Amazon EC2執(zhí)行實(shí)例元數(shù)據(jù)服務(wù)在2024年中后，將默認(rèn)使用IMDSv2

AWS宣布從2024年中旬開(kāi)始，新發(fā)布的Amazon EC2執(zhí)行實(shí)例類(lèi)型，其元數(shù)據(jù)服務(wù)（IMDS）都將預(yù)測(cè)采用IMDSv2。AWS推廣采用IMDSv2的原因在于提升安全性，IMDSv2較IMDSv1提供額外的安全保護(hù)措施，能夠避免有心人濫用漏洞訪問(wèn)IMDS。

用戶可從EC2執(zhí)行實(shí)例的固定IP地址訪問(wèn)IMDS，檢索有關(guān)執(zhí)行實(shí)例大量靜態(tài)和動(dòng)態(tài)數(shù)據(jù)，這些數(shù)據(jù)包含啟動(dòng)執(zhí)行實(shí)例的AMI ID、網(wǎng)絡(luò)配置和角色臨時(shí)IAM憑證等元數(shù)據(jù)。而IMDSv1與IMDSv2的主要差異在于，IMDSv1使用請(qǐng)求/回應(yīng)訪問(wèn)方法，由客戶端向元數(shù)據(jù)服務(wù)發(fā)出請(qǐng)求，并接收回應(yīng)，IMDSv2則采用會(huì)話導(dǎo)向（Session-oriented）的方法，客戶端與服務(wù)器端需要先創(chuàng)建一個(gè)會(huì)話，并使用會(huì)話創(chuàng)建過(guò)程中獲得的令牌，來(lái)請(qǐng)求和接收回應(yīng)。

AWS強(qiáng)調(diào)雖然IMDSv1與IMDSv2同樣安全，但是IMDSv2對(duì)可能被嘗試用于訪問(wèn)IMDS的4種漏洞，提供額外的防護(hù)能力，包括錯(cuò)誤配置的開(kāi)放式網(wǎng)站應(yīng)用程序防火墻（Web Application Firewall，WAF）、反向代理、服務(wù)器端請(qǐng)求偽造，還有第三層防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)譯配置錯(cuò)誤，有效減少未經(jīng)授權(quán)訪問(wèn)EC2元數(shù)據(jù)的風(fēng)險(xiǎn)。

AWS在2019年的時(shí)候推出了IMDSv2，并在2023年3月推出的Amazon Linux 2023默認(rèn)使用IMDSv2，而從現(xiàn)在開(kāi)始，所有控制臺(tái)Quick Start啟動(dòng)將只會(huì)使用IMDSv2，所有Amazon與合作伙伴Quick Start AMI也都已支持這項(xiàng)設(shè)置。

官方預(yù)計(jì)要在2024年2月，添加新的API函數(shù)，讓用戶從賬戶層級(jí)控制IMDSv1的默認(rèn)使用，這不只有助于用戶轉(zhuǎn)用更安全的IMDSv2，同時(shí)當(dāng)AWS于管理控制臺(tái)和其他路徑，將IMDSv2設(shè)為默認(rèn)選項(xiàng)時(shí)，新的API讓用戶能以簡(jiǎn)單地方法，從賬戶層級(jí)停用IMDSv1，進(jìn)而快速轉(zhuǎn)換到IMDSv2。

到了2024年中，新發(fā)布的EC2執(zhí)行實(shí)例類(lèi)型，也將會(huì)默認(rèn)使用IMDSv2，但AWS也提供了一個(gè)靈活的過(guò)渡選項(xiàng)，用戶仍然可以不需要重新啟動(dòng)，就可在執(zhí)行實(shí)例啟動(dòng)時(shí)，或是啟動(dòng)之后選擇打開(kāi)IMDSv1。