開始
加載和管理數據
處理數據
政府
引用和資源
2023年7月5日更新
給我們反饋
重要的
因為serverless計算資源自動執行IMDSv2,此設置不適用於serverless計算資源。
實例元數據服務(imd)是一個服務在AWS上本地運行的計算實例,用於檢索實例元數據。至關重要的是安全,實例元數據還包括憑證與實例相關聯的角色。看到實例元數據和用戶數據。
為了應對安全問題在imd, AWS創建IMDSv2(版本2)降低風險從一個常見的攻擊模式和替換一個麵向會話的請求-響應流流。改進的細節,請參閱AWS的博客的這篇文章。
作為一個工作區管理,您可以執行使用IMDSv2集群通過啟用對所有集群執行AWS實例元數據服務V2在工作空間設置選項卡的管理設置頁麵。磚執行IMDSv2建議您配置您的工作區。2022年10月1日如果你的工作區創建後,您的工作區管理設置默認啟用。
IMDSv2執法不支持一個孤立的使用AWS膠目錄。禁用隔離,明白了如何遷移和執行IMDSv2集群。
IMDSv2執法需要使用支持磚運行時版本的上市磚的運行時版本然而,光2.4擴展支持的版本是不支持的。
警告
執行IMDSv2導致任何現有的工作負載失敗如果他們使用IMDSv1獲取實例元數據。
執行IMDSv2新non-serverless集群:
IMDSv2執法不支持一個孤立的使用AWS膠目錄。使用膠水目錄,添加一個火花之行集群禁用隔離模式:
spark.databricks.hive.metastore.glueCatalog.isolation。啟用了錯誤
升級你的代碼使用IMDSv2。
任何現有的AWS綜合領先指標和sdk升級您的工作負載使用。注意,磚已經升級的SDK磚安裝在默認情況下的運行時。磚建議你遵循AWS升級指南以確保一個安全的過渡。
修改所有筆記本在工作區中刪除任何現有IMDSv1用法和使用IMDSv2替換使用。
例如,下麵是IMDSv1 API客戶端代碼:
curl http://169.254.169.254/latest/meta-data/
對於這個例子,改變它IMDSv2 API客戶端代碼:
令牌=”curl - x將“http://169.254.169.254/latest/api/token”\- h“X-aws-ec2-metadata-token-ttl-seconds: 21600””& &\\curl - h“X-aws-ec2-metadata-token:美元的令牌”\- v http://169.254.169.254/latest/meta-data/
更多的指導和示例,請參閱AWS的文章檢索實例元數據。
測試修改後的代碼,以確保它與IMDSv2工作正常。
使執法IMDSv2的工作區。
工作區管理,去管理員設置頁麵。
單擊工作空間設置選項卡。
點擊對所有集群執行AWS實例元數據服務V2。
刷新頁麵,以確保設置生效。
重啟任何正在運行的集群,以確保所有EC2實例IMDSv2執行。如果集群是附加到一個艦隊實例池,創建一個新的艦隊實例池並重新創建集群使用新的艦隊實例池。
監控監測指標MetadataNoToken確保您的工作區不做任何活動IMDSv1調用。
MetadataNoToken