Mục lục bài viết

Instance Metadata Service

Instance Metadata là dữ liệu liên quan đến instance, được sử dụng để cấu hình hoặc quản lý instance đang chạy. Nó được phân loại theo các danh mục như hostname, events, và security groups.

Nói cách khác, Instance Metadata của Amazon EC2 cho phép lấy các thông tin khác nhau liên quan đến instance từ bên trong instance (trên OS).

Sự khác biệt giữa Instance Metadata Service Version (IMDS) v1 và v2:

– IMDSv1: request/response method

– MDSv2: session-oriented method

Instance Metadata Service Version 1 (IMDSv1)

IMDSv1 có thể lấy dữ liệu bằng cách gửi yêu cầu HTTP từ bên trong EC2. Do đó, có thể phân loại là request/response method.

Instance Metadata Service Version 2 (IMDSv2)

Từ phiên bản 2, bảo mật được tăng cường.

Bước đầu tiên là lấy session token (có thời hạn, giống như mật khẩu) và không thể lấy session token nếu không phải là yêu cầu PUT. Thời hạn của session token là tối đa 6 giờ (từ 1 giây đến 6 giờ).

Sử dụng session token header để lưu giá trị vào biến được gọi là “TOKEN”. Sau đó, sử dụng token để lấy dữ liệu. Sau khi tạo token, bạn có thể tái sử dụng nó cho đến khi hết hạn.

Kiểm tra phiên bản IMDS của instance đang sử dụng

Cài đặt liên quan đến IMDS có thể được kiểm tra từ kết quả của lệnh describe-instances.

aws ec2 describe-instances –instance-id ID instance

Kiểm tra MetadataOptions.

Trong ví dụ trước, kết quả được hiển thị như sau:

“MetadataOptions”: {

“State”: “applied”,

“HttpEndpoint”: “enabled”,

“HttpTokens”: “optional”,

“HttpPutResponseHopLimit”: 1

}

Nếu HttpTokens là optional: Cả IMDSv1 và IMDSv2 đều có thể sử dụng

Nếu HttpTokens là required: Chỉ có thể sử dụng IMDSv2

Ưu điểm của bản cập nhật này

Với bản cập nhật này, bạn có thể cấu hình Amazon Machine Image (AMI) của EC2 để mặc định sử dụng IMDSv2.

Trước đây, khi sử dụng IMDSv2, cần phải cấu hình tùy chọn Metadata của Instance khi khởi động instance hoặc cập nhật instance sau khi khởi động bằng cách sử dụng API ModifyInstanceMetadataOptions. Giờ đây Instance Metadata đã được hỗ trợ mặc định, vì vậy bạn có thể sử dụng tính năng IMDS AMI để cấu hình tất cả các instance mới được khởi động từ AMI. 

Khu vực hỗ trợ

Tính đến thời điểm phát hành vào tháng 10 năm 2022, được hỗ trợ  trên tất cả các khu vực AWS và AWS GovCloud (Mỹ).