AWS EC2 Örnek Meta Veri API'sına yapılan çağrılar nasıl önlenir / güvenlik duvarı yapılır?

AWS EC2 Örnek Meta Veri API faydalı işlevselliği bir sürü sağlar. Gerçek EC2 örneğindeki herkes http://169.254.169.254/, aramanın yapıldığı örnek için bir arama yapabilir ve meta verilerini görebilir. API'nin güvenliği, yalnızca çağrının örnekten geldiğini kontrol edecek şekildedir. Bu nedenle, birisinin örneğimde kod çalıştırmasına izin veriyorsam, erişimi kendim korurken belirli bir url'ye erişimi en iyi nasıl engelleyeceğinizi bilmek istiyorum.

Vurgulamak gerekirse, Metadata API http://instance-data/( aynı zamanda bir yerde kazara buldum) üzerinden de erişilebilir olduğunu bulmak için sürpriz oldu .

Bu örnekte çalışan kodun tümü tarafından çağrılan URL'leri inceleyebiliyorum, ancak IPv6 adresleri (muhtemelen) veya Meta Veri IP'sine (169.254) çözülecek bazı garip URI kodlamaları göz önüne alındığında bunun iyi bir yaklaşım olmadığını varsayalım. .169.254) veya beğenilmeyen bazı belgelenmemiş (görünüyor) http://instance-data/.

amazon-ec2 ip metadata

— Tristan
kaynak

Güvenlik duvarı kapalı.

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

Bu kural, kök kullanıcı dışındaki herhangi bir kullanıcının 169.254.169.254'e bağlantı açmasını yasaklar.

— Michael Hampton
kaynak

Bu, bu hizmetin "normal" kullanımını engellemez. Genellikle servis / obo tarafından neredeyse hiç kök olmayan EC2 kullanıcısı tarafından çağrılır.

— Sam-T

@ Sam-T Erişmek için ec2 kullanıcısına ihtiyacınız varsa, buna izin vermek için kesinlikle bir kural yazabilirsiniz.

— Michael Hampton

Güvenlik duvarı düzeyinde - sadece köke izin vermesini önlerseniz, EC2 kullanıcısı için nasıl etkinleştireceğinizden emin değilim (sadece bilmiyorum). EC2 kullanıcısıyla - yani, örneği kim başlattıysa, benim anlayışım, meta verilere örnekte bu (ve diğer herhangi bir) EC2 kullanıcısı tarafından erişildiğidir. Örnek verebilir misiniz

— Sam-T