|
À compter de la mi-2024, les nouveaux types d’instances Amazon EC2 utiliseront uniquement la version 2 du Service de métadonnées d’instance EC2 (IMDSv2). Nous prenons également une série de mesures pour faire d’IMDSv2 le choix par défaut pour les démarrages rapides d’AWS Management Console et d’autres voies de lancement.
Arrière-plan
Ce service est accessible depuis une instance EC2 à une adresse IP fixe (169.254.169.254 via IPv4 ou fd00:ec2::254 via IPv6 sur les instances Nitro). Il vous donne (ou au code exécuté sur l’instance) accès à une multitude de données statiques et dynamiques, y compris l’ID de l’AMI qui a été utilisée pour lancer l’instance, bloquer les mappages de périphériques, les informations d’identification IAM temporaires pour les rôles attachés à l’instance. , informations sur l’interface réseau, données utilisateur et bien plus encore, comme détaillé dans Catégories de métadonnées d’instance.
Le service v1 utilise une méthode d’accès demande/réponse et le service v2 utilise une méthode orientée session, comme détaillé dans ce billet de blog. Les deux services sont entièrement sécurisés, mais la version 2 fournit des couches de protection supplémentaires pour quatre types de vulnérabilités qui pourraient être utilisées pour tenter d’accéder à IMDS.
De nombreuses applications et instances utilisent et bénéficient déjà d’IMDSv2, mais la gamme complète des avantages n’est disponible que lorsque IMDSv1 est désactivé au niveau du compte AWS.
Plan de migration
Voici les mesures importantes que nous avons prises, et celles que nous prévoyons de prendre, pour faire d’IMDSv2 le choix par défaut pour la nouvelle infrastructure AWS (laissez un peu de marge de manœuvre aux dates 2023 et 2024) :
novembre 2019 – Nous lancé IMDSv2 et vous a montré comment l’utiliser pour ajouter une défense en profondeur.
Février 2020 – Nous avons commencé à vérifier que tous les produits nouvellement publiés par les vendeurs AWS Marketplace et les partenaires AWS prennent en charge IMDSv2.
mars 2023 – Nous avons lancé AmazonLinux 2023qui utilise IMDSv2 par défaut pour tous les lancements.
septembre 2023 – Nous avons publié un article de blog pour vous montrer comment Bénéficiez de tous les avantages d’IMDSv2 et désactivez IMDSv1 sur votre infrastructure AWS.
novembre 2023 – À partir d’aujourd’hui, tous les lancements de console Quick Start utiliseront uniquement IMDSv2 (toutes les AMI Amazon et Partner Quick Start le prennent en charge). Voici comment cela est spécifié dans la console EC2 dans Détails avancés lors du lancement d’une instance :
Février 2024 – Nous prévoyons d’introduire une nouvelle fonction API qui vous permettra de contrôler l’utilisation d’IMDSv1 par défaut au niveau du compte. Vous pouvez déjà contrôler l’utilisation d’IMDSv1 dans une stratégie IAM (suppression et limitation des autorisations existantes) ou en tant que SCP appliqué globalement à un compte, une unité organisationnelle (UO) ou une organisation entière. Par exemple, les stratégies IAM sont lues : Travailler avec les métadonnées d’instance.
Mi-2024 – Les types d’instances Amazon EC2 récemment publiés utiliseront IMDSv2 uniquement par défaut. Pour la prise en charge de la transition, vous pourrez toujours activer/activer IMDSv1 au lancement ou après le lancement sur une instance en direct sans avoir besoin d’un redémarrage ou d’un arrêt/démarrage.
Ce qu’il faut faire
Il est maintenant temps de commencer votre migration d’IMDSv1 vers IMDSv2 en utilisant le Bénéficiez de tous les avantages.. article de blog comme guide. Vous devriez également vous familiariser avec Outils d’aide à la transition vers IMDSv2, ainsi que le chemin recommandé sur la même page. En plus de recommander des outils, cette page vous montre comment configurer une stratégie IAM qui désactive l’utilisation d’IMDSv1 et vous montre comment utiliser le MetadataNoToken Métrique CloudWatch pour détecter toute utilisation restante :
Une autre ressource utile peut être trouvée sur AWS re:Publier: Comment puis-je utiliser l’automatisation de Systems Manager pour garantir que seul IMDSv2 est utilisé pour accéder aux métadonnées d’instance à partir de mon instance Amazon EC2 ?
Nous souhaitons que cette transition se déroule le plus facilement possible pour vous et pour vos clients. Si vous avez besoin d’aide supplémentaire, veuillez contacter Assistance AWS.
— Jeff;
