开始
加载和管理数据
处理数据
政府
参考和资源
2023年1月13日更新
给我们反馈
预览
此功能已在公共预览.
重要的
缺省情况下,无服务器资源自动强制IMDSv2。此设置不适用于无服务器计算资源。
实例元数据服务(IMDS)是在AWS的计算实例上本地运行的服务,用于检索实例元数据。对于安全性至关重要的是,实例元数据还包括与实例关联的角色的凭据。看到实例元数据和用户数据.
为了应对围绕IMDS的安全问题,AWS创建了IMDSv2(版本2),它降低了来自常见攻击模式的风险,并将请求-响应流替换为面向会话的流。有关改进的详细信息,请参见这篇AWS博客文章.
您可以通过启用可用的工作区设置来强制在集群上使用IMDSv2公共预览.Databricks建议您配置您的工作空间以强制执行IMDSv2。
IMDSv2实施不支持使用孤立的AWS胶水目录.要禁用隔离,请参见如何为所有集群迁移和实施IMDSv2.
IMDSv2强制要求使用一个受支持的Databricks Runtime版本,如下所示Databricks运行时发布,但是不支持Light 2.4扩展支持版本。
警告
如果使用IMDSv1获取实例元数据,强制IMDSv2将导致任何现有工作负载失败。
要在新的非无服务器集群上强制执行IMDSv2:
IMDSv2实施不支持使用孤立的AWS胶水目录.若要使用Glue目录,请在集群中添加一个Spark conf行以禁用隔离模式:
spark.databricks.hive.metastore.glueCatalog.isolation.enabled假
升级代码以使用IMDSv2。
升级您的工作负载使用的任何现有AWS cli和sdk。注意,Databricks已经升级了在Databricks运行时中默认安装的SDK。Databricks建议您遵循AWS的标准升级指南确保安全过渡。
修改工作区中的所有笔记本,以删除任何现有的IMDSv1使用,并替换为IMDSv2使用。
以IMDSv1 API客户端代码为例:
curl http://169.254.169.254/latest/meta-data/
例如,将其更改为IMDSv2 API客户端代码:
令牌=`curl -X PUT“http://169.254.169.254/latest/api/token”\- h“X-aws-ec2-metadata-token-ttl-seconds: 21600”`& &\\curl - h“X-aws-ec2-metadata-token:美元的令牌"\- v http://169.254.169.254/latest/meta-data/
有关更多指导和示例,请参阅AWS文章检索实例元数据.
测试修改后的代码,以确保它能在IMDSv2上正常工作。
为工作空间启用IMDSv2强制。
作为工作空间管理员,转到管理控制台.
单击工作空间设置选项卡。
点击对所有集群强制执行AWS实例元数据服务V2.
刷新页面,确保设置生效。
重新启动任何正在运行的集群,以确保所有EC2实例都强制执行IMDSv2。如果集群附加到舰队实例池,则创建一个新的舰队实例池,并使用新的舰队实例池重新创建集群。
监控CloudWatch指标MetadataNoToken以确保您的工作空间没有发出任何活动的IMDSv1调用。
MetadataNoToken