Die AWS EC2-Instanz-Metadaten-API bietet viele nützliche Funktionen. Jeder Benutzer der aktuellen EC2-Instanz kann http://169.254.169.254/Metadaten für die Instanz aufrufen und anzeigen, von der aus der Aufruf erfolgte. Die Sicherheit der API ist so, dass nur überprüft wird, ob der Aufruf von der Instanz stammt. Wenn ich also zulasse, dass jemand Code auf meiner Instanz ausführt, möchte ich wissen, wie ich den Zugriff auf diese bestimmte URL am besten blockiere, während ich den Zugriff selbst behalte.
Als Highlight war ich überrascht festzustellen, dass die Metadaten-API auch über http://instance-data/(die ich zufällig irgendwo gefunden habe) aufgerufen werden kann .
Ich kann die URLs überprüfen, die von dem gesamten Code aufgerufen werden, der in dieser Instanz ausgeführt wird, aber ich gehe davon aus, dass dies bei IPv6-Adressen (möglicherweise) oder einigen seltsamen URI-Codierungen, die sich in die Metadaten-IP (169.254) auflösen lassen, kein guter Ansatz ist .169.254) oder einige undokumentierte (es scheint) URLs wie http://instance-data/.