Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengonfigurasi opsi metadata instans untuk instans baru
<a name="configuring-IMDS-new-instances"></a>

Anda dapat mengonfigurasi opsi metadata instance berikut untuk instance baru.

**Topics**
+ [Membutuhkan penggunaan IMDSv2](#configure-IMDS-new-instances)
+ [Aktifkan IMDS IPv4 dan titik akhir IPv6](#configure-IMDS-new-instances-ipv4-ipv6-endpoints)
+ [Nonaktifkan akses untuk metadata instans](#configure-IMDS-new-instances--turn-off-instance-metadata)
+ [Mengizinkan akses ke tanda dalam metadata instans](#configure-IMDS-new-instances-tags-in-instance-metadata)

**catatan**  
Pengaturan untuk opsi ini dikonfigurasi di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Mereka harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin mengkonfigurasi opsi metadata instance. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah pengaturan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *AWS Organizations Panduan Pengguna*.

## Membutuhkan penggunaan IMDSv2
<a name="configure-IMDS-new-instances"></a>

Anda dapat menggunakan metode berikut untuk meminta penggunaan IMDSv2 pada instance baru Anda.

**Topics**
+ [Tetapkan IMDSv2 sebagai default untuk akun](#set-imdsv2-account-defaults)
+ [Menegakkan IMDSv2 di tingkat akun](#enforce-imdsv2-at-the-account-level)
+ [Konfigurasikan instans saat peluncuran](#configure-IMDS-new-instances-instance-settings)
+ [Konfigurasikan AMI](#configure-IMDS-new-instances-ami-configuration)
+ [Gunakan kebijakan IAM](#configure-IMDS-new-instances-iam-policy)

### Tetapkan IMDSv2 sebagai default untuk akun
<a name="set-imdsv2-account-defaults"></a>

Anda dapat mengatur versi default untuk layanan metadata instans (IMDS) di tingkat akun untuk masing-masing. Wilayah AWS Ini berarti bahwa ketika Anda meluncurkan instance *baru*, versi metadata instans secara otomatis disetel ke default tingkat akun. Namun, Anda dapat mengganti nilai secara manual saat peluncuran atau setelah peluncuran. Untuk informasi selengkapnya tentang bagaimana pengaturan tingkat akun dan penggantian manual memengaruhi instance, lihat. [Urutan prioritas misalnya opsi metadata](configuring-instance-metadata-options.md#instance-metadata-options-order-of-precedence)

**catatan**  
Menyetel default tingkat akun tidak mengatur ulang instance *yang ada*. Misalnya, jika Anda menyetel default tingkat akun ke IMDSv2, semua instance yang ada yang disetel ke tidak IMDSv1 terpengaruh. Jika Anda ingin mengubah nilai pada instance yang ada, Anda harus secara manual mengubah nilai pada instance itu sendiri.

Anda dapat mengatur default akun untuk versi metadata instans IMDSv2 agar semua instance *baru* di akun diluncurkan dengan IMDSv2 required, dan IMDSv1 akan dinonaktifkan. Dengan default akun ini, saat Anda meluncurkan instance, berikut ini adalah nilai default untuk instance:
+ **Konsol: **Versi metadata** diatur ke **V2 saja (diperlukan token)** dan **batas hop respons Metadata** diatur ke 2.**
+ AWS CLI: `HttpTokens` diatur ke `required` dan `HttpPutResponseHopLimit` diatur ke`2`. 

**catatan**  
Sebelum menyetel default akun IMDSv2, pastikan instans Anda tidak bergantung pada IMDSv1. Untuk informasi selengkapnya, lihat [Jalur yang direkomendasikan untuk membutuhkan IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2).

------
#### [ Console ]

**Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Dasbor**.

1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Perlindungan dan keamanan data**.

1. **Di samping **default IMDS, pilih Kelola.****

1. Pada halaman **Kelola default IMDS**, lakukan hal berikut:

   1. **Untuk **layanan metadata Instance**, pilih Diaktifkan.**

   1. Untuk **Versi metadata**, pilih **V2 saja (token diperlukan)**.

   1. Untuk **batas hop respons Metadata**, tentukan **2** jika instance Anda akan meng-host container. Jika tidak, pilih **Tidak ada preferensi**. **Ketika tidak ada preferensi yang ditentukan, saat peluncuran, nilai default ke **2** jika AMI memiliki pengaturan`ImdsSupport: v2.0`; jika tidak maka defaultnya ke 1.**

   1. Pilih **Perbarui**.

------
#### [ AWS CLI ]

**Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan**  
Gunakan [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)perintah dan tentukan Wilayah untuk memodifikasi pengaturan tingkat akun IMDS. Sertakan `--http-tokens` set ke `required` dan `--http-put-response-hop-limit` atur ke `2` jika instance Anda akan meng-host kontainer. Jika tidak, tentukan `-1` untuk menunjukkan tidak ada preferensi. Ketika `-1` (tidak ada preferensi) ditentukan, saat peluncuran, nilai default jika AMI memiliki pengaturan`ImdsSupport: v2.0`; jika tidak maka default ke`2`. `1`

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-put-response-hop-limit 2
```

Berikut ini adalah output contoh.

```
{
    "Return": true
}
```

**Untuk melihat pengaturan akun default untuk opsi metadata instance untuk Wilayah yang ditentukan**  
Gunakan [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)perintah dan tentukan Wilayah.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Berikut ini adalah output contoh.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpPutResponseHopLimit": 2
    },
    "ManagedBy": "account"
}
```

`ManagedBy`Bidang menunjukkan entitas yang mengkonfigurasi pengaturan. Dalam contoh ini, `account` menunjukkan bahwa pengaturan dikonfigurasi langsung di akun. Nilai `declarative-policy` berarti pengaturan dikonfigurasi oleh kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *Panduan AWS Organizations Pengguna*.

**Untuk menetapkan IMDSv2 sebagai default untuk akun untuk semua Wilayah**  
Gunakan [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)perintah untuk mengubah pengaturan tingkat akun IMDS untuk semua Wilayah. Sertakan `--http-tokens` set ke `required` dan `--http-put-response-hop-limit` atur ke `2` jika instance Anda akan meng-host kontainer. Jika tidak, tentukan `-1` untuk menunjukkan tidak ada preferensi. Ketika `-1` (tidak ada preferensi) ditentukan, saat peluncuran, nilai default jika AMI memiliki pengaturan`ImdsSupport: v2.0`; jika tidak maka default ke`2`. `1`

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens required \
            --http-put-response-hop-limit 2 \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Berikut ini adalah output contoh.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Untuk melihat pengaturan akun default untuk opsi metadata instans untuk semua Wilayah**  
Gunakan perintah [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level          Hops    HttpTokens" ; \
echo -e "-------------- \t ------------   ----    ----------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --output text)
        echo -e "$region \t $output" 
    );
done
```

Berikut ini adalah output contoh.

```
Region           Level          Hops    HttpTokens
--------------   ------------   ----    ----------
ap-south-1       ACCOUNTLEVEL   2       required
eu-north-1       ACCOUNTLEVEL   2       required
eu-west-3        ACCOUNTLEVEL   2       required
...
```

------
#### [ PowerShell ]

**Untuk menetapkan IMDSv2 sebagai default untuk akun untuk Wilayah yang ditentukan**  
Gunakan [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet dan tentukan Wilayah untuk mengubah pengaturan tingkat akun IMDS. Sertakan `-HttpToken` set ke `required` dan `-HttpPutResponseHopLimit` atur ke `2` jika instance Anda akan meng-host kontainer. Jika tidak, tentukan `-1` untuk menunjukkan tidak ada preferensi. Ketika `-1` (tidak ada preferensi) ditentukan, saat peluncuran, nilai default jika AMI memiliki pengaturan`ImdsSupport: v2.0`; jika tidak maka default ke`2`. `1`

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Berikut ini adalah output contoh.

```
True
```

**Untuk melihat pengaturan akun default untuk opsi metadata instance untuk Wilayah yang ditentukan**  
Gunakan [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html)cmdlet dan tentukan Region.

```
Get-EC2InstanceMetadataDefault -Region us-east-1 | Format-List
```

Berikut ini adalah output contoh.

```
HttpEndpoint            : 
HttpPutResponseHopLimit : 2
HttpTokens              : required
InstanceMetadataTags    :
```

**Untuk menetapkan IMDSv2 sebagai default untuk akun untuk semua Wilayah**  
Gunakan [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet untuk mengubah pengaturan level akun IMDS untuk semua Wilayah. Sertakan `-HttpToken` set ke `required` dan `-HttpPutResponseHopLimit` atur ke `2` jika instance Anda akan meng-host kontainer. Jika tidak, tentukan `-1` untuk menunjukkan tidak ada preferensi. Ketika `-1` (tidak ada preferensi) ditentukan, saat peluncuran, nilai default jika AMI memiliki pengaturan`ImdsSupport: v2.0`; jika tidak maka default ke`2`. `1`

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Output yang diharapkan

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**Untuk melihat pengaturan akun default untuk opsi metadata instans untuk semua Wilayah**  
Gunakan [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html)cmdlet.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Contoh Output

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Menegakkan IMDSv2 di tingkat akun
<a name="enforce-imdsv2-at-the-account-level"></a>

Anda dapat menerapkan penggunaan IMDSv2 di tingkat akun untuk masing-masing Wilayah AWS. Saat diberlakukan, instance hanya dapat diluncurkan jika dikonfigurasi untuk membutuhkan. IMDSv2 Penegakan ini berlaku terlepas dari bagaimana instans atau AMI dikonfigurasi.

**catatan**  
Sebelum mengaktifkan IMDSv2 penegakan hukum di tingkat akun, pastikan aplikasi dan AMIs dukungan IMDSv2 Anda. Untuk informasi selengkapnya, lihat [Jalur yang direkomendasikan untuk membutuhkan IMDSv2](instance-metadata-transition-to-version-2.md#recommended-path-for-requiring-imdsv2). Jika IMDSv2 penegakan `httpTokens` diaktifkan dan tidak disetel ke `required` konfigurasi instans saat peluncuran, pengaturan akun, atau konfigurasi AMI, peluncuran instance akan gagal. Untuk informasi pemecahan masalah, lihat [Meluncurkan instance IMDSv1 -enabled gagal](troubleshooting-launch.md#launching-an-imdsv1-enabled-instance-fails).

**catatan**  
Pengaturan ini tidak mengubah versi IMDS dari instans yang ada, tetapi memblokir pengaktifan IMDSv1 pada instance yang ada yang saat ini telah dinonaktifkan. IMDSv1

------
#### [ Console ]

**IMDSv2 Untuk menegakkan akun di Wilayah yang ditentukan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Dasbor**.

1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Perlindungan dan keamanan data**.

1. **Di samping **default IMDS, pilih Kelola.****

1. Pada halaman **Kelola default IMDS**, lakukan hal berikut:

   1. Untuk **Versi metadata**, pilih **V2 saja (token diperlukan)**.

   1. Untuk **Menegakkan IMDSv2**, pilih **Diaktifkan**.

   1. Pilih **Perbarui**.

------
#### [ AWS CLI ]

**IMDSv2 Untuk menegakkan akun di Wilayah yang ditentukan**  
 Gunakan [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)perintah dan tentukan Wilayah yang akan ditegakkan IMDSv2. 

```
aws ec2 modify-instance-metadata-defaults \
    --region us-east-1 \
    --http-tokens required \
    --http-tokens-enforced enabled
```

Berikut ini adalah output contoh.

```
{
"Return": true
}
```

**Untuk melihat pengaturan IMDSv2 penegakan untuk akun di Wilayah tertentu**  
Gunakan [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html)perintah dan tentukan Wilayah.

```
aws ec2 get-instance-metadata-defaults --region us-east-1
```

Berikut ini adalah output contoh.

```
{
    "AccountLevel": {
        "HttpTokens": "required",
        "HttpTokensEnforced": "enabled"
    },
    "ManagedBy": "account"
}
```

`ManagedBy`Bidang menunjukkan entitas yang mengkonfigurasi pengaturan. Dalam contoh ini, `account` menunjukkan bahwa pengaturan dikonfigurasi langsung di akun. Nilai `declarative-policy` berarti pengaturan dikonfigurasi oleh kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *Panduan Pengguna AWS Organizations*.

**Untuk menegakkan IMDSv2 akun untuk semua Wilayah**  
Gunakan [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)perintah untuk menegakkan IMDSv2 di semua Wilayah.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Berikut ini adalah output contoh.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Untuk melihat pengaturan IMDSv2 penegakan untuk akun di semua Wilayah**  
Gunakan perintah [get-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-metadata-defaults.html).

```
echo -e "Region   \t Level           HttpTokensEnforced" ; \
echo -e "-------------- \t ------------   ----------------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 get-instance-metadata-defaults \
            --region $region \
            --query 'AccountLevel.HttpTokensEnforced' \           
            --output text)
        echo -e "$region \t ACCOUNTLEVEL $output" 
    );
done
```

Berikut ini adalah output contoh.

```
Region           Level          HttpTokensEnforced
--------------   ------------   ------------------
ap-south-1       ACCOUNTLEVEL   enabled
eu-north-1       ACCOUNTLEVEL   enabled
eu-west-3        ACCOUNTLEVEL   enabled
...
```

------
#### [ PowerShell ]

**IMDSv2 Untuk menegakkan akun di Wilayah yang ditentukan**  
Gunakan [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet dan tentukan Wilayah yang akan ditegakkan. IMDSv2 

```
Edit-EC2InstanceMetadataDefault `
    -Region us-east-1 `
    -HttpToken required `
    -HttpPutResponseHopLimit 2
```

Berikut ini adalah output contoh.

```
@{
    Return = $true
}
```

**Untuk melihat pengaturan IMDSv2 penegakan untuk akun di Wilayah tertentu**  
Gunakan Get-EC2InstanceMetadataDefault perintah dan tentukan Wilayah.

```
Get-EC2InstanceMetadataDefault -Region us-east-1
```

Berikut ini adalah output contoh.

```
@{
    AccountLevel = @{
        HttpTokens = "required"
        HttpTokensEnforced = "enabled"
    }
    ManagedBy = "account"
}
```

`ManagedBy`Bidang menunjukkan entitas yang mengkonfigurasi pengaturan. Dalam contoh ini, `account` menunjukkan bahwa pengaturan dikonfigurasi langsung di akun. Nilai `declarative-policy` berarti pengaturan dikonfigurasi oleh kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *Panduan Pengguna AWS Organizations*.

**Untuk menegakkan IMDSv2 akun untuk semua Wilayah**  
Gunakan [modify-instance-metadata-defaults](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-metadata-defaults.html)perintah untuk menegakkan IMDSv2 di semua Wilayah.

```
echo -e "Region          \t Modified" ; \
echo -e "--------------  \t ---------" ; \
for region in $(
    aws ec2 describe-regions \
        --region us-east-1 \
        --query "Regions[*].[RegionName]" \
        --output text
    ); 
    do (output=$(
        aws ec2 modify-instance-metadata-defaults \
            --region $region \
            --http-tokens-enforced enabled \
            --output text)
        echo -e "$region        \t $output"
    );
done
```

Berikut ini adalah output contoh.

```
Region                   Modified
--------------           ---------
ap-south-1               True
eu-north-1               True
eu-west-3                True
...
```

**Untuk menetapkan IMDSv2 sebagai default untuk akun untuk semua Wilayah**  
Gunakan [Edit-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceMetadataDefault.html)cmdlet untuk mengubah pengaturan level akun IMDS untuk semua Wilayah. Sertakan `-HttpToken` set ke `required` dan `-HttpPutResponseHopLimit` atur ke `2` jika instance Anda akan meng-host kontainer. Jika tidak, tentukan `-1` untuk menunjukkan tidak ada preferensi. Ketika `-1` (tidak ada preferensi) ditentukan, saat peluncuran, nilai default jika AMI memiliki pengaturan`ImdsSupport: v2.0`; jika tidak maka default ke`2`. `1`

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region   = $_
        Modified = (Edit-EC2InstanceMetadataDefault `
                -Region $_ `
                -HttpToken required `
                -HttpPutResponseHopLimit 2)
    } 
} | `
Format-Table Region, Modified -AutoSize
```

Output yang diharapkan

```
Region         Modified
------         --------
ap-south-1         True
eu-north-1         True
eu-west-3          True
...
```

**Untuk melihat pengaturan akun default untuk opsi metadata instans untuk semua Wilayah**  
Gunakan [Get-EC2InstanceMetadataDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceMetadataDefault.html)cmdlet.

```
(Get-EC2Region).RegionName | `
    ForEach-Object {
    [PSCustomObject]@{
        Region = $_
        HttpPutResponseHopLimit = (Get-EC2InstanceMetadataDefault -Region $_).HttpPutResponseHopLimit
        HttpTokens              = (Get-EC2InstanceMetadataDefault -Region $_).HttpTokens
    }
} | `
Format-Table -AutoSize
```

Contoh Output

```
Region         HttpPutResponseHopLimit HttpTokens
------         ----------------------- ----------
ap-south-1                           2 required
eu-north-1                           2 required
eu-west-3                            2 required                    
...
```

------

### Konfigurasikan instans saat peluncuran
<a name="configure-IMDS-new-instances-instance-settings"></a>

Saat [meluncurkan instance](ec2-launch-instance-wizard.md), Anda dapat mengonfigurasi instance agar memerlukan penggunaan IMDSv2 dengan mengonfigurasi bidang berikut:
+ Konsol Amazon EC2: Atur **Versi metadata** ke **V2 saja (diperlukan token)**. 
+ AWS CLI: Atur `HttpTokens` ke `required`.

Bila Anda menentukan yang IMDSv2 diperlukan, Anda juga harus mengaktifkan titik akhir Layanan Metadata Instans (IMDS) dengan menyetel **Metadata yang dapat diakses** ke **Enabled** (console) atau to (). `HttpEndpoint` `enabled`AWS CLI

Dalam lingkungan kontainer, bila IMDSv2 diperlukan, kami sarankan untuk mengatur batas hop ke`2`. Untuk informasi selengkapnya, lihat [Pertimbangan akses metadata instance](instancedata-data-retrieval.md#imds-considerations).

------
#### [ Console ]

**Untuk memerlukan penggunaan IMDSv2 pada instance baru**
+ Saat meluncurkan instans baru di konsol Amazon EC2, perluas **Detail lanjutan**, dan lakukan hal berikut:
  + Untuk **Metadata yang dapat diakses**, pilih **Diaktifkan**.
  + Untuk **Versi metadata**, pilih **V2 saja (token diperlukan)**.
  + **(Lingkungan kontainer) Untuk **batas hop respons Metadata**, pilih 2.**

  Untuk informasi selengkapnya, lihat [Detail lanjutan](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Untuk memerlukan penggunaan IMDSv2 pada instance baru**  
Contoh [run-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) berikut meluncurkan instans `c6i.large` dengan `--metadata-options` yang diatur ke `HttpTokens=required`. Jika Anda menetapkan nilai untuk `HttpTokens`, maka Anda juga harus mengatur `HttpEndpoint` ke `enabled`. Karena header token aman disetel ke `required` untuk permintaan pengambilan metadata, ini memerlukan instance untuk digunakan IMDSv2 saat meminta metadata instance.

Dalam lingkungan kontainer, bila IMDSv2 diperlukan, kami sarankan untuk mengatur batas hop ke `2` with`HttpPutResponseHopLimit=2`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
	...
    --metadata-options "HttpEndpoint=enabled,HttpTokens=required,HttpPutResponseHopLimit=2"
```

------
#### [ PowerShell ]

**Untuk memerlukan penggunaan IMDSv2 pada instance baru**  
Contoh [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet berikut meluncurkan `c6i.large` instance dengan `MetadataOptions_HttpEndpoint` set to `enabled` dan parameter ke. `MetadataOptions_HttpTokens` `required` Jika Anda menetapkan nilai untuk `HttpTokens`, maka Anda juga harus mengatur `HttpEndpoint` ke `enabled`. Karena header token aman disetel ke `required` untuk permintaan pengambilan metadata, ini memerlukan instance untuk digunakan IMDSv2 saat meminta metadata instance.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpTokens required
```

------
#### [ CloudFormation ]

Untuk menentukan opsi metadata untuk instance yang digunakan CloudFormation, lihat [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)properti di *AWS CloudFormation Panduan Pengguna*.

------

### Konfigurasikan AMI
<a name="configure-IMDS-new-instances-ami-configuration"></a>

Saat Anda mendaftarkan AMI baru atau memodifikasi AMI yang ada, Anda dapat mengatur parameter `imds-support` ke `v2.0`. Instans yang diluncurkan dari AMI ini akan memiliki **versi Metadata** yang disetel ke **V2 saja (diperlukan token) (konsol)** atau `HttpTokens` disetel ke `required` ().AWS CLI Dengan pengaturan ini, instance mengharuskan yang IMDSv2 digunakan saat meminta metadata instance.

Perhatikan bahwa jika Anda mengatur `imds-support` ke `v2.0`, instans yang diluncurkan dari AMI ini juga akan memiliki **Batas hop tanggapan Metadata** (konsol) atau `http-put-response-hop-limit` (AWS CLI) diatur ke **2**.

**penting**  
Jangan gunakan parameter ini kecuali perangkat lunak AMI Anda mendukungIMDSv2. Setelah Anda mengatur nilainya ke `v2.0`, Anda tidak dapat membatalkannya. Satu-satunya cara untuk “mengatur ulang” AMI Anda adalah dengan membuat AMI baru dari snapshot dasar.

**Untuk mengkonfigurasi AMI baru untuk IMDSv2**  
Gunakan salah satu metode berikut untuk mengonfigurasi AMI baru untukIMDSv2.

------
#### [ AWS CLI ]

Contoh [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html) berikut mendaftarkan AMI menggunakan snapshot yang ditentukan dari volume root EBS sebagai perangkat `/dev/xvda`. Tentukan `v2.0` `imds-support` parameter sehingga instance yang diluncurkan dari AMI ini akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

```
aws ec2 register-image \
    --name my-image \
    --root-device-name /dev/xvda \
    --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0123456789example} \
    --architecture x86_64 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

Contoh [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet berikut mendaftarkan AMI menggunakan snapshot yang ditentukan dari volume root EBS sebagai perangkat. `/dev/xvda` Tentukan `v2.0` `ImdsSupport` parameter sehingga instance yang diluncurkan dari AMI ini akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

```
Register-EC2Image `
    -Name 'my-image' `
    -RootDeviceName /dev/xvda `
    -BlockDeviceMapping  ( 
    New-Object `
        -TypeName Amazon.EC2.Model.BlockDeviceMapping `
        -Property @{ 
        DeviceName = '/dev/xvda'; 
        EBS        = (New-Object -TypeName Amazon.EC2.Model.EbsBlockDevice -Property @{ 
                SnapshotId = 'snap-0123456789example'
                VolumeType = 'gp3' 
                } )      
        }  ) `
    -Architecture X86_64 `
    -ImdsSupport v2.0
```

------

**Untuk mengonfigurasi AMI yang ada untuk IMDSv2**  
Gunakan salah satu metode berikut untuk mengonfigurasi AMI yang ada untukIMDSv2.

------
#### [ AWS CLI ]

[modify-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-image-attribute.html)Contoh berikut memodifikasi AMI yang ada IMDSv2 hanya untuk. Tentukan `v2.0` `imds-support` parameter sehingga instance yang diluncurkan dari AMI ini akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

```
aws ec2 modify-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --imds-support v2.0
```

------
#### [ PowerShell ]

Contoh [Edit-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2ImageAttribute.html)cmdlet berikut memodifikasi AMI yang ada hanya untuk. IMDSv2 Tentukan `v2.0` `imds-support` parameter sehingga instance yang diluncurkan dari AMI ini akan memerlukan yang IMDSv2 digunakan saat meminta metadata instance.

```
Edit-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -ImdsSupport 'v2.0'
```

------

### Gunakan kebijakan IAM
<a name="configure-IMDS-new-instances-iam-policy"></a>

Anda dapat membuat kebijakan IAM yang melakukan salah satu hal berikut:
+ Mencegah pengguna meluncurkan instance baru kecuali mereka membutuhkan IMDSv2 instance baru.
+ Mencegah pengguna memanggil ModifyInstanceMetadataOptions API untuk mengubah opsi metadata dari instance yang sedang berjalan. Batasi akses ke properti ModifyInstanceMetadataOptions HttpTokens untuk mencegah pembaruan yang tidak diinginkan dari instance yang sedang berjalan.
+ Cegah pengguna memanggil ModifyInstanceMetadataDefaults API untuk mengubah pengaturan default akun dari HttpTokens dan. httpTokensEnforced Membatasi akses ke dua properti ini akan memastikan bahwa hanya peran resmi yang dapat mengubah default akun.

**Untuk menegakkan penggunaan IMDSv2 pada semua instans baru dengan menggunakan kebijakan IAM**  
Untuk memastikan bahwa pengguna hanya dapat meluncurkan instance yang memerlukan penggunaan IMDSv2 saat meminta metadata instance, lakukan hal berikut:
+ Batasi akses ke keduanya `ModifyInstanceMetadataOptions` dan `ModifyInstanceMetadataDefaults` API, dan lebih khusus lagi `httpTokensEnforced` properti `httpTokens` dan properti.
+ Kemudian, atur default akun ke `httpTokens = required` dan`httpTokensEnforced = enabled`.

  Untuk contoh kebijakan IAM, lihat [Cara menggunakan metadata instans](ExamplePolicies_EC2.md#iam-example-instance-metadata).

## Aktifkan IMDS IPv4 dan titik akhir IPv6
<a name="configure-IMDS-new-instances-ipv4-ipv6-endpoints"></a>

IMDS memiliki dua titik akhir pada sebuah instance: IPv4 (`169.254.169.254`) dan IPv6 (`[fd00:ec2::254]`). Saat Anda mengaktifkan IMDS, IPv4 titik akhir diaktifkan secara otomatis. IPv6 Titik akhir tetap dinonaktifkan bahkan jika Anda meluncurkan instance ke subnet IPv6 -only. Untuk mengaktifkan IPv6 titik akhir, Anda perlu melakukannya secara eksplisit. Saat Anda mengaktifkan titik IPv6 akhir, IPv4 titik akhir tetap diaktifkan.

Anda dapat mengaktifkan IPv6 titik akhir saat peluncuran instance atau setelahnya.

**Persyaratan untuk mengaktifkan titik akhir IPv6**
+ Jenis instance yang dipilih adalah [instance berbasis Nitro](instance-types.md#instance-hypervisor-type).
+ Subnet yang dipilih mendukung IPv6, di mana subnet adalah [tumpukan ganda atau IPv6 hanya](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-ip-address-range).

Gunakan salah satu metode berikut untuk meluncurkan instance dengan IPv6 titik akhir IMDS diaktifkan.

------
#### [ Console ]

**Untuk mengaktifkan IPv6 titik akhir IMDS saat peluncuran instans**
+ [Luncurkan instans](ec2-launch-instance-wizard.md) di konsol Amazon EC2 dengan menentukan hal-hal berikut ini pada **Detail lanjutan**:
  + **Untuk ** IPv6 titik akhir Metadata**, pilih Diaktifkan.**

Untuk informasi selengkapnya, lihat [Detail lanjutan](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Untuk mengaktifkan IPv6 titik akhir IMDS saat peluncuran instans**  
Contoh [run-instance berikut meluncurkan `c6i.large` instance dengan IPv6 titik akhir diaktifkan untuk IMDS](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html). Untuk mengaktifkan IPv6 titik akhir, untuk `--metadata-options` parameter, tentukan`HttpProtocolIpv6=enabled`. Jika Anda menetapkan nilai untuk `HttpProtocolIpv6`, maka Anda juga harus mengatur `HttpEndpoint` ke `enabled`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ...
    --metadata-options "HttpEndpoint=enabled,HttpProtocolIpv6=enabled"
```

------
#### [ PowerShell ]

**Untuk mengaktifkan IPv6 titik akhir IMDS saat peluncuran instans**  
Contoh [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet berikut meluncurkan `c6i.large` instance dengan IPv6 titik akhir diaktifkan untuk IMDS. Untuk mengaktifkan IPv6 titik akhir, tentukan `MetadataOptions_HttpProtocolIpv6` sebagai`enabled`. Jika Anda menetapkan nilai untuk `MetadataOptions_HttpProtocolIpv6`, maka Anda juga harus mengatur `MetadataOptions_HttpEndpoint` ke `enabled`.

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint enabled `
    -MetadataOptions_HttpProtocolIpv6 enabled
```

------

## Nonaktifkan akses untuk metadata instans
<a name="configure-IMDS-new-instances--turn-off-instance-metadata"></a>

Anda dapat menonaktifkan akses ke metadata instans dengan menonaktifkan IMDS saat Anda meluncurkan instans. Anda dapat mengaktifkan akses nanti dengan mengaktifkan kembali IMDS. Untuk informasi selengkapnya, lihat [Aktifkan akses ke metadata instans](configuring-IMDS-existing-instances.md#enable-instance-metadata-on-existing-instances).

**penting**  
Anda dapat memilih untuk menonaktifkan IMDS saat peluncuran atau setelah peluncuran. Jika Anda menonaktifkan IMDS *saat peluncuran*, hal-hal berikut ini mungkin tidak berfungsi:  
Anda mungkin tidak memiliki akses SSH ke instans Anda. `public-keys/0/openssh-key`, yang merupakan kunci SSH publik instans Anda, tidak akan dapat diakses karena kunci biasanya disediakan dan diakses dari metadata instans EC2. 
Data pengguna EC2 tidak akan tersedia dan tidak akan berjalan saat instans dimulai. Data pengguna EC2 di-host di IMDS. Jika Anda menonaktifkan IMDS, Anda secara efektif mematikan akses ke data pengguna.
Untuk mengakses fungsionalitas ini, Anda dapat mengaktifkan kembali IMDS setelah peluncuran.

------
#### [ Console ]

**Untuk menonaktifkan akses ke metadata instans saat peluncuran**
+ [Luncurkan instans](ec2-launch-instance-wizard.md) di konsol Amazon EC2 dengan menentukan hal-hal berikut ini pada **Detail lanjutan**:
  + Untuk **Metadata yang dapat diakses**, pilih **Diaktifkan**.

Untuk informasi selengkapnya, lihat [Detail lanjutan](ec2-instance-launch-parameters.md#liw-advanced-details).

------
#### [ AWS CLI ]

**Untuk menonaktifkan akses ke metadata instans saat peluncuran**  
Luncurkan instans dengan `--metadata-options` diatur ke `HttpEndpoint=disabled`.

```
aws ec2 run-instances \
    --image-id ami-0abcdef1234567890 \
    --instance-type c6i.large \
    ... 
    --metadata-options "HttpEndpoint=disabled"
```

------
#### [ PowerShell ]

**Untuk menonaktifkan akses ke metadata instans saat peluncuran**  
Contoh [New-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)cmdlet berikut meluncurkan instance dengan `MetadataOptions_HttpEndpoint` set ke. `disabled`

```
New-EC2Instance `
    -ImageId ami-0abcdef1234567890 `
    -InstanceType c6i.large `
    -MetadataOptions_HttpEndpoint disabled
```

------
#### [ CloudFormation ]

Untuk menentukan opsi metadata untuk instance yang digunakan CloudFormation, lihat [AWS::EC2::LaunchTemplate MetadataOptions](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-metadataoptions.html)properti di *CloudFormation Panduan Pengguna*. 

------

## Mengizinkan akses ke tanda dalam metadata instans
<a name="configure-IMDS-new-instances-tags-in-instance-metadata"></a>

Secara default, tag instance tidak dapat diakses dalam metadata instance. Untuk setiap contoh, Anda harus secara eksplisit mengizinkan akses. Jika akses diizinkan, *kunci* tag instance harus mematuhi batasan karakter tertentu, jika tidak, peluncuran instance akan gagal. Untuk informasi selengkapnya, lihat [Aktifkan akses ke tag dalam metadata contoh](work-with-tags-in-IMDS.md#allow-access-to-tags-in-IMDS).