Amazon SageMaker Notebook-Instances unterstützen jetzt das Konfigurieren und Einschränken von IMDS-Versionen

Heute freuen wir uns, das zu verkünden Amazon Sage Maker unterstützt jetzt die Möglichkeit, Instance Metadata Service Version 2 (IMDSv2) für Notebook-Instances zu konfigurieren und Administratoren die Mindestversion zu steuern, mit der Endbenutzer neue Notebook-Instances erstellen. Sie können jetzt nur IMDSv2 für Ihre neuen und vorhandenen SageMaker-Notebook-Instances auswählen, um den neuesten Schutz und Support von IMDSv2 zu nutzen.

Instanz-Metadaten sind Daten über Ihre Instanz, die Sie verwenden können, um die laufende Instanz zu konfigurieren oder zu verwalten, indem Sie temporäre und häufig wechselnde Anmeldeinformationen bereitstellen, auf die nur Software zugreifen kann, die auf der Instanz ausgeführt wird. IMDS stellt Metadaten über die Instanz, wie z. B. ihr Netzwerk und ihren Speicher, über eine spezielle Link-Local-IP-Adresse von zur Verfügung 169.254.169.254. Sie können IMDS auf Ihren SageMaker-Notebook-Instances verwenden, ähnlich wie Sie IMDS auf einem verwenden würden Amazon Elastic Compute-Cloud (Amazon EC2)-Instanz. Eine ausführliche Dokumentation finden Sie unter Instanzmetadaten und Benutzerdaten.

Die Veröffentlichung von IMDSv2 fügt eine zusätzliche Schutzebene durch Sitzungsauthentifizierung hinzu. Bei IMDSv2 beginnt jede Sitzung mit einer PUT-Anforderung an IMDSv2, um ein sicheres Token mit einer Ablaufzeit zu erhalten, die mindestens 1 Sekunde und höchstens 6 Stunden betragen kann. Jede nachfolgende GET-Anforderung an IMDS muss das resultierende Token als Header senden, um eine erfolgreiche Antwort zu erhalten. Wenn die angegebene Dauer abläuft, ist für zukünftige Anforderungen ein neues Token erforderlich.

Ein Beispiel für einen IMDSv1-Aufruf sieht wie der folgende Code aus:

curl http://169.254.169.254/latest/meta-data/profile

Bei IMDSv2 sieht der Aufruf wie folgt aus:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Die Übernahme von IMDSv2 und die Einstellung als Mindestversion bietet verschiedene Sicherheitsvorteile gegenüber IMDSv1. IMDSv2 schützt vor uneingeschränkten WAF-Konfigurationen (Web Application Firewall), offenen Reverse-Proxys, Server-Side Request Forgery (SSRF)-Schwachstellen und offenen Layer-3-Firewalls und NATs, die für den Zugriff auf die Instanzmetadaten verwendet werden könnten. Einen ausführlichen Vergleich finden Sie unter Fügen Sie mit Verbesserungen des EC2-Instance-Metadatendienstes einen umfassenden Schutz vor offenen Firewalls, Reverse-Proxys und SSRF-Schwachstellen hinzu.

In diesem Beitrag zeigen wir Ihnen, wie Sie Ihre SageMaker-Notebooks nur mit IMDSv2-Unterstützung konfigurieren. Wir teilen auch den Supportplan für IMDSv1 und wie Sie IMDSv2 auf Ihren Notebooks durchsetzen können.

Was ist neu bei der IMDSv2-Unterstützung und SageMaker

Sie können jetzt die IMDS-Version von SageMaker-Notebook-Instanzen konfigurieren, während Sie die Instanz erstellen oder aktualisieren, was Sie über die SageMaker-API oder die SageMaker-Konsole tun können, mit dem Mindest-IMDS-Versionsparameter. Die IMDS-Mindestversion gibt die unterstützte Mindestversion an. Das Festlegen des Werts 1 ermöglicht die Unterstützung sowohl für IMDSv1 als auch IMDSv2, und das Festlegen der Mindestversion auf 2 unterstützt nur IMDSv2. Mit einem Nur-IMDSv2-Notebook können Sie die zusätzliche Verteidigungstiefe nutzen, die IMDSv2 bietet.

Wir bieten auch eine SageMaker-Bedingungsschlüssel für IAM-Richtlinien Damit können Sie die IMDS-Version für Notebook-Instanzen über die einschränken CreateNotebookInstance machen UpdateNotebookInstance API-Aufrufe. Administratoren können diesen Bedingungsschlüssel verwenden, um ihre Endbenutzer darauf zu beschränken, Notizbücher zu erstellen und/oder zu aktualisieren, um nur IMDSv2 zu unterstützen. Diesen Bedingungsschlüssel können Sie dem hinzufügen AWS Identity and Access Management and (IAM)-Richtlinie, die IAM-Benutzern, -Rollen oder -Gruppen zugeordnet ist, die für das Erstellen und Aktualisieren von Notebooks verantwortlich sind.

Darüber hinaus können Sie auch zwischen IMDS-Versionskonfigurationen wechseln, indem Sie den IMDS-Mindestversionsparameter in SageMaker verwenden UpdateNotebookInstance API.

Unterstützung für die Konfiguration der IMDS-Version und die Einschränkung der IMDS-Version auf nur v2 ist jetzt in allen AWS-Regionen verfügbar, in denen SageMaker-Notebook-Instances verfügbar sind.

Supportplan für IMDS-Versionen auf SageMaker Notebook-Instanzen

Am 1. Juni 2022 haben wir die Unterstützung für die Steuerung der Mindestversion von IMDS eingeführt, die mit Amazon SageMaker-Notebook-Instances verwendet werden soll. Bei allen Notebook-Instanzen, die vor dem 1. Juni 2022 gestartet wurden, ist die standardmäßige Mindestversion auf 1 festgelegt. Sie haben die Möglichkeit, die Mindestversion mithilfe der SageMaker-API oder der Konsole auf 2 zu aktualisieren.

Konfigurieren Sie die IMDS-Version auf Ihrer SageMaker Notebook-Instanz

Sie können die IMDS-Mindestversion für SageMaker-Notebooks über die AWS SageMaker-Konsole konfigurieren (siehe Erstellen Sie eine Notebook-Instanz), SDK oder die AWS-Befehlszeilenschnittstelle (AWS-CLI). Dies ist eine optionale Konfiguration mit einem Standardwert, der auf 1 festgelegt wird, was bedeutet, dass die Notebook-Instance sowohl IMDSv1- als auch IMDSv2-Aufrufe unterstützt.

Beim Erstellen einer neuen Notebook-Instanz in der SageMaker-Konsole haben Sie jetzt die Möglichkeit Minimale IMDS-Version , um die unterstützte IMDS-Mindestversion anzugeben, wie im folgenden Screenshot gezeigt. Wenn der Wert auf 1 gesetzt ist, werden sowohl IMDSv1 als auch IMDSv2 unterstützt. Wenn der Wert auf 2 gesetzt ist, wird nur IMDSv2 unterstützt.

Sie können auch eine vorhandene Notebook-Instance so bearbeiten, dass sie nur IMDSv2 unterstützt, indem Sie die SageMaker-Konsole verwenden, wie im folgenden Screenshot gezeigt.

Der Standardwert bleibt bis zum 1. August 31 2022 und wechselt am 2. August 31 auf 2022.

Wenn Sie die AWS CLI zum Erstellen eines Notebooks verwenden, können Sie die MinimumInstanceMetadataServiceVersion Parameter zum Einstellen der minimal unterstützten IMDS-Version:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Das Folgende ist ein Beispiel für einen AWS CLI-Befehl zum Erstellen einer Notebook-Instance nur mit IMDSv2-Unterstützung:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Wenn Sie ein vorhandenes Notebook aktualisieren möchten, damit es nur IMDSv2 unterstützt, können Sie dies mit dem tun UpdateNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Erzwingen Sie IMDSv2 für alle SageMaker Notebook-Instanzen

Sie können einen Bedingungsschlüssel verwenden, um zu erzwingen, dass Ihre Benutzer nur Notebook-Instanzen erstellen oder aktualisieren können, die nur IMDSv2 unterstützen, um die Sicherheit zu erhöhen. Sie können diesen Bedingungsschlüssel in IAM-Richtlinien verwenden, die den IAM-Benutzern, -Rollen oder -Gruppen zugeordnet sind, die für das Erstellen und Aktualisieren der Notebooks verantwortlich sind, oder AWS-Organisationen Dienstkontrollrichtlinien.

Im Folgenden finden Sie eine beispielhafte Richtlinienanweisung, die APIs zum Erstellen und Aktualisieren von Notebook-Instanzen so einschränkt, dass nur IMDSv2 zulässig ist:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Zusammenfassung

Heute haben wir die Unterstützung für die Konfiguration und administrative Einschränkung Ihrer Version des Instance Metadata Service (IMDS) für Notebook-Instances angekündigt. Wir haben Ihnen gezeigt, wie Sie die IMDS-Version für Ihre neuen und vorhandenen Notebooks mit der SageMaker-Konsole und AWS CLI konfigurieren. Wir haben Ihnen auch gezeigt, wie Sie IMDS-Versionen mithilfe von IAM-Bedingungsschlüsseln administrativ einschränken können, und die Vorteile der ausschließlichen Unterstützung von IMDSv2 erörtert.

Wenn Sie Fragen und Feedback zu IMDSv2 haben, wenden Sie sich bitte an Ihren AWS-Supportkontakt oder posten Sie eine Nachricht im Amazon EC2 machen Amazon Sage Maker Diskussionsforen.

Über die Autoren

Apoorva Gupta ist Software Engineer im SageMaker Notebooks-Team. Ihr Fokus liegt darauf, Kunden zu ermöglichen, SageMaker in allen Aspekten ihrer ML-Operationen effektiver zu nutzen. Seit 2021 trägt sie zu Amazon SageMaker Notebooks bei. In ihrer Freizeit liest, malt, arbeitet, kocht und reist sie gerne im Garten.

Durga Sury ist ML Solutions Architect im Team von Amazon SageMaker Service SA. Sie setzt sich leidenschaftlich dafür ein, maschinelles Lernen für alle zugänglich zu machen. In ihren 3 Jahren bei AWS hat sie beim Aufbau von KI/ML-Plattformen für Unternehmenskunden geholfen. Vor AWS ermöglichte sie gemeinnützigen und Regierungsbehörden, Erkenntnisse aus ihren Daten zu gewinnen, um die Bildungsergebnisse zu verbessern. Wenn sie nicht arbeitet, liebt sie Motorradfahrten, Krimis und Wanderungen mit ihrem vierjährigen Husky.

Siddhanth Deshpande ist Engineering Manager bei Amazon Web Services (AWS). Sein derzeitiger Fokus liegt auf dem Aufbau einer erstklassigen Managed Machine Learning (ML)-Infrastruktur und Tooling-Services, die darauf abzielen, Kunden schnell und einfach von „Ich muss ML verwenden“ zu „Ich verwende ML erfolgreich“ zu bringen. Er arbeitet seit 2013 für AWS in verschiedenen technischen Funktionen und entwickelt AWS-Services wie Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint und Amazon SageMaker. In seiner Freizeit verbringt er gerne Zeit mit seiner Familie, liest, kocht, arbeitet im Garten und bereist die Welt.

Prashant Pawan Pisipati ist Principal Product Manager bei Amazon Web Services (AWS). Er hat verschiedene Produkte für AWS und Alexa entwickelt und konzentriert sich derzeit darauf, Praktikern des maschinellen Lernens dabei zu helfen, durch AWS-Services produktiver zu werden.

Edwin Bejarano ist Software Engineer im SageMaker Notebooks-Team. Er ist ein Air Force-Veteran, der seit 2017 für Amazon arbeitet und Beiträge zu Diensten wie AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program und Amazon SageMaker geleistet hat. In seiner Freizeit liest er gerne, wandert, fährt Rad und spielt Videospiele.

• Coinsmart. Europas beste Bitcoin- und Krypto-Börse.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. DEN FREIEN ZUGANG.
• CryptoHawk. Altcoin-Radar. Kostenlose Testphase.
• Quelle: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/