API AWS EC2 экземпляра метаданных предоставляет много полезных функций. Любой на фактическом экземпляре EC2 может сделать вызов http://169.254.169.254/
и увидеть метаданные для экземпляра, с которого был сделан вызов. Безопасность API такова, что он только проверяет, что вызов происходит из экземпляра. Поэтому, если я позволяю кому-то запускать код на моем экземпляре, я хотел бы знать, как наилучшим образом заблокировать доступ к этому конкретному URL, сохраняя доступ сам.
В качестве основного момента я был удивлен, обнаружив, что к API метаданных также можно получить доступ через http://instance-data/
(который я где-то случайно обнаружил).
Я могу проверить URL-адреса, вызываемые всем кодом, работающим на этом экземпляре, но я предполагаю, что это не очень хороший подход, учитывая адреса IPv6 (возможно) или некоторые странные кодировки URI, которые могли бы преобразоваться в IP метаданных (169.254 .169.254), или некоторые недокументированные (кажется) URL-адреса, как http://instance-data/
.
источник