쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

설정
문의하기
피드백
AWS Documentation
AWS 계정 생성

SageMaker AI에 대한 Security Hub 제어

PDF
RSS
포커스 모드
SageMaker AI에 대한 Security Hub 제어 - AWS Security Hub
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.[SageMaker.2] SageMaker AI 노트북 인스턴스는 사용자 지정 VPC에서 시작해야 합니다.[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.[SageMaker.5] SageMaker 모델은 인바운드 트래픽을 차단해야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이러한 AWS Security Hub 제어는 Amazon SageMaker AI 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::SageMaker::NotebookInstance

AWS Config 규칙: sagemaker-notebook-no-direct-internet-access

스케줄 유형: 주기적

파라미터: 없음

이 제어는 SageMaker AI 노트북 인스턴스에 대한 직접 인터넷 액세스가 비활성화되었는지 확인합니다. 노트북 인스턴스에 DirectInternetAccess 필드가 활성화된 경우, 제어가 실패합니다.

VPC 없이 SageMaker AI 인스턴스를 구성하면 기본적으로 인스턴스에서 직접 인터넷 액세스가 활성화됩니다. VPC로 인스턴스를 구성하고 기본 설정을 비활성화-VPC를 통해 인터넷에 액세스로 변경해야 합니다. 노트북에서 모델을 훈련하거나 호스팅하려면 인터넷 액세스가 필요합니다. 인터넷 액세스를 활성화하려면 VPC에 인터페이스 엔드포인트(AWS PrivateLink) 또는 NAT 게이트웨이와 아웃바운드 연결을 허용하는 보안 그룹이 있어야 합니다. 노트북 인스턴스를 VPC의 리소스에 연결하는 방법에 대한 자세한 내용은 Amazon SageMaker AI 개발자 안내서VPC의 리소스에 노트북 인스턴스 연결을 참조하세요. 또한 SageMaker AI 구성에 대한 액세스가 승인된 사용자로만 제한되도록 해야 합니다. 사용자가 SageMaker AI 설정 및 리소스를 변경할 수 있도록 허용하는 IAM 권한을 제한합니다.

문제 해결

노트북 인스턴스를 생성한 후에는 인터넷 액세스 설정을 변경할 수 없습니다. 대신 인터넷 액세스가 차단된 인스턴스를 중지, 삭제하고 다시 만들 수 있습니다. 직접 인터넷 액세스를 허용하는 노트북 인스턴스를 삭제하려면 Amazon SageMaker AI 개발자 안내서노트북 인스턴스를 사용하여 모델 빌드: 정리를 참조하세요. 인터넷 액세스를 거부하는 노트북 인스턴스를 다시 생성하려면 노트북 인스턴스 생성을 참조하세요. 네트워크, 직접 인터넷 액세스에서 비활성화 - VPC를 통해 인터넷 액세스를 선택합니다.

[SageMaker.2] SageMaker AI 노트북 인스턴스는 사용자 지정 VPC에서 시작해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > VPC 내 리소스

심각도: 높음

리소스 유형: AWS::SageMaker::NotebookInstance

AWS Config 규칙: sagemaker-notebook-instance-inside-vpc

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon SageMaker AI 노트북 인스턴스가 사용자 지정 Virtual Private Cloud(VPC) 내에서 시작되었는지 확인합니다. SageMaker AI 노트북 인스턴스가 사용자 지정 VPC 내에서 시작되지 않거나 SageMaker AI 서비스 VPC에서 시작되면이 제어가 실패합니다.

서브넷은 VPC 내의 IP 주소 범위입니다. 인프라의 안전한 네트워크 보호를 위해 가능하면 리소스를 사용자 지정 VPC에 보관하는 것이 좋습니다. Amazon VPC는 전용 가상 네트워크입니다 AWS 계정. Amazon VPC를 사용하면 SageMaker AI Studio 및 노트북 인스턴스의 네트워크 액세스 및 인터넷 연결을 제어할 수 있습니다.

문제 해결

노트북 인스턴스를 만든 후에는 VPC 설정을 변경할 수 없습니다. 대신 인스턴스를 중지, 삭제 및 다시 만들 수 있습니다. 지침은 Amazon SageMaker AI 개발자 안내서노트북 인스턴스를 사용하여 모델 빌드: 정리를 참조하세요.

[SageMaker.3] 사용자는 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(10), NIST.800-53.r5 AC-6(2)

범주: 보호 > 보안 액세스 관리 > 루트 사용자 액세스 제한

심각도: 높음

리소스 유형: AWS::SageMaker::NotebookInstance

AWS Config 규칙: sagemaker-notebook-instance-root-access-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon SageMaker AI 노트북 인스턴스에 대한 루트 액세스가 켜져 있는지 확인합니다. SageMaker AI 노트북 인스턴스에 대한 루트 액세스가 켜져 있으면 제어가 실패합니다.

최소 권한 원칙을 준수하기 위해, 의도치 않게 권한을 과도하게 프로비저닝하지 않도록 인스턴스 리소스에 대한 루트 액세스를 제한하는 것이 권장되는 보안 모범 사례입니다.

문제 해결

SageMaker AI 노트북 인스턴스에 대한 루트 액세스를 제한하려면 Amazon SageMaker AI 개발자 안내서의 SageMaker AI 노트북 인스턴스에 대한 루트 액세스 제어를 참조하세요. Amazon SageMaker

[SageMaker.4] SageMaker AI 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-36, NIST.800-53.r5 SA-13

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::SageMaker::EndpointConfig

AWS Config 규칙: sagemaker-endpoint-config-prod-instance-count

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon SageMaker AI 엔드포인트의 프로덕션 변형의 초기 인스턴스 수가 1보다 큰지 확인합니다. 엔드포인트의 프로덕션 변형에 초기 인스턴스가 1개만 있는 경우, 제어가 실패합니다.

인스턴스 수가 1보다 큰 상태로 실행되는 프로덕션 변형은 SageMaker AI에서 관리하는 다중 AZ 인스턴스 중복을 허용합니다. 여러 가용 영역에 리소스를 배포하는 것은 아키텍처 내에서 고가용성을 제공하는 AWS 모범 사례입니다. 고가용성은 보안 인시던트에서 복구하는 데 도움이 됩니다.

참고

이 제어는 인스턴스 기반 엔드포인트 구성에만 적용됩니다.

문제 해결

엔드포인트 구성의 파라미터에 대한 자세한 내용은 Amazon SageMaker AI 개발자 안내서엔드포인트 구성 생성을 참조하세요.

[SageMaker.5] SageMaker 모델은 인바운드 트래픽을 차단해야 합니다.

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 중간

리소스 유형: AWS::SageMaker::Model

AWS Config 규칙: sagemaker-model-isolation-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon SageMaker AI 호스팅 모델이 인바운드 네트워크 트래픽을 차단하는지 확인합니다. 호스팅 모델의 EnableNetworkIsolation 파라미터가 로 설정된 경우 제어가 실패합니다False.

SageMaker AI 훈련 및 배포된 추론 컨테이너는 기본적으로 인터넷을 사용합니다. SageMaker AI가 훈련 또는 추론 컨테이너에 대한 외부 네트워크 액세스를 제공하지 않도록 하려면 네트워크 격리를 활성화할 수 있습니다. 네트워크 격리를 활성화하면 컨테이너는 다른에 대해서도 아웃바운드 네트워크 호출을 수행할 수 없습니다 AWS 서비스. 또한 컨테이너 런타임 환경에서는 AWS 자격 증명을 사용할 수 없습니다. 네트워크 격리를 활성화하면 인터넷에서 SageMaker AI 리소스에 대한 의도하지 않은 액세스를 방지하는 데 도움이 됩니다.

문제 해결

SageMaker AI 모델의 네트워크 격리에 대한 자세한 내용은 Amazon SageMaker AI 개발자 안내서인터넷 없는 모드에서 훈련 및 추론 컨테이너 실행을 참조하세요. EnableNetworkIsolation 파라미터 값을 로 설정하여 훈련 작업 또는 모델을 생성할 때 네트워크 격리를 활성화할 수 있습니다True.

이 페이지에서

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.