تدعم مثيلات Amazon SageMaker Notebook الآن تكوين وتقييد إصدارات IMDS

اليوم ، نحن متحمسون للإعلان عن ذلك الأمازون SageMaker يدعم الآن القدرة على تكوين الإصدار 2 من خدمة بيانات تعريف المثيل (IMDSv2) لمثيلات الكمبيوتر المحمول ، وللمسؤولين للتحكم في الحد الأدنى من الإصدار الذي يقوم المستخدمون النهائيون بإنشاء مثيلات دفتر ملاحظات جديدة به. يمكنك الآن اختيار IMDSv2 فقط لمثيلات SageMaker Notebook الجديدة والحالية للاستفادة من أحدث حماية ودعم يوفره IMDSv2.

بيانات تعريف المثيل هي بيانات حول المثيل الخاص بك والتي يمكنك استخدامها لتكوين المثيل قيد التشغيل أو إدارته ، من خلال توفير بيانات اعتماد مؤقتة ومتكررة والتي لا يمكن الوصول إليها إلا عن طريق البرنامج الذي يعمل على المثيل. يجعل IMDS البيانات الوصفية حول المثيل ، مثل شبكته والتخزين ، متاحة من خلال عنوان IP خاص للارتباط المحلي 169.254.169.254. يمكنك استخدام IMDS على مثيلات SageMaker Notebook ، على غرار الطريقة التي تستخدم بها IMDS على ملف الأمازون الحوسبة المرنة السحابية (Amazon EC2) مثيل. للحصول على وثائق مفصلة ، انظر بيانات تعريف المثيل وبيانات المستخدم.

يضيف إصدار IMDSv2 طبقة إضافية من الحماية باستخدام مصادقة الجلسة. مع IMDSv2 ، تبدأ كل جلسة بطلب PUT إلى IMDSv2 للحصول على رمز آمن ، مع وقت انتهاء الصلاحية ، والذي يمكن أن يكون بحد أدنى 1 ثانية و 6 ساعات كحد أقصى. يجب أن يرسل أي طلب GET لاحق إلى IMDS الرمز المميز الناتج كرأس ، لتلقي استجابة ناجحة. عند انتهاء المدة المحددة ، يلزم وجود رمز مميز جديد للطلبات المستقبلية.

يبدو نموذج مكالمة IMDSv1 مشابهًا للشفرة التالية:

curl http://169.254.169.254/latest/meta-data/profile

مع IMDSv2 ، تبدو المكالمة مثل الكود التالي:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

يوفر اعتماد IMDSv2 وتعيينه كإصدار أدنى مزايا أمان متنوعة عبر IMDSv1. يحمي IMDSv2 من تكوينات جدار حماية تطبيق الويب غير المقيدة (WAF) ، وفتح الوكلاء العكسيين ، وثغرات عدم حصانة تزوير الطلب من جانب الخادم (SSRF) ، وجدران الحماية المفتوحة من الطبقة 3 و NATs التي يمكن استخدامها للوصول إلى بيانات تعريف المثيل. لمقارنة مفصلة ، انظر أضف دفاعًا بعمق ضد جدران الحماية المفتوحة والوكلاء العكسيين ونقاط ضعف SSRF مع تحسينات على خدمة بيانات تعريف مثيل EC2.

في هذا المنشور ، نوضح لك كيفية تكوين دفاتر SageMaker مع دعم IMDSv2 فقط. نشارك أيضًا خطة دعم IMDSv1 ، وكيف يمكنك فرض IMDSv2 على أجهزة الكمبيوتر المحمولة الخاصة بك.

ما الجديد في دعم IMDSv2 و SageMaker

يمكنك الآن تكوين إصدار IMDS من مثيلات SageMaker Notebook أثناء إنشاء أو تحديث المثيل ، وهو ما يمكنك القيام به عبر SageMaker API أو SageMaker Console ، مع الحد الأدنى من معلمة إصدار IMDS. يحدد الإصدار الأدنى من IMDS الحد الأدنى من الإصدار المدعوم. يسمح الضبط على القيمة 1 بدعم كل من IMDSv1 و IMDSv2 ، كما أن ضبط الحد الأدنى للإصدار على 2 يدعم IMDSv2 فقط. باستخدام جهاز كمبيوتر محمول يعمل بنظام IMDSv2 فقط ، يمكنك الاستفادة من الدفاع الإضافي المتعمق الذي يوفره IMDSv2.

نحن نقدم أيضًا ملف مفتاح شرط SageMaker لسياسات IAM يسمح لك بتقييد إصدار IMDS لمثيلات Notebook من خلال إنشاءNotebookInstance و UpdateNotebookInstance مكالمات API. يمكن للمسؤولين استخدام مفتاح الشرط هذا لتقييد المستخدمين النهائيين بإنشاء و / أو تحديث دفاتر الملاحظات لدعم IMDSv2 فقط. يمكنك إضافة مفتاح الشرط هذا إلى ملف إدارة الهوية والوصول AWS سياسة (IAM) المرفقة بمستخدمي IAM أو الأدوار أو المجموعات المسؤولة عن إنشاء وتحديث دفاتر الملاحظات.

بالإضافة إلى ذلك ، يمكنك أيضًا التبديل بين تكوينات إصدار IMDS باستخدام الحد الأدنى من معلمة إصدار IMDS في SageMaker UpdateNotebookInstance API.

يتوفر الآن دعم تكوين إصدار IMDS وتقييد إصدار IMDS إلى الإصدار 2 فقط في جميع مناطق AWS التي تتوفر فيها مثيلات SageMaker Notebook.

خطة الدعم لإصدارات IMDS على مثيلات SageMaker Notebook

في 1 يونيو 2022 ، قدمنا ​​الدعم للتحكم في الحد الأدنى من إصدار IMDS لاستخدامه مع مثيلات Amazon SageMaker Notebook. جميع مثيلات Notebook التي تم إطلاقها قبل 1 يونيو 2022 سيكون لها الحد الأدنى الافتراضي للإصدار المعين على 1. سيكون لديك خيار تحديث الإصدار الأدنى إلى 2 باستخدام SageMaker API أو وحدة التحكم.

قم بتكوين إصدار IMDS على مثيل SageMaker Notebook

يمكنك تكوين الحد الأدنى من إصدار IMDS لدفتر SageMaker من خلال وحدة تحكم AWS SageMaker (انظر إنشاء مثيل للكمبيوتر الدفتري) أو SDK أو ملف واجهة سطر الأوامر AWS (AWS CLI). هذا تكوين اختياري ، بقيمة افتراضية لتعيينها على 1 ، مما يعني أن مثيل الكمبيوتر الدفتري سيدعم مكالمات IMDSv1 و IMDSv2.

عند إنشاء مثيل دفتر ملاحظات جديد على وحدة تحكم SageMaker ، لديك الآن الخيار الحد الأدنى من إصدار IMDS لتحديد الحد الأدنى من إصدار IMDS المدعوم ، كما هو موضح في لقطة الشاشة التالية. إذا تم ضبط القيمة على 1 ، يتم دعم كلا IMDSv1 و IMDSv2. إذا تم ضبط القيمة على 2 ، يتم دعم IMDSv2 فقط.

يمكنك أيضًا تحرير مثيل دفتر ملاحظات موجود لدعم IMDSv2 فقط باستخدام وحدة تحكم SageMaker ، كما هو موضح في لقطة الشاشة التالية.

ستظل القيمة الافتراضية هي 1 حتى 31 أغسطس 2022 ، وستتحول إلى 2 في 31 أغسطس 2022.

عند استخدام AWS CLI لإنشاء دفتر ملاحظات ، يمكنك استخدام MinimumInstanceMetadataServiceVersion المعلمة لتعيين الحد الأدنى من إصدار IMDS المدعوم:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

ما يلي هو نموذج لأمر AWS CLI لإنشاء مثيل دفتر ملاحظات بدعم IMDSv2 فقط:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

إذا كنت ترغب في تحديث دفتر ملاحظات موجود لدعم IMDSv2 فقط ، فيمكنك القيام بذلك باستخدام ملف UpdateNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

فرض IMDSv2 لجميع مثيلات SageMaker Notebook

يمكنك استخدام مفتاح شرط لفرض أن المستخدمين يمكنهم فقط إنشاء أو تحديث مثيلات دفتر الملاحظات التي تدعم IMDSv2 فقط ، لتعزيز الأمان. يمكنك استخدام مفتاح الشرط هذا في سياسات IAM المرفقة بمستخدمي IAM أو الأدوار أو المجموعات المسؤولة عن إنشاء وتحديث دفاتر الملاحظات ، أو منظمات AWS سياسات مراقبة الخدمة.

ما يلي هو نموذج لبيان السياسة الذي يقيد كلاً من إنشاء وتحديث واجهات برمجة التطبيقات لمثيل دفتر الملاحظات للسماح لـ IMDSv2 فقط:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

وفي الختام

اليوم ، أعلنا عن دعم تكوين إصدار خدمة بيانات تعريف المثيل (IMDS) وتقييده إداريًا لمثيلات الكمبيوتر المحمول. أوضحنا لك كيفية تكوين إصدار IMDS لأجهزة الكمبيوتر المحمولة الجديدة والحالية الخاصة بك باستخدام وحدة تحكم SageMaker و AWS CLI. أوضحنا لك أيضًا كيفية تقييد إصدارات IMDS إداريًا باستخدام مفاتيح شرط IAM ، وناقشنا مزايا دعم IMDSv2 فقط.

إذا كانت لديك أي أسئلة أو تعليقات بخصوص IMDSv2 ، فيرجى التحدث إلى جهة اتصال دعم AWS أو نشر رسالة في Amazon EC2 و الأمازون SageMaker منتديات المناقشة.

حول المؤلف

أبورفا جوبتا هو مهندس برمجيات في فريق SageMaker Notebooks. ينصب تركيزها على تمكين العملاء من الاستفادة من SageMaker بشكل أكثر فعالية في جميع جوانب عمليات ML الخاصة بهم. ساهمت في Amazon SageMaker Notebooks منذ عام 2021. في أوقات فراغها ، تستمتع بالقراءة والرسم والبستنة والطهي والسفر.

دورجا سوري هو مهندس حلول ML في فريق Amazon SageMaker Service SA. إنها شغوفة بجعل التعلم الآلي في متناول الجميع. خلال السنوات الثلاث التي قضتها في AWS ، ساعدت في إنشاء منصات AI / ML لعملاء المؤسسات. قبل AWS ، قامت بتمكين الوكالات الحكومية وغير الهادفة للربح من استخلاص رؤى من بياناتها لتحسين نتائج التعليم. عندما لا تعمل ، تحب ركوب الدراجات النارية ، والروايات الغامضة ، والمشي مع أجشها البالغة من العمر أربع سنوات.

سيدهانث ديشباندي هو مدير الهندسة في Amazon Web Services (AWS). ينصب تركيزه الحالي على بناء البنية التحتية لأدوات التعلم الآلي (ML) المدارة الأفضل في فئتها والتي تهدف إلى الحصول على العملاء من "أحتاج إلى استخدام ML" إلى "أنا أستخدم ML بنجاح" بسرعة وسهولة. عمل في AWS منذ 2013 في أدوار هندسية مختلفة ، حيث طور خدمات AWS مثل Amazon Simple Notification Service و Amazon Simple Queue Service و Amazon EC2 و Amazon Pinpoint و Amazon SageMaker. في أوقات فراغه ، يستمتع بقضاء الوقت مع أسرته والقراءة والطبخ والبستنة والسفر حول العالم.

براشانت باوان بيسباتي هو مدير المنتج الرئيسي في Amazon Web Services (AWS). لقد أنشأ العديد من المنتجات عبر AWS و Alexa ، ويركز حاليًا على مساعدة ممارسي التعلم الآلي على زيادة إنتاجيتهم من خلال خدمات AWS.

إدوين بيجارانو هو مهندس برمجيات في فريق SageMaker Notebooks. وهو من المحاربين القدامى في القوات الجوية والذي كان يعمل في أمازون منذ عام 2017 مع مساهمات في خدمات مثل AWS Lambda و Amazon Pinpoint و Amazon Tax Exemption Program و Amazon SageMaker. في أوقات فراغه ، يستمتع بالقراءة والمشي لمسافات طويلة وركوب الدراجات ولعب ألعاب الفيديو.

• كوينسمارت. أفضل بورصة للبيتكوين والعملات المشفرة في أوروبا.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. دخول مجاني.
• كريبتوهوك. الرادار. تجربة مجانية.
• المصدر: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/