在AWS EC2实例元数据API提供了很多有用的功能。实际EC2实例上的任何人都可以拨打电话,http://169.254.169.254/并查看从其发出呼叫的实例的元数据。API的安全性使得它仅检查调用是否源自实例。因此,如果我允许某人在我的实例上运行代码,我想知道如何最好地阻止对该特定URL的访问,同时自己保留访问权限。
作为一个亮点,我很惊讶地发现Metadata API也可以通过http://instance-data/(我在某个地方偶然发现)也可以访问。
我能够检查在此实例上运行的所有代码所调用的url,但我假定给定IPv6地址(可能)或某些可解析为元数据IP的奇怪URI编码,这不是一个好方法(169.254 .169.254),或某些未记录的URL(似乎)http://instance-data/。