Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk AI SageMaker
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon SageMaker AI. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah akses internet langsung dinonaktifkan untuk instance notebook SageMaker AI. Kontrol gagal jika `DirectInternetAccess` bidang diaktifkan untuk instance notebook.
Jika Anda mengonfigurasi instans SageMaker AI tanpa VPC, maka secara default akses internet langsung diaktifkan pada instans Anda. Anda harus mengonfigurasi instans Anda dengan VPC dan mengubah pengaturan default menjadi **Nonaktifkan —** Akses internet melalui VPC. Untuk melatih atau meng-host model dari notebook, Anda memerlukan akses internet. Untuk mengaktifkan akses internet, VPC Anda harus memiliki antarmuka endpoint (AWS PrivateLink) atau gateway NAT dan grup keamanan yang memungkinkan koneksi keluar. Untuk mempelajari lebih lanjut tentang cara menghubungkan instans notebook ke sumber daya di VPC, lihat [Menyambungkan instans notebook ke sumber daya di VPC di](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Panduan Pengembang *Amazon SageMaker * AI. Anda juga harus memastikan bahwa akses ke konfigurasi SageMaker AI Anda terbatas hanya untuk pengguna yang berwenang. Batasi izin IAM yang memungkinkan pengguna mengubah pengaturan dan sumber daya SageMaker AI.
### Remediasi
Anda tidak dapat mengubah setelan akses internet setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance dengan akses internet yang diblokir. Untuk menghapus instance notebook yang mengizinkan akses internet langsung, lihat [Menggunakan instance notebook untuk membuat model: Bersihkan di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) *Pengembang Amazon SageMaker AI*. Untuk membuat ulang instance notebook yang menolak akses internet, lihat [Membuat instance notebook](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Untuk **Jaringan, akses internet langsung**, pilih **Nonaktifkan — Akses internet melalui VPC**.
## [SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Kategori:** Lindungi > Konfigurasi jaringan aman> Sumber daya dalam VPC
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI diluncurkan dalam cloud pribadi virtual kustom (VPC). Kontrol ini gagal jika instance notebook SageMaker AI tidak diluncurkan dalam VPC khusus atau jika diluncurkan di VPC layanan SageMaker AI.
Subnet adalah berbagai alamat IP dalam VPC. Sebaiknya simpan sumber daya Anda di dalam VPC kustom bila memungkinkan untuk memastikan perlindungan jaringan yang aman dari infrastruktur Anda. VPC Amazon adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWS Dengan Amazon VPC, Anda dapat mengontrol akses jaringan dan konektivitas internet SageMaker AI Studio dan instance notebook Anda.
### Remediasi
Anda tidak dapat mengubah pengaturan VPC setelah membuat instance notebook. Sebagai gantinya, Anda dapat menghentikan, menghapus, dan membuat ulang instance. Untuk petunjuknya, lihat [Menggunakan instance notebook untuk membuat model: Bersihkan](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) di *Panduan Pengembang Amazon SageMaker AI*.
## [SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Kategori:** Lindungi > Manajemen akses aman > Pembatasan akses pengguna root
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah akses root diaktifkan untuk instance notebook Amazon SageMaker AI. Kontrol gagal jika akses root diaktifkan untuk instance notebook SageMaker AI.
Sesuai dengan prinsip hak istimewa terkecil, ini adalah praktik terbaik keamanan yang disarankan untuk membatasi akses root ke sumber daya instans untuk menghindari izin penyediaan secara tidak sengaja.
### Remediasi
Untuk membatasi akses root ke instance notebook SageMaker AI, lihat [Kontrol akses root ke instans notebook SageMaker AI di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) *Pengembang Amazon SageMaker AI*.
## [SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::EndpointConfig`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah varian produksi titik akhir Amazon SageMaker AI memiliki jumlah instans awal lebih besar dari 1. Kontrol gagal jika varian produksi titik akhir hanya memiliki 1 instance awal.
Varian produksi yang berjalan dengan jumlah instans lebih dari 1 memungkinkan redundansi instans multi-AZ yang dikelola oleh AI. SageMaker Menyebarkan sumber daya di beberapa Availability Zone adalah praktik AWS terbaik untuk menyediakan ketersediaan tinggi dalam arsitektur Anda. Ketersediaan tinggi membantu Anda pulih dari insiden keamanan.
**catatan**
Kontrol ini hanya berlaku untuk konfigurasi endpoint berbasis instance.
### Remediasi
Untuk informasi selengkapnya tentang parameter konfigurasi titik akhir, lihat [Membuat konfigurasi titik akhir di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) *Pengembang Amazon SageMaker AI*.
## [SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::Model`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah model yang dihosting Amazon SageMaker AI mengaktifkan isolasi jaringan. Kontrol gagal jika `EnableNetworkIsolation` parameter untuk model yang dihosting disetel ke`False`.
SageMaker Pelatihan AI dan wadah inferensi yang diterapkan diaktifkan internet secara default. Jika Anda tidak ingin SageMaker AI menyediakan akses jaringan eksternal ke wadah pelatihan atau inferensi Anda, Anda dapat mengaktifkan isolasi jaringan. Jika Anda mengaktifkan isolasi jaringan, tidak ada panggilan jaringan masuk atau keluar yang dapat dilakukan ke atau dari wadah model, termasuk panggilan ke atau dari yang lain. Layanan AWS Selain itu, tidak ada AWS kredenal yang tersedia untuk lingkungan runtime container. Mengaktifkan isolasi jaringan membantu mencegah akses yang tidak diinginkan ke sumber daya SageMaker AI Anda dari internet.
**catatan**
Pada 13 Agustus 2025, Security Hub CSPM mengubah judul dan deskripsi kontrol ini. Judul dan deskripsi baru lebih akurat mencerminkan bahwa kontrol memeriksa pengaturan untuk `EnableNetworkIsolation` parameter model yang dihosting Amazon SageMaker AI. Sebelumnya, judul kontrol ini adalah: *SageMaker models should block inbound traffic*.
### Remediasi
Untuk informasi selengkapnya tentang isolasi jaringan untuk model SageMaker AI, lihat [Menjalankan pelatihan dan wadah inferensi dalam mode bebas internet di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) Pengembang *Amazon SageMaker AI*. Saat Anda membuat model, Anda dapat mengaktifkan isolasi jaringan dengan menyetel nilai untuk `EnableNetworkIsolation` parameter tersebut`True`.
## [SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::SageMaker::AppImageConfig`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah konfigurasi gambar aplikasi Amazon SageMaker AI (`AppImageConfig`) memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika konfigurasi gambar aplikasi tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya akan memeriksa keberadaan kunci tag dan gagal jika konfigurasi gambar aplikasi tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk menambahkan tag ke konfigurasi gambar aplikasi Amazon SageMaker AI (`AppImageConfig`), Anda dapat menggunakan [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)pengoperasian SageMaker AI API atau, jika Anda menggunakan AWS CLI, jalankan perintah [add-tag](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] SageMaker gambar harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::SageMaker::Image`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah gambar Amazon SageMaker AI memiliki kunci tag yang ditentukan oleh `requiredKeyTags` parameter. Kontrol gagal jika gambar tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gambar tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk menambahkan tag ke image Amazon SageMaker AI, Anda dapat menggunakan [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)pengoperasian SageMaker AI API atau, jika Anda menggunakan AWS CLI, jalankan perintah [add-tag](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
**Kategori:** Deteksi > Kerentanan, tambalan, dan manajemen versi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::NotebookInstance`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)**
**Jenis jadwal:** Periodik
**Parameter:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah instans notebook Amazon SageMaker AI dikonfigurasi untuk berjalan pada platform yang didukung, berdasarkan pengenal platform yang ditentukan untuk instance notebook. Kontrol gagal jika instance notebook dikonfigurasi untuk berjalan pada platform yang tidak lagi didukung.
Jika platform untuk instans notebook Amazon SageMaker AI tidak lagi didukung, platform tersebut mungkin tidak menerima patch keamanan, perbaikan bug, atau jenis pembaruan lainnya. Instans notebook mungkin terus berfungsi, tetapi mereka tidak akan menerima pembaruan keamanan SageMaker AI atau perbaikan bug penting. Anda menanggung risiko yang terkait dengan penggunaan platform yang tidak didukung. Untuk informasi selengkapnya, lihat [JupyterLabpembuatan versi](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) di Panduan *Pengembang Amazon SageMaker AI*.
### Remediasi
Untuk informasi tentang platform yang didukung Amazon SageMaker AI saat ini dan cara bermigrasi ke platform tersebut, lihat [Instans notebook Amazon Linux 2 di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) *Pengembang Amazon SageMaker AI*.
## [SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::DataQualityJobDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi pekerjaan kualitas data SageMaker AI Amazon telah mengaktifkan enkripsi untuk lalu lintas antar kontainer. Kontrol gagal jika definisi untuk pekerjaan yang memantau kualitas data dan penyimpangan tidak mengaktifkan enkripsi untuk lalu lintas antar kontainer.
Mengaktifkan enkripsi lalu lintas antar kontainer melindungi data ML sensitif selama pemrosesan terdistribusi untuk analisis kualitas data.
### Remediasi
Untuk informasi selengkapnya tentang enkripsi lalu lintas antar-kontainer untuk Amazon SageMaker AI, lihat [Melindungi Komunikasi Antara Instans Komputasi ML dalam Pekerjaan Pelatihan Terdistribusi di Panduan Pengembang](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI. Saat Anda membuat definisi pekerjaan kualitas data, Anda dapat mengaktifkan enkripsi lalu lintas antar kontainer dengan menyetel nilai untuk `EnableInterContainerTrafficEncryption` parameter tersebut. `True`
## [SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi pekerjaan penjelasan SageMaker model Amazon mengaktifkan enkripsi lalu lintas antar kontainer. Kontrol gagal jika definisi pekerjaan penjelasan model tidak mengaktifkan enkripsi lalu lintas antar kontainer.
Mengaktifkan enkripsi lalu lintas antar kontainer melindungi data ML yang sensitif seperti data model, kumpulan data pelatihan, hasil pemrosesan menengah, parameter, dan bobot model selama pemrosesan terdistribusi untuk analisis penjelasan.
### Remediasi
Untuk definisi pekerjaan penjelasan SageMaker model yang ada, enkripsi lalu lintas antar kontainer tidak dapat diperbarui di tempat. Untuk membuat definisi pekerjaan penjelasan SageMaker model baru dengan enkripsi lalu lintas antar kontainer diaktifkan, gunakan API [atau [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) atau](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) dan atur ke. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::DataQualityJobDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi pekerjaan pemantauan kualitas data Amazon SageMaker AI mengaktifkan isolasi jaringan. Kontrol gagal jika definisi untuk pekerjaan yang memantau kualitas data dan penyimpangan memiliki isolasi jaringan dinonaktifkan.
Isolasi jaringan mengurangi serangan. permukaan dan mencegah akses eksternal sehingga melindungi terhadap akses eksternal yang tidak sah, paparan data yang tidak disengaja dan potensi eksfiltrasi data.
### Remediasi
Untuk informasi selengkapnya tentang isolasi jaringan untuk SageMaker AI, lihat [Menjalankan wadah pelatihan dan inferensi dalam mode bebas internet di Panduan](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) Pengembang *Amazon SageMaker AI*. Saat Anda membuat definisi pekerjaan kualitas data, Anda dapat mengaktifkan isolasi jaringan dengan menyetel nilai untuk `EnableNetworkIsolation` parameter tersebut`True`.
## [SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi kebijakan sumber daya
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::ModelBiasJobDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi pekerjaan bias SageMaker model mengaktifkan isolasi jaringan. Kontrol gagal jika definisi pekerjaan bias model tidak mengaktifkan isolasi jaringan.
Isolasi jaringan mencegah pekerjaan bias SageMaker model berkomunikasi dengan sumber daya eksternal melalui internet. Dengan mengaktifkan isolasi jaringan, Anda memastikan bahwa wadah pekerjaan tidak dapat membuat koneksi keluar, mengurangi permukaan serangan dan melindungi data sensitif dari eksfiltrasi. Ini sangat penting untuk pekerjaan yang memproses data yang diatur atau sensitif.
### Remediasi
Untuk mengaktifkan isolasi jaringan, Anda harus membuat definisi pekerjaan bias model baru dengan `EnableNetworkIsolation` parameter yang disetel ke`True`. Isolasi jaringan tidak dapat dimodifikasi setelah pembuatan definisi pekerjaan. Untuk membuat definisi pekerjaan bias model baru, lihat [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)di *Panduan Pengembang Amazon SageMaker AI*.
## [SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::ModelQualityJobDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi pekerjaan kualitas SageMaker model Amazon mengaktifkan enkripsi saat transit untuk lalu lintas antar kontainer. Kontrol gagal jika definisi pekerjaan kualitas model tidak mengaktifkan enkripsi lalu lintas antar kontainer.
Enkripsi lalu lintas antar kontainer melindungi data yang dikirimkan antar kontainer selama pekerjaan pemantauan kualitas model terdistribusi. Secara default, lalu lintas antar kontainer tidak dienkripsi. Mengaktifkan enkripsi membantu menjaga kerahasiaan data selama pemrosesan dan mendukung kepatuhan terhadap persyaratan peraturan untuk data dalam perlindungan transit.
### Remediasi
Untuk mengaktifkan enkripsi lalu lintas antar kontainer untuk definisi pekerjaan kualitas SageMaker model Amazon Anda, Anda harus membuat ulang definisi pekerjaan dengan konfigurasi enkripsi dalam perjalanan yang sesuai. Untuk membuat definisi pekerjaan kualitas model, lihat [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)di *Panduan Pengembang Amazon SageMaker AI*.
## [SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
**Kategori:** Lindungi > Konfigurasi jaringan aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::MonitoringSchedule`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah jadwal SageMaker pemantauan Amazon mengaktifkan isolasi jaringan. Kontrol gagal jika jadwal pemantauan telah EnableNetworkIsolation disetel ke false atau tidak dikonfigurasi
Isolasi jaringan mencegah pekerjaan pemantauan dari membuat panggilan jaringan keluar, mengurangi permukaan serangan dengan menghilangkan akses internet dari kontainer.
### Remediasi
Untuk informasi tentang mengonfigurasi isolasi jaringan dalam NetworkConfig parameter saat membuat atau memperbarui jadwal pemantauan, lihat [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)atau [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)di *Panduan Pengembang Amazon SageMaker AI*.
## [SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::SageMaker::ModelBiasJobDefinition`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah definisi pekerjaan bias SageMaker model Amazon mengaktifkan enkripsi lalu lintas antar kontainer saat menggunakan beberapa instance komputasi. Kontrol gagal jika `EnableInterContainerTrafficEncryption` disetel ke false atau tidak dikonfigurasi untuk definisi pekerjaan dengan jumlah instance 2 atau lebih besar.
EInter-enkripsi lalu lintas kontainer melindungi data yang dikirimkan antara instance komputasi selama pekerjaan pemantauan bias model terdistribusi. Enkripsi mencegah akses tidak sah ke informasi terkait model seperti bobot yang dikirimkan antar instance.
### Remediasi
Untuk mengaktifkan enkripsi lalu lintas antar kontainer untuk definisi pekerjaan bias SageMaker model, setel `EnableInterContainerTrafficEncryption` parameter ke `True` saat definisi pekerjaan menggunakan beberapa instance komputasi. Untuk informasi tentang melindungi komunikasi antar instans komputasi ML, lihat [Melindungi Komunikasi Antara Instans Komputasi ML dalam Pekerjaan Pelatihan Terdistribusi di Panduan Pengembang](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI.