インスタンスメタデータサービス (IMDS) v2

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスメタデータサービス (IMDS) は、お客様がセキュアでスケーラブルなアプリケーションを構築するのを支援します。IMDS は頻繁に更新される一時的な認証情報へのアクセスを提供し、機密性の高い認証情報をインスタンスに手動またはプログラムでハードコードしたり配布したりする必要をなくすことで、クラウドユーザーのセキュリティ課題を解決します。インスタンスメタデータサービス バージョン 1 (IMDSv1) がリクエスト/レスポンスメソッドである一方、インスタンスメタデータサービス バージョン 2 (IMDSv2) は、セッション指向リクエストを使用します。IMDSv2 は、これらの認証情報がインスタンス外部から不正に窃取されるのを防ぐ保護機能を強化しています。

推奨事項

  1. AWS は IMDSv2 のみをデフォルトにしていますが、2024 年半以前のインスタンスでは IMDSv1 が使用できる可能性があります (ブログ記事 )。アカウント内の新しい Amazon EC2 インスタンス がデフォルトで IMDSv2 のみが使用されている設定かを確認してください。古いインスタンスは IMDSv1 も利用可能の可能性があります。
  2. AWS Security Hub の「[EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります」 、または AWS Config ルールの「ec2-imdsv2-check」 を使用して、IMDSv2 のみを使用していることを確認してください。
  3. IMDSv1 を使用しているインスタンスで IMDSv2 のみの設定にしてください。

主なリスクと軽減

  • [認証情報の取得 (Credential Access)] - IMDSv1 を使用しているインスタンスで SSRF の脆弱性があるアプリケーションが実行されていると、インスタンスの認証情報を窃取してインスタンス外部で悪用されるリスクがあります。

評価のガイダンス

  • IMDSv2 を使用していますか?
  • 新しく起動される全ての EC2 インスタンスで IMDSv2 がデフォルトとして設定されていることを確認しましたか?
  • AWS Security Hub または AWS Config ルールを使用して、IMDSv2 を使用していることを確認していますか?

参考情報

詳細は以下のブログやドキュメントをご覧ください

料金

  • IMDSv2 の利用に追加コストはかかりません