Sim, o serviço CloudFormation tem um mecanismo especial de autenticação não documentado para permitir que os scripts cfn- * de qualquer instância na pilha visualizem os metadados da pilha sem usar o IAM. Provavelmente funciona assim:
- cfn-get-metadata e outros scripts cfn- * incluem o conteúdo de link (um documento JSON incluindo instanceId) e link (um valor de 128 bytes codificado em base64) na solicitação do CloudFormation DescribeStackResource.
- O CloudFormation verifica se a solicitação vem da instância do EC2, verificando se a assinatura do documento da instância foi assinada pelo serviço do EC2. Como a assinatura é de 128 bytes, é provável que uma assinatura use uma chave privada RSA de 1024 bits mantida pelo EC2.
- O CloudFormation obtém o instanceId do documento de identidade e chama DescribeTags ou DescribeInstances para obter as tags associadas a ele.
- O CloudFormation compara os valores das tags aws: cloudformação: stack-name e aws: cloudformation: logical-id (que não pode ser modificado pelo usuário) e executa a solicitação DescribeStackResource se eles corresponderem ao StackName e ao LaunchConfig da solicitação.