Amazon EC2 IMDS

• 개요

Amazon EC2에서 instance metadata를 통해 instance의 각종 정보를 받아올 수 있다. 
기존에 IMDSv1은 인증이 없었지만, IMDSv2에서는 token 기반 인증으로 변경되었다. 
Amazon linux 2023 부터는 IMDSv2가 기본으로 적용되며, 
다른 AMI에서도 IMDSv1 disable을 통해 IMDSv2를 사용 가능하다.

• 타임라인

2019년 11월 — IMDSv2를 출시하고 이 서비스를 사용하여 심층 방어를 추가하는 방법을 제시했습니다.
2020년 2월 — AWS Marketplace 판매자와 AWS 파트너가 새로 게시한 모든 제품이 IMDSv2를 지원하는지 확인하기 시작했습니다.
2023년 3월 — 모든 시작에 기본적으로 IMDSv2를 사용하는 Amazon Linux 2023을 출시했습니다.
2023년 9월 — IMDSv2의 이점을 최대한 활용하고 AWS 인프라 전체에서 IMDSv1을 비활성화하는 방법을 보여주는 블로그 게시물을 게시했습니다.
2023년 11월 — 오늘부터 모든 콘솔 퀵 스타트 시작에서 IMDSv2 전용 버전을 사용할 예정입니다

• 사용 방법

# Generate a Token 

TOKEN=curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600" 

# Use the token to generate top-level metadata items 

curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/

• 참고

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-v2-how-it-works.html
https://aws.amazon.com/ko/blogs/korea/amazon-ec2-instance-metadata-service-imdsv2-by-default/
https://aws.amazon.com/ko/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/