Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner PlatoBlockchain Data Intelligence. Lodret søgning. Ai.

Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner

Tidsstempel: 2. juni 2022 kl. 6

I dag er vi glade for at kunne meddele det Amazon SageMaker understøtter nu muligheden for at konfigurere Instance Metadata Service Version 2 (IMDSv2) til Notebook-forekomster og for administratorer til at kontrollere minimumsversionen, som slutbrugere opretter nye Notebook-instanser med. Du kan nu kun vælge IMDSv2 til dine nye og eksisterende SageMaker Notebook Instances for at drage fordel af den seneste beskyttelse og support fra IMDSv2.

Forekomst metadata er data om din instans, som du kan bruge til at konfigurere eller administrere den kørende instans ved at give midlertidige og ofte roterede legitimationsoplysninger, som kun kan tilgås af software, der kører på instansen. IMDS gør metadata om instansen, såsom dens netværk og lager, tilgængelige via en særlig link-lokal IP-adresse på 169.254.169.254. Du kan bruge IMDS på dine SageMaker Notebook Instances, på samme måde som du ville bruge IMDS på en Amazon Elastic Compute Cloud (Amazon EC2) forekomst. For detaljeret dokumentation, se Instansmetadata og brugerdata.

Udgivelsen af ​​IMDSv2 tilføjer et ekstra lag af beskyttelse ved hjælp af sessionsgodkendelse. Med IMDSv2 starter hver session med en PUT-anmodning til IMDSv2 for at få et sikkert token, med en udløbstid, som kan være minimum 1 sekund og maksimalt 6 timer. Enhver efterfølgende GET-anmodning til IMDS skal sende det resulterende token som en header for at modtage et vellykket svar. Når den angivne varighed udløber, kræves der et nyt token til fremtidige anmodninger.

Et eksempel på IMDSv1-kald ser ud som følgende kode:

curl http://169.254.169.254/latest/meta-data/profile

Med IMDSv2 ser opkaldet ud som følgende kode:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

At adoptere IMDSv2 og indstille den som minimumsversion giver forskellige sikkerhedsfordele i forhold til IMDSv1. IMDSv2 beskytter mod ubegrænsede WAF-konfigurationer (Web Application Firewall), åbne omvendte proxyer, Server-Side Request Forgery (SSRF) sårbarheder og åbne lag 3-firewalls og NAT'er, der kan bruges til at få adgang til instansens metadata. For en detaljeret sammenligning, se Tilføj dybdegående forsvar mod åbne firewalls, omvendte proxyer og SSRF-sårbarheder med forbedringer til EC2 Instance Metadata Service.

I dette indlæg viser vi dig, hvordan du konfigurerer dine SageMaker-notebooks med kun IMDSv2-understøttelse. Vi deler også supportplanen for IMDSv1, og hvordan du kan håndhæve IMDSv2 på dine notebooks.

Hvad er nyt med IMDSv2-understøttelse og SageMaker

Du kan nu konfigurere IMDS-versionen af ​​SageMaker Notebook Instances, mens du opretter eller opdaterer instansen, hvilket du kan gøre via SageMaker API eller SageMaker Console med minimums IMDS-versionsparameteren. Minimums-IMDS-versionen angiver den mindste understøttede version. Indstilling til en værdi på 1 tillader understøttelse af både IMDSv1 og IMDSv2, og indstilling af minimumsversionen til 2 understøtter kun IMDSv2. Med en kun IMDSv2-notebook kan du udnytte det yderligere forsvar i dybden, som IMDSv2 giver.

Vi tilbyder også en SageMaker betingelsesnøgle til IAM-politikker der giver dig mulighed for at begrænse IMDS-versionen for Notebook-forekomster gennem OpretNotebookInstance , OpdaterNotebookInstance API-kald. Administratorer kan bruge denne betingelsesnøgle til at begrænse deres slutbrugere til at oprette og/eller opdatere notesbøger til kun at understøtte IMDSv2. Du kan tilføje denne betingelsesnøgle til AWS identitets- og adgangsstyring (IAM) politik knyttet til IAM-brugere, roller eller grupper, der er ansvarlige for at oprette og opdatere notesbøger.

Derudover kan du også skifte mellem IMDS-versionskonfigurationer ved at bruge minimums-IMDS-versionsparameteren i SageMaker OpdaterNotebookInstance API.

Support til konfiguration af IMDS-versionen og begrænsning af IMDS-versionen til kun v2 er nu tilgængelig i alle AWS-regioner, hvor SageMaker Notebook Instances er tilgængelige.

Supportplan for IMDS-versioner på SageMaker Notebook Instances

Den 1. juni 2022 udrullede vi support til at kontrollere minimumsversionen af ​​IMDS, der skal bruges med Amazon SageMaker Notebook Instances. Alle Notebook-forekomster lanceret før 1. juni 2022 vil have standardminimumsversionen sat til 1. Du vil have mulighed for at opdatere minimumsversionen til 2 ved hjælp af SageMaker API eller konsollen.

Konfigurer IMDS-versionen på din SageMaker Notebook Instance

Du kan konfigurere minimums-IMDS-versionen for SageMaker notebook via AWS SageMaker-konsollen (se Opret en Notebook-instans), SDK eller AWS kommandolinjegrænseflade (AWS CLI). Dette er en valgfri konfiguration med en standardværdi til 1, hvilket betyder, at notebook-forekomsten understøtter både IMDSv1- og IMDSv2-opkald.

Når du opretter en ny notebook-instans på SageMaker-konsollen, har du nu muligheden Minimum IMDS version for at angive den mindste understøttede IMDS-version, som vist på det følgende skærmbillede. Hvis værdien er sat til 1, understøttes både IMDSv1 og IMDSv2. Hvis værdien er sat til 2, understøttes kun IMDSv2.

create-notebook-instance-screenshot

Du kan også redigere en eksisterende notebook-forekomst til kun at understøtte IMDSv2 ved hjælp af SageMaker-konsollen, som vist på det følgende skærmbillede.

edit-notebook-instance-screenshot

Standardværdien forbliver 1 indtil 31. august 2022 og skifter til 2 den 31. august 2022.

Når du bruger AWS CLI til at oprette en notesbog, kan du bruge MinimumInstanceMetadataServiceVersion parameter for at indstille den mindste understøttede IMDS-version:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Følgende er et eksempel på en AWS CLI-kommando til at oprette en notesbogsforekomst med kun IMDSv2-understøttelse:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Hvis du vil opdatere en eksisterende notebook til kun at understøtte IMDSv2, kan du gøre det ved at bruge OpdaterNotebookInstance API'er:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Håndhæv IMDSv2 for alle SageMaker Notebook-forekomster

Du kan bruge en betingelsesnøgle til at håndhæve, at dine brugere kun kan oprette eller opdatere Notebook-forekomster, der kun understøtter IMDSv2, for at øge sikkerheden. Du kan bruge denne betingelsesnøgle i IAM-politikker knyttet til IAM-brugere, roller eller grupper, der er ansvarlige for at oprette og opdatere notesbøgerne, eller AWS-organisationer servicekontrolpolitikker.

Følgende er et eksempel på en politikerklæring, der begrænser både oprettelse og opdatering af notebook-forekomst-API'er til kun at tillade IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Konklusion

I dag annoncerede vi support til konfiguration og administrativ begrænsning af din Instance Metadata Service-version (IMDS) til Notebook-forekomster. Vi viste dig, hvordan du konfigurerer IMDS-versionen til dine nye og eksisterende notebooks ved hjælp af SageMaker-konsollen og AWS CLI. Vi viste dig også, hvordan du administrativt begrænser IMDS-versioner ved hjælp af IAM-tilstandsnøgler, og diskuterede fordelene ved kun at understøtte IMDSv2.

Hvis du har spørgsmål og feedback vedrørende IMDSv2, bedes du tale med din AWS-supportkontakt eller skrive en besked i Amazon EC2 , Amazon SageMaker diskussionsfora.

Om forfatterne

Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner PlatoBlockchain Data Intelligence. Lodret søgning. Ai. Apoorva Gupta er softwareingeniør på SageMaker Notebooks-teamet. Hendes fokus er på at gøre det muligt for kunderne at udnytte SageMaker mere effektivt i alle aspekter af deres ML-drift. Hun har bidraget til Amazon SageMaker Notebooks siden 2021. I sin fritid nyder hun at læse, male, havearbejde, lave mad og rejse.

Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner PlatoBlockchain Data Intelligence. Lodret søgning. Ai.Durga Sury er en ML Solutions Architect i Amazon SageMaker Service SA-teamet. Hun brænder for at gøre machine learning tilgængelig for alle. I sine 3 år hos AWS har hun været med til at opsætte AI/ML-platforme til virksomhedskunder. Forud for AWS gjorde hun det muligt for non-profit og offentlige myndigheder at få indsigt fra deres data for at forbedre uddannelsesresultater. Når hun ikke arbejder, elsker hun motorcykelture, mysterieromaner og vandreture med sin fireårige husky.

Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner PlatoBlockchain Data Intelligence. Lodret søgning. Ai.Siddhanth Deshpande er ingeniørchef hos Amazon Web Services (AWS). Hans nuværende fokus er at opbygge klassens bedste administrerede Machine Learning (ML) infrastruktur og værktøjstjenester, som har til formål at få kunderne fra "Jeg skal bruge ML" til "Jeg bruger ML med succes" hurtigt og nemt. Han har arbejdet for AWS siden 2013 i forskellige ingeniørroller og udviklet AWS-tjenester som Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint og Amazon SageMaker. I sin fritid nyder han at bruge tid sammen med sin familie, læse, lave mad, lave havearbejde og rejse verden rundt.

Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner PlatoBlockchain Data Intelligence. Lodret søgning. Ai.Prashant Pawan Pisipati er hovedproduktchef hos Amazon Web Services (AWS). Han har bygget forskellige produkter på tværs af AWS og Alexa, og er i øjeblikket fokuseret på at hjælpe maskinlæringsudøvere med at blive mere produktive gennem AWS-tjenester.

Amazon SageMaker Notebook Instances understøtter nu konfiguration og begrænsning af IMDS-versioner PlatoBlockchain Data Intelligence. Lodret søgning. Ai.Edwin Bejarano er softwareingeniør på SageMaker Notebooks-teamet. Han er en luftvåbenveteran, der har arbejdet for Amazon siden 2017 med bidrag til tjenester som AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program og Amazon SageMaker. I sin fritid nyder han at læse, vandre, cykle og spille videospil.

Tidsstempel:

Mere fra AWS maskinindlæring