Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SageMaker Controlli Amazon
Questi controlli sono correlati alle SageMaker risorse.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (20) 3.5 SC-7 (21), NIT 800-53.r5 SC-7 (3), NIT 800-53.5 SC-7 (4), NIT 800-53.r5 SC-7 (9)
Categoria: Protezione > Configurazione di rete protetta
Gravità: alta
Tipo di risorsa: AWS::SageMaker::NotebookInstance
Regola AWS Config : sagemaker-notebook-no-direct-internet-access
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se l'accesso diretto a Internet è disabilitato per un'istanza di SageMaker notebook. Il controllo fallisce se il DirectInternetAccess
campo è abilitato per l'istanza del notebook.
Se configuri l' SageMaker istanza senza un VPC, per impostazione predefinita è abilitato l'accesso diretto a Internet sull'istanza. È necessario configurare l'istanza con un VPC e modificare l'impostazione predefinita su Disabilita: accedi a Internet tramite un VPC. Per addestrare o ospitare modelli da un notebook, è necessario l'accesso a Internet. Per abilitare l'accesso a Internet, il VPC deve disporre di un endpoint di interfaccia (AWS PrivateLink) o di un gateway NAT e di un gruppo di sicurezza che consenta le connessioni in uscita. Per ulteriori informazioni su come connettere un'istanza di notebook alle risorse in un VPC, consulta Connettere un'istanza di notebook alle risorse in un VPC nella Amazon Developer Guide. SageMaker Dovresti inoltre assicurarti che l'accesso alla tua SageMaker configurazione sia limitato ai soli utenti autorizzati. Limita le autorizzazioni IAM che consentono agli utenti di modificare SageMaker impostazioni e risorse.
Correzione
Non è possibile modificare l'impostazione di accesso a Internet dopo aver creato un'istanza di notebook. Puoi invece interrompere, eliminare e ricreare l'istanza con accesso a Internet bloccato. Per eliminare un'istanza di notebook che consente l'accesso diretto a Internet, consulta Use notebook instances to build models: Clean up nella Amazon SageMaker Developer Guide. Per ricreare un'istanza di notebook che nega l'accesso a Internet, consulta Creare un'istanza notebook. Per Rete, accesso diretto a Internet, scegli Disabilita: accedi a Internet tramite un VPC.
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
Requisiti correlati: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIS.800-53.r5 SC-7 (16), NIS.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
Gravità: alta
Tipo di risorsa: AWS::SageMaker::NotebookInstance
Regola AWS Config : sagemaker-notebook-instance-inside-vpc
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un'istanza di Amazon SageMaker Notebook viene avviata all'interno di un cloud privato virtuale (VPC) personalizzato. Questo controllo fallisce se un'istanza del SageMaker notebook non viene avviata all'interno di un VPC personalizzato o se viene avviata nel servizio SageMaker VPC.
Le sottoreti sono un intervallo di indirizzi IP all'interno di un VPC. Ti consigliamo di mantenere le tue risorse all'interno di un VPC personalizzato ogni volta che è possibile per garantire una protezione di rete sicura della tua infrastruttura. Un Amazon VPC è una rete virtuale dedicata al tuo. Account AWS Con Amazon VPC, puoi controllare l'accesso alla rete e la connettività Internet delle tue istanze SageMaker Studio e notebook.
Correzione
Non è possibile modificare l'impostazione del VPC dopo aver creato un'istanza del notebook. Puoi invece interrompere, eliminare e ricreare l'istanza. Per istruzioni, consulta Usare le istanze di notebook per creare modelli: pulisci nell'Amazon SageMaker Developer Guide.
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Categoria: Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
Gravità: alta
Tipo di risorsa: AWS::SageMaker::NotebookInstance
Regola AWS Config : sagemaker-notebook-instance-root-access-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'accesso root è attivato per un'istanza di SageMaker notebook Amazon. Il controllo fallisce se l'accesso root è attivato per un'istanza di SageMaker notebook.
In conformità al principio del privilegio minimo, si consiglia di limitare l'accesso root alle risorse dell'istanza per evitare involontariamente il sovraassegnamento delle autorizzazioni.
Correzione
Per limitare l'accesso root alle istanze di SageMaker notebook, consulta Controllare l'accesso root a un'istanza di SageMaker notebook nella Amazon SageMaker Developer Guide.
[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, NIST.800-53.r5 SA-13
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::SageMaker::EndpointConfig
Regola AWS Config : sagemaker-endpoint-config-prod-instance-count
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se le varianti di produzione di un SageMaker endpoint Amazon hanno un numero iniziale di istanze superiore a 1. Il controllo fallisce se le varianti di produzione dell'endpoint hanno solo 1 istanza iniziale.
Le varianti di produzione eseguite con un numero di istanze superiore a 1 consentono la ridondanza delle istanze Multi-AZ gestita da. SageMaker L'implementazione di risorse su più zone di disponibilità è una AWS best practice per fornire un'elevata disponibilità all'interno dell'architettura. L'elevata disponibilità consente di riprendersi dagli incidenti di sicurezza.
Nota
Questo controllo si applica solo alla configurazione degli endpoint basata sull'istanza.
Correzione
Per ulteriori informazioni sui parametri di configurazione degli endpoint, consulta Create an endpoint configuration nella Amazon SageMaker Developer Guide.