1
วิธีการป้องกัน / ไฟร์วอลล์โทรไปยัง AWS EC2 อินสแตนซ์ Metadata API ได้อย่างไร
AWS EC2 อินสแตนซ์ API ข้อมูลเมตาให้มากของการทำงานที่มีประโยชน์ ทุกคนบนอินสแตนซ์ EC2 จริงสามารถโทรออกhttp://169.254.169.254/และดูข้อมูลเมตาสำหรับอินสแตนซ์ที่ทำการโทรออก ความปลอดภัยของ API นั้นจะตรวจสอบว่าการโทรนั้นมาจากอินสแตนซ์เท่านั้น ดังนั้นหากฉันอนุญาตให้บางคนเรียกใช้โค้ดในอินสแตนซ์ของฉันฉันต้องการทราบวิธีบล็อกการเข้าถึง URL นั้นโดยเฉพาะในขณะที่ยังคงเข้าถึงตัวเองได้ดีที่สุด ในฐานะที่เป็นไฮไลต์ฉันรู้สึกประหลาดใจที่พบว่า Metadata API สามารถเข้าถึงได้ผ่านทางhttp://instance-data/(ซึ่งฉันพบโดยบังเอิญที่ใดที่หนึ่ง) ฉันสามารถตรวจสอบ URL ที่ถูกเรียกใช้โดยรหัสทั้งหมดที่ทำงานบนอินสแตนซ์นี้ แต่ฉันคิดว่านี่ไม่ใช่วิธีการที่ดีที่กำหนดที่อยู่ IPv6 (อาจเป็นไปได้) หรือการเข้ารหัส URI แปลก ๆ ที่จะแก้ไขใน Metadata IP (169.254) .169.254) หรือบางที่ไม่มีเอกสาร (ดูเหมือน) URL http://instance-data/ที่ชอบ
14
amazon-ec2
ip
metadata