Το Amazon SageMaker Notebook Instances υποστηρίζει πλέον τη διαμόρφωση και τον περιορισμό των εκδόσεων IMDS

Σήμερα, είμαστε ενθουσιασμένοι να το ανακοινώσουμε Amazon Sage Maker υποστηρίζει πλέον τη δυνατότητα ρύθμισης παραμέτρων της υπηρεσίας μεταδεδομένων Instance Version 2 (IMDSv2) για Παρουσίες Notebook και για τους διαχειριστές να ελέγχουν την ελάχιστη έκδοση με την οποία οι τελικοί χρήστες δημιουργούν νέες παρουσίες Notebook. Τώρα μπορείτε να επιλέξετε IMDSv2 μόνο για τις νέες και υπάρχουσες Παρουσίες Notebook SageMaker για να επωφεληθείτε από την πιο πρόσφατη προστασία και υποστήριξη που παρέχεται από το IMDSv2.

Μεταδεδομένα παρουσίας είναι δεδομένα σχετικά με την παρουσία σας που μπορείτε να χρησιμοποιήσετε για να διαμορφώσετε ή να διαχειριστείτε την παρουσία που εκτελείται, παρέχοντας προσωρινά και συχνά εναλλασσόμενα διαπιστευτήρια στα οποία είναι δυνατή η πρόσβαση μόνο από λογισμικό που εκτελείται στην παρουσία. Το IMDS καθιστά διαθέσιμα μεταδεδομένα σχετικά με το στιγμιότυπο, όπως το δίκτυο και η αποθήκευσή του, μέσω μιας ειδικής σύνδεσης-τοπικής διεύθυνσης IP του 169.254.169.254. Μπορείτε να χρησιμοποιήσετε το IMDS στις παρουσίες του SageMaker Notebook σας, όπως θα χρησιμοποιούσατε το IMDS σε Amazon Elastic Compute Cloud (Amazon EC2) παράδειγμα. Για λεπτομερή τεκμηρίωση, βλ Μεταδεδομένα παρουσίας και δεδομένα χρήστη.

Η κυκλοφορία του IMDSv2 προσθέτει ένα επιπλέον επίπεδο προστασίας χρησιμοποιώντας έλεγχο ταυτότητας περιόδου λειτουργίας. Με το IMDSv2, κάθε περίοδος σύνδεσης ξεκινά με ένα αίτημα PUT στο IMDSv2 για να λάβετε ένα ασφαλές διακριτικό, με χρόνο λήξης, ο οποίος μπορεί να είναι τουλάχιστον 1 δευτερόλεπτο και το πολύ 6 ώρες. Οποιοδήποτε επόμενο αίτημα GET στο IMDS πρέπει να στείλει το διακριτικό που προκύπτει ως κεφαλίδα, προκειμένου να λάβετε μια επιτυχή απάντηση. Όταν λήξει η καθορισμένη διάρκεια, απαιτείται νέο διακριτικό για μελλοντικά αιτήματα.

Ένα δείγμα κλήσης IMDSv1 μοιάζει με τον ακόλουθο κώδικα:

curl http://169.254.169.254/latest/meta-data/profile

Με το IMDSv2, η κλήση μοιάζει με τον ακόλουθο κώδικα:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Η υιοθέτηση του IMDSv2 και ο ορισμός του ως η ελάχιστη έκδοση προσφέρει διάφορα πλεονεκτήματα ασφάλειας έναντι του IMDSv1. Το IMDSv2 προστατεύει από απεριόριστες διαμορφώσεις Τείχους προστασίας εφαρμογών Ιστού (WAF), ανοιχτούς αντίστροφους διακομιστή μεσολάβησης, ευπάθειες πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) και τείχη προστασίας ανοιχτού επιπέδου 3 και NAT που θα μπορούσαν να χρησιμοποιηθούν για πρόσβαση στα μεταδεδομένα της παρουσίας. Για μια λεπτομερή σύγκριση, βλ Προσθέστε άμυνα σε βάθος ενάντια σε ανοιχτά τείχη προστασίας, αντίστροφα διακομιστές μεσολάβησης και ευπάθειες SSRF με βελτιώσεις στην υπηρεσία μεταδεδομένων παρουσίας EC2.

Σε αυτήν την ανάρτηση, σας δείχνουμε πώς να διαμορφώσετε τους φορητούς υπολογιστές SageMaker με υποστήριξη μόνο IMDSv2. Μοιραζόμαστε επίσης το σχέδιο υποστήριξης για το IMDSv1 και πώς μπορείτε να επιβάλετε το IMDSv2 στους φορητούς υπολογιστές σας.

Τι νέο υπάρχει με την υποστήριξη IMDSv2 και το SageMaker

Τώρα μπορείτε να διαμορφώσετε την έκδοση IMDS των Παρουσιάσεων του SageMaker Notebook κατά τη δημιουργία ή την ενημέρωση της παρουσίας, κάτι που μπορείτε να κάνετε μέσω του SageMaker API ή της Κονσόλας SageMaker, με την ελάχιστη παράμετρο έκδοσης IMDS. Η ελάχιστη έκδοση IMDS καθορίζει την ελάχιστη υποστηριζόμενη έκδοση. Η ρύθμιση σε τιμή 1 επιτρέπει την υποστήριξη τόσο για IMDSv1 όσο και για IMDSv2 και η ρύθμιση της ελάχιστης έκδοσης σε 2 υποστηρίζει μόνο IMDSv2. Με έναν φορητό υπολογιστή μόνο IMDSv2, μπορείτε να αξιοποιήσετε την πρόσθετη άμυνα σε βάθος που παρέχει το IMDSv2.

Παρέχουμε επίσης α Κλειδί συνθήκης SageMaker για τις πολιτικές IAM που σας επιτρέπει να περιορίσετε την έκδοση IMDS για Παρουσίες Notebook μέσω του CreateNotebookInstance και UpdateNotebookInstance Κλήσεις API. Οι διαχειριστές μπορούν να χρησιμοποιήσουν αυτό το κλειδί συνθήκης για να περιορίσουν τους τελικούς χρήστες τους στη δημιουργία και/ή την ενημέρωση σημειωματάριων για υποστήριξη μόνο IMDSv2. Μπορείτε να προσθέσετε αυτό το κλειδί συνθήκης στο Διαχείριση ταυτότητας και πρόσβασης AWS πολιτική (IAM) που συνδέεται με χρήστες, ρόλους ή ομάδες IAM που είναι υπεύθυνες για τη δημιουργία και την ενημέρωση σημειωματάριων.

Επιπλέον, μπορείτε επίσης να κάνετε εναλλαγή μεταξύ των διαμορφώσεων έκδοσης IMDS χρησιμοποιώντας την παράμετρο ελάχιστης έκδοσης IMDS στο SageMaker UpdateNotebookInstance API.

Η υποστήριξη για τη διαμόρφωση της έκδοσης IMDS και τον περιορισμό της έκδοσης IMDS μόνο σε έκδοση 2 είναι πλέον διαθέσιμη σε όλες τις Περιοχές AWS στις οποίες είναι διαθέσιμες οι Παρουσίες Notebook SageMaker.

Σχέδιο υποστήριξης για εκδόσεις IMDS σε Παρουσίες Notebook SageMaker

Την 1η Ιουνίου 2022, παρουσιάσαμε υποστήριξη για τον έλεγχο της ελάχιστης έκδοσης του IMDS που θα χρησιμοποιηθεί με τις Παρουσίες φορητών υπολογιστών Amazon SageMaker. Όλες οι Παρουσίες Notebook που κυκλοφόρησαν πριν από την 1η Ιουνίου 2022 θα έχουν την προεπιλεγμένη ελάχιστη έκδοση που έχει οριστεί σε 1. Θα έχετε την επιλογή να ενημερώσετε την ελάχιστη έκδοση σε 2 χρησιμοποιώντας το SageMaker API ή την κονσόλα.

Διαμορφώστε την έκδοση IMDS στην παρουσία του Notebook SageMaker

Μπορείτε να διαμορφώσετε την ελάχιστη έκδοση IMDS για το φορητό υπολογιστή SageMaker μέσω της κονσόλας AWS SageMaker (βλ. Δημιουργία παρουσίας φορητού υπολογιστή), SDK ή το Διεπαφή γραμμής εντολών AWS (AWS CLI). Αυτή είναι μια προαιρετική διαμόρφωση, με μια προεπιλεγμένη τιμή να οριστεί σε 1, που σημαίνει ότι η παρουσία του φορητού υπολογιστή θα υποστηρίζει κλήσεις IMDSv1 και IMDSv2.

Όταν δημιουργείτε μια νέα παρουσία σημειωματάριου στην κονσόλα SageMaker, έχετε πλέον την επιλογή Ελάχιστη έκδοση IMDS για να καθορίσετε την ελάχιστη υποστηριζόμενη έκδοση IMDS, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης. Εάν η τιμή έχει οριστεί σε 1, υποστηρίζονται και τα δύο IMDSv1 και IMDSv2. Εάν η τιμή έχει οριστεί σε 2, υποστηρίζεται μόνο το IMDSv2.

Μπορείτε επίσης να επεξεργαστείτε μια υπάρχουσα παρουσία σημειωματάριου για να υποστηρίζει το IMDSv2 μόνο χρησιμοποιώντας την κονσόλα SageMaker, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης.

Η προεπιλεγμένη τιμή θα παραμείνει 1 έως τις 31 Αυγούστου 2022 και θα αλλάξει σε 2 στις 31 Αυγούστου 2022.

Όταν χρησιμοποιείτε το AWS CLI για να δημιουργήσετε ένα σημειωματάριο, μπορείτε να χρησιμοποιήσετε το MinimumInstanceMetadataServiceVersion παράμετρος για να ορίσετε την ελάχιστη υποστηριζόμενη έκδοση IMDS:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Το παρακάτω είναι ένα δείγμα εντολής AWS CLI για τη δημιουργία μιας παρουσίας φορητού υπολογιστή με υποστήριξη μόνο IMDSv2:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Εάν θέλετε να ενημερώσετε ένα υπάρχον σημειωματάριο ώστε να υποστηρίζει μόνο IMDSv2, μπορείτε να το κάνετε χρησιμοποιώντας το UpdateNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Επιβολή IMDSv2 για όλες τις παρουσίες Notebook SageMaker

Μπορείτε να χρησιμοποιήσετε ένα κλειδί συνθήκης για να επιβάλετε ότι οι χρήστες σας μπορούν να δημιουργούν ή να ενημερώνουν μόνο Παρουσίες Σημειωματάριου που υποστηρίζουν μόνο IMDSv2, για να βελτιώσετε την ασφάλεια. Μπορείτε να χρησιμοποιήσετε αυτό το κλειδί συνθήκης στις πολιτικές IAM που συνδέονται με τους χρήστες, τους ρόλους ή τις ομάδες IAM που είναι υπεύθυνες για τη δημιουργία και την ενημέρωση των σημειωματάριων ή Οργανισμοί AWS πολιτικές ελέγχου υπηρεσιών.

Το παρακάτω είναι ένα δείγμα δήλωσης πολιτικής που περιορίζει τόσο τη δημιουργία όσο και την ενημέρωση παρουσιών API σημειωματάριων ώστε να επιτρέπεται μόνο το IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Συμπέρασμα

Σήμερα, ανακοινώσαμε υποστήριξη για τη διαμόρφωση και τον διοικητικό περιορισμό της έκδοσης της Υπηρεσίας Μεταδεδομένων Παρουσίασης (IMDS) για Παρουσίες Σημειωματάριου. Σας δείξαμε πώς να διαμορφώσετε την έκδοση IMDS για τα νέα και τα υπάρχοντα notebook σας χρησιμοποιώντας την κονσόλα SageMaker και το AWS CLI. Σας δείξαμε επίσης πώς να περιορίζετε διαχειριστικά τις εκδόσεις IMDS χρησιμοποιώντας κλειδιά συνθήκης IAM και συζητήσαμε τα πλεονεκτήματα της υποστήριξης μόνο IMDSv2.

Εάν έχετε οποιεσδήποτε ερωτήσεις και σχόλια σχετικά με το IMDSv2, επικοινωνήστε με την επαφή υποστήριξης AWS ή δημοσιεύστε ένα μήνυμα στο Amazon EC2 και Amazon Sage Maker φόρουμ συζήτησης.

Σχετικά με τους Συγγραφείς

Αποόρβα Γκούπτα είναι Μηχανικός Λογισμικού στην ομάδα του SageMaker Notebooks. Η εστίασή της είναι να δώσει τη δυνατότητα στους πελάτες να αξιοποιήσουν το SageMaker πιο αποτελεσματικά σε όλες τις πτυχές των λειτουργιών ML τους. Συνεισφέρει στα Amazon SageMaker Notebooks από το 2021. Στον ελεύθερο χρόνο της, της αρέσει να διαβάζει, να ζωγραφίζει, να κηπουρεύει, να μαγειρεύει και να ταξιδεύει.

Ντούργκα Σούρι είναι αρχιτέκτονας ML Solutions στην ομάδα Amazon SageMaker Service SA. Είναι παθιασμένη να κάνει τη μηχανική μάθηση προσβάσιμη σε όλους. Στα 3 χρόνια της στο AWS, βοήθησε στη δημιουργία πλατφορμών AI/ML για εταιρικούς πελάτες. Πριν από το AWS, επέτρεψε σε μη κερδοσκοπικούς και κυβερνητικούς φορείς να αντλούν πληροφορίες από τα δεδομένα τους για να βελτιώσουν τα εκπαιδευτικά αποτελέσματα. Όταν δεν εργάζεται, λατρεύει τις βόλτες με μοτοσικλέτα, τα μυθιστορήματα μυστηρίου και τις πεζοπορίες με το τετράχρονο χάσκι της.

Siddhanth Deshpande είναι Διευθυντής Μηχανικών στην Amazon Web Services (AWS). Η τρέχουσα εστίασή του είναι η δημιουργία υποδομών και υπηρεσιών εργαλείων με την καλύτερη διαχείριση της μηχανικής μάθησης (ML) που στοχεύουν να μεταφέρουν τους πελάτες από το «πρέπει να χρησιμοποιήσω ML» στο «χρησιμοποιώ το ML με επιτυχία» γρήγορα και εύκολα. Εργάστηκε για την AWS από το 2013 σε διάφορους ρόλους μηχανικού, αναπτύσσοντας υπηρεσίες AWS όπως η υπηρεσία Amazon Simple Notification Service, η Amazon Simple Queue Service, η Amazon EC2, η Amazon Pinpoint και η Amazon SageMaker. Στον ελεύθερο χρόνο του, του αρέσει να περνά χρόνο με την οικογένειά του, να διαβάζει, να μαγειρεύει, να ασχολείται με την κηπουρική και να ταξιδεύει σε όλο τον κόσμο.

Prashant Pawan Pisipati είναι Κύριος Διευθυντής Προϊόντων στο Amazon Web Services (AWS). Έχει δημιουργήσει διάφορα προϊόντα σε AWS και Alexa και επί του παρόντος επικεντρώνεται στο να βοηθά τους επαγγελματίες της Μηχανικής Μάθησης να είναι πιο παραγωγικοί μέσω των υπηρεσιών AWS.

Έντουιν Μπεχαράνο είναι Μηχανικός Λογισμικού στην ομάδα του SageMaker Notebooks. Είναι βετεράνος της Πολεμικής Αεροπορίας που εργάζεται για την Amazon από το 2017 με συνεισφορές σε υπηρεσίες όπως το AWS Lambda, το Amazon Pinpoint, το Amazon Tax Exemption Program και το Amazon SageMaker. Στον ελεύθερο χρόνο του, του αρέσει να διαβάζει, να κάνει πεζοπορία, να κάνει ποδήλατο και να παίζει βιντεοπαιχνίδια.

• Coinsmart. Το καλύτερο ανταλλακτήριο Bitcoin και Crypto στην Ευρώπη.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. ΕΛΕΥΘΕΡΗ ΠΡΟΣΒΑΣΗ.
• CryptoHawk. Ραντάρ Altcoin. Δωρεάν δοκιμή.
• Πηγή: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/