Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon SageMaker AI.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[SageMaker.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet
Requisiti correlati: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete protetta
Gravità: alta
Tipo di risorsa: AWS::SageMaker::NotebookInstance
Regola AWS Config : sagemaker-notebook-no-direct-internet-access
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se l'accesso diretto a Internet è disabilitato per un'istanza di notebook SageMaker AI. Il controllo fallisce se il DirectInternetAccess campo è abilitato per l'istanza del notebook.
Se configuri la tua istanza SageMaker AI senza un VPC, per impostazione predefinita è abilitato l'accesso diretto a Internet sull'istanza. È necessario configurare l'istanza con un VPC e modificare l'impostazione predefinita su Disabilita: accedi a Internet tramite un VPC. Per addestrare o ospitare modelli da un notebook, è necessario l'accesso a Internet. Per abilitare l'accesso a Internet, il VPC deve disporre di un endpoint di interfaccia (AWS PrivateLink) o di un gateway NAT e di un gruppo di sicurezza che consenta le connessioni in uscita. Per ulteriori informazioni su come connettere un'istanza di notebook alle risorse in un VPC, consulta Connettere un'istanza di notebook alle risorse in un VPC nella Amazon SageMaker AI Developer Guide. Dovresti inoltre assicurarti che l'accesso alla tua configurazione SageMaker AI sia limitato ai soli utenti autorizzati. Limita le autorizzazioni IAM che consentono agli utenti di modificare le impostazioni e le risorse SageMaker AI.
Correzione
Non è possibile modificare l'impostazione di accesso a Internet dopo aver creato un'istanza di notebook. Puoi invece interrompere, eliminare e ricreare l'istanza con accesso a Internet bloccato. Per eliminare un'istanza di notebook che consente l'accesso diretto a Internet, consulta Use notebook instances to build models: Clean up nella Amazon SageMaker AI Developer Guide. Per ricreare un'istanza di notebook che nega l'accesso a Internet, consulta Creare un'istanza notebook. Per Rete, accesso diretto a Internet, scegli Disabilita: accedi a Internet tramite un VPC.
[SageMaker.2] Le istanze di notebook SageMaker AI devono essere avviate in un VPC personalizzato
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
Gravità: alta
Tipo di risorsa: AWS::SageMaker::NotebookInstance
Regola AWS Config : sagemaker-notebook-instance-inside-vpc
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI viene avviata all'interno di un cloud privato virtuale (VPC) personalizzato. Questo controllo fallisce se un'istanza di notebook SageMaker AI non viene avviata all'interno di un VPC personalizzato o se viene avviata nel servizio SageMaker AI VPC.
Le sottoreti sono un intervallo di indirizzi IP all'interno di un VPC. Ti consigliamo di mantenere le tue risorse all'interno di un VPC personalizzato ogni volta che è possibile per garantire una protezione di rete sicura della tua infrastruttura. Un Amazon VPC è una rete virtuale dedicata al tuo. Account AWS Con Amazon VPC, puoi controllare l'accesso alla rete e la connettività Internet delle tue istanze di SageMaker AI Studio e notebook.
Correzione
Non è possibile modificare l'impostazione del VPC dopo aver creato un'istanza del notebook. Puoi invece interrompere, eliminare e ricreare l'istanza. Per istruzioni, consulta Usare le istanze di notebook per creare modelli: pulisci nella Amazon SageMaker AI Developer Guide.
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze di notebook SageMaker AI
Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Categoria: Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
Gravità: alta
Tipo di risorsa: AWS::SageMaker::NotebookInstance
Regola AWS Config : sagemaker-notebook-instance-root-access-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'accesso root è attivato per un'istanza di notebook Amazon SageMaker AI. Il controllo fallisce se l'accesso root è attivato per un'istanza di notebook SageMaker AI.
In conformità al principio del privilegio minimo, si consiglia di limitare l'accesso root alle risorse dell'istanza per evitare il sovra-provisioning involontario delle autorizzazioni.
Correzione
Per limitare l'accesso root alle istanze di notebook SageMaker AI, consulta Controllare l'accesso root a un'istanza di notebook SageMaker AI nella Amazon SageMaker AI Developer Guide.
[SageMaker.4] Le varianti di produzione di endpoint SageMaker AI devono avere un numero iniziale di istanze superiore a 1
Requisiti correlati: NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1
Categoria: Recupero > Resilienza > Alta disponibilità
Gravità: media
Tipo di risorsa: AWS::SageMaker::EndpointConfig
Regola AWS Config : sagemaker-endpoint-config-prod-instance-count
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se le varianti di produzione di un endpoint Amazon SageMaker AI hanno un numero iniziale di istanze superiore a 1. Il controllo fallisce se le varianti di produzione dell'endpoint hanno solo 1 istanza iniziale.
Le varianti di produzione eseguite con un numero di istanze superiore a 1 consentono la ridondanza delle istanze Multi-AZ gestita dall'IA. SageMaker L'implementazione di risorse su più zone di disponibilità è una AWS best practice per fornire un'elevata disponibilità all'interno dell'architettura. L'elevata disponibilità consente di riprendersi dagli incidenti di sicurezza.
Nota
Questo controllo si applica solo alla configurazione degli endpoint basata sull'istanza.
Correzione
Per ulteriori informazioni sui parametri di configurazione degli endpoint, consulta Create an endpoint configuration nella Amazon SageMaker AI Developer Guide.
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: media
Tipo di risorsa: AWS::SageMaker::Model
Regola AWS Config : sagemaker-model-isolation-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un modello ospitato da Amazon SageMaker AI blocca il traffico di rete in entrata. Il controllo fallisce se il EnableNetworkIsolation parametro per il modello ospitato è impostato False su.
SageMaker La formazione sull'intelligenza artificiale e i contenitori di inferenza distribuiti sono abilitati a Internet per impostazione predefinita. Se non vuoi che l' SageMaker intelligenza artificiale fornisca l'accesso alla rete esterna ai tuoi contenitori di formazione o inferenza, puoi abilitare l'isolamento della rete. Se abiliti l'isolamento della rete, i contenitori non possono effettuare chiamate di rete in uscita, nemmeno verso altri. Servizi AWS Inoltre, non vengono rese disponibili AWS credenziali per l'ambiente di runtime del contenitore. L'abilitazione dell'isolamento della rete aiuta a prevenire l'accesso involontario alle risorse di SageMaker intelligenza artificiale da Internet.
Correzione
Per ulteriori informazioni sull'isolamento della rete per i modelli di SageMaker intelligenza artificiale, consulta Esegui contenitori di formazione e inferenza in modalità senza Internet nella Amazon SageMaker AI Developer Guide. Puoi abilitare l'isolamento della rete quando crei il tuo processo o modello di formazione impostando il valore del EnableNetworkIsolation parametro su. True
