La API de metadatos de instancia de AWS EC2 ofrece muchas funciones útiles. Cualquier persona en la instancia EC2 real puede hacer una llamada http://169.254.169.254/y ver metadatos para la instancia desde la que se realizó la llamada. La seguridad de la API es tal que solo comprueba que la llamada se origina en la instancia. Por lo tanto, si estoy permitiendo que alguien ejecute el código en mi instancia, me gustaría saber cómo bloquear mejor el acceso a esa URL en particular mientras conservo el acceso.
Como punto culminante, me sorprendió descubrir que también se puede acceder a la API de metadatos a través de http://instance-data/(que encontré por accidente en alguna parte).
Puedo inspeccionar las URL que llama todo el código que se ejecuta en esta instancia, pero supongo que este no es un buen enfoque dadas las direcciones IPv6 (posiblemente), o algunas codificaciones de URI extrañas que se resolverían en la IP de metadatos (169.254 .169.254), o algunas URL no documentadas (parece) como http://instance-data/.