

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Padrão de melhores práticas de segurança de IA no Security Hub CSPM
<a name="standards-ai-security"></a>

O padrão de melhores práticas de segurança de IA é um conjunto de verificações de segurança automatizadas que detectam quando os recursos de IA implantados não estão alinhados às melhores práticas de segurança. Desenvolvido por especialistas em AWS segurança, esse padrão fornece um conjunto selecionado de controles que ajudam a identificar áreas em que suas cargas de trabalho de IA se desviam das configurações de segurança recomendadas.

No AWS Security Hub CSPM, o padrão AI Security Best Practices inclui controles que avaliam continuamente seus recursos. Os controles abrangem domínios de segurança, incluindo, entre outros, isolamento de rede, criptografia em repouso e em trânsito, posicionamento da VPCAWS KMS, uso de chaves e requisitos de registro privado. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter uma lista de categorias e detalhes adicionais, consulte [Categorias de controle no CSPM do Security Hub](control-categories.md).

O padrão AI Security Best Practices tem o seguinte nome de recurso da Amazon (ARN):`arn:aws:securityhub:{{region}}::standards/ai-security-best-practices/v/1.0.0`, onde {{region}} está o código da região aplicável. Região da AWS Você também pode usar a [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)operação da API CSPM do Security Hub para recuperar o ARN de um padrão atualmente habilitado.

## Controles que se aplicam ao padrão
<a name="ai-security-standard-controls"></a>

A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AI Security Best Practices (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.
+ [[Bedrock.1] As fontes de dados do Amazon Bedrock devem ser criptografadas com gerenciamento de clientesAWS KMSkeys](bedrock-controls.md#bedrock-1)
+ [[BedrockAgentCore.1] Os AgentCore tempos de execução do Bedrock devem ser configurados com o modo de rede VPC](bedrockagentcore-controls.md#bedrockagentcore-1)
+ [[BedrockAgentCore.2] Os Bedrock AgentCore Gateways devem exigir autorização para solicitações de entrada](bedrockagentcore-controls.md#bedrockagentcore-2)
+ [[BedrockAgentCore.3] A AgentCore memória Bedrock deve ser criptografada e gerenciada pelo clienteAWS KMSkeys](bedrockagentcore-controls.md#bedrockagentcore-3)
+ [[BedrockAgentCore.4] O Bedrock AgentCore Gateway deve ser criptografado com gerenciamento de clientesAWS KMSkeys](bedrockagentcore-controls.md#bedrockagentcore-4)
+ [[BedrockAgentCore.5] Os navegadores AgentCore personalizados Bedrock não devem usar o modo de rede pública](bedrockagentcore-controls.md#bedrockagentcore-5)
+ [[BedrockAgentCore.6] Os navegadores AgentCore personalizados do Bedrock devem ter a gravação de sessão ativada](bedrockagentcore-controls.md#bedrockagentcore-6)
+ [[BedrockAgentCore.7] Os intérpretes de código AgentCore personalizados do Bedrock devem usar uma configuração de rede privada](bedrockagentcore-controls.md#bedrockagentcore-7)
+ [[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] as variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] as definições de tarefas de qualidade de SageMaker dados devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] as definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] as definições de tarefas de qualidade de SageMaker dados devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] os cronogramas de SageMaker monitoramento devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] as definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-15)
+ [[SageMaker.16] SageMaker os modelos devem usar registro privado em VPC para contêineres primários](sagemaker-controls.md#sagemaker-16)
+ [[SageMaker.17] SageMaker As lojas off-line do grupo de recursos devem ser criptografadas comAWS KMSkeys](sagemaker-controls.md#sagemaker-17)
+ [[SageMaker.18] lojas online de grupos de SageMaker recursos com armazenamento padrão devem ser criptografadas comAWS KMSkeys](sagemaker-controls.md#sagemaker-18)
+ [[SageMaker.19] SageMaker os modelos devem usar registro privado na VPC para pipelines de inferência de vários contêineres](sagemaker-controls.md#sagemaker-19)
+ [[SageMaker.20] as definições de tarefas de explicabilidade do SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-20)
+ [[SageMaker.21] as instâncias do SageMaker notebook devem ser criptografadas com o gerenciamento do clienteAWS KMSkeys](sagemaker-controls.md#sagemaker-21)
+ [[SageMaker.22] os cronogramas SageMaker de monitoramento devem ter a criptografia de tráfego entre contêineres ativada](sagemaker-controls.md#sagemaker-22)
+ [[SageMaker.23] os experimentos de SageMaker inferência devem ter o volume de armazenamento da instância criptografado e gerenciado pelo clienteAWS KMSkeys](sagemaker-controls.md#sagemaker-23)
+ [[SageMaker.24] os experimentos de SageMaker inferência devem ter o armazenamento de dados criptografado e gerenciado pelo clienteAWS KMSkeys](sagemaker-controls.md#sagemaker-24)
+ [[SageMaker.25] as definições de trabalho de qualidade do SageMaker modelo devem ter o isolamento de rede ativado](sagemaker-controls.md#sagemaker-25)