開始
加載和管理數據
處理數據
政府
參考和資源
2023年2月24日更新
給我們反饋
預覽
此功能已在公共預覽.
重要的
缺省情況下,無服務器資源自動強製IMDSv2。此設置不適用於無服務器計算資源。
實例元數據服務(IMDS)是在AWS的計算實例上本地運行的服務,用於檢索實例元數據。對於安全性至關重要的是,實例元數據還包括與實例關聯的角色的憑據。看到實例元數據和用戶數據.
為了應對圍繞IMDS的安全問題,AWS創建了IMDSv2(版本2),它降低了來自常見攻擊模式的風險,並將請求-響應流替換為麵向會話的流。有關改進的詳細信息,請參見這篇AWS博客文章.
您可以通過啟用可用的工作區設置來強製在集群上使用IMDSv2公共預覽.Databricks建議您配置您的工作空間以強製執行IMDSv2。
IMDSv2實施不支持使用孤立的AWS膠水目錄.要禁用隔離,請參見如何為所有集群遷移和實施IMDSv2.
IMDSv2強製要求使用一個受支持的Databricks Runtime版本,如下所示Databricks運行時發布,但是不支持Light 2.4擴展支持版本。
警告
如果使用IMDSv1獲取實例元數據,強製IMDSv2將導致任何現有工作負載失敗。
要在新的非無服務器集群上強製執行IMDSv2:
IMDSv2實施不支持使用孤立的AWS膠水目錄.若要使用Glue目錄,請在集群中添加一個Spark conf行以禁用隔離模式:
spark.databricks.hive.metastore.glueCatalog.isolation.enabled假
升級代碼以使用IMDSv2。
升級您的工作負載使用的任何現有AWS cli和sdk。注意,Databricks已經升級了在Databricks運行時中默認安裝的SDK。Databricks建議您遵循AWS的標準升級指南確保安全過渡。
修改工作區中的所有筆記本,以刪除任何現有的IMDSv1使用,並替換為IMDSv2使用。
以IMDSv1 API客戶端代碼為例:
curl http://169.254.169.254/latest/meta-data/
例如,將其更改為IMDSv2 API客戶端代碼:
令牌=`curl -X PUT“http://169.254.169.254/latest/api/token”\- h“X-aws-ec2-metadata-token-ttl-seconds: 21600”`& &\\curl - h“X-aws-ec2-metadata-token:美元的令牌"\- v http://169.254.169.254/latest/meta-data/
有關更多指導和示例,請參閱AWS文章檢索實例元數據.
測試修改後的代碼,以確保它能在IMDSv2上正常工作。
為工作空間啟用IMDSv2強製。
作為工作空間管理員,轉到管理控製台.
單擊工作空間設置選項卡。
點擊對所有集群強製執行AWS實例元數據服務V2.
刷新頁麵,確保設置生效。
重新啟動任何正在運行的集群,以確保所有EC2實例都強製執行IMDSv2。如果集群附加到艦隊實例池,則創建一個新的艦隊實例池,並使用新的艦隊實例池重新創建集群。
監控CloudWatch指標MetadataNoToken以確保您的工作空間沒有發出任何活動的IMDSv1調用。
MetadataNoToken