Amazon EC2執(zhí)行實(shí)例元數(shù)據(jù)服務(wù)在2024年中后，將默認(rèn)使用IMDSv2

AWS宣布從2024年中旬開始，新發(fā)布的Amazon EC2執(zhí)行實(shí)例類型，其元數(shù)據(jù)服務(wù)（IMDS）都將預(yù)測采用IMDSv2。AWS推廣采用IMDSv2的原因在于提升安全性，IMDSv2較IMDSv1提供額外的安全保護(hù)措施，能夠避免有心人濫用漏洞訪問IMDS。

用戶可從EC2執(zhí)行實(shí)例的固定IP地址訪問IMDS，檢索有關(guān)執(zhí)行實(shí)例大量靜態(tài)和動態(tài)數(shù)據(jù)，這些數(shù)據(jù)包含啟動執(zhí)行實(shí)例的AMI ID、網(wǎng)絡(luò)配置和角色臨時(shí)IAM憑證等元數(shù)據(jù)。而IMDSv1與IMDSv2的主要差異在于，IMDSv1使用請求/回應(yīng)訪問方法，由客戶端向元數(shù)據(jù)服務(wù)發(fā)出請求，并接收回應(yīng)，IMDSv2則采用會話導(dǎo)向（Session-oriented）的方法，客戶端與服務(wù)器端需要先創(chuàng)建一個(gè)會話，并使用會話創(chuàng)建過程中獲得的令牌，來請求和接收回應(yīng)。

AWS強(qiáng)調(diào)雖然IMDSv1與IMDSv2同樣安全，但是IMDSv2對可能被嘗試用于訪問IMDS的4種漏洞，提供額外的防護(hù)能力，包括錯(cuò)誤配置的開放式網(wǎng)站應(yīng)用程序防火墻（Web Application Firewall，WAF）、反向代理、服務(wù)器端請求偽造，還有第三層防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)譯配置錯(cuò)誤，有效減少未經(jīng)授權(quán)訪問EC2元數(shù)據(jù)的風(fēng)險(xiǎn)。

AWS在2019年的時(shí)候推出了IMDSv2，并在2023年3月推出的Amazon Linux 2023默認(rèn)使用IMDSv2，而從現(xiàn)在開始，所有控制臺Quick Start啟動將只會使用IMDSv2，所有Amazon與合作伙伴Quick Start AMI也都已支持這項(xiàng)設(shè)置。

官方預(yù)計(jì)要在2024年2月，添加新的API函數(shù)，讓用戶從賬戶層級控制IMDSv1的默認(rèn)使用，這不只有助于用戶轉(zhuǎn)用更安全的IMDSv2，同時(shí)當(dāng)AWS于管理控制臺和其他路徑，將IMDSv2設(shè)為默認(rèn)選項(xiàng)時(shí)，新的API讓用戶能以簡單地方法，從賬戶層級停用IMDSv1，進(jìn)而快速轉(zhuǎn)換到IMDSv2。

到了2024年中，新發(fā)布的EC2執(zhí)行實(shí)例類型，也將會默認(rèn)使用IMDSv2，但AWS也提供了一個(gè)靈活的過渡選項(xiàng)，用戶仍然可以不需要重新啟動，就可在執(zhí)行實(shí)例啟動時(shí)，或是啟動之后選擇打開IMDSv1。