

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configurer les options de métadonnées d’instance pour les instances existantes
<a name="configuring-IMDS-existing-instances"></a>

Vous pouvez modifier les options des métadonnées d’instance pour les instances existantes.

De même, vous pouvez créer une politique IAM qui empêche les utilisateurs de modifier les options des métadonnées d’instance sur des instances existantes. Pour contrôler quels utilisateurs peuvent modifier les options de métadonnées de l'instance, spécifiez une politique qui empêche tous les utilisateurs autres que ceux ayant un rôle spécifique d'utiliser l'[ModifyInstanceMetadataOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataOptions.html)API. Pour examiner l’exemple de stratégie IAM, consultez [Utiliser des métadonnées d’instance](ExamplePolicies_EC2.md#iam-example-instance-metadata).

**Note**  
Si une politique déclarative a été utilisée pour configurer les options de métadonnées de l’instance, vous ne pouvez pas les modifier directement dans le compte. Pour plus d’informations, consultez la rubrique [Politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) dans le *Guide de l’utilisateur AWS Organizations *.

## Exiger l'utilisation de IMDSv2
<a name="modify-require-IMDSv2"></a>

Utilisez l'une des méthodes suivantes pour modifier les options de métadonnées d'instance sur une instance existante afin d'exiger qu'elle IMDSv2 soit utilisée lors de la demande de métadonnées d'instance. Lorsque cela IMDSv2 est nécessaire, IMDSv1 ne peut pas être utilisé.

**Note**  
Avant de demander que cela IMDSv2 soit utilisé, assurez-vous que l'instance ne passe pas d' IMDSv1 appels. La `MetadataNoToken` CloudWatch métrique suit les IMDSv1 appels. Lorsqu'`MetadataNoToken`aucune IMDSv1 utilisation n'est enregistrée pour une instance, celle-ci est alors prête à être requise IMDSv2.

------
#### [ Console ]

**Pour exiger l'utilisation de IMDSv2 sur une instance existante**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, sélectionnez **Activer**.

   1. Pour **IMDSv2**, choisissez **Obligatoire**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour exiger l'utilisation de IMDSv2 sur une instance existante**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-tokens` paramètre sur`required`. Lorsque vous spécifiez une valeur pour `http-tokens`, vous devez également définir `http-endpoint` sur `enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens required \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour exiger l'utilisation de IMDSv2 sur une instance existante**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpTokens` paramètre sur. `required` Lorsque vous spécifiez une valeur pour `HttpTokens`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens required `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Restaurez l'utilisation de IMDSv1
<a name="modify-restore-IMDSv1"></a>

Lorsque cela IMDSv2 est requis sur une instance, l'utilisation d'une IMDSv1 demande échouera. Quand IMDSv2 c'est facultatif, alors IMDSv2 les deux IMDSv1 fonctionneront. Par conséquent, pour effectuer une restauration IMDSv1, définissez IMDSv2 le paramètre sur optional (`httpTokens = optional`) à l'aide de l'une des méthodes suivantes.

La propriété `httpTokensEnforced` IMDS empêche également les tentatives d'activation IMDSv1 sur une instance existante. Lorsque cette option est activée pour un compte dans une région, une tentative `httpTokens` de définition `optional` entraîne une `UnsupportedOperation` exception. Pour plus d'informations, voir[Résolution des problèmes](#troubleshoot-modifying-an-imdsv1-enabled-instance-fails).

**Important**  
Si le lancement de votre instance échoue pour des raisons d' IMDSv2 application, deux options s'offrent à vous pour garantir le succès des lancements :  
**Lancer les instances IMDSv2 uniquement** : si le logiciel exécuté sur les instances les utilise IMDSv2 uniquement (sans dépendance IMDSv1), vous pouvez lancer les instances en tant que telles IMDSv2 uniquement. Pour ce faire, configurez IMDSv2 uniquement en définissant `httpTokens = required` les paramètres de lancement ou les métadonnées par défaut du compte dans la région. 
**Désactiver l'application** : si votre logiciel en dépend toujours IMDSv1, `httpTokensEnforced` `disabled` réglez-le sur le compte de la région. Pour de plus amples informations, veuillez consulter [Appliquer IMDSv2 au niveau du compte](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

------
#### [ Console ]

**Pour rétablir l'utilisation de IMDSv1 sur une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, assurez-vous que l’option **Activer** est sélectionnée.

   1. Pour **IMDSv2**, choisissez **Facultatif**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour rétablir l'utilisation de IMDSv1 sur une instance**  
Vous pouvez utiliser la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI avec `http-tokens` set `optional` to pour rétablir l'utilisation de IMDSv1 lorsque vous demandez des métadonnées d'instance.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-tokens optional \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour rétablir l'utilisation de IMDSv1 sur une instance**  
Vous pouvez utiliser l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande avec `HttpTokens` set `optional` to pour rétablir l'utilisation de IMDSv1 lorsque vous demandez des métadonnées d'instance.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpTokens optional `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Modifier la durée de vie de la réponse PUT
<a name="modify-PUT-response-hop-limit"></a>

Pour les instances existantes, vous pouvez modifier les paramètres de la durée de vie (hop limit) de la réponse `PUT`.

Actuellement, seuls les AWS CLI et AWS SDKs prennent en charge la modification de la limite de sauts de réponse PUT.

------
#### [ AWS CLI ]

**Pour modifier la durée de vie (hop limit) de la réponse PUT**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-put-response-hop-limit` paramètre sur le nombre de sauts requis. Dans l’exemple suivant, la durée de vie (hop limit) est définie `3`. Notez que lorsque vous spécifiez une valeur pour `http-put-response-hop-limit`, vous devez également définir `http-endpoint` sur `enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-put-response-hop-limit 3 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour modifier la durée de vie (hop limit) de la réponse PUT**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpPutResponseHopLimit` paramètre sur le nombre de sauts requis. Dans l’exemple suivant, la durée de vie (hop limit) est définie `3`. Notez que lorsque vous spécifiez une valeur pour `HttpPutResponseHopLimit`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpPutResponseHopLimit 3 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Activez l'IMDS IPv4 et les points de terminaison IPv6
<a name="enable-ipv6-endpoint-for-existing-instances"></a>

L'IMDS possède deux points de terminaison sur une instance : IPv4 (`169.254.169.254`) et IPv6 (`[fd00:ec2::254]`). Lorsque vous activez l'IMDS, le IPv4 point de terminaison est automatiquement activé. Le IPv6 point de terminaison reste désactivé même si vous lancez une instance dans un IPv6 sous-réseau uniquement. Pour activer le IPv6 point de terminaison, vous devez le faire explicitement. Lorsque vous activez le IPv6 point de IPv4 terminaison, celui-ci reste activé.

Vous pouvez activer le IPv6 point de terminaison au lancement de l'instance ou après.

**Conditions requises pour activer le IPv6 point de terminaison**
+ Le type d’instance sélectionné est une [instance basée sur Nitro](instance-types.md#instance-hypervisor-type).
+ Le sous-réseau sélectionné prend IPv6 en charge les sous-réseaux à [double pile ou IPv6 uniquement](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range).

Actuellement, seul le AWS SDKs support AWS CLI et active le point de IPv6 terminaison IMDS après le lancement de l'instance.

------
#### [ AWS CLI ]

**Pour activer le point de IPv6 terminaison IMDS pour votre instance**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-protocol-ipv6` paramètre sur`enabled`. Notez que lorsque vous spécifiez une valeur pour `http-protocol-ipv6`, vous devez également définir `http-endpoint` sur `enabled`.

```
aws ec2 modify-instance-metadata-options \
	--instance-id i-1234567890abcdef0 \
	--http-protocol-ipv6 enabled \
	--http-endpoint enabled
```

------
#### [ PowerShell ]

**Pour activer le point de IPv6 terminaison IMDS pour votre instance**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpProtocolIpv6` paramètre sur. `enabled` Notez que lorsque vous spécifiez une valeur pour `HttpProtocolIpv6`, vous devez également définir `HttpEndpoint` sur `enabled`.

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpProtocolIpv6 enabled `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Activer l’accès aux métadonnées d’instance
<a name="enable-instance-metadata-on-existing-instances"></a>

Vous pouvez activer l’accès aux métadonnées d’instance en activant le point de terminaison HTTP de l’IMDS sur votre instance, quelle que soit la version de ce dernier que vous utilisez. Vous pouvez annuler cette modification à tout moment en désactivant à nouveau le point de terminaison HTTP.

Pour activer l’accès aux métadonnées d’instance sur une instance, utilisez l’une des méthodes suivantes.

------
#### [ Console ]

**Activation de l’accès aux métadonnées d’instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, sélectionnez **Activer**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Activation de l’accès aux métadonnées d’instance**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-endpoint` paramètre sur`enabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint enabled
```

------
#### [ PowerShell ]

**Activation de l’accès aux métadonnées d’instance**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpEndpoint` paramètre sur. `enabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint enabled).InstanceMetadataOptions
```

------

## Désactiver l’accès aux métadonnées d’instance
<a name="disable-instance-metadata-on-existing-instances"></a>

Vous pouvez désactiver l’accès aux métadonnées d’instance en désactivant le point de terminaison HTTP de l’IMDS sur votre instance, quelle que soit la version de ce dernier que vous utilisez. Vous pouvez annuler cette modification à tout moment en activant à nouveau le point de terminaison HTTP.

Pour désactiver l’accès aux métadonnées d’instance sur une instance, utilisez l’une des méthodes suivantes.

------
#### [ Console ]

**Désactivation de l’accès aux métadonnées d’instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance.

1. Choisissez **Actions**, **Paramètres de l’instance**, puis **Modifier les options des métadonnées d’instance**.

1. Dans la boîte de dialogue **Modifier les options des métadonnées d’instance**, procédez comme suit :

   1. Pour **Service de métadonnées d’instance**, désélectionnez **Activer**.

   1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Désactivation de l’accès aux métadonnées d’instance**  
Utilisez la commande [modify-instance-metadata-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-options.html)CLI et définissez le `http-endpoint` paramètre sur`disabled`.

```
aws ec2 modify-instance-metadata-options \
    --instance-id i-1234567890abcdef0 \
    --http-endpoint disabled
```

------
#### [ PowerShell ]

**Désactivation de l’accès aux métadonnées d’instance**  
Utilisez l'[Edit-EC2InstanceMetadataOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataOption.html)applet de commande et définissez le `HttpEndpoint` paramètre sur. `disabled`

```
(Edit-EC2InstanceMetadataOption `
    -InstanceId i-1234567890abcdef0 `
    -HttpEndpoint disabled).InstanceMetadataOptions
```

------

## Autoriser l’accès aux identifications dans les métadonnées d’instance
<a name="modify-access-to-tags-in-instance-metadata-on-existing-instances"></a>

Vous pouvez autoriser l’accès aux balises dans les métadonnées de l’instance sur une instance en cours d’exécution ou arrêtée. Pour chaque instance, vous devez explicitement autoriser l’accès. Si l’accès est autorisé, *les clés des* balises d’instance doivent respecter des restrictions de caractères spécifiques, sinon vous obtenez une erreur. Pour de plus amples informations, veuillez consulter [Activation de l’accès aux balises dans les métadonnées d’instance](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).

## Résolution des problèmes
<a name="troubleshoot-modifying-an-imdsv1-enabled-instance-fails"></a>

### La modification d'une instance IMDSv1 activée échoue
<a name="modifying-an-imdsv1-enabled-instance-fails"></a>

#### Description
<a name="modifying-an-imdsv1-enabled-instance-fails-description"></a>

Le message d'erreur suivant s'affiche :

`You can't launch instances with IMDSv1 because httpTokensEnforced is enabled for this account. Either launch the instance with httpTokens=required or contact your account owner to disable httpTokensEnforced using the ModifyInstanceMetadataDefaults API or the account settings in the EC2 console.`

#### Cause
<a name="modifying-an-imdsv1-enabled-instance-fails-cause"></a>

Cette erreur est générée lorsque vous tentez de modifier une instance existante pour qu'elle soit IMDSv1 activée (`httpTokens = optional`) dans un compte où les paramètres du compte EC2 ou une politique déclarative de AWS l'organisation imposent l'utilisation de IMDSv2 (). `httpTokensEnforced = enabled` 

#### Solution
<a name="modifying-an-imdsv1-enabled-instance-fails-solution"></a>

Si vous avez besoin d' IMDSv1 assistance sur des instances existantes, vous devez désactiver IMDSv2 l'application pour le compte dans la Région. Pour désactiver IMDSv2 l'application, définissez `HttpTokensEnforced` sur`disabled`. Pour plus d'informations, consultez [ModifyInstanceMetadataDefaults](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyInstanceMetadataDefaults.html)le manuel Amazon EC2 API Reference. Si vous préférez configurer ce paramètre à l'aide de la console, consultez[Appliquer IMDSv2 au niveau du compte](configuring-IMDS-new-instances.md#enforce-imdsv2-at-the-account-level).

Nous vous recommandons d'utiliser IMDSv2 uniquement (`httpTokens=required`). Pour de plus amples informations, veuillez consulter [Passer à l’utilisation de Service des métadonnées d’instance Version 2](instance-metadata-transition-to-version-2.md).