Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM-Steuerungen für KI SageMaker
Diese AWS Security Hub CSPM Kontrollen bewerten den Amazon SageMaker AI-Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::SageMaker::NotebookInstance`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Art des Zeitplans:** Periodisch
**Parameter:** Keine
Dieses Steuerelement prüft, ob der direkte Internetzugang für eine SageMaker KI-Notebook-Instanz deaktiviert ist. Die Steuerung schlägt fehl, wenn das `DirectInternetAccess` Feld für die Notebook-Instanz aktiviert ist.
Wenn Sie Ihre SageMaker AI-Instance ohne VPC konfigurieren, ist der direkte Internetzugang auf Ihrer Instance standardmäßig aktiviert. Sie sollten Ihre Instance mit einer VPC konfigurieren und die Standardeinstellung auf **Deaktivieren — Zugriff auf das Internet** über eine VPC ändern. Um Modelle von einem Notebook aus zu trainieren oder zu hosten, benötigen Sie Internetzugang. Um den Internetzugang zu aktivieren, muss Ihre VPC entweder über einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT-Gateway und eine Sicherheitsgruppe verfügen, die ausgehende Verbindungen zulässt. Weitere Informationen darüber, wie Sie eine Notebook-Instance Connect Ressourcen in einer VPC verbinden, finden Sie unter [Verbinden einer Notebook-Instance mit Ressourcen in einer VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) im *Amazon SageMaker AI Developer Guide*. Sie sollten auch sicherstellen, dass der Zugriff auf Ihre SageMaker KI-Konfiguration nur auf autorisierte Benutzer beschränkt ist. Schränken Sie IAM-Berechtigungen ein, die es Benutzern ermöglichen, SageMaker KI-Einstellungen und -Ressourcen zu ändern.
### Abhilfe
Sie können die Internetzugriffseinstellungen nicht ändern, nachdem Sie eine Notebook-Instanz erstellt haben. Stattdessen können Sie die Instanz mit blockiertem Internetzugang beenden, löschen und neu erstellen. Informationen zum Löschen einer Notebook-Instance, die direkten Internetzugang ermöglicht, finden Sie unter [Verwenden von Notebook-Instances zum Erstellen von Modellen: Aufräumen](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) im *Amazon SageMaker AI Developer Guide*. Informationen zum Neuerstellen einer Notebook-Instance, die den Internetzugang verweigert, finden Sie unter [Notebook-Instance erstellen](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Wählen Sie für **Netzwerk, Direkter Internetzugang** die Option **Deaktivieren — Zugriff auf das Internet über** eine VPC.
## [SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::SageMaker::NotebookInstance`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Steuerung prüft, ob eine Amazon SageMaker AI-Notebook-Instance in einer benutzerdefinierten Virtual Private Cloud (VPC) gestartet wird. Diese Steuerung schlägt fehl, wenn eine SageMaker KI-Notebook-Instance nicht in einer benutzerdefinierten VPC oder in der SageMaker AI-Service-VPC gestartet wird.
Subnetze sind ein Bereich von IP-Adressen innerhalb einer VPC. Wir empfehlen, Ihre Ressourcen wann immer möglich in einer benutzerdefinierten VPC aufzubewahren, um einen sicheren Netzwerkschutz Ihrer Infrastruktur zu gewährleisten. Eine Amazon VPC ist ein virtuelles Netzwerk, das Ihrem AWS-Konto gewidmet ist. Mit einer Amazon VPC können Sie den Netzwerkzugriff und die Internetverbindung Ihrer SageMaker AI Studio- und Notebook-Instances steuern.
### Abhilfe
Sie können die VPC-Einstellung nicht ändern, nachdem Sie eine Notebook-Instanz erstellt haben. Stattdessen können Sie die Instanz beenden, löschen und neu erstellen. Anweisungen finden Sie unter [Verwenden von Notebook-Instances zum Erstellen von Modellen: Aufräumen](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Kategorie:** Schützen > Sichere Zugriffsverwaltung > Zugriffsbeschränkungen für Root-Benutzer
**Schweregrad:** Hoch
**Art der Ressource:** `AWS::SageMaker::NotebookInstance`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob der Root-Zugriff für eine Amazon SageMaker AI-Notebook-Instance aktiviert ist. Die Steuerung schlägt fehl, wenn der Root-Zugriff für eine SageMaker AI-Notebook-Instance aktiviert ist.
Unter Einhaltung des Prinzips der geringsten Rechte wird empfohlen, den Root-Zugriff auf Instanzressourcen zu beschränken, um eine unbeabsichtigte Überzuweisung von Zugriffsberechtigungen zu vermeiden.
### Abhilfe
Informationen zum Einschränken des Root-Zugriffs auf SageMaker KI-Notebook-Instances finden Sie unter [Steuern des Root-Zugriffs auf eine SageMaker KI-Notebook-Instance](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] Bei Produktionsvarianten für SageMaker Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, 3 NIST.800-53.r5 SA-1
**Kategorie:** Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::EndpointConfig`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Art des Zeitplans:** Periodisch
**Parameter:** Keine
Diese Kontrolle prüft, ob Produktionsvarianten eines Amazon SageMaker AI-Endpunkts eine anfängliche Instanzzahl von mehr als 1 aufweisen. Die Kontrolle schlägt fehl, wenn die Produktionsvarianten des Endpunkts nur eine erste Instanz haben.
Produktionsvarianten, die mit einer Instanzzahl von mehr als 1 ausgeführt werden, ermöglichen Multi-AZ-Instance-Redundanz, die von KI verwaltet wirdSageMaker . Die Bereitstellung von Ressourcen in mehreren Availability Zones ist eine AWS bewährte Methode, um eine hohe Verfügbarkeit innerhalb Ihrer Architektur zu gewährleisten. Hochverfügbarkeit hilft Ihnen, sich nach Sicherheitsvorfällen zu erholen.
**Anmerkung**
Diese Steuerung gilt nur für die instanzbasierte Endpunktkonfiguration.
### Abhilfe
Weitere Informationen zu den Parametern der Endpunktkonfiguration finden Sie unter [Erstellen einer Endpunktkonfiguration](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::Model`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Steuerung prüft, ob bei einem von Amazon SageMaker AI gehosteten Modell die Netzwerkisolierung aktiviert ist. Die Steuerung schlägt fehl, wenn der `EnableNetworkIsolation` Parameter für das gehostete Modell auf gesetzt ist`False`.
SageMaker KI-Training und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Wenn Sie nicht möchten, dass SageMaker KI externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer gewährt, können Sie die Netzwerkisolierung aktivieren. Wenn Sie die Netzwerkisolierung aktivieren, können keine eingehenden oder ausgehenden Netzwerkanrufe an oder von dem Modellcontainer getätigt werden, auch keine Aufrufe an oder von anderen. AWS-Services Darüber hinaus werden der Container-Laufzeitumgebung keine AWS Anmeldeinformationen zur Verfügung gestellt. Durch die Aktivierung der Netzwerkisolierung wird ein unbeabsichtigter Zugriff auf Ihre SageMaker KI-Ressourcen aus dem Internet verhindert.
**Anmerkung**
Am 13. August 2025 änderte Security Hub CSPM den Titel und die Beschreibung dieses Steuerelements. Der neue Titel und die neue Beschreibung geben genauer wieder, dass das Steuerelement die Einstellung für den `EnableNetworkIsolation` Parameter der von Amazon SageMaker AI gehosteten Modelle überprüft. Zuvor lautete der Titel dieses Steuerelements: *SageMaker models should block inbound traffic*.
### Abhilfe
Weitere Informationen zur Netzwerkisolierung für SageMaker KI-Modelle finden Sie unter [Ausführen von Trainings- und Inferenzcontainern im internetfreien Modus](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) im *Amazon SageMaker AI Developer Guide*. Wenn Sie ein Modell erstellen, können Sie die Netzwerkisolierung aktivieren, indem Sie den Wert für den `EnableNetworkIsolation` Parameter auf setzen. `True`
## [SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
**Kategorie:** Identifizieren > Inventar > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::SageMaker::AppImageConfig`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob eine Amazon SageMaker AI-App-Image-Konfiguration (`AppImageConfig`) die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel enthält. Die Steuerung schlägt fehl, wenn die Konfiguration des App-Images keine Tag-Schlüssel oder nicht alle durch den `requiredKeyTags` Parameter angegebenen Schlüssel enthält. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die App-Image-Konfiguration keine Tag-Schlüssel enthält. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.
Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.
**Anmerkung**
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.
### Abhilfe
Um einer Amazon SageMaker AI-App-Image-Konfiguration (`AppImageConfig`) Tags hinzuzufügen, können Sie den [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)Betrieb der SageMaker AI-API verwenden oder, falls Sie die verwenden AWS CLI, den Befehl [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) ausführen.
## [SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
**Kategorie:** Identifizieren > Inventar > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::SageMaker::Image`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Eine Liste von Schlüsseln für das Tag 'n', die einer evaluierten Ressource zugewiesen werden müssen. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob ein Amazon SageMaker AI-Image die durch den `requiredKeyTags` Parameter angegebenen Tag-Schlüssel hat. Die Steuerung schlägt fehl, wenn das Bild keine Tag-Schlüssel oder nicht alle im `requiredKeyTags` Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den `requiredKeyTags` Parameter angeben, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn das Bild keine Tag-Schlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das `aws:` Präfix haben.
Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. *Weitere Informationen zu ABAC-Strategien finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch.* Weitere Informationen zu Tags finden Sie im [Tagging AWS Resources and Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) Editor User Guide.
**Anmerkung**
Speichern Sie keine personenbezogenen Daten (PII) oder andere vertrauliche Informationen in Tags. Auf Tags kann von vielen AWS-Services aus zugegriffen werden. Sie sind nicht dazu bestimmt, für private oder sensible Daten verwendet zu werden.
### Abhilfe
Um einem Amazon SageMaker AI-Image Tags hinzuzufügen, können Sie den [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)Betrieb der SageMaker KI-API verwenden oder, falls Sie die verwenden AWS CLI, den Befehl [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) ausführen.
## [SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
**Kategorie:** Erkennen > Schwachstellen-, Patch- und Versionsverwaltung
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::NotebookInstance`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Art des Zeitplans:** Periodisch
**Parameter:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (nicht anpassbar)
Dieses Steuerelement prüft anhand der für die Notebook-Instance angegebenen Plattform-ID, ob eine Amazon SageMaker AI-Notebook-Instance für die Ausführung auf einer unterstützten Plattform konfiguriert ist. Die Steuerung schlägt fehl, wenn die Notebook-Instance für die Ausführung auf einer Plattform konfiguriert ist, die nicht mehr unterstützt wird.
Wenn die Plattform für eine Amazon SageMaker AI-Notebook-Instance nicht mehr unterstützt wird, erhält sie möglicherweise keine Sicherheitspatches, Bugfixes oder andere Arten von Updates. Notebook-Instances funktionieren möglicherweise weiterhin, erhalten jedoch keine SageMaker KI-Sicherheitsupdates oder kritische Bugfixes. Sie übernehmen die Risiken, die mit der Verwendung einer nicht unterstützten Plattform verbunden sind. Weitere Informationen finden Sie unter [JupyterLabVersionierung](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) im *Amazon SageMaker AI Developer Guide*.
### Abhilfe
Informationen zu den Plattformen, die Amazon SageMaker AI derzeit unterstützt, und zur Migration zu diesen Plattformen finden Sie unter [Amazon Linux 2-Notebook-Instances](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.9] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::DataQualityJobDefinition`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob für eine Amazon SageMaker AI-Auftragsdefinition zur Datenqualität die Verschlüsselung für den Verkehr zwischen Containern aktiviert ist. Die Kontrolle schlägt fehl, wenn in der Definition für einen Job, der Datenqualität und Datendrift überwacht, die Verschlüsselung für den Verkehr zwischen Containern nicht aktiviert ist.
Durch die Aktivierung der Verschlüsselung des Datenverkehrs zwischen Containern werden sensible ML-Daten während der verteilten Verarbeitung zur Datenqualitätsanalyse geschützt.
### Abhilfe
Weitere Informationen zur Verschlüsselung des Datenverkehrs zwischen Containern für Amazon SageMaker AI finden Sie unter [Schützen der Kommunikation zwischen ML-Compute-Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) im *Amazon SageMaker AI Developer Guide*. Wenn Sie eine Auftragsdefinition für die Datenqualität erstellen, können Sie die Verschlüsselung des Datenverkehrs zwischen Containern aktivieren, indem Sie den Wert für den `EnableInterContainerTrafficEncryption` Parameter auf festlegen. `True`
## [SageMaker.10] Bei den Auftragsdefinitionen zur Erläuterung des SageMaker Modells sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob in einer Auftragsdefinition für Erklärbarkeit im SageMaker Amazon-Modell die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert ist. Die Kontrolle schlägt fehl, wenn in der Auftragsdefinition für die Erklärung des Modells die Verschlüsselung des Datenverkehrs zwischen Containern nicht aktiviert ist.
Durch die Aktivierung der Verschlüsselung des Datenverkehrs zwischen Containern werden sensible ML-Daten wie Modelldaten, Trainingsdatensätze, Zwischenverarbeitungsergebnisse, Parameter und Modellgewichte während der verteilten Verarbeitung zur Erklärbarkeitsanalyse geschützt.
### Abhilfe
Bei einer bestehenden Aufgabendefinition zur Erläuterung von SageMaker Modellen kann die Verschlüsselung des Datenverkehrs zwischen Containern nicht an Ort und Stelle aktualisiert werden. Verwenden Sie [API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) oder [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) oder und stellen Sie auf ein, um eine neue Jobdefinition zur Erläuterung des SageMaker Modells mit aktivierter Verschlüsselung für den Containerverkehr zu erstellen. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] Bei Auftragsdefinitionen SageMaker zur Datenqualität sollte die Netzwerkisolierung aktiviert sein
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::DataQualityJobDefinition`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob für eine Auftragsdefinition zur Überwachung der Datenqualität von Amazon SageMaker AI die Netzwerkisolierung aktiviert ist. Die Steuerung schlägt fehl, wenn in der Definition für einen Job, der Datenqualität und -drift überwacht, die Netzwerkisolierung deaktiviert ist.
Netzwerkisolierung reduziert die Angriffsfläche und verhindert externen Zugriff, wodurch vor unbefugtem Zugriff von außen, versehentlicher Datenoffenlegung und potenzieller Datenexfiltration geschützt wird.
### Abhilfe
Weitere Informationen zur Netzwerkisolierung für SageMaker KI finden Sie unter [Ausführen von Trainings- und Inferenzcontainern im internetfreien Modus](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) im *Amazon SageMaker AI Developer Guide*. Wenn Sie eine Auftragsdefinition für Datenqualität erstellen, können Sie die Netzwerkisolierung aktivieren, indem Sie den Wert für den `EnableNetworkIsolation` Parameter auf setzen. `True`
## [SageMaker.12] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Netzwerkisolierung aktiviert sein
**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Konfiguration der Ressourcenrichtlinie
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::ModelBiasJobDefinition`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob bei einer Jobdefinition mit SageMaker Modellverzerrung die Netzwerkisolierung aktiviert ist. Die Steuerung schlägt fehl, wenn bei der Jobdefinition für Modellverzerrungen die Netzwerkisolierung nicht aktiviert ist.
Die Netzwerkisolierung verhindert, dass SageMaker Model-Bass-Jobs über das Internet mit externen Ressourcen kommunizieren. Durch die Aktivierung der Netzwerkisolierung stellen Sie sicher, dass die Container des Auftrags keine ausgehenden Verbindungen herstellen können. Dadurch wird die Angriffsfläche reduziert und sensible Daten werden vor dem Eindringen geschützt. Dies ist besonders wichtig für Jobs, die regulierte oder sensible Daten verarbeiten.
### Abhilfe
Um die Netzwerkisolierung zu aktivieren, müssen Sie eine neue Model Bias-Jobdefinition erstellen, bei der der `EnableNetworkIsolation` Parameter auf gesetzt ist`True`. Die Netzwerkisolierung kann nach der Erstellung der Auftragsdefinition nicht geändert werden. Informationen zur Erstellung einer neuen Model Bias-Jobdefinition finden Sie [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] Bei Auftragsdefinitionen in SageMaker Modellqualität sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::ModelQualityJobDefinition`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob bei Auftragsdefinitionen von Amazon SageMaker Model Quality die Verschlüsselung während der Übertragung für den Verkehr zwischen Containern aktiviert ist. Die Kontrolle schlägt fehl, wenn in einer Auftragsdefinition in Modellqualität die Verschlüsselung des Datenverkehrs zwischen Containern nicht aktiviert ist.
Die Verschlüsselung des Datenverkehrs zwischen Containern schützt Daten, die während verteilter Aufgaben zur Überwachung der Modellqualität zwischen Containern übertragen werden. Standardmäßig ist der Verkehr zwischen Containern unverschlüsselt. Die Aktivierung der Verschlüsselung trägt zur Wahrung der Datenvertraulichkeit bei der Verarbeitung bei und unterstützt die Einhaltung der gesetzlichen Anforderungen für den Schutz von Daten bei der Übertragung.
### Abhilfe
Um die Verschlüsselung des intercontainerübergreifenden Datenverkehrs für Ihre Auftragsdefinition in SageMaker Amazon-Modellqualität zu aktivieren, müssen Sie die Auftragsdefinition mit der entsprechenden Verschlüsselungskonfiguration während der Übertragung neu erstellen. Informationen zur Erstellung einer Jobdefinition in Modellqualität finden Sie [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
**Kategorie:** Schutz > Sichere Netzwerkkonfiguration
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::MonitoringSchedule`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob die Netzwerkisolierung in den SageMaker Amazon-Überwachungsplänen aktiviert ist. Die Steuerung schlägt fehl, wenn ein Überwachungsplan auf „Falsch“ EnableNetworkIsolation gesetzt oder nicht konfiguriert wurde
Die Netzwerkisolierung verhindert, dass Überwachungsaufträge ausgehende Netzwerkanrufe tätigen, wodurch die Angriffsfläche reduziert wird, da der Internetzugang aus Containern ausgeschlossen wird.
### Abhilfe
Informationen zur Konfiguration der Netzwerkisolierung im NetworkConfig Parameter bei der Erstellung oder Aktualisierung eines Überwachungsplans finden Sie unter [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)oder [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)im *Amazon SageMaker AI Developer Guide*.
## [SageMaker.15] Bei Jobdefinitionen mit SageMaker Modellverzerrung sollte die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert sein
**Kategorie:** Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::SageMaker::ModelBiasJobDefinition`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Diese Kontrolle prüft, ob bei Auftragsdefinitionen mit Amazon SageMaker Model Bias die Verschlüsselung des intercontainerübergreifenden Datenverkehrs aktiviert ist, wenn mehrere Compute-Instances verwendet werden. Die Steuerung schlägt fehl, wenn sie `EnableInterContainerTrafficEncryption` auf „Falsch“ gesetzt oder nicht für Jobdefinitionen mit einer Instance-Anzahl von 2 oder mehr konfiguriert ist.
EInter-Die Verschlüsselung des Container-Datenverkehrs schützt Daten, die zwischen Recheninstanzen während der Überwachung verteilter Modellfehler übertragen werden. Die Verschlüsselung verhindert den unbefugten Zugriff auf modellbezogene Informationen wie Gewichte, die zwischen Instanzen übertragen werden.
### Abhilfe
Um die Verschlüsselung des Datenverkehrs zwischen Containern für SageMaker Model-Basis-Jobdefinitionen zu aktivieren, setzen Sie den `EnableInterContainerTrafficEncryption` Parameter auf, `True` wenn die Auftragsdefinition mehrere Recheninstanzen verwendet. Informationen zum Schutz der Kommunikation zwischen ML-Compute-Instances finden Sie unter [Schützen der Kommunikation zwischen ML-Compute-Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) im *Amazon SageMaker AI Developer Guide*.