AWS EC2 इंस्टेंस मेटाडेटा API के लिए कॉल / फ़ायरवॉल को कैसे रोकें?

एडब्ल्यूएस EC2 उदाहरण मेटाडेटा API उपयोगी कार्यक्षमता का एक बहुत प्रदान करता है। वास्तविक EC2 उदाहरण पर कोई भी कॉल कर सकता है http://169.254.169.254/और कॉल से किए गए उदाहरण के लिए मेटाडेटा देख सकता है। एपीआई की सुरक्षा ऐसी है कि यह केवल यह जांचता है कि कॉल की शुरुआत किस उदाहरण से हुई है। इसलिए, अगर मैं किसी को अपने उदाहरण पर कोड चलाने की अनुमति दे रहा हूं, तो मैं यह जानना चाहूंगा कि खुद को एक्सेस बनाए रखने के दौरान उस विशेष यूआरएल तक पहुंच को कैसे अवरुद्ध किया जाए।

एक आकर्षण के रूप में, मुझे यह जानकर आश्चर्य हुआ कि मेटाडेटा एपीआई के माध्यम से भी पहुँचा जा सकता है http://instance-data/(जो मुझे कहीं दुर्घटना से मिला)।

मैं इस उदाहरण पर चलने वाले सभी कोड द्वारा कहे जा रहे url का निरीक्षण करने में सक्षम हूं, लेकिन मेरा मानना ​​है कि यह IPv6 पतों (संभवतः), या कुछ अजीब यूआरआई एन्कोडिंग को देखते हुए एक अच्छा तरीका नहीं है जो मेटाडाटा आईपी (169.254) में हल होगा .169.254), या कुछ अनिर्दिष्ट (ऐसा लगता है) जैसे URL http://instance-data/।

फ़ायरवॉल इसे बंद।

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

यह नियम मूल उपयोगकर्ता के अलावा किसी भी उपयोगकर्ता को 169.254.169.254 पर कनेक्शन खोलने से रोकता है।