As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para IA SageMaker
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos de SageMaker IA da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o acesso direto à Internet está desativado para uma instância de notebook SageMaker AI. O controle falhará se o campo `DirectInternetAccess` estiver habilitado para a instância de notebook.
Se você configurar sua instância de SageMaker IA sem uma VPC, por padrão, o acesso direto à Internet será habilitado em sua instância. É necessário configurar sua instância com uma VPC e alterar a configuração padrão para **Desabilitar: acessar a Internet por meio de uma VPC**. Para treinar ou hospedar modelos a partir de um notebook, você precisa de acesso à Internet. Para habilitar o acesso à Internet, a VPC deve ter um endpoint de interface (AWS PrivateLink) ou um gateway de NAT e um grupo de segurança que permita conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em uma VPC, consulte [Conectar uma instância de notebook a recursos em uma VPC no *Amazon SageMaker * AI Developer](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Guide. Você também deve garantir que o acesso à sua configuração de SageMaker IA seja limitado somente aos usuários autorizados. Restrinja as permissões do IAM que permitem que os usuários alterem as configurações e os recursos de SageMaker IA.
### Correção
Você não pode alterar a configuração do acesso à Internet depois de criar uma instância do notebook. Em vez disso, é possível parar, excluir e recriar a instância com acesso bloqueado à Internet. Para excluir uma instância de notebook que permite acesso direto à Internet, consulte [Usar instâncias de notebook para criar modelos: Limpeza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) no *Amazon SageMaker AI Developer Guide*. Para recriar uma instância do notebook que nega o acesso à Internet, consulte [Criar uma instância do notebook](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Em **Rede, Acesso direto à Internet**, escolha **Desabilitar: acessar a Internet por meio de uma VPC**.
## [SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Recursos na VPC
**Gravidade:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma instância de notebook Amazon SageMaker AI é executada em uma nuvem privada virtual (VPC) personalizada. Esse controle falhará se uma instância do notebook de SageMaker IA não for iniciada em uma VPC personalizada ou se for iniciada na VPC do serviço de SageMaker IA.
Sub-redes são intervalos de endereços IP em uma VPC. Recomendamos manter seus recursos dentro de uma VPC personalizada sempre que possível para garantir a proteção segura da rede de sua infraestrutura. Uma Amazon VPC é uma rede virtual dedicada à sua. Conta da AWS Com uma Amazon VPC, você pode controlar o acesso à rede e a conectividade com a Internet de suas instâncias de SageMaker AI Studio e notebook.
### Correção
Você não pode alterar a configuração da VPC depois de criar uma instância do notebook. Em vez disso, você pode parar, excluir e recriar a instância. Para obter instruções, consulte [Usar instâncias de notebook para criar modelos: Limpeza](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) no *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Categoria:** Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
**Gravidade:** alta
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o acesso root está ativado para uma instância de notebook Amazon SageMaker AI. O controle falhará se o acesso root estiver ativado para uma instância de notebook de SageMaker IA.
Seguindo o princípio do privilégio mínimo, é uma prática recomendada de segurança restringir o acesso raiz aos recursos da instância para evitar o provisionamento excessivo involuntário de permissões.
### Correção
Para restringir o acesso root às instâncias do notebook SageMaker AI, consulte [Controlar o acesso root a uma instância do notebook SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) no *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::EndpointConfig`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se as variantes de produção de um endpoint de SageMaker IA da Amazon têm uma contagem inicial de instâncias maior que 1. O controle falhará se as variantes de produção do endpoint tiverem apenas 1 instância inicial.
As variantes de produção executadas com uma contagem de instâncias maior que 1 permitem a redundância de instâncias Multi-AZ gerenciada pela IA. SageMaker A implantação de recursos em várias zonas de disponibilidade é uma prática AWS recomendada para fornecer alta disponibilidade em sua arquitetura. A alta disponibilidade ajuda você a se recuperar de incidentes de segurança.
**nota**
Esse controle se aplica somente à configuração de endpoint baseada na instância.
### Correção
Para obter mais informações sobre os parâmetros da configuração do endpoint, consulte [Criar uma configuração de endpoint](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) no *Amazon SageMaker AI Developer* Guide.
## [SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::Model`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um modelo hospedado pela Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se o parâmetro `EnableNetworkIsolation` do modelo hospedado estiver definido como `False`.
SageMaker O treinamento de IA e os contêineres de inferência implantados são habilitados para a Internet por padrão. Se você não quiser que a SageMaker IA forneça acesso externo à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede. Se você habilitar o isolamento de rede, nenhuma chamada de rede de entrada ou saída poderá ser feita de ou para o contêiner do modelo, incluindo chamadas de ou para outros Serviços da AWS. Além disso, nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. Ativar o isolamento da rede ajuda a impedir o acesso não intencional aos seus recursos de SageMaker IA pela Internet.
**nota**
Em 13 de agosto de 2025, o Security Hub CSPM alterou o título e a descrição desse controle. O novo título e a descrição refletem com mais precisão que o controle verifica a configuração do `EnableNetworkIsolation` parâmetro dos modelos hospedados pela Amazon SageMaker AI. Anteriormente, o título desse controle era: *SageMaker models should block inbound traffic*.
### Correção
Para obter mais informações sobre isolamento de rede para modelos de SageMaker IA, consulte [Executar contêineres de treinamento e inferência no modo sem internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) no *Amazon SageMaker AI* Developer Guide. Quando você cria um modelo, é possível habilitar o isolamento de rede definindo o valor do parâmetro `EnableNetworkIsolation` como `True`.
## [SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SageMaker::AppImageConfig`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma configuração de imagem do aplicativo Amazon SageMaker AI (`AppImageConfig`) tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para adicionar tags a uma configuração de imagem do aplicativo Amazon SageMaker AI (`AppImageConfig`), você pode usar a [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operação da API SageMaker AI ou, se estiver usando a AWS CLI, executar o comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] SageMaker as imagens devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SageMaker::Image`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se uma imagem do Amazon SageMaker AI tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se a imagem não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se a imagem não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para adicionar tags a uma imagem de SageMaker IA da Amazon, você pode usar a [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)operação da API de SageMaker IA ou, se estiver usando a AWS CLI, executar o comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
**Categoria:** Detectar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::NotebookInstance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Tipo de programação:** Periódico
**Parâmetros:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (não personalizável)
Esse controle verifica se uma instância do notebook Amazon SageMaker AI está configurada para ser executada em uma plataforma compatível, com base no identificador da plataforma especificado para a instância do notebook. O controle falhará se a instância do notebook estiver configurada para ser executada em uma plataforma para a qual não haja mais suporte.
Se a plataforma de uma instância de notebook Amazon SageMaker AI não for mais suportada, ela poderá não receber patches de segurança, correções de bugs ou outros tipos de atualizações. As instâncias do notebook podem continuar funcionando, mas não receberão atualizações de segurança de SageMaker IA nem correções críticas de bugs. Você assume os riscos associados ao uso de uma plataforma sem suporte. Para obter mais informações, consulte o controle de [JupyterLabversão](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) no *Amazon SageMaker AI Developer Guide*.
### Correção
Para obter informações sobre as plataformas que a Amazon SageMaker AI suporta atualmente e como migrar para elas, consulte as [instâncias do notebook Amazon Linux 2 no](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) *Amazon SageMaker AI Developer Guide*.
## [SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma definição de trabalho de qualidade de dados do Amazon SageMaker AI tem criptografia habilitada para tráfego entre contêineres. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados não tiver a criptografia habilitada para o tráfego entre contêineres.
A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML durante o processamento distribuído para análise da qualidade dos dados.
### Correção
Para obter mais informações sobre criptografia de tráfego entre contêineres para Amazon SageMaker AI, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) no *Amazon SageMaker AI Developer Guide*. Ao criar uma definição de tarefa de qualidade de dados, você pode habilitar a criptografia de tráfego entre contêineres definindo o valor do `EnableInterContainerTrafficEncryption` parâmetro como. `True`
## [SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a definição de tarefa de explicabilidade SageMaker do modelo da Amazon tem a criptografia de tráfego entre contêineres ativada. O controle falhará se a definição do trabalho de explicabilidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.
A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML, como dados de modelo, conjuntos de dados de treinamento, resultados de processamento intermediário, parâmetros e pesos do modelo durante o processamento distribuído para análise de explicabilidade.
### Correção
Para uma definição de tarefa de explicabilidade de um SageMaker modelo existente, a criptografia de tráfego entre contêineres não pode ser atualizada em vigor. Para criar uma nova definição de tarefa de explicabilidade do SageMaker modelo com a criptografia de tráfego entre contêineres ativada, use a API ou a [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) [ou](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) e defina como. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::DataQualityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma definição de trabalho de monitoramento de qualidade de dados da Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados tiver o isolamento da rede desativado.
O isolamento da rede reduz a superfície de ataque e impede o acesso externo, protegendo assim contra acesso externo não autorizado, exposição acidental de dados e possível exfiltração de dados.
### Correção
Para obter mais informações sobre isolamento de rede para SageMaker IA, consulte [Executar contêineres de treinamento e inferência no modo sem internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) no *Amazon SageMaker AI* Developer Guide. Ao criar uma definição de tarefa de qualidade de dados, você pode ativar o isolamento da rede definindo o valor do `EnableNetworkIsolation` parâmetro como`True`.
## [SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura > Configuração da política de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se a definição de tarefa de polarização do SageMaker modelo tem o isolamento de rede ativado. O controle falhará se a definição da tarefa de polarização do modelo não tiver o isolamento de rede ativado.
O isolamento da rede impede que trabalhos tendenciosos do SageMaker modelo se comuniquem com recursos externos pela Internet. Ao habilitar o isolamento da rede, você garante que os contêineres do trabalho não possam fazer conexões de saída, reduzindo a superfície de ataque e protegendo dados confidenciais da exfiltração. Isso é particularmente importante para trabalhos que processam dados regulamentados ou confidenciais.
### Correção
Para ativar o isolamento da rede, você deve criar uma nova definição de tarefa de polarização do modelo com o `EnableNetworkIsolation` parâmetro definido como`True`. O isolamento da rede não pode ser modificado após a criação da definição do trabalho. Para criar uma nova definição de trabalho tendenciosa de modelo, consulte [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)o *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelQualityJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as definições de trabalho de qualidade do SageMaker modelo Amazon têm criptografia em trânsito habilitada para tráfego entre contêineres. O controle falhará se a definição de tarefa de qualidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.
A criptografia de tráfego entre contêineres protege os dados transmitidos entre contêineres durante trabalhos de monitoramento da qualidade do modelo distribuído. Por padrão, o tráfego entre contêineres não é criptografado. A ativação da criptografia ajuda a manter a confidencialidade dos dados durante o processamento e apoia a conformidade com os requisitos normativos para proteção de dados em trânsito.
### Correção
Para habilitar a criptografia de tráfego entre contêineres para sua definição de trabalho de qualidade de SageMaker modelo da Amazon, você deve recriar a definição de trabalho com a configuração apropriada de criptografia em trânsito. Para criar uma definição de trabalho com qualidade de modelo, consulte [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)o *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::MonitoringSchedule`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os cronogramas de SageMaker monitoramento da Amazon têm o isolamento de rede ativado. O controle falhará se um cronograma de monitoramento for EnableNetworkIsolation definido como falso ou não configurado
O isolamento da rede impede que os trabalhos de monitoramento façam chamadas de rede de saída, reduzindo a superfície de ataque ao eliminar o acesso à Internet dos contêineres.
### Correção
Para obter informações sobre como configurar o isolamento de rede no NetworkConfig parâmetro ao criar ou atualizar um cronograma de monitoramento, consulte [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)ou [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)no *Amazon SageMaker AI Developer Guide*.
## [SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as definições de trabalho tendenciosas do SageMaker modelo da Amazon têm a criptografia de tráfego entre contêineres ativada ao usar várias instâncias de computação. O controle falhará se `EnableInterContainerTrafficEncryption` for definido como falso ou não estiver configurado para definições de tarefas com uma contagem de instâncias igual ou superior a 2.
EInter- a criptografia de tráfego de contêineres protege os dados transmitidos entre instâncias de computação durante trabalhos de monitoramento de viés de modelos distribuídos. A criptografia impede o acesso não autorizado a informações relacionadas ao modelo, como pesos que são transmitidos entre instâncias.
### Correção
Para habilitar a criptografia de tráfego entre contêineres para definições de tarefas com polarização de SageMaker modelo, defina o `EnableInterContainerTrafficEncryption` parâmetro como `True` quando a definição de tarefa usa várias instâncias de computação. Para obter informações sobre como proteger as comunicações entre instâncias de computação de ML, consulte [Protect Communications Between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) no *Amazon SageMaker AI Developer Guide*.