SageMaker Controlli Amazon - AWS Security Hub
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SageMaker Controlli Amazon

Questi controlli sono correlati alle SageMaker risorse.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet

Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (20) 3.5 SC-7 (21), NIT 800-53.r5 SC-7 (3), NIT 800-53.5 SC-7 (4), NIT 800-53.r5 SC-7 (9)

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::SageMaker::NotebookInstance

Regola AWS Config : sagemaker-notebook-no-direct-internet-access

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se l'accesso diretto a Internet è disabilitato per un'istanza di SageMaker notebook. Il controllo fallisce se il DirectInternetAccess campo è abilitato per l'istanza del notebook.

Se configuri l' SageMaker istanza senza un VPC, per impostazione predefinita è abilitato l'accesso diretto a Internet sull'istanza. È necessario configurare l'istanza con un VPC e modificare l'impostazione predefinita su Disabilita: accedi a Internet tramite un VPC. Per addestrare o ospitare modelli da un notebook, è necessario l'accesso a Internet. Per abilitare l'accesso a Internet, il VPC deve disporre di un endpoint di interfaccia (AWS PrivateLink) o di un gateway NAT e di un gruppo di sicurezza che consenta le connessioni in uscita. Per ulteriori informazioni su come connettere un'istanza di notebook alle risorse in un VPC, consulta Connettere un'istanza di notebook alle risorse in un VPC nella Amazon Developer Guide. SageMaker Dovresti inoltre assicurarti che l'accesso alla tua SageMaker configurazione sia limitato ai soli utenti autorizzati. Limita le autorizzazioni IAM che consentono agli utenti di modificare SageMaker impostazioni e risorse.

Correzione

Non è possibile modificare l'impostazione di accesso a Internet dopo aver creato un'istanza di notebook. Puoi invece interrompere, eliminare e ricreare l'istanza con accesso a Internet bloccato. Per eliminare un'istanza di notebook che consente l'accesso diretto a Internet, consulta Use notebook instances to build models: Clean up nella Amazon SageMaker Developer Guide. Per ricreare un'istanza di notebook che nega l'accesso a Internet, consulta Creare un'istanza notebook. Per Rete, accesso diretto a Internet, scegli Disabilita: accedi a Internet tramite un VPC.

[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato

Requisiti correlati: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIS.800-53.r5 SC-7 (16), NIS.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC

Gravità: alta

Tipo di risorsa: AWS::SageMaker::NotebookInstance

Regola AWS Config : sagemaker-notebook-instance-inside-vpc

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'istanza di Amazon SageMaker Notebook viene avviata all'interno di un cloud privato virtuale (VPC) personalizzato. Questo controllo fallisce se un'istanza del SageMaker notebook non viene avviata all'interno di un VPC personalizzato o se viene avviata nel servizio SageMaker VPC.

Le sottoreti sono un intervallo di indirizzi IP all'interno di un VPC. Ti consigliamo di mantenere le tue risorse all'interno di un VPC personalizzato ogni volta che è possibile per garantire una protezione di rete sicura della tua infrastruttura. Un Amazon VPC è una rete virtuale dedicata al tuo. Account AWS Con Amazon VPC, puoi controllare l'accesso alla rete e la connettività Internet delle tue istanze SageMaker Studio e notebook.

Correzione

Non è possibile modificare l'impostazione del VPC dopo aver creato un'istanza del notebook. Puoi invece interrompere, eliminare e ricreare l'istanza. Per istruzioni, consulta Usare le istanze di notebook per creare modelli: pulisci nell'Amazon SageMaker Developer Guide.

[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook

Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

Categoria: Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root

Gravità: alta

Tipo di risorsa: AWS::SageMaker::NotebookInstance

Regola AWS Config : sagemaker-notebook-instance-root-access-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'accesso root è attivato per un'istanza di SageMaker notebook Amazon. Il controllo fallisce se l'accesso root è attivato per un'istanza di SageMaker notebook.

In conformità al principio del privilegio minimo, si consiglia di limitare l'accesso root alle risorse dell'istanza per evitare involontariamente il sovraassegnamento delle autorizzazioni.

Correzione

Per limitare l'accesso root alle istanze di SageMaker notebook, consulta Controllare l'accesso root a un'istanza di SageMaker notebook nella Amazon SageMaker Developer Guide.

[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, NIST.800-53.r5 SA-13

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::SageMaker::EndpointConfig

Regola AWS Config : sagemaker-endpoint-config-prod-instance-count

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se le varianti di produzione di un SageMaker endpoint Amazon hanno un numero iniziale di istanze superiore a 1. Il controllo fallisce se le varianti di produzione dell'endpoint hanno solo 1 istanza iniziale.

Le varianti di produzione eseguite con un numero di istanze superiore a 1 consentono la ridondanza delle istanze Multi-AZ gestita da. SageMaker L'implementazione di risorse su più zone di disponibilità è una AWS best practice per fornire un'elevata disponibilità all'interno dell'architettura. L'elevata disponibilità consente di riprendersi dagli incidenti di sicurezza.

Nota

Questo controllo si applica solo alla configurazione degli endpoint basata sull'istanza.

Correzione

Per ulteriori informazioni sui parametri di configurazione degli endpoint, consulta Create an endpoint configuration nella Amazon SageMaker Developer Guide.