インスタンスメタデータサービスバージョン 2 の使用への移行

最新バージョンの AWS CLI および AWS SDK ではIMDSv2 をサポートしています。IMDSv2 を使用するには、EC2 インスタンスを更新して最新バージョンを使用してください。IMDSv2 をサポートする最低限の AWS SDK バージョンについては「サポートされる AWS SDK を使用する」を参照してください。

すべての Amazon Linux 2 と Amazon Linux 2023 ソフトウェアパッケージが IMDSv2 をサポートしています。Amazon Linux 2023 では、IMDSv1 はデフォルトで無効になっています。

IMDS パケットアナライザーは、インスタンスの起動フェーズおよびランタイムオペレーション時の IMDSv1 呼び出しを特定してログに記録する、オープンソースツールです。これらのログを解析すると、お使いのインスタンスで IMDSv1 呼び出しを行うソフトウェアを正確に特定し、お使いのインスタンスでのみ IMDSv2 をサポートするために更新する必要があるものを特定できます。IMDS パケットアナライザーはコマンドラインから実行することも、サービスとしてインストールすることもできます。詳細についてはGitHub の AWS ImdsPacketAnalyzer のページを参照してください

CloudWatch では、インスタンスのモニタリング用に次の 2 つのメトリクスが用意されています。

MetadataNoToken – IMDSv2 はトークンベースのセッションを使用します。ただし、IMDSv1 はこれを使用しません。MetadataNoToken メトリクスは IMDSv1 を使用しているインスタンスメタデータサービス (IMDS) への呼び出しの数を追跡します。このメトリクスをゼロまでトラッキングすることにより、すべてのソフトウェアが IMDSv2 を使用するようアップグレードされたかどうか、およびいつアップデートが行われたかを測定できます。

MetadataNoTokenRejected – IMDSv1 を無効にした後、MetadataNoTokenRejected メトリクスを使用して、IMDSv1 呼び出しが試行および拒否された回数を追跡できます。このメトリクスを追跡することで、IMDSv2 を使用するようにソフトウェアを更新する必要があるかどうかを確認できます。

詳細については、「インスタンスメトリクス」を参照してください。

新しいインスタンス: RunInstances API を使用して、IMDSv2 の使用を義務付ける新しいインスタンスを起動します。詳細については、「新規インスタンスのインスタンスメタデータオプションの設定」を参照してください。

既存のインスタンス: ModifyInstanceMetadataOptions API を使用して、既存のインスタンスで IMDSv2 の使用を要求します。詳細については、「既存インスタンスのインスタンスメタデータオプションの変更」を参照してください。

Amazon EC2 Auto Scaling グループによって起動された新しいインスタンス: Amazon EC2 Auto Scalingによって起動されたすべての新しいインスタンスで IMDSv2 の使用を義務付けるために、Amazon EC2 Auto Scaling グループは起動テンプレートまたは起動設定を使用できます。起動テンプレートの作成時や起動設定の作成時に、IMDSv2 の使用が必須となるように MetadataOptions パラメータを設定する必要があります。Amazon EC2 Auto Scaling グループは新しい起動テンプレートまたは起動設定を使用して新しいインスタンスを起動しますが、既存のインスタンスは影響を受けません。

Amazon EC2 Auto Scaling グループ内の既存のインスタンス: ModifyInstanceMetadataOptions API を使用して、既存のインスタンスで IMDSv2 の使用を要求するかインスタンスを終了すると、Amazon EC2 Auto Scaling グループは新しい起動テンプレートまたは起動設定で定義されているインスタンスメタデータオプション設定で、新しい置き換えインスタンスを起動します。

ImdsSupport パラメータを v2.0 に設定して構成された AMI は、デフォルトで IMDSv2 を必要とするインスタンスを起動します。Amazon Linux 2023 は ImdsSupport = v2.0 を使用して設定されます。

新しい AMI: 新しい AMI を作成するときは、register-image CLI コマンドを使用して ImdsSupport パラメータを v2.0 に設定してください。

既存の AMI: 既存の AMI を変更するときは、modify-image-attribute CLI コマンドを使用して ImdsSupport パラメータを v2.0 に設定してください。

詳細については、「AMI を設定する」を参照してください。

以下に示すように、ユーザーの管理にはIAM ポリシーを使用することも、AWS Organizations サービスコントロールポリシー (SCP) を使用することもできます。

IAM ポリシーまたは SCP には次の IAM 条件キーを含める必要があります。

API および CLI 呼び出し時のパラメータが、条件キーが含まれているポリシーで指定した状態と一致しない場合、これらの API または CLI の呼び出しは失敗し UnauthorizedOperation レスポンスが返されます。

さらに、追加の保護レイヤーを選択して、IMDSv1からIMDSv2の変更を強制することもできます。EC2 ロールの認証情報経由で呼び出された各 API に関するアクセス管理レイヤーでは、IAM ポリシーまたは AWS Organizations サービスコントロールポリシー (SCP) で条件キーを使用できます。具体的にはIAM ポリシーで値 2.0 を設定した条件キー ec2:RoleDelivery を使用していると、IMDSv1 から取得した EC2 ロールの認証情報を使用した API コールに対して、UnauthorizedOperation レスポンスが返されます。同じことはSCP によって義務付けられる条件を使ってより広く達成できます。これにより、指定した条件と一致しない API コールに対しては UnauthorizedOperation エラーが返されるため、実際に IMDSv1 から取得した認証情報を使用して API を呼び出すことはできなくなります。

IAM ポリシーの例はインスタンスメタデータの使用を参照してください。SCP の詳細については「AWS Organizations ユーザーガイド 」の「サービスコントロールポリシー (SCPs)」を参照してください。

宣言型ポリシー (AWS Organizations の機能) を使用して、IMDSv2 を組織全体のデフォルトの IMDS バージョンとして一元的に設定して適用します。ポリシーの例については、「AWS Organizations ユーザーガイド」で「サポートされている宣言型ポリシー」セクションの「インスタンスメタデータのデフォルト」タブを参照してください。