EC2 から使用できる IMDS のバージョンを確認する方法を教えてください

EC2 から使用できる IMDS のバージョンを確認する方法を教えてください

EC2 インスタンスが使用できる IMDS のバージョンは、AWS CLI で確認できます
AWSテクニカルサポートノート

AWSテクニカルサポートノート

#Amazon EC2
#AWS Security Hub
#AWS
hato

hato

facebook logohatena logotwitter logo
Clock Icon2022.08.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

Security Hub で IMDSv2 の利用に関する内容が検知されました。
EC2 インスタンスに設定されている IMDS のバージョンを確認したいのですが、どこから確認できるのでしょうか。確認方法を教えてください。

AWS Foundational Security Best Practices コントロール - AWS Security Hub

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

このコントロールは、EC2 インスタンスメタデータバージョンが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。

どう対応すればいいの?

AWS CLI のdescribe-instancesを実行してください。

IMDS に関する設定は、describe-instancesの実行結果に含まれるMetadataOptionsから確認ができます。

  • HttpTokensoptionalの場合、IMDSv1 と IMDSv2 が使用可能
  • HttpTokensrequiredの場合、IMDSv2 が使用可能

なお、describe-instancesの実行結果には、EC2 インスタンスに関わるさまざまな設定が含まるため、IMDS に関する情報だけを確認したい場合は、queryによるフィルタをご活用ください。

$ aws ec2 describe-instances --instance-id 【インスタンス ID】 --query "Reservations[*].Instances[*].MetadataOptions"
[
    [
        {
            "State": "applied",
            "HttpTokens": "optional",
            "HttpPutResponseHopLimit": 1,
            "HttpEndpoint": "enabled",
            "HttpProtocolIpv6": "disabled",
            "InstanceMetadataTags": "disabled"
        }
    ]
]

$ aws ec2 describe-instances --instance-id 【インスタンス ID】 --query "Reservations[*].Instances[*].MetadataOptions"
[
    [
        {
            "State": "applied",
            "HttpTokens": "required",
            "HttpPutResponseHopLimit": 1,
            "HttpEndpoint": "enabled",
            "HttpProtocolIpv6": "disabled",
            "InstanceMetadataTags": "disabled"
        }
    ]
]

マネジメントコンソールからは確認できないの?

2022年8月時点の挙動として、マネジメントコンソールからは確認ができないようです。

IMDS(インスタンスメタデータ)に関する設定変更も、EC2 インスタンス作成時を除き、マネジメントコンソール(EC2 コンソール)からはできないため、この機会に AWS CLI の利用もご検討ください。

インスタンスメタデータオプションの設定 - Amazon Elastic Compute Cloud

現在、既存のインスタンスでのインスタンスメタデータオプションの変更は、AWS SDK もしくは AWS CLI のみでサポートされます。Amazon EC2 コンソールを使用して、インスタンスメタデータオプションを変更することはできません。

なお、AWS ではマネジメントコンソールから AWS CLI などのコマンドが実行できるブラウザーベースのシェル環境が用意されています。

参考資料

Share this article

facebook logohatena logotwitter logo

関連記事

ENA ドライバーのアップグレード時に再起動は発生するか教えてください

ENA ドライバーのアップグレード時に再起動は発生するか教えてください

User avatar
片方 裕人
2024.11.14
作ったのは誰?EC2 インスタンス作成時に作成者を自動でタグ付与してみた

作ったのは誰?EC2 インスタンス作成時に作成者を自動でタグ付与してみた

User avatar
Shiina
2024.11.13
既存のリソース上にTerraformでリソースを追加してみた

既存のリソース上にTerraformでリソースを追加してみた

User avatar
よなみね
2024.11.13
AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.