Смена настроек по умолчанию для получения токена из сервиса метаданных

В целях безопасности для вновь создаваемых виртуальных машин 6 февраля мы сменим значение по умолчанию для получения токена через API метаданных в формате Amazon EC2. Теперь для получения токена из сервиса метаданных необходимо использовать формат Google Compute Engine.

В Yandex Cloud есть сервис метаданных, который позволяет, например, получать информацию о виртуальной машине. Вы можете передавать любые ключи и значения в метаданных, а затем запрашивать их изнутри виртуальной машины или снаружи. Метаданные для удобства совместимости доступны в следующих форматах:

• Google Compute Engine (поддерживаются не все поля);
• Amazon EC2 (поддерживаются не все поля).

При использовании формата метаданных Amazon EC2 применяется механизм, совместимый с AWS Instance Metadata Service Version 1 (IMDSv1), который имеет ряд недостатков. Возникает угроза безопасности, например повышается риск атак SSRF (подробности в официальном блоге AWS). На данный момент наиболее безопасным методом получения токена в Yandex Cloud является использование формата Google Compute Engine, так как он задействует дополнительный заголовок для защиты от SSRF.

Для клиентов, которые получали токен в формате AWS v1, мы оставим старое поведение по умолчанию. Также для удобства пользователей был добавлен новый параметр инстанса MetadataOptions, через который можно задать желаемое поведение и вернуть токен в протоколе AWS v1. В документацию →

Для полной совместимости с AWS мы планируем в будущем поддержать AWS IMDSv2 (более безопасный формат от AWS). Если у вас возникли вопросы или вы столкнулись с проблемами, обращайтесь в техническую поддержку.