728x90
반응형
AWS EC2 Instance Metadata Service(IMDS)란?
AWS EC2 Instance Metadata Service(IMDS)는 EC2 인스턴스에 대한 다양한 정보를 제공하는 서비스입니다.
이를 통해 호스트 이름, 인스턴스 유형, 네트워크 설정 등과 같은 데이터를 얻을 수 있으며,
인스턴스의 설정 및 자동화를 간소화할 수 있습니다.
IMDS 서비스의 기본 정보
- IMDS 서비스 엔드포인트:
EC2 인스턴스 내부에서 다음 URL을 통해 접근할 수 있습니다.http://169.254.169.254/latest/meta-data - 접근 방법:
HTTP 요청을 통해 데이터를 조회하며, CLI 도구(Curl, Wget 등)나 AWS EC2 API를 사용할 수 있습니다.
IMDS에서 제공하는 데이터
IMDS는 EC2 인스턴스와 관련된 다양한 데이터를 키-값 쌍 형태로 제공합니다.
- 인스턴스 정보
- AMI ID: 인스턴스의 Amazon Machine Image ID
- 블록 디바이스 매핑: 디스크 정보
- 인스턴스 ID 및 인스턴스 유형
- 네트워크 정보
- 로컬/공용 호스트 이름 및 IP 주소
- IAM 정보
- InstanceProfileArn 및 임시 자격 증명(Temporary Credentials)
→ IAM 역할에 연결된 임시 액세스 키와 비밀 키를 제공합니다.
- InstanceProfileArn 및 임시 자격 증명(Temporary Credentials)
- 위치 정보
- 리전 및 가용 영역(AZ, Availability Zone)
- 배치 그룹 이름
- 보안 및 태그 정보
- 보안 그룹 이름
- 인스턴스에 연결된 태그
IMDS와 IAM 역할
IMDS는 EC2 인스턴스의 IAM 역할을 통해 AWS API 호출에 필요한 임시 자격 증명을 제공합니다.
임시 자격 증명을 얻는 과정은 다음과 같습니다:
- 애플리케이션이 AWS SDK 또는 CLI를 통해 API 호출을 요청합니다.
- SDK 또는 CLI는 IMDS 서비스 엔드포인트에 HTTP 요청을 보냅니다.
- IMDS는 임시 자격 증명(액세스 키, 비밀 키, 토큰 및 만료 시간)을 반환합니다.
- 반환된 자격 증명을 사용해 AWS API 호출을 수행합니다.
이 방식은 애플리케이션의 인증을 간소화하고, 임시 자격 증명을 통해 보안을 강화합니다.
IMDS 접근 제한 방법
IMDS는 강력한 도구이지만, 보안을 위해 접근을 제한해야 하는 경우가 있습니다.
다음 두 가지 방법을 통해 접근을 제어할 수 있습니다:
- 로컬 방화벽 규칙 설정
- IP Tables(Linux) 또는 PF/ IPFW(FreeBSD)를 사용하여 IMDS 접근을 차단할 수 있습니다.
- 명령어 예시:
iptables -A OUTPUT -d 169.254.169.254 -j REJECT
- HTTP 엔드포인트 비활성화
- EC2 인스턴스 생성 시 HttpEndpoint 설정을 disabled로 변경합니다.
- AWS 콘솔 및 CLI에서 설정 가능합니다.
IMDS 활용 및 관리
IMDS는 AWS EC2 인스턴스와 관련된 정보를 손쉽게 제공하여 자동화 및 설정을 간소화할 수 있는 중요한 도구입니다.
그러나 보안 위협을 예방하기 위해 불필요한 접근은 제한하고, IAM 역할과 정책을 신중히 관리해야 합니다.
728x90
반응형
'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글
| [AWS SCS] S3 - 권한 평가 프로세스 (0) | 2024.12.21 |
|---|---|
| [AWS SCS] EC2 Instance Metadata - IMDSv1 vs IMDSv2 (1) | 2024.12.21 |
| [AWS SCS] IAM 역할의 임시 자격 증명 철회하기 (0) | 2024.12.21 |
| [AWS SCS] STS 외부 ID (0) | 2024.12.21 |
| [AWS SCS] STS Version 1 & Version 2 (0) | 2024.12.21 |