L' API dei metadati dell'istanza AWS EC2 offre molte funzionalità utili. Chiunque sull'istanza EC2 effettiva può effettuare una chiamata http://169.254.169.254/e visualizzare i metadati per l'istanza da cui è stata effettuata la chiamata. La sicurezza dell'API è tale che controlla solo che la chiamata provenga dall'istanza. Pertanto, se consento a qualcuno di eseguire codice sulla mia istanza, vorrei sapere come bloccare al meglio l'accesso a quell'URL particolare mantenendo l'accesso me stesso.
Come punto culminante, sono stato sorpreso di scoprire che è anche possibile accedere all'API Metadata tramite http://instance-data/(che ho trovato per caso da qualche parte).
Sono in grado di ispezionare gli URL chiamati da tutto il codice in esecuzione su questa istanza, ma suppongo che questo non sia un buon approccio dati gli indirizzi IPv6 (possibilmente), o alcune strane codifiche URI che si risolverebbero nell'IP dei metadati (169.254 .169.254), o alcuni URL non documentati (a quanto pare) come http://instance-data/.