Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para IA SageMaker
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon SageMaker AI. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si el acceso directo a Internet está deshabilitado para una instancia de SageMaker AI notebook. El control falla si el campo `DirectInternetAccess` está habilitado para la instancia de cuaderno.
Si configuras tu instancia de SageMaker IA sin una VPC, el acceso directo a Internet está habilitado de forma predeterminada en tu instancia. Debe configurar la instancia con una VPC y cambiar la configuración predeterminada a **Deshabilitar: acceso a Internet a través de una VPC**. Para entrenar o alojar modelos desde un cuaderno, necesita acceso a Internet. Para habilitar el acceso a Internet, su VPC debe tener un punto de conexión de interfaz (AWS PrivateLink) o una puerta de enlace NAT y un grupo de seguridad que permita las conexiones salientes. Para obtener más información sobre cómo conectar una instancia de notebook a los recursos de una VPC, consulte [Conectar una instancia de notebook a los recursos de una VPC en](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) la Guía para desarrolladores de *Amazon SageMaker * AI. También debe asegurarse de que el acceso a su configuración de SageMaker IA esté limitado únicamente a los usuarios autorizados. Restrinja los permisos de IAM que permiten a los usuarios cambiar la configuración y los recursos de la SageMaker IA.
### Corrección
Después de crear una instancia de cuaderno, no se puede cambiar la configuración de acceso a Internet. En su lugar, puede detener, eliminar y volver a crear la instancia con el acceso a Internet bloqueado. Para eliminar una instancia de bloc de notas que permite el acceso directo a Internet, consulte [Utilizar instancias de bloc de notas para crear modelos: limpiar](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. Para recrear una instancia de cuaderno que deniegue el acceso a Internet, consulte [Crear una instancia de cuaderno](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). En **Red, acceso directo a Internet**, seleccione **Deshabilitar: acceso a Internet a través de una VPC**.
## [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoría:** Proteger > Configuración de red segura > Recursos dentro de VPC
**Gravedad:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una instancia de Amazon SageMaker AI Notebook se lanza dentro de una nube privada virtual (VPC) personalizada. Este control falla si una instancia de SageMaker AI Notebook no se lanza en una VPC personalizada o si se lanza en la VPC del servicio de SageMaker IA.
Las subredes son un rango de direcciones IP de una VPC. Recomendamos mantener sus recursos dentro de una VPC personalizada siempre que sea posible para garantizar una protección de red segura de su infraestructura. Una Amazon VPC es una red virtual dedicada a usted. Cuenta de AWS Con una Amazon VPC, puede controlar el acceso a la red y la conectividad a Internet de sus instancias de SageMaker AI Studio y notebook.
### Corrección
No se puede cambiar la configuración de VPC después de crear una instancia de cuaderno. En su lugar, puede detener, eliminar y volver a crear la instancia. Para obtener instrucciones, consulte [Uso de instancias de bloc de notas para crear modelos: limpieza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Categoría**: Proteger > Gestión del acceso seguro > Restricciones de acceso para los usuarios raíz
**Gravedad:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si el acceso root está activado en una instancia de bloc de notas de Amazon SageMaker AI. El control falla si el acceso root está activado en una instancia de bloc de notas de SageMaker IA.
Siguiendo el principio de privilegios mínimos, se recomienda restringir el acceso raíz a los recursos de la instancia para evitar un exceso de permisos involuntario.
### Corrección
Para restringir el acceso root a las instancias de bloc de notas de SageMaker IA, consulte [Controlar el acceso root a una instancia de bloc de notas de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1
**Requisitos relacionados:** NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::EndpointConfig`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si las variantes de producción de un punto de conexión de Amazon SageMaker AI tienen un recuento de instancias inicial superior a 1. El control falla si las variantes de producción del punto de conexión tienen solo 1 instancia inicial.
Las variantes de producción que se ejecutan con un recuento de instancias superior a 1 permiten gestionar la redundancia de instancias Multi-AZ mediante SageMaker IA. La implementación de recursos en varias zonas de disponibilidad es una práctica AWS recomendada para proporcionar una alta disponibilidad en su arquitectura. La alta disponibilidad lo ayuda a recuperarse de los incidentes de seguridad.
**nota**
Este control se aplica solo a la configuración del punto de conexión basada en instancias.
### Corrección
Para obtener más información sobre los parámetros de la configuración de puntos finales, consulte [Crear una configuración de punto final](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) en la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::Model`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un modelo alojado en Amazon SageMaker AI tiene activado el aislamiento de red. El control falla si el parámetro `EnableNetworkIsolation` para el modelo alojado está establecido en `False`.
SageMaker El entrenamiento de IA y los contenedores de inferencia implementados están habilitados para Internet de forma predeterminada. Si no quieres que la SageMaker IA proporcione acceso a una red externa a tus contenedores de formación o inferencia, puedes habilitar el aislamiento de la red. Si habilita el aislamiento de red, no se podrán realizar llamadas de red de entrada o salida hacia o desde el contenedor del modelo, incluidas las llamadas hacia o desde otros Servicios de AWS. Además, no hay AWS credenciales disponibles para el entorno de ejecución del contenedor. Habilitar el aislamiento de la red ayuda a evitar el acceso no deseado a sus recursos de SageMaker IA desde Internet.
**nota**
El 13 de agosto de 2025, Security Hub CSPM cambió el título y la descripción de este control. El nuevo título y la descripción reflejan con mayor precisión que el control comprueba la configuración del `EnableNetworkIsolation` parámetro de los modelos alojados en Amazon SageMaker AI. Anteriormente, el título de este control era: *SageMaker models should block inbound traffic*.
### Corrección
Para obtener más información sobre el aislamiento de redes para modelos de SageMaker IA, consulte [Ejecutar contenedores de entrenamiento e inferencia en modo sin Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) en la Guía para *desarrolladores de Amazon SageMaker AI*. Cuando crea un modelo, puede habilitar el aislamiento de red al establecer el valor del parámetro `EnableNetworkIsolation` en `True`.
## [SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::SageMaker::AppImageConfig`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si la configuración de imagen de una aplicación Amazon SageMaker AI (`AppImageConfig`) tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la configuración de imagen de la aplicación no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si la configuración de imagen de la aplicación no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.
Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.
### Corrección
Para añadir etiquetas a la configuración de imagen de una aplicación de Amazon SageMaker AI (`AppImageConfig`), puede utilizar la [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operación de la API de SageMaker IA o, si la utiliza AWS CLI, ejecutar el comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] SageMaker las imágenes deben estar etiquetadas
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::SageMaker::Image`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si una imagen de Amazon SageMaker AI tiene las claves de etiqueta especificadas por el `requiredKeyTags` parámetro. El control falla si la imagen no tiene ninguna clave de etiqueta o si no incluye todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica ningún valor para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si la imagen no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.
Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.
### Corrección
Para añadir etiquetas a una imagen de Amazon SageMaker AI, puede utilizar la [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operación de la API de SageMaker IA o, si está utilizando la AWS CLI, ejecutar el comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
**Categoría**: Detectar > Administración de vulnerabilidades, parches y versiones
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Tipo de programa:** Periódico
**Parámetros:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (no personalizable)
Este control comprueba si una instancia de bloc de notas de Amazon SageMaker AI está configurada para ejecutarse en una plataforma compatible, en función del identificador de plataforma especificado para la instancia de portátil. El control falla si la instancia de cuaderno está configurada para ejecutarse en una plataforma que ya no recibe soporte.
Si la plataforma de una instancia de bloc de notas de Amazon SageMaker AI ya no es compatible, es posible que no reciba parches de seguridad, correcciones de errores u otros tipos de actualizaciones. Es posible que las instancias de Notebook sigan funcionando, pero no recibirán actualizaciones de seguridad de SageMaker IA ni correcciones de errores críticos. Asume los riesgos asociados con el uso de una plataforma que dejó de recibir soporte. Para obtener más información, consulte el control de [JupyterLabversiones](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.
### Corrección
Para obtener información sobre las plataformas que Amazon SageMaker AI admite actualmente y cómo migrar a ellas, consulte las [instancias de notebook de Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una definición de trabajo de calidad de datos de Amazon SageMaker AI tiene el cifrado habilitado para el tráfico entre contenedores. El control falla si la definición de un trabajo que monitorea la calidad y la desviación de los datos no tiene habilitado el cifrado para el tráfico entre contenedores.
Al habilitar el cifrado del tráfico entre contenedores, se protegen los datos confidenciales de aprendizaje automático durante el procesamiento distribuido para analizar la calidad de los datos.
### Corrección
Para obtener más información sobre el cifrado del tráfico entre contenedores para Amazon SageMaker AI, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) en la *Guía para desarrolladores de Amazon SageMaker AI*. Al crear una definición de trabajo de calidad de datos, puede habilitar el cifrado del tráfico entre contenedores estableciendo el valor del `EnableInterContainerTrafficEncryption` parámetro en. `True`
## [SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una definición de trabajo de explicabilidad del SageMaker modelo de Amazon tiene activado el cifrado del tráfico entre contenedores. El control falla si la definición del trabajo de explicabilidad del modelo no tiene activado el cifrado del tráfico entre contenedores.
Al habilitar el cifrado del tráfico entre contenedores, se protegen los datos confidenciales de aprendizaje automático, como los datos de modelos, los conjuntos de datos de entrenamiento, los resultados del procesamiento intermedio, los parámetros y las ponderaciones de los modelos durante el procesamiento distribuido para el análisis de explicabilidad.
### Corrección
Para una definición de trabajo de explicabilidad de un SageMaker modelo existente, el cifrado del tráfico entre contenedores no se puede actualizar en su lugar. Para crear una nueva definición de trabajo de explicabilidad del SageMaker modelo con el cifrado de tráfico entre contenedores habilitado, utilice la API o la [CLI [o configúrelo](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html)](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) en. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una definición de trabajo de supervisión de la calidad de los datos de Amazon SageMaker AI tiene activado el aislamiento de la red. El control falla si la definición de un trabajo que monitorea la calidad y la desviación de los datos desactiva el aislamiento de la red.
El aislamiento de la red reduce la superficie de ataque e impide el acceso externo, lo que protege contra el acceso externo no autorizado, la exposición accidental de los datos y la posible exfiltración de datos.
### Corrección
Para obtener más información sobre el aislamiento de redes para SageMaker IA, consulte [Ejecutar contenedores de formación e inferencia en modo sin Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) en la Guía para *desarrolladores de Amazon SageMaker AI*. Al crear una definición de trabajo de calidad de datos, puede habilitar el aislamiento de la red estableciendo el valor del `EnableNetworkIsolation` parámetro en. `True`
## [SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red
**Categoría:** Proteger > Configuración de red segura > Configuración de políticas de recursos
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si la definición de un trabajo basado en el sesgo de un SageMaker modelo tiene activado el aislamiento de la red. El control falla si la definición del trabajo de sesgo del modelo no tiene activado el aislamiento de la red.
El aislamiento de la red evita que los trabajos sesgados por el SageMaker modelo se comuniquen con recursos externos a través de Internet. Al habilitar el aislamiento de la red, se asegura de que los contenedores del trabajo no puedan establecer conexiones salientes, lo que reduce la superficie de ataque y protege los datos confidenciales de la filtración. Esto es particularmente importante para los trabajos que procesan datos regulados o confidenciales.
### Corrección
Para habilitar el aislamiento de la red, debe crear una nueva definición de trabajo basada en el sesgo del modelo con los `EnableNetworkIsolation` parámetros establecidos en`True`. El aislamiento de la red no se puede modificar después de crear la definición del trabajo. Para crear una nueva definición de trabajo basada [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)en el sesgo del modelo, consulte la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::ModelQualityJobDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las definiciones de trabajos con calidad del SageMaker modelo de Amazon tienen el cifrado en tránsito activado para el tráfico entre contenedores. El control falla si una definición de trabajo de calidad modelo no tiene activado el cifrado del tráfico entre contenedores.
El cifrado del tráfico entre contenedores protege los datos que se transmiten entre contenedores durante las tareas de supervisión de la calidad de los modelos distribuidos. De forma predeterminada, el tráfico entre contenedores no está cifrado. Habilitar el cifrado ayuda a mantener la confidencialidad de los datos durante el procesamiento y respalda el cumplimiento de los requisitos reglamentarios para la protección de los datos en tránsito.
### Corrección
Para habilitar el cifrado del tráfico entre contenedores para la definición de trabajo de calidad de su SageMaker modelo de Amazon, debe volver a crear la definición de trabajo con la configuración de cifrado en tránsito adecuada. Para crear una definición de trabajo con calidad modelo, consulte [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::MonitoringSchedule`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los programas de SageMaker monitoreo de Amazon tienen activado el aislamiento de la red. El control falla si un programa de monitoreo se ha EnableNetworkIsolation establecido en falso o no está configurado
El aislamiento de la red impide que los equipos de supervisión realicen llamadas de red salientes, lo que reduce la superficie de ataque al eliminar el acceso a Internet desde los contenedores.
### Corrección
Para obtener información sobre cómo configurar el aislamiento de la red en el NetworkConfig parámetro al crear o actualizar un programa de monitoreo, consulte [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)o [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)consulte la *Guía para desarrolladores de Amazon SageMaker AI*.
## [SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores
**Categoría:** Proteger > Protección de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las definiciones de trabajos de sesgo del SageMaker modelo de Amazon tienen habilitado el cifrado de tráfico entre contenedores cuando se utilizan varias instancias de procesamiento. El control falla si `EnableInterContainerTrafficEncryption` se establece en falso o no está configurado para definiciones de trabajo con un recuento de instancias igual o superior a 2.
EInter-El cifrado del tráfico de contenedores protege los datos transmitidos entre las instancias de procesamiento durante las tareas de supervisión del sesgo de los modelos distribuidos. El cifrado evita el acceso no autorizado a la información relacionada con el modelo, como los pesos que se transmiten entre instancias.
### Corrección
Para habilitar el cifrado del tráfico entre contenedores para las definiciones de tareas basadas en el sesgo del SageMaker modelo, defina el `EnableInterContainerTrafficEncryption` parámetro para que la `True` definición de tareas utilice varias instancias informáticas. Para obtener información sobre la protección de las comunicaciones entre instancias de procesamiento de aprendizaje automático, consulte [Proteger las comunicaciones entre instancias de procesamiento de aprendizaje automático en un trabajo de formación distribuido](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) en la *Guía para desarrolladores de Amazon SageMaker AI*.