Fundamentos ofensivos para el servicio de IMDSv1

Los metadatos de instancia en Amazon EC2 son un conjunto crucial de información disponible para cada instancia en ejecución que proporciona detalles específicos sobre la misma. Esta información es accesible desde dentro de la instancia y puede ser utilizada para configurar, gestionar y adaptar el comportamiento de la instancia a las necesidades operativas y de seguridad específicas.

Profundización en Metadatos de Instancia

Los metadatos de una instancia EC2 incluyen una amplia gama de información, desde detalles básicos como el nombre de host, direcciones IP, y grupos de seguridad asignados, hasta datos más específicos como las credenciales IAM temporales y la configuración del balanceador de carga. Acceder a estos metadatos es esencial para tareas automáticas y scripts de inicio que requieren contextualizar la configuración o el estado de la instancia sin intervención manual.

Acceso a Metadatos de Instancia

El acceso a los metadatos de instancia se realiza a través de una URL especial dentro de la instancia, típicamente http://169.254.169.254/latest/meta-data/. Esta dirección IP link-local es reservada por AWS y es accesible únicamente desde la instancia, proporcionando un mecanismo seguro para consultar metadatos.

Consulta de Rol IAM Asociado: El primer enlace proporcionado (http://169.254.169.254/latest/meta-data/iam/security-credentials/) lista los roles de IAM asociados con la instancia. Estos roles determinan los permisos que la instancia y las aplicaciones que se ejecutan en ella tienen para interactuar con otros servicios de AWS.
Obtención de Credenciales de Rol IAM: El segundo enlace (http://169.254.169.254/latest/meta-data/iam/security-credentials/rol-spartan) específicamente devuelve las credenciales asociadas a un rol IAM particular asignado a la instancia. Este mecanismo permite a las aplicaciones en la instancia obtener credenciales temporales para autenticarse con otros servicios de AWS sin necesidad de gestionar claves de acceso estáticas.

Seguridad y Metadatos de Instancia

Mientras que los metadatos de instancia ofrecen una herramienta poderosa para la automatización y la gestión, también presentan un vector de ataque potencial si no se manejan adecuadamente. Es fundamental restringir el acceso a la API de metadatos de instancia a solo aquellas aplicaciones y servicios que lo requieran y utilizar las versiones más recientes de la API de metadatos de instancia (IMDSv2) que requieren un token de sesión para acceder, proporcionando una capa adicional de seguridad.

AnteriorNetworking en EC2 Siguiente¿Porque utilizar IMDSv2?

Última actualización hace 8 meses

Profundización en Metadatos de Instancia

Acceso a Metadatos de Instancia

Consulta de Rol IAM Asociado: El primer enlace proporcionado (http://169.254.169.254/latest/meta-data/iam/security-credentials/) lista los roles de IAM asociados con la instancia. Estos roles determinan los permisos que la instancia y las aplicaciones que se ejecutan en ella tienen para interactuar con otros servicios de AWS.

Obtención de Credenciales de Rol IAM: El segundo enlace (http://169.254.169.254/latest/meta-data/iam/security-credentials/rol-spartan) específicamente devuelve las credenciales asociadas a un rol IAM particular asignado a la instancia. Este mecanismo permite a las aplicaciones en la instancia obtener credenciales temporales para autenticarse con otros servicios de AWS sin necesidad de gestionar claves de acceso estáticas.

Seguridad y Metadatos de Instancia