Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles Security Hub CSPM pour l'IA SageMaker
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon SageMaker AI. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès direct à Internet est désactivé pour une instance de bloc-notes SageMaker AI. Le contrôle échoue si le `DirectInternetAccess` champ est activé pour l'instance de bloc-notes.
Si vous configurez votre instance SageMaker AI sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et modifier le paramètre par défaut sur **Disable—Accéder à Internet via un** VPC. Pour entraîner ou héberger des modèles à partir d'un ordinateur portable, vous devez avoir accès à Internet. Pour permettre l'accès à Internet, votre VPC doit disposer d'un point de terminaison d'interface (AWS PrivateLink) ou d'une passerelle NAT et d'un groupe de sécurité qui autorise les connexions sortantes. Pour en savoir plus sur la façon de connecter une instance de bloc-notes aux ressources d'un VPC, consultez la section [Connecter une instance de bloc-notes aux ressources d'un VPC dans](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) le manuel *Amazon SageMaker * AI Developer Guide. Vous devez également vous assurer que l'accès à votre configuration SageMaker AI est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM qui permettent aux utilisateurs de modifier les paramètres et les ressources de l' SageMaker IA.
### Correction
Vous ne pouvez pas modifier le paramètre d'accès à Internet après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance avec un accès Internet bloqué. Pour supprimer une instance de bloc-notes qui permet un accès direct à Internet, consultez la section [Utiliser des instances de bloc-notes pour créer des modèles : nettoyage](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) dans le manuel *Amazon SageMaker AI Developer Guide*. Pour recréer une instance de bloc-notes qui refuse l'accès à Internet, consultez la section [Créer une instance de bloc-notes](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Pour **Réseau, Accès direct à Internet**, choisissez **Désactiver : accéder à Internet via un VPC**.
## [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est lancée dans un cloud privé virtuel (VPC) personnalisé. Ce contrôle échoue si une instance de bloc-notes SageMaker AI n'est pas lancée dans un VPC personnalisé ou si elle est lancée dans le VPC du service SageMaker AI.
Les sous-réseaux sont une plage d'adresses IP au sein d'un VPC. Nous vous recommandons de conserver vos ressources dans un VPC personnalisé dans la mesure du possible afin de garantir une protection réseau sécurisée de votre infrastructure. Un Amazon VPC est un réseau virtuel dédié à votre. Compte AWS Avec un Amazon VPC, vous pouvez contrôler l'accès au réseau et la connectivité Internet de vos instances d' SageMaker AI Studio et de bloc-notes.
### Correction
Vous ne pouvez pas modifier le paramètre VPC après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance. Pour obtenir des instructions, consultez la section [Utiliser des instances de bloc-notes pour créer des modèles : nettoyage](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès root est activé pour une instance de bloc-notes Amazon SageMaker AI. Le contrôle échoue si l'accès root est activé pour une instance de bloc-notes SageMaker AI.
Conformément au principe du moindre privilège, il est recommandé en matière de sécurité de restreindre l'accès root aux ressources de l'instance afin d'éviter un surprovisionnement involontaire des autorisations.
### Correction
Pour restreindre l'accès root aux instances de bloc-notes SageMaker AI, consultez la section [Contrôler l'accès root à une instance de bloc-notes SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::EndpointConfig`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les variantes de production d'un point de terminaison Amazon SageMaker AI ont un nombre initial d'instances supérieur à 1. Le contrôle échoue si les variantes de production du point de terminaison ne possèdent qu'une seule instance initiale.
Les variantes de production exécutées avec un nombre d'instances supérieur à 1 permettent la redondance des instances multi-AZ gérée par l'IA. SageMaker Le déploiement de ressources sur plusieurs zones de disponibilité est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La haute disponibilité vous aide à vous remettre d'un incident de sécurité.
**Note**
Ce contrôle s'applique uniquement à la configuration du point de terminaison basée sur une instance.
### Correction
Pour plus d'informations sur les paramètres de configuration d'un point de terminaison, consultez la section [Créer une configuration de point de terminaison](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::Model`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée sur un modèle hébergé par Amazon SageMaker AI. Le contrôle échoue si le `EnableNetworkIsolation` paramètre du modèle hébergé est défini sur`False`.
SageMaker La formation à l'IA et les conteneurs d'inférence déployés sont compatibles avec Internet par défaut. Si vous ne souhaitez pas que l' SageMaker IA fournisse un accès réseau externe à vos conteneurs de formation ou d'inférence, vous pouvez activer l'isolation du réseau. Si vous activez l'isolation du réseau, aucun appel réseau entrant ou sortant ne peut être effectué vers ou depuis le conteneur modèle, y compris les appels vers ou depuis un autre conteneur. Services AWS En outre, aucune information AWS d'identification n'est mise à la disposition de l'environnement d'exécution du conteneur. L'activation de l'isolation du réseau permet d'empêcher tout accès involontaire à vos ressources d' SageMaker IA depuis Internet.
**Note**
Le 13 août 2025, Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément le fait que le contrôle vérifie le réglage du `EnableNetworkIsolation` paramètre des modèles hébergés par Amazon SageMaker AI. Auparavant, le titre de ce contrôle était : *SageMaker models should block inbound traffic*.
### Correction
Pour plus d'informations sur l'isolation du réseau pour les modèles d' SageMaker IA, consultez la section [Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez un modèle, vous pouvez activer l'isolation du réseau en définissant la valeur du `EnableNetworkIsolation` paramètre sur`True`.
## [SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SageMaker::AppImageConfig`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si la configuration d'image d'une application Amazon SageMaker AI (`AppImageConfig`) possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la configuration de l'image de l'application ne comporte aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration de l'image de l'application ne comporte aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à la configuration d'une image d'une application Amazon SageMaker AI (`AppImageConfig`), vous pouvez utiliser le [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)fonctionnement de l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande [add tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] les SageMaker images doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SageMaker::Image`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une image Amazon SageMaker AI possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'image ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'image ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à une image Amazon SageMaker AI, vous pouvez [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)utiliser l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande [add tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge
**Catégorie :** Détecter > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (non personnalisable)
Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Le contrôle échoue si l'instance du bloc-notes est configurée pour s'exécuter sur une plate-forme qui n'est plus prise en charge.
Si la plate-forme d'une instance de bloc-notes Amazon SageMaker AI n'est plus prise en charge, elle risque de ne pas recevoir de correctifs de sécurité, de corrections de bogues ou d'autres types de mises à jour. Les instances Notebook peuvent continuer à fonctionner, mais elles ne recevront pas de mises à jour de sécurité SageMaker liées à l'IA ni de corrections de bogues critiques. Vous assumez les risques associés à l'utilisation d'une plateforme non prise en charge. Pour plus d'informations, consultez la section [JupyterLabGestion des versions](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
### Correction
Pour plus d'informations sur les plateformes actuellement prises en charge par Amazon SageMaker AI et sur la manière de les migrer, consultez les [instances de bloc-notes Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::DataQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic entre conteneurs est activé dans le cadre d'une définition de tâche de qualité des données Amazon SageMaker AI. Le contrôle échoue si le chiffrement du trafic entre conteneurs n'est pas activé dans la définition d'une tâche qui surveille la qualité et la dérive des données.
L'activation du chiffrement du trafic entre conteneurs protège les données ML sensibles lors du traitement distribué à des fins d'analyse de la qualité des données.
### Correction
Pour plus d'informations sur le chiffrement du trafic inter-conteneurs pour Amazon SageMaker AI, consultez la section [Protect communications between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) dans le manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer le chiffrement du trafic inter-conteneurs en définissant la valeur du `EnableInterContainerTrafficEncryption` paramètre sur. `True`
## [SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans une définition de tâche d'explicabilité du SageMaker modèle Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition de la tâche d'explicabilité du modèle.
L'activation du chiffrement du trafic inter-conteneurs protège les données ML sensibles telles que les données de modèle, les ensembles de données d'entraînement, les résultats de traitement intermédiaires, les paramètres et les poids des modèles lors du traitement distribué à des fins d'analyse d'explicabilité.
### Correction
Pour la définition d'une tâche d'explicabilité d'un SageMaker modèle existant, le chiffrement du trafic inter-conteneurs ne peut pas être mis à jour en place. Pour créer une nouvelle définition de tâche explicable du SageMaker modèle avec le chiffrement du trafic inter-conteneurs activé, utilisez l'API [ou](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) la [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) ou définissez [ CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)sur. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)`True`
## [SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::DataQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche de surveillance de la qualité des données Amazon SageMaker AI. Le contrôle échoue si l'isolation du réseau est désactivée lors de la définition d'une tâche qui surveille la qualité et la dérive des données.
L'isolation du réseau réduit la surface d'attaque et empêche l'accès externe, protégeant ainsi contre tout accès externe non autorisé, toute exposition accidentelle aux données et toute exfiltration potentielle de données.
### Correction
Pour plus d'informations sur l'isolation du réseau pour l' SageMaker IA, consultez la section [Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer l'isolation du réseau en définissant la valeur du `EnableNetworkIsolation` paramètre sur`True`.
## [SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée
**Catégorie : Protection** > Configuration réseau sécurisée > Configuration de la politique de ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelBiasJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche basée sur le biais d'un SageMaker modèle. Le contrôle échoue si l'isolation du réseau n'est pas activée dans la définition de la tâche de polarisation du modèle.
L'isolation du réseau empêche les tâches basées sur le biais du SageMaker modèle de communiquer avec des ressources externes via Internet. En activant l'isolation du réseau, vous vous assurez que les conteneurs de la tâche ne peuvent pas établir de connexions sortantes, réduisant ainsi la surface d'attaque et protégeant les données sensibles contre l'exfiltration. Cela est particulièrement important pour les tâches traitant des données réglementées ou sensibles.
### Correction
Pour activer l'isolation du réseau, vous devez créer une nouvelle définition de tâche de polarisation du modèle avec `EnableNetworkIsolation` le paramètre défini sur`True`. L'isolation du réseau ne peut pas être modifiée après la création de la définition de tâche. Pour créer une nouvelle définition de tâche basée sur le biais du modèle, consultez [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement en transit est activé pour le trafic entre conteneurs dans les définitions de tâches liées à la qualité des SageMaker modèles Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition d'une tâche de qualité du modèle.
Le chiffrement du trafic entre conteneurs protège les données transmises entre les conteneurs lors des tâches de surveillance de la qualité des modèles distribués. Par défaut, le trafic entre conteneurs n'est pas chiffré. L'activation du chiffrement permet de préserver la confidentialité des données pendant le traitement et de garantir le respect des exigences réglementaires en matière de protection des données en transit.
### Correction
Pour activer le chiffrement du trafic entre conteneurs pour la définition de tâche de qualité de votre SageMaker modèle Amazon, vous devez recréer la définition de tâche avec la configuration de chiffrement en transit appropriée. Pour créer une définition de tâche de qualité modèle, consultez [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::MonitoringSchedule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans les plannings de SageMaker surveillance Amazon. Le contrôle échoue si un programme de surveillance est EnableNetworkIsolation défini sur faux ou n'est pas configuré
L'isolation du réseau empêche les tâches de surveillance de passer des appels réseau sortants, réduisant ainsi la surface d'attaque en éliminant l'accès à Internet depuis les conteneurs.
### Correction
Pour plus d'informations sur la configuration de l'isolation du réseau dans le NetworkConfig paramètre lors de la création ou de la mise à jour d'un calendrier de surveillance, consultez [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)le manuel *Amazon SageMaker AI Developer Guide*. [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)
## [SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelBiasJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans les définitions de tâches basées sur le SageMaker modèle Amazon lors de l'utilisation de plusieurs instances de calcul. Le contrôle échoue s'il `EnableInterContainerTrafficEncryption` est défini sur false ou s'il n'est pas configuré pour les définitions de tâches dont le nombre d'instances est supérieur ou égal à 2.
EInter-le chiffrement du trafic des conteneurs protège les données transmises entre les instances de calcul lors des tâches de surveillance du biais des modèles distribués. Le chiffrement empêche l'accès non autorisé aux informations relatives au modèle, telles que les poids transmis entre les instances.
### Correction
Pour activer le chiffrement du trafic entre conteneurs pour les définitions de tâches basées sur le biais du SageMaker modèle, définissez le `EnableInterContainerTrafficEncryption` paramètre sur `True` lorsque la définition de tâche utilise plusieurs instances de calcul. Pour plus d'informations sur la protection des communications entre les instances de calcul ML, consultez la section [Protéger les communications entre les instances de calcul ML dans le cadre d'un job de formation distribué](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) dans le manuel *Amazon SageMaker AI Developer Guide*.