全部产品
Search

搜索本产品

    Elastic Compute Service:Akses metadata instans dalam mode Penguatan Keamanan saja

    文档中心

    Elastic Compute Service:Akses metadata instans dalam mode Penguatan Keamanan saja

    更新时间:Nov 01, 2025

    Saat membuat instans, aktifkan mode Penguatan Keamanan untuk akses metadata.

    Risiko keamanan

    Mengakses metadata instans dalam mode normal menggunakan autentikasi berbasis alamat IP. Penyerang dapat memalsukan alamat IP sumber permintaan untuk melewati otentikasi, yang dapat menyebabkan serangan Server-Side Request Forgery (SSRF) dan membahayakan informasi sensitif di metadata instans. Mode ditingkatkan memerlukan kredensial akses metadata yang valid untuk verifikasi identitas dan otorisasi. Kredensial ini hanya dapat dibuat dan digunakan di dalam instans ECS tertentu serta bersifat terbatas waktu, sehingga mencegah sebagian besar serangan SSRF.

    Praktik terbaik

    Konsol

    Saat membuat instans pada halaman pembelian instans, jangan gunakan Normal Mode and Security Hardening Mode. Pilih Security Hardening Mode. Perhatikan bahwa hanya beberapa versi gambar publik terbaru yang mendukung mode ini.

    Penting

    Setelah Anda menerapkan mode ditingkatkan untuk mengakses metadata instans, pastikan semua kode aplikasi yang mengakses metadata diperbarui untuk menggunakan otentikasi berbasis token.

    API

    Saat membuat instans dengan memanggil operasi API RunInstances atau CreateInstance, atur parameter HttpTokens menjadi required dan parameter HttpEndpoint menjadi diaktifkan. Ini mengaktifkan mode Penguatan Keamanan untuk akses metadata.

    Kemampuan kepatuhan

    Blokir: Cegah pembuatan instans yang tidak dalam mode Penguatan Keamanan

    Gunakan kebijakan RAM di tingkat organisasi atau akun untuk memblokir operasi yang membuat instans tidak dalam mode Penguatan Keamanan.

    • Untuk pengguna perusahaan:

      1. Masuk ke Konsol Direktori Sumber Daya dengan Akun Alibaba Cloud. Di panel navigasi di sebelah kiri, klik Control Policies. Kemudian, buat kebijakan kustom dan tempel konten JSON berikut.

        Kebijakan ini menolak operasi yang mengatur mode selain mode Penguatan Keamanan saat membuat instans atau memodifikasi mode akses metadata instans.
        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:RunInstances",
        "ecs:CreateInstance",
        "ecs:ModifyInstanceMetadataOptions"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ecs:SecurityHardeningMode": ["false"]
        }
      }
    }
  ]
}

      2. Di direktori sumber daya, pilih node yang sesuai dan sambungkan kebijakan tersebut. Kebijakan ini akan memblokir operasi yang ditentukan untuk semua akun di direktori.

    • Untuk pengguna individu:

      1. Masuk ke Konsol Resource Access Management (RAM) dengan Akun Alibaba Cloud. Di panel navigasi di sebelah kiri, klik Policies. Kemudian, buat kebijakan kustom dengan konten yang sama seperti di atas.

      2. Berikan izin menggunakan kebijakan kepada Pengguna RAM, Grup Pengguna RAM, atau Peran RAM.

    Perbaiki: Remediasi instans yang tidak dalam mode Penguatan Keamanan

    Untuk informasi lebih lanjut, lihat Terapkan mode ditingkatkan untuk instans yang ada.