

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Security Hub CSPM 中的 AI 安全最佳實務標準
<a name="standards-ai-security"></a>

AI 安全最佳實務標準是一組自動化安全檢查，可偵測部署的 AI 資源何時不符合安全最佳實務。此標準由AWS安全專家開發，提供一組精選的控制項，協助您識別 AI 工作負載偏離建議安全組態的區域。

在 AWSSecurity Hub CSPM 中，AI 安全最佳實務標準包含持續評估 資源的控制項。這些控制項涵蓋安全網域，包括但不限於網路隔離、靜態和傳輸中加密、VPC 放置、AWS KMS金鑰使用和私有登錄要求。每個控制項都會指派一個類別，以反映控制項套用的安全函數。如需類別和其他詳細資訊的清單，請參閱 [Security Hub CSPM 中的控制類別](control-categories.md)。

AI 安全最佳實務標準具有下列 Amazon Resource Name (ARN)：`arn:aws:securityhub:{{region}}::standards/ai-security-best-practices/v/1.0.0`，其中 {{region}} 是適用的區域代碼AWS 區域。您也可以使用 Security Hub CSPM API 的 [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作來擷取目前啟用的標準 ARN。

## 適用於標準的控制項
<a name="ai-security-standard-controls"></a>

下列清單指定哪些 AWSSecurity Hub CSPM 控制項適用於 AI 安全最佳實務標準 (v1.0.0)。若要檢閱控制項的詳細資訊，請選擇控制項。
+ [【Bedrock.1】 Amazon Bedrock 資料來源應使用客戶受管AWS KMS金鑰加密](bedrock-controls.md#bedrock-1)
+ [【BedrockAgentCore.1] Bedrock AgentCore 執行時間應使用 VPC 網路模式設定](bedrockagentcore-controls.md#bedrockagentcore-1)
+ [【BedrockAgentCore.2] Bedrock AgentCore Gateways 需要傳入請求的授權](bedrockagentcore-controls.md#bedrockagentcore-2)
+ [【BedrockAgentCore.3] Bedrock AgentCore 記憶體應使用客戶受管AWS KMS金鑰加密](bedrockagentcore-controls.md#bedrockagentcore-3)
+ [【BedrockAgentCore.4] Bedrock AgentCore Gateway 應使用客戶受管AWS KMS金鑰加密](bedrockagentcore-controls.md#bedrockagentcore-4)
+ [【BedrockAgentCore.5] Bedrock AgentCore 自訂瀏覽器不應使用公有網路模式](bedrockagentcore-controls.md#bedrockagentcore-5)
+ [【BedrockAgentCore.6] Bedrock AgentCore 自訂瀏覽器應啟用工作階段記錄](bedrockagentcore-controls.md#bedrockagentcore-6)
+ [【BedrockAgentCore.7] Bedrock AgentCore 自訂程式碼解譯器應使用私有網路組態](bedrockagentcore-controls.md#bedrockagentcore-7)
+ [【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1)
+ [【SageMaker.2] 應在自訂 VPC 中啟動 SageMaker 筆記本執行個體](sagemaker-controls.md#sagemaker-2)
+ [【SageMaker.3] 使用者不應擁有 SageMaker 筆記本執行個體的根存取權](sagemaker-controls.md#sagemaker-3)
+ [【SageMaker.4] SageMaker 端點生產變體的初始執行個體計數應大於 1](sagemaker-controls.md#sagemaker-4)
+ [【SageMaker.5] SageMaker 模型應該啟用網路隔離](sagemaker-controls.md#sagemaker-5)
+ [【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行](sagemaker-controls.md#sagemaker-8)
+ [【SageMaker.9] SageMaker 資料品質任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-9)
+ [【SageMaker.10] SageMaker 模型可解釋性任務定義應啟用容器間流量加密](sagemaker-controls.md#sagemaker-10)
+ [【SageMaker.11] SageMaker 資料品質任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-11)
+ [【SageMaker.12] SageMaker 模型偏差任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-12)
+ [【SageMaker.13] SageMaker 模型品質任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-13)
+ [【SageMaker.14] SageMaker 監控排程應該啟用網路隔離](sagemaker-controls.md#sagemaker-14)
+ [【SageMaker.15] SageMaker 模型偏差任務定義應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-15)
+ [【SageMaker.16] SageMaker 模型應將 VPC 中的私有登錄檔用於主要容器](sagemaker-controls.md#sagemaker-16)
+ [【SageMaker.17] SageMaker 功能群組離線存放區應使用AWS KMS金鑰加密](sagemaker-controls.md#sagemaker-17)
+ [【SageMaker.18] 使用標準儲存的 SageMaker 功能群組線上存放區應使用AWS KMS金鑰加密](sagemaker-controls.md#sagemaker-18)
+ [【SageMaker.19] SageMaker 模型應該在 VPC 中使用私有登錄檔進行多容器推論管道](sagemaker-controls.md#sagemaker-19)
+ [【SageMaker.20] SageMaker 模型可解釋性任務定義應啟用網路隔離](sagemaker-controls.md#sagemaker-20)
+ [【SageMaker.21] SageMaker 筆記本執行個體應使用客戶受管AWS KMS金鑰加密](sagemaker-controls.md#sagemaker-21)
+ [【SageMaker.22] SageMaker 監控排程應該啟用容器間流量加密](sagemaker-controls.md#sagemaker-22)
+ [【SageMaker.23] SageMaker 推論實驗應使用客戶受管AWS KMS金鑰加密執行個體儲存磁碟區](sagemaker-controls.md#sagemaker-23)
+ [【SageMaker.24] SageMaker 推論實驗應使用客戶受管AWS KMS金鑰加密資料儲存](sagemaker-controls.md#sagemaker-24)
+ [【SageMaker.25] SageMaker 模型品質任務定義應該啟用網路隔離](sagemaker-controls.md#sagemaker-25)