Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per AI SageMaker
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon SageMaker AI. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'accesso diretto a Internet è disabilitato per un'istanza di notebook SageMaker AI. Il controllo fallisce se il `DirectInternetAccess` campo è abilitato per l'istanza del notebook.
Se configuri la tua istanza SageMaker AI senza un VPC, per impostazione predefinita è abilitato l'accesso diretto a Internet sull'istanza. È necessario configurare l'istanza con un VPC e modificare l'impostazione predefinita su **Disabilita: accedi a Internet tramite** un VPC. Per addestrare o ospitare modelli da un notebook, è necessario l'accesso a Internet. Per abilitare l'accesso a Internet, il VPC deve disporre di un endpoint di interfaccia (AWS PrivateLink) o di un gateway NAT e di un gruppo di sicurezza che consenta le connessioni in uscita. Per ulteriori informazioni su come connettere un'istanza di notebook alle risorse in un VPC, consulta [Connettere un'istanza di notebook alle risorse in un VPC nella *Amazon SageMaker * AI Developer](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Guide. Dovresti inoltre assicurarti che l'accesso alla tua configurazione SageMaker AI sia limitato ai soli utenti autorizzati. Limita le autorizzazioni IAM che consentono agli utenti di modificare le impostazioni e le risorse SageMaker AI.
### Correzione
Non è possibile modificare l'impostazione di accesso a Internet dopo aver creato un'istanza di notebook. Puoi invece interrompere, eliminare e ricreare l'istanza con accesso a Internet bloccato. Per eliminare un'istanza di notebook che consente l'accesso diretto a Internet, consulta [Use notebook instances to build models: Clean up](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) nella *Amazon SageMaker AI Developer Guide*. Per ricreare un'istanza di notebook che nega l'accesso a Internet, consulta [Creare un'](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html)istanza notebook. Per **Rete, accesso diretto a Internet**, scegli **Disabilita: accedi a Internet tramite un** VPC.
## [SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
**Gravità:** alta
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI viene avviata all'interno di un cloud privato virtuale (VPC) personalizzato. Questo controllo fallisce se un'istanza di notebook SageMaker AI non viene avviata all'interno di un VPC personalizzato o se viene avviata nel servizio SageMaker AI VPC.
Le sottoreti sono un intervallo di indirizzi IP all'interno di un VPC. Ti consigliamo di mantenere le tue risorse all'interno di un VPC personalizzato ogni volta che è possibile per garantire una protezione di rete sicura della tua infrastruttura. Un Amazon VPC è una rete virtuale dedicata al tuo. Account AWS Con Amazon VPC, puoi controllare l'accesso alla rete e la connettività Internet delle tue istanze di SageMaker AI Studio e notebook.
### Correzione
Non è possibile modificare l'impostazione del VPC dopo aver creato un'istanza del notebook. Puoi invece interrompere, eliminare e ricreare l'istanza. Per istruzioni, consulta [Usare le istanze di notebook per creare modelli: pulisci](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) nella *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
**Gravità:** alta
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'accesso root è attivato per un'istanza di notebook Amazon SageMaker AI. Il controllo fallisce se l'accesso root è attivato per un'istanza di notebook SageMaker AI.
In conformità al principio del privilegio minimo, si consiglia di limitare l'accesso root alle risorse dell'istanza per evitare il sovra-provisioning involontario delle autorizzazioni.
### Correzione
Per limitare l'accesso root alle istanze di notebook SageMaker AI, consulta [Controllare l'accesso root a un'istanza di notebook SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) nella *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1
**Requisiti correlati:** NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1
**Categoria:** Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::EndpointConfig`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se le varianti di produzione di un endpoint Amazon SageMaker AI hanno un numero iniziale di istanze superiore a 1. Il controllo fallisce se le varianti di produzione dell'endpoint hanno solo 1 istanza iniziale.
Le varianti di produzione eseguite con un numero di istanze superiore a 1 consentono la ridondanza delle istanze Multi-AZ gestita dall'IA. SageMaker L'implementazione di risorse su più zone di disponibilità è una AWS best practice per fornire un'elevata disponibilità all'interno dell'architettura. L'elevata disponibilità consente di riprendersi dagli incidenti di sicurezza.
**Nota**
Questo controllo si applica solo alla configurazione degli endpoint basata sull'istanza.
### Correzione
Per ulteriori informazioni sui parametri di configurazione degli endpoint, consulta [Create an endpoint configuration](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) nella *Amazon SageMaker AI Developer* Guide.
## [SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::Model`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un modello ospitato da Amazon SageMaker AI ha l'isolamento di rete abilitato. Il controllo fallisce se il `EnableNetworkIsolation` parametro per il modello ospitato è impostato su`False`.
SageMaker La formazione sull'intelligenza artificiale e i contenitori di inferenza distribuiti sono abilitati a Internet per impostazione predefinita. Se non vuoi che l' SageMaker intelligenza artificiale fornisca l'accesso alla rete esterna ai tuoi contenitori di formazione o inferenza, puoi abilitare l'isolamento della rete. Se abiliti l'isolamento della rete, non è possibile effettuare chiamate di rete in entrata o in uscita da o verso il contenitore del modello, incluse le chiamate da o verso altri. Servizi AWS Inoltre, non vengono rese disponibili AWS credenziali per l'ambiente di runtime del contenitore. L'abilitazione dell'isolamento della rete aiuta a prevenire l'accesso involontario alle risorse di SageMaker intelligenza artificiale da Internet.
**Nota**
Il 13 agosto 2025, Security Hub CSPM ha cambiato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più accurato che il controllo verifica l'impostazione del `EnableNetworkIsolation` parametro dei modelli ospitati da Amazon SageMaker AI. In precedenza, il titolo di questo controllo era: *SageMaker models should block inbound traffic*.
### Correzione
Per ulteriori informazioni sull'isolamento della rete per i modelli di SageMaker intelligenza artificiale, consulta [Esegui contenitori di formazione e inferenza in modalità senza Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) nella *Amazon SageMaker AI* Developer Guide. Quando crei un modello, puoi abilitare l'isolamento della rete impostando il valore del parametro su. `EnableNetworkIsolation` `True`
## [SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SageMaker::AppImageConfig`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se la configurazione dell'immagine di un'app Amazon SageMaker AI (`AppImageConfig`) ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la configurazione dell'immagine dell'app non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione dell'immagine dell'app non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per aggiungere tag a una configurazione dell'immagine di un'app Amazon SageMaker AI (`AppImageConfig`), puoi utilizzare il [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)funzionamento dell'API SageMaker AI o, se utilizzi il AWS CLI, eseguire il comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] SageMaker le immagini devono essere taggate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SageMaker::Image`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'immagine Amazon SageMaker AI ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se l'immagine non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'immagine non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per aggiungere tag a un'immagine Amazon SageMaker AI, puoi utilizzare il [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)funzionamento dell'API SageMaker AI o, se utilizzi il AWS CLI, eseguire il comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
**Categoria:** Rileva > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (non personalizzabile)
Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI è configurata per l'esecuzione su una piattaforma supportata, in base all'identificatore della piattaforma specificato per l'istanza del notebook. Il controllo fallisce se l'istanza del notebook è configurata per l'esecuzione su una piattaforma che non è più supportata.
Se la piattaforma per un'istanza di notebook Amazon SageMaker AI non è più supportata, potrebbe non ricevere patch di sicurezza, correzioni di bug o altri tipi di aggiornamenti. Le istanze notebook potrebbero continuare a funzionare, ma non riceveranno aggiornamenti di sicurezza SageMaker AI o correzioni di bug critici. Ti assumi i rischi associati all'utilizzo di una piattaforma non supportata. Per ulteriori informazioni, consulta il [JupyterLabcontrollo delle versioni](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) nella *Amazon SageMaker AI Developer Guide*.
### Correzione
Per informazioni sulle piattaforme attualmente supportate da Amazon SageMaker AI e su come migrare verso di esse, consulta le [istanze di notebook Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) nella *Amazon SageMaker AI Developer* Guide.
## [SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::DataQualityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di processo di qualità dei dati di Amazon SageMaker AI ha la crittografia abilitata per il traffico tra container. Il controllo fallisce se la definizione di un processo che monitora la qualità e la deriva dei dati non ha la crittografia abilitata per il traffico tra container.
L'abilitazione della crittografia del traffico tra container protegge i dati ML sensibili durante l'elaborazione distribuita per l'analisi della qualità dei dati.
### Correzione
Per ulteriori informazioni sulla crittografia del traffico tra container per Amazon SageMaker AI, consulta [Protect Communications Between ML Compute Instances in a Distributed Training Job nella](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI Developer Guide. Quando crei una definizione di processo per la qualità dei dati, puoi abilitare la crittografia del traffico tra container impostando il valore del parametro su. `EnableInterContainerTrafficEncryption` `True`
## [SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di processo di spiegabilità SageMaker del modello Amazon ha abilitata la crittografia del traffico tra container. Il controllo fallisce se la definizione del processo di spiegabilità del modello non ha abilitato la crittografia del traffico tra container.
L'attivazione della crittografia del traffico tra container protegge i dati ML sensibili come i dati del modello, i set di dati di addestramento, i risultati di elaborazione intermedi, i parametri e i pesi dei modelli durante l'elaborazione distribuita per l'analisi della spiegabilità.
### Correzione
Per quanto riguarda la definizione di un lavoro di spiegabilità SageMaker del modello esistente, la crittografia del traffico tra container non può essere aggiornata. Per creare una nuova definizione di processo di spiegabilità del SageMaker modello con la crittografia del traffico tra container abilitata, utilizza l'API [o la [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) o](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) e imposta su. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::DataQualityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di processo di monitoraggio della qualità dei dati di Amazon SageMaker AI ha l'isolamento della rete abilitato. Il controllo fallisce se l'isolamento della rete è disabilitato nella definizione di un processo che monitora la qualità e la deriva dei dati.
L'isolamento della rete riduce la superficie di attacco e impedisce l'accesso esterno, proteggendo in tal modo da accessi esterni non autorizzati, esposizione accidentale dei dati e potenziale esfiltrazione dei dati.
### Correzione
Per ulteriori informazioni sull'isolamento della rete per l' SageMaker intelligenza artificiale, consulta [Esegui contenitori di formazione e inferenza in modalità senza Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) nella *Amazon SageMaker AI* Developer Guide. Quando crei una definizione di processo per la qualità dei dati, puoi abilitare l'isolamento della rete impostando il valore del parametro su. `EnableNetworkIsolation` `True`
## [SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione sicura della rete > Configurazione della politica delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di job di polarizzazione SageMaker del modello ha l'isolamento della rete abilitato. Il controllo fallisce se nella definizione del processo di polarizzazione del modello non è abilitato l'isolamento della rete.
L'isolamento della rete impedisce ai job di SageMaker model bias di comunicare con risorse esterne su Internet. Abilitando l'isolamento della rete, vi assicurate che i container del job non possano effettuare connessioni in uscita, riducendo la superficie di attacco e proteggendo i dati sensibili dall'esfiltrazione. Ciò è particolarmente importante per i lavori che trattano dati regolamentati o sensibili.
### Correzione
Per abilitare l'isolamento della rete, è necessario creare una nuova definizione di job di polarizzazione del modello con il `EnableNetworkIsolation` parametro impostato `True` su. L'isolamento della rete non può essere modificato dopo la creazione della definizione del processo. Per creare una nuova definizione di job basato su modelli, consulta [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)la *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelQualityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le definizioni dei processi di qualità dei SageMaker modelli Amazon hanno la crittografia in transito abilitata per il traffico tra container. Il controllo fallisce se una definizione di processo di qualità del modello non ha abilitato la crittografia del traffico tra container.
La crittografia del traffico tra container protegge i dati trasmessi tra i container durante i lavori di monitoraggio della qualità dei modelli distribuiti. Per impostazione predefinita, il traffico tra container non è crittografato. L'attivazione della crittografia aiuta a mantenere la riservatezza dei dati durante l'elaborazione e supporta la conformità ai requisiti normativi per la protezione dei dati in transito.
### Correzione
Per abilitare la crittografia del traffico tra container per la definizione del processo di qualità SageMaker del modello Amazon, devi ricreare la definizione del processo con la configurazione di crittografia in transito appropriata. Per creare una definizione di lavoro di qualità del modello, [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)consulta la *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::MonitoringSchedule`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se nei piani di SageMaker monitoraggio di Amazon è abilitato l'isolamento della rete. Il controllo fallisce se una pianificazione di monitoraggio è EnableNetworkIsolation impostata su false o non è configurata
L'isolamento della rete impedisce ai job di monitoraggio di effettuare chiamate di rete in uscita, riducendo la superficie di attacco eliminando l'accesso a Internet dai container.
### Correzione
Per informazioni sulla configurazione dell'isolamento della rete nel NetworkConfig parametro durante la creazione o l'aggiornamento di una pianificazione di monitoraggio, consulta [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)o [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)consulta la *Amazon SageMaker AI Developer Guide*.
## [SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se nelle definizioni dei job di Amazon SageMaker model bias è abilitata la crittografia del traffico tra container quando si utilizzano più istanze di calcolo. Il controllo ha esito negativo se `EnableInterContainerTrafficEncryption` è impostato su false o non è configurato per le definizioni dei processi con un numero di istanze pari o superiore a 2.
EInter-La crittografia del traffico dei container protegge i dati trasmessi tra le istanze di calcolo durante i processi di monitoraggio della distorsione del modello distribuito. La crittografia impedisce l'accesso non autorizzato alle informazioni relative al modello, come i pesi, che vengono trasmessi tra le istanze.
### Correzione
Per abilitare la crittografia del traffico tra container per le definizioni dei processi di distorsione dei SageMaker modelli, imposta il `EnableInterContainerTrafficEncryption` parametro su `True` quando la definizione del processo utilizza più istanze di calcolo. Per informazioni sulla protezione delle comunicazioni tra istanze di calcolo ML, consulta [Protect Communications Between ML Compute Instances in a Distributed Training Job nella](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI Developer Guide.