翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM の AI セキュリティのベストプラクティス標準
AI セキュリティのベストプラクティス標準は、デプロイされた AI リソースがセキュリティのベストプラクティスと一致しない場合に検出する一連の自動セキュリティチェックです。セキュリティの専門家によってAWS開発されたこの標準は、AI ワークロードが推奨されるセキュリティ設定から逸脱している領域を特定するのに役立つ厳選されたコントロールのセットを提供します。
AWSSecurity Hub CSPM では、AI Security Best Practices 標準に、リソースを継続的に評価するコントロールが含まれています。コントロールは、ネットワーク分離、保管時および転送時の暗号化、VPC 配置、AWS KMSキーの使用、プライベートレジストリ要件など、セキュリティドメインを対象としています。各コントロールには、コントロールの適用先のセキュリティ機能を反映するカテゴリが割り当てられます。カテゴリのリストとその他の詳細については、「Security Hub CSPM のコントロールカテゴリ」を参照してください。
AI セキュリティのベストプラクティス標準には、次の Amazon リソースネーム (ARN) があります。ここでarn:aws:securityhub:、region::standards/ai-security-best-practices/v/1.0.0region は該当する のリージョンコードですAWS リージョン。Security Hub CSPM API の GetEnabledStandards オペレーションを使用して、現在有効な標準の ARN を確認することもできます。
標準に適用されるコントロール
次のリストは、AI AWSSecurity Best Practices 標準 (v1.0.0) に適用される Security Hub CSPM コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。
-
[Bedrock.1] Amazon Bedrock データソースはカスタマーマネージドAWS KMSキーで暗号化する必要があります
-
[BedrockAgentCore.1] Bedrock AgentCore ランタイムは VPC ネットワークモードで設定する必要があります
-
[BedrockAgentCore.2] Bedrock AgentCore Gateway には、インバウンドリクエストの承認が必要です
-
[BedrockAgentCore.3] Bedrock AgentCore Memory はカスタマーマネージドAWS KMSキーで暗号化する必要があります
-
[BedrockAgentCore.4] Bedrock AgentCore Gateway はカスタマーマネージドAWS KMSキーで暗号化する必要があります
-
[BedrockAgentCore.5] Bedrock AgentCore カスタムブラウザはパブリックネットワークモードを使用しないでください
-
[BedrockAgentCore.6] Bedrock AgentCore カスタムブラウザではセッション記録が有効になっている必要があります
-
[BedrockAgentCore.7] Bedrock AgentCore カスタムコードインタープリタはプライベートネットワーク設定を使用する必要があります
-
[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
-
[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません
-
[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります
-
[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります
-
[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
-
[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
-
[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります
-
[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
-
[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります
-
[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります
-
[SageMaker.16] SageMaker モデルはプライマリコンテナの VPC のプライベートレジストリを使用する必要があります
-
[SageMaker.17] SageMaker 特徴量グループのオフラインストアはキーで暗号化する必要がありますAWS KMS
-
[SageMaker.18] 標準ストレージを持つ SageMaker 特徴量グループのオンラインストアは、 AWS KMSキーで暗号化する必要があります
-
[SageMaker.19] SageMaker モデルは、マルチコンテナ推論パイプラインに VPC のプライベートレジストリを使用する必要があります
-
[SageMaker.20] SageMaker モデルの説明可能性ジョブ定義では、ネットワーク分離を有効にする必要があります
-
[SageMaker.21] SageMaker ノートブックインスタンスは、カスタマーマネージドAWS KMSキーで暗号化する必要があります
-
[SageMaker.22] SageMaker モニタリングスケジュールでは、コンテナ間のトラフィック暗号化を有効にする必要があります
-
[SageMaker.23] SageMaker 推論実験では、インスタンスストレージボリュームをカスタマーマネージドAWS KMSキーで暗号化する必要があります
-
[SageMaker.24] SageMaker 推論実験では、カスタマーマネージドAWS KMSキーで暗号化されたデータストレージが必要です