A API de metadados da instância do AWS EC2 fornece muitas funcionalidades úteis. Qualquer pessoa na instância do EC2 real pode fazer uma chamada http://169.254.169.254/
e ver os metadados da instância da qual a chamada foi feita. A segurança da API é tal que apenas verifica se a chamada se origina da instância. Portanto, se estou permitindo que alguém execute código na minha instância, gostaria de saber como bloquear melhor o acesso a esse URL específico, mantendo o acesso por mim mesmo.
Como destaque, fiquei surpreso ao descobrir que a API de metadados também pode ser acessada via http://instance-data/
(que encontrei por acaso em algum lugar).
Sou capaz de inspecionar os URLs que estão sendo chamados por todo o código em execução nesta instância, mas presumo que essa não seja uma boa abordagem, dado os endereços IPv6 (possivelmente), ou algumas codificações estranhas de URI que seriam resolvidas no IP de metadados (169.254 .169.254), ou alguns URLs não documentados (ao que parece) como http://instance-data/
.
fonte