Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für SageMaker
Diese AWS Security Hub Kontrollen bewerten den SageMaker Service und die Ressourcen von Amazon.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Hoch
Ressourcentyp: AWS::SageMaker::NotebookInstance
AWS Config Regel: sagemaker-notebook-no-direct-internet-access
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der direkte Internetzugang für eine SageMaker Notebook-Instanz deaktiviert ist. Die Steuerung schlägt fehl, wenn das DirectInternetAccess
Feld für die Notebook-Instanz aktiviert ist.
Wenn Sie Ihre SageMaker Instanz ohne a konfigurierenVPC, ist der direkte Internetzugriff auf Ihrer Instanz standardmäßig aktiviert. Sie sollten Ihre Instance mit einem konfigurieren VPC und die Standardeinstellung auf Deaktivieren — Zugriff auf das Internet über a ändern. VPC Um Modelle von einem Notebook aus zu trainieren oder zu hosten, benötigen Sie Internetzugang. Um den Internetzugang zu aktivieren, VPC benötigen Sie entweder einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT Gateway und eine Sicherheitsgruppe, die ausgehende Verbindungen zulässt. Weitere Informationen darüber, wie Sie eine Notebook-Instance Connect Ressourcen in einem verbindenVPC, finden Sie unter Verbinden einer Notebook-Instance mit Ressourcen VPC in a im Amazon SageMaker Developer Guide. Sie sollten auch sicherstellen, dass der Zugriff auf Ihre SageMaker Konfiguration nur auf autorisierte Benutzer beschränkt ist. Beschränken IAM Sie die Berechtigungen, die es Benutzern ermöglichen, SageMaker Einstellungen und Ressourcen zu ändern.
Abhilfe
Sie können die Internetzugriffseinstellungen nicht ändern, nachdem Sie eine Notebook-Instanz erstellt haben. Stattdessen können Sie die Instanz mit blockiertem Internetzugang beenden, löschen und neu erstellen. Informationen zum Löschen einer Notebook-Instance, die direkten Internetzugang ermöglicht, finden Sie unter Verwenden von Notebook-Instances zum Erstellen von Modellen: Aufräumen im Amazon SageMaker Developer Guide. Informationen zum Neuerstellen einer Notebook-Instance, die den Internetzugang verweigert, finden Sie unter Notebook-Instance erstellen. Wählen Sie für Netzwerk, Direkter Internetzugang die Option Deaktivieren — Zugriff auf das Internet über a. VPC
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC
Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen im Inneren VPC
Schweregrad: Hoch
Art der Ressource: AWS::SageMaker::NotebookInstance
AWS Config Regel: sagemaker-notebook-instance-inside-vpc
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine SageMaker Amazon-Notebook-Instance in einer benutzerdefinierten virtuellen privaten Cloud (VPC) gestartet wird. Diese Steuerung schlägt fehl, wenn eine SageMaker Notebook-Instance nicht innerhalb einer benutzerdefinierten Instanz VPC oder im SageMaker Service gestartet wirdVPC.
Subnetze sind ein Bereich von IP-Adressen innerhalb einesVPC. Wir empfehlen, Ihre Ressourcen VPC wann immer möglich innerhalb eines benutzerdefinierten Bereichs zu speichern, um einen sicheren Netzwerkschutz Ihrer Infrastruktur zu gewährleisten. Ein Amazon VPC ist ein virtuelles Netzwerk, das Ihrem gewidmet ist AWS-Konto. Mit einem Amazon VPC können Sie den Netzwerkzugriff und die Internetverbindung Ihrer SageMaker Studio- und Notebook-Instances steuern.
Abhilfe
Sie können die VPC Einstellung nicht ändern, nachdem Sie eine Notebook-Instance erstellt haben. Stattdessen können Sie die Instanz beenden, löschen und neu erstellen. Anweisungen finden Sie unter Verwenden von Notebook-Instances zum Erstellen von Modellen: Aufräumen im Amazon SageMaker Developer Guide.
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Kategorie: Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer
Schweregrad: Hoch
Art der Ressource: AWS::SageMaker::NotebookInstance
AWS Config Regel: sagemaker-notebook-instance-root-access-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob der Root-Zugriff für eine SageMaker Amazon-Notebook-Instance aktiviert ist. Die Steuerung schlägt fehl, wenn der Root-Zugriff für eine SageMaker Notebook-Instance aktiviert ist.
Unter Einhaltung des Prinzips der geringsten Rechte wird empfohlen, den Root-Zugriff auf Instanzressourcen zu beschränken, um eine unbeabsichtigte Überschreitung der Bereitstellungsberechtigungen zu vermeiden.
Abhilfe
Informationen zum Einschränken des Root-Zugriffs auf SageMaker Notebook-Instances finden Sie unter Steuern des Root-Zugriffs auf eine SageMaker Notebook-Instance im Amazon SageMaker Developer Guide.
[SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, 3 NIST.800-53.r5 SA-1
Kategorie: Wiederherstellung > Resilienz > Hochverfügbarkeit
Schweregrad: Mittel
Art der Ressource: AWS::SageMaker::EndpointConfig
AWS Config Regel: sagemaker-endpoint-config-prod-instance-count
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob Produktionsvarianten eines SageMaker Amazon-Endpunkts eine anfängliche Instanzzahl von mehr als 1 aufweisen. Die Kontrolle schlägt fehl, wenn die Produktionsvarianten des Endpunkts nur eine erste Instanz haben.
Produktionsvarianten, die mit einer Instance-Anzahl von mehr als 1 ausgeführt werden, ermöglichen eine Multi-AZ-Instance-Redundanz, die von verwaltet wird. SageMaker Die Bereitstellung von Ressourcen in mehreren Availability Zones ist ein AWS bewährte Methode zur Bereitstellung von Hochverfügbarkeit innerhalb Ihrer Architektur. Hochverfügbarkeit hilft Ihnen, sich nach Sicherheitsvorfällen zu erholen.
Anmerkung
Diese Steuerung gilt nur für die instanzbasierte Endpunktkonfiguration.
Abhilfe
Weitere Informationen zu den Parametern der Endpunktkonfiguration finden Sie unter Erstellen einer Endpunktkonfiguration im Amazon SageMaker Developer Guide.