安全部落格了解有關 IMDSv2 的更多信息"
執行個體元資料服務 (IMDS) 在 EC2 執行個體上啟用如下:
-
對於從控制台或使用 "Terraform 腳本",IMDSv2 在 EC2 執行個體上預設啟用。
-
如果您在 AWS 中啟動新的 EC2 實例,然後手動安裝控制台代理軟體,則 IMDSv2 也會預設為啟用。
-
如果您從 AWS Marketplace 啟動控制台代理,則預設啟用 IMDSv1。您可以在 EC2 執行個體上手動設定 IMDSv2。
-
對於現有的控制台代理,仍然支援 IMDSv1,但如果您願意,可以在 EC2 執行個體上手動設定 IMDSv2。
-
對於Cloud Volumes ONTAP,IMDSv1 在新實例和現有實例上預設為啟用。如果願意,您可以在 EC2 執行個體上手動設定 IMDSv2。
-
要求在控制台代理實例上使用 IMDSv2:
-
連接到控制台代理的 Linux VM。
當您在 AWS 中建立控制台代理執行個體時,您提供了 AWS 存取金鑰和金鑰。您可以使用此金鑰對透過 SSH 連線到執行個體。 EC2 Linux 執行個體的使用者名稱是 ubuntu(對於 2023 年 5 月之前建立的控制台代理,使用者名稱是 ec2-user)。
-
安裝 AWS CLI。
-
使用 `aws ec2 modify-instance-metadata-options`命令要求使用 IMDSv2 並將 PUT 回應跳數限制更改為 3。
例子
aws ec2 modify-instance-metadata-options \ --instance-id <instance-id> \ --http-put-response-hop-limit 3 \ --http-tokens required \ --http-endpoint enabled
這 `http-tokens`參數將 IMDSv2 設定為必要。什麼時候 `http-tokens`是必需的,您還必須設置 `http-endpoint`啟用。 -
-
要求在Cloud Volumes ONTAP實例上使用 IMDSv2:
-
從導覽窗格中,選擇*實例*。
-
選擇一個Cloud Volumes ONTAP實例。
-
選擇*操作>實例設定>修改實例元資料選項*。
-
在「修改實例元資料選項」對話方塊中,選擇以下內容:
-
對於*實例元資料服務*,選擇*啟用*。
-
對於 IMDSv2,選擇 必要。
-
選擇*儲存*。
-
-
對其他Cloud Volumes ONTAP實例(包括 HA 中介)重複這些步驟。
控制台代理實例和Cloud Volumes ONTAP實例現在已配置為使用 IMDSv2。