Configuração do IMDS nas instâncias do ambiente Elastic Beanstalk - AWS Elastic Beanstalk
Suporte de plataforma ao IMDSEscolher métodos de IMDSConfigurar o IMDS usando o console do Elastic BeanstalkO namespace aws:autoscaling:launchconfiguration

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração do IMDS nas instâncias do ambiente Elastic Beanstalk

Este tópico descreve o Serviço de Metadados de Instância (IMDS).

Metadados de instância são dados relacionados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) que as aplicações podem usar para configurar ou gerenciar a instância em execução. O serviço de metadados da instância (IMDS) é um componente na instância que o código na instância usa para acessar metadados da instância com segurança. Esse código pode ser código da plataforma do Elastic Beanstalk nas instâncias do ambiente, o SDK da AWS que a aplicação pode estar usando ou até mesmo o código da própria aplicação. Para obter mais informações, consulte Metadados da instância e dados do usuário no Manual do usuário do Amazon EC2.

O código pode acessar metadados de instância de uma instância em execução usando um dos dois métodos: serviço de metadados de instância versão 1 (IMDSv1) ou serviço de metadados de instância versão 2 (IMDSv2). O IMDSv2 usa solicitações orientadas para sessão e mitiga vários tipos de vulnerabilidades que podem ser usadas para tentar acessar o IMDS. Para obter informações sobre esses dois métodos, consulte Configuração do serviço de metadados da instância no Guia do Usuário do Amazon EC2.

Suporte de plataforma ao IMDS

As plataformas Elastic Beanstalk em execução no Amazon Linux 2 e Amazon Linux 2023 e no servidor Windows são compatíveis com IMDSv1 e IMDSv2. Para obter mais informações, consulte . Configurar o IMDS usando o console do Elastic Beanstalk

Escolher métodos de IMDS

Ao tomar uma decisão sobre os métodos de IMDS que você deseja que o ambiente suporte, considere os seguintes casos de uso do:

  • SDK da AWS: se sua aplicação usar um SDK da AWS, lembre-se de usar a versão mais recente do SDK. Os AWS SDKs fazem chamadas de IMDS e as versões mais recentes do SDK usam o IMDSv2 sempre que possível. Se você algum dia desabilitar o IMDSv1, ou se sua aplicação usar uma versão antiga do SDK, as chamadas de IMDS podem falhar.

  • Código da sua aplicação: se a aplicação fizer chamadas de IMDS, considere usar o SDK da AWS para poder fazer as chamadas em vez de fazer solicitações HTTP diretas. Assim, não é necessário fazer alterações no código para alternar entre os métodos de IMDS. O AWS SDK usa o IMDSv2 sempre que possível.

  • Código da plataforma do Elastic Beanstalk: nosso código faz chamadas de IMDS por meio da AWS SDK e, portanto, usa o IMDSv2 em todas as versões de plataforma de suporte. Se o código usa um AWS SDK atualizado e faz todas as chamadas de IMDS por meio do SDK, é possível desabilitar o IMDSv1 com segurança.

Configurar o IMDS usando o console do Elastic Beanstalk

É possível modificar a configuração da instância do Amazon EC2 do ambiente do Elastic Beanstalk no console do Elastic Beanstalk.

Importante

A configuração da opção DisableIMDSv1, ou pode fazer com que o Elastic Beanstalk migre um ambiente existente com configurações de lançamento para modelos de lançamento. Para isso, é necessário ter as permissões necessárias para gerenciar modelos de lançamento. Essas permissões estão incluídas em nossa política gerenciada. Se você usar políticas personalizadas em vez de nossas políticas gerenciadas, a criação ou as atualizações do ambiente poderão falhar quando você atualizar a configuração do ambiente. Para obter mais informações e outras considerações, consulte Migrar o ambiente do Elastic Beanstalk para modelos de lançamento .

Como configurar o IMDS em suas instâncias do Amazon EC2 no console do Elastic Beanstalk

  1. Abra o console do Elastic Beanstalk e, na lista Regions (Regiões), selecione a sua Região da AWS.

  2. No painel de navegação, selecione Ambientes e selecione o nome do ambiente na lista.

  3. No painel de navegação, escolha Configuration (Configuração).

  4. Na categoria de configuração Instances (Instâncias), escolha Edit (Editar).

  5. Defina Desabilitar o IMDSv1 para aplicar o IMDSv2. Desmarque Desabilitar o IMDSv1 para habilitar o IMDSv1 e o IMDSv2.

  6. Para salvar as alterações, escolha Apply (Aplicar) na parte inferior da página.

O namespace aws:autoscaling:launchconfiguration

É possível usar uma opção de configuração no namespace aws:autoscaling:launchconfiguration para configurar o IMDS nas instâncias do ambiente.

Importante

A configuração da opção DisableIMDSv1, ou pode fazer com que o Elastic Beanstalk migre um ambiente existente com configurações de lançamento para modelos de lançamento. Para isso, é necessário ter as permissões necessárias para gerenciar modelos de lançamento. Essas permissões estão incluídas em nossa política gerenciada. Se você usar políticas personalizadas em vez de nossas políticas gerenciadas, a criação ou as atualizações do ambiente poderão falhar quando você atualizar a configuração do ambiente. Para obter mais informações e outras considerações, consulte Migrar o ambiente do Elastic Beanstalk para modelos de lançamento .

O exemplo de arquivo de configuração a seguir desabilita o IMDSv1 usando a opção DisableIMDSv1.

option_settings:
  aws:autoscaling:launchconfiguration:
    DisableIMDSv1: true

Defina DisableIMDSv1 como true para desabilitar o IMDSv1 e aplicar o IMDSv2.

Defina DisableIMDSv1 como false para habilitar tanto o IMDSv1 quanto o IMDSv2.