EC2 から使用できる IMDS のバージョンを確認する方法を教えてください

EC2 インスタンスが使用できる IMDS のバージョンは、AWS CLI で確認できます

AWSテクニカルサポートノート

#Amazon EC2

#AWS Security Hub

#AWS

hato

2022.08.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

Security Hub で IMDSv2 の利用に関する内容が検知されました。
EC2 インスタンスに設定されている IMDS のバージョンを確認したいのですが、どこから確認できるのでしょうか。確認方法を教えてください。

AWS Foundational Security Best Practices コントロール - AWS Security Hub

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

このコントロールは、EC2 インスタンスメタデータバージョンが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。

どう対応すればいいの?

AWS CLI のdescribe-instancesを実行してください。

IMDS に関する設定は、describe-instancesの実行結果に含まれるMetadataOptionsから確認ができます。

HttpTokensがoptionalの場合、IMDSv1 と IMDSv2 が使用可能
HttpTokensがrequiredの場合、IMDSv2 が使用可能

なお、describe-instancesの実行結果には、EC2 インスタンスに関わるさまざまな設定が含まるため、IMDS に関する情報だけを確認したい場合は、queryによるフィルタをご活用ください。

$ aws ec2 describe-instances --instance-id 【インスタンス ID】 --query "Reservations[*].Instances[*].MetadataOptions"
[
    [
        {
            "State": "applied",
            "HttpTokens": "optional",
            "HttpPutResponseHopLimit": 1,
            "HttpEndpoint": "enabled",
            "HttpProtocolIpv6": "disabled",
            "InstanceMetadataTags": "disabled"
        }
    ]
]

$ aws ec2 describe-instances --instance-id 【インスタンス ID】 --query "Reservations[*].Instances[*].MetadataOptions"
[
    [
        {
            "State": "applied",
            "HttpTokens": "required",
            "HttpPutResponseHopLimit": 1,
            "HttpEndpoint": "enabled",
            "HttpProtocolIpv6": "disabled",
            "InstanceMetadataTags": "disabled"
        }
    ]
]