

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Norme relative aux meilleures pratiques de sécurité de l'IA dans Security Hub CSPM
<a name="standards-ai-security"></a>

La norme des meilleures pratiques de sécurité de l'IA est un ensemble de contrôles de sécurité automatisés qui détectent les cas où les ressources d'IA déployées ne sont pas conformes aux meilleures pratiques de sécurité. Développée par des experts en AWS sécurité, cette norme fournit un ensemble de contrôles sélectionnés qui vous aident à identifier les domaines dans lesquels vos charges de travail basées sur l'IA s'écartent des configurations de sécurité recommandées.

Dans AWS Security Hub CSPM, la norme AI Security Best Practices inclut des contrôles qui évaluent en permanence vos ressources. Les contrôles couvrent les domaines de sécurité, notamment l'isolation du réseau, le chiffrement au repos et en transit, le placement des VPC, l'utilisation des AWS KMS clés et les exigences relatives au registre privé. Chaque contrôle se voit attribuer une catégorie qui reflète la fonction de sécurité à laquelle le contrôle s'applique. Pour obtenir la liste des catégories et des informations supplémentaires, consultez[Catégories de contrôle dans Security Hub CSPM](control-categories.md).

La norme AI Security Best Practices porte le nom de ressource Amazon (ARN) suivant :`arn:aws:securityhub:{{region}}::standards/ai-security-best-practices/v/1.0.0`, où se {{region}} trouve le code de région correspondant à la ressource applicableRégion AWS. Vous pouvez également utiliser le [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM pour récupérer l'ARN d'une norme actuellement activée.

## Contrôles applicables à la norme
<a name="ai-security-standard-controls"></a>

La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AI Security Best Practices (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
+ [[Bedrock.1] Les sources de données Amazon Bedrock doivent être cryptées et gérées par le clientAWS KMSclés](bedrock-controls.md#bedrock-1)
+ [[BedrockAgentCore.1] Les environnements d' AgentCore exécution de Bedrock doivent être configurés en mode réseau VPC](bedrockagentcore-controls.md#bedrockagentcore-1)
+ [[BedrockAgentCore.2] Bedrock AgentCore Gateways devrait exiger une autorisation pour les demandes entrantes](bedrockagentcore-controls.md#bedrockagentcore-2)
+ [[BedrockAgentCore.3] La AgentCore mémoire Bedrock doit être cryptée et gérée par le clientAWS KMSclés](bedrockagentcore-controls.md#bedrockagentcore-3)
+ [[BedrockAgentCore.4] La AgentCore passerelle Bedrock doit être cryptée et gérée par le clientAWS KMSclés](bedrockagentcore-controls.md#bedrockagentcore-4)
+ [[BedrockAgentCore.5] Les navigateurs AgentCore personnalisés de Bedrock ne doivent pas utiliser le mode réseau public](bedrockagentcore-controls.md#bedrockagentcore-5)
+ [[BedrockAgentCore.6] L'enregistrement de session devrait être activé dans les navigateurs AgentCore personnalisés Bedrock](bedrockagentcore-controls.md#bedrockagentcore-6)
+ [[BedrockAgentCore.7] Les interpréteurs de code AgentCore personnalisés de Bedrock doivent utiliser une configuration de réseau privé](bedrockagentcore-controls.md#bedrockagentcore-7)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Les variantes de production de SageMaker terminaux doivent avoir un nombre initial d'instances supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent fonctionner sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] les définitions des tâches liées au biais du SageMaker modèle doivent avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions de tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SageMaker.16] SageMaker les modèles doivent utiliser un registre privé dans le VPC pour les conteneurs principaux](sagemaker-controls.md#sagemaker-16)
+ [[SageMaker.17] les boutiques hors ligne du groupe de SageMaker fonctionnalités doivent être cryptées avecAWS KMSclés](sagemaker-controls.md#sagemaker-17)
+ [[SageMaker.18] les boutiques en ligne SageMaker dotées d'un groupe de fonctionnalités avec un stockage standard doivent être cryptées avecAWS KMSclés](sagemaker-controls.md#sagemaker-18)
+ [[SageMaker.19] SageMaker les modèles doivent utiliser un registre privé dans le VPC pour les pipelines d'inférence multi-conteneurs](sagemaker-controls.md#sagemaker-19)
+ [[SageMaker.20] les définitions des tâches d'explicabilité du SageMaker modèle doivent avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-20)
+ [[SageMaker.21] les instances de SageMaker bloc-notes doivent être chiffrées et gérées par le clientAWS KMSclés](sagemaker-controls.md#sagemaker-21)
+ [[SageMaker.22] le chiffrement du trafic inter-conteneurs doit être activé dans les plannings de SageMaker surveillance](sagemaker-controls.md#sagemaker-22)
+ [[SageMaker.23] les expériences SageMaker d'inférence doivent avoir un volume de stockage d'instance chiffré et géré par le clientAWS KMSclés](sagemaker-controls.md#sagemaker-23)
+ [[SageMaker.24] les expériences SageMaker d'inférence doivent avoir un stockage de données crypté et géré par le clientAWS KMSclés](sagemaker-controls.md#sagemaker-24)
+ [[SageMaker.25] l'isolation du réseau doit être activée dans les définitions de tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-25)