AWS - Как контролировать доступ к 169.254.169.254

Question

Я пытаюсь выяснить, пытается ли кто-то, кроме меня, получить информацию о метаданных моего экземпляра.

Есть ли способ отслеживания того, кто пытается получить доступ к 169.254.169.254? Облако след? Flow-журналы? Если нет, какой-нибудь обходной путь для этого?

Answer 1

Обратите внимание на Сервис метаданных версии 2 (IMDSv2) для EC2. Это изменяет способ взаимодействия клиентов со службой метаданных, добавляет новые средства защиты и может решить вашу основную проблему.

В противном случае stefansundin / ec2-metadata-filter может представлять интерес. Он позволяет вам фильтровать, какие ключи метаданных доступны, и, вероятно, может быть улучшен для контроля доступа.

Answer 2

Гипервизор отвечает на 169.254.169.254, поэтому он никогда не покидает экземпляр. Это означает, что такие запросы остаются в экземпляре и не будут появляться в любой другой AWS системе.

Вы можете использовать брандмауэр на уровне операционной системы для контроля доступа, но я не знаю, как вы войти такой доступ.