Descubrí cuál era el problema y solo tengo que culparme a mí mismo, pero el problema era bastante sutil.
El problema era con “HttpPutResponseHopLimit” establecido en 1, lo que no permitía llamar a IMDSv2 desde dentro del contenedor.
Al emitir este comando obtuve esta respuesta:
> aws ec2 describe-instances --instance-ids i-00000000000000000 --query “Reservations[0].Instances[0].MetadataOptions”`
{
“State”: “applied”,
“HttpTokens”: “optional”,
“HttpPutResponseHopLimit”: 1,
“HttpEndpoint”: “enabled”,
“HttpProtocolIpv6”: “disabled”,
“InstanceMetadataTags”: “disabled”
}
Ajustando la configuración, la salida correcta es
> aws ec2 describe-instances --instance-ids i-00000000000000000 --query “Reservations[0].Instances[0].MetadataOptions”`
{
“State”: “applied”,
“HttpTokens”: “required”,
“HttpPutResponseHopLimit”: 2,
“HttpEndpoint”: “enabled”,
“HttpProtocolIpv6”: “disabled”,
“InstanceMetadataTags”: “disabled”
}
…y finalmente el misterio está resuelto 
Gracias a todos por su ayuda