L' API de métadonnées d'instance AWS EC2 fournit de nombreuses fonctionnalités utiles. N'importe qui sur l'instance EC2 réelle peut appeler http://169.254.169.254/et voir les métadonnées de l'instance à partir de laquelle l'appel a été effectué. La sécurité de l'API est telle qu'elle vérifie uniquement que l'appel provient de l'instance. Par conséquent, si j'autorise quelqu'un à exécuter du code sur mon instance, je voudrais savoir comment bloquer au mieux l'accès à cette URL particulière tout en conservant moi-même l'accès.
Comme point culminant, j'ai été surpris de constater que l'API Metadata est également accessible via http://instance-data/(que j'ai trouvé par accident quelque part).
Je suis en mesure d'inspecter les URL appelées par tout le code exécuté sur cette instance, mais je suppose que ce n'est pas une bonne approche étant donné les adresses IPv6 (éventuellement), ou certains codages URI étranges qui se résoudraient en IP de métadonnées (169.254 .169.254), ou certaines URL non documentées (il semble) comme http://instance-data/.