Las instancias de notebook de Amazon SageMaker ahora admiten la configuración y restricción de versiones de IMDS

Hoy, estamos emocionados de anunciar que Amazon SageMaker ahora es compatible con la capacidad de configurar Instance Metadata Service Version 2 (IMDSv2) para instancias de portátiles y para que los administradores controlen la versión mínima con la que los usuarios finales crean nuevas instancias de portátiles. Ahora puede elegir IMDSv2 solo para sus instancias de SageMaker Notebook nuevas y existentes para aprovechar la protección y el soporte más recientes proporcionados por IMDSv2.

Metadatos de instancia son datos sobre su instancia que puede usar para configurar o administrar la instancia en ejecución, al proporcionar credenciales temporales y rotadas con frecuencia a las que solo puede acceder el software que se ejecuta en la instancia. IMDS hace que los metadatos sobre la instancia, como su red y almacenamiento, estén disponibles a través de una dirección IP local de enlace especial de 169.254.169.254. Puede usar IMDS en sus instancias de SageMaker Notebook, de forma similar a como usaría IMDS en un Nube informática elástica de Amazon (Amazon EC2) instancia. Para obtener documentación detallada, consulte Metadatos de instancia y datos de usuario.

El lanzamiento de IMDSv2 agrega una capa adicional de protección mediante la autenticación de sesión. Con IMDSv2, cada sesión comienza con una solicitud PUT a IMDSv2 para obtener un token seguro, con un tiempo de caducidad, que puede ser de un mínimo de 1 segundo y un máximo de 6 horas. Cualquier solicitud GET posterior a IMDS debe enviar el token resultante como encabezado para recibir una respuesta exitosa. Cuando caduca la duración especificada, se requiere un nuevo token para futuras solicitudes.

Una llamada IMDSv1 de muestra se parece al siguiente código:

curl http://169.254.169.254/latest/meta-data/profile

Con IMDSv2, la llamada se parece al siguiente código:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Adoptar IMDSv2 y configurarlo como la versión mínima ofrece varios beneficios de seguridad sobre IMDSv1. IMDSv2 protege contra configuraciones de cortafuegos de aplicaciones web (WAF) sin restricciones, proxies inversos abiertos, vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) y cortafuegos de capa 3 abiertos y NAT que podrían usarse para acceder a los metadatos de la instancia. Para una comparación detallada, véase Agregue defensa en profundidad contra firewalls abiertos, proxies inversos y vulnerabilidades SSRF con mejoras en el servicio de metadatos de instancia EC2.

En esta publicación, le mostramos cómo configurar sus computadoras portátiles SageMaker con soporte solo para IMDSv2. También compartimos el plan de soporte para IMDSv1 y cómo puede aplicar IMDSv2 en sus computadoras portátiles.

Novedades de la compatibilidad con IMDSv2 y SageMaker

Ahora puede configurar la versión de IMDS de las instancias de SageMaker Notebook mientras crea o actualiza la instancia, lo que puede hacer a través de la API de SageMaker o la consola de SageMaker, con el parámetro de versión mínima de IMDS. La versión mínima de IMDS especifica la versión mínima admitida. La configuración en un valor de 1 permite la compatibilidad con IMDSv1 e IMDSv2, y la configuración de la versión mínima en 2 solo admite IMDSv2. Con una notebook solo IMDSv2, puede aprovechar la defensa adicional en profundidad que proporciona IMDSv2.

También ofrecemos una Clave de condición de SageMaker para políticas de IAM que le permite restringir la versión de IMDS para instancias de Notebook a través de la CreateNotebookInstanceCreateNotebookInstance y ActualizarInstancia de Notebook Llamadas a la API. Los administradores pueden usar esta clave de condición para restringir a sus usuarios finales a crear y/o actualizar cuadernos para admitir solo IMDSv2. Puede agregar esta clave de condición a la Gestión de identidades y accesos de AWS (IAM) asociada a usuarios, roles o grupos de IAM responsables de crear y actualizar cuadernos.

Además, también puede cambiar entre configuraciones de versión de IMDS usando el parámetro de versión mínima de IMDS en SageMaker ActualizarInstancia de Notebook API.

El soporte para configurar la versión de IMDS y restringir la versión de IMDS solo a v2 ahora está disponible en todas las regiones de AWS en las que están disponibles las instancias de SageMaker Notebook.

Plan de soporte para versiones de IMDS en instancias de SageMaker Notebook

El 1 de junio de 2022, implementamos la compatibilidad para controlar la versión mínima de IMDS que se usará con las instancias de notebook de Amazon SageMaker. Todas las instancias de Notebook lanzadas antes del 1 de junio de 2022 tendrán la versión mínima predeterminada establecida en 1. Tendrá la opción de actualizar la versión mínima a 2 mediante la API de SageMaker o la consola.

Configure la versión de IMDS en su instancia de SageMaker Notebook

Puede configurar la versión mínima de IMDS para el portátil SageMaker a través de la consola de AWS SageMaker (consulte Crear una instancia de cuaderno), SDK o el Interfaz de línea de comandos de AWS (CLI de AWS). Esta es una configuración opcional, con un valor predeterminado establecido en 1, lo que significa que la instancia de notebook admitirá llamadas IMDSv1 e IMDSv2.

Al crear una nueva instancia de notebook en la consola de SageMaker, ahora tiene la opción Versión mínima de IMDS para especificar la versión mínima admitida de IMDS, como se muestra en la siguiente captura de pantalla. Si el valor se establece en 1, se admiten tanto IMDSv1 como IMDSv2. Si el valor se establece en 2, solo se admite IMDSv2.

También puede editar una instancia de notebook existente para admitir IMDSv2 solo mediante la consola de SageMaker, como se muestra en la siguiente captura de pantalla.

El valor predeterminado seguirá siendo 1 hasta el 31 de agosto de 2022 y cambiará a 2 el 31 de agosto de 2022.

Al usar la CLI de AWS para crear un cuaderno, puede usar el MinimumInstanceMetadataServiceVersion parámetro para establecer la versión mínima de IMDS admitida:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

El siguiente es un comando de la CLI de AWS de muestra para crear una instancia de notebook solo compatible con IMDSv2:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Si desea actualizar una computadora portátil existente para admitir solo IMDSv2, puede hacerlo usando el ActualizarInstancia de Notebook API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Aplicar IMDSv2 para todas las instancias de SageMaker Notebook

Puede usar una clave de condición para hacer cumplir que sus usuarios solo pueden crear o actualizar Instancias de Notebook que solo admitan IMDSv2, para mejorar la seguridad. Puede usar esta clave de condición en las políticas de IAM adjuntas a los usuarios, roles o grupos de IAM responsables de crear y actualizar los cuadernos, o Organizaciones de AWS políticas de control de servicios.

La siguiente es una declaración de política de muestra que restringe tanto la creación como la actualización de las API de la instancia del cuaderno para permitir solo IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Conclusión

Hoy, anunciamos soporte para configurar y restringir administrativamente su versión del Servicio de Metadatos de Instancia (IMDS) para Instancias de Notebook. Le mostramos cómo configurar la versión de IMDS para sus portátiles nuevos y existentes mediante la consola de SageMaker y la CLI de AWS. También le mostramos cómo restringir administrativamente las versiones de IMDS usando claves de condición de IAM y discutimos las ventajas de admitir solo IMDSv2.

Si tiene alguna pregunta o comentario sobre IMDSv2, hable con su contacto de soporte de AWS o publique un mensaje en el Amazon EC2 y Amazon SageMaker Foros de discusión.

Acerca de los autores

Apurva Gupta es ingeniero de software en el equipo de SageMaker Notebooks. Su enfoque es permitir que los clientes aprovechen SageMaker de manera más efectiva en todos los aspectos de sus operaciones de ML. Contribuye con los cuadernos de Amazon SageMaker desde 2021. En su tiempo libre, disfruta leer, pintar, hacer jardinería, cocinar y viajar.

Durga Sury es Arquitecto de Soluciones ML en el equipo de Amazon SageMaker Service SA. Le apasiona hacer que el aprendizaje automático sea accesible para todos. En sus 3 años en AWS, ayudó a configurar plataformas de IA/ML para clientes empresariales. Antes de AWS, permitió que las agencias gubernamentales y sin fines de lucro obtengan información de sus datos para mejorar los resultados educativos. Cuando no está trabajando, le encantan los paseos en motocicleta, las novelas de misterio y las caminatas con su husky de cuatro años.

Siddhanth Deshpande es Gerente de Ingeniería en Amazon Web Services (AWS). Su enfoque actual es crear los mejores servicios de infraestructura y herramientas de Machine Learning (ML) administrados de su clase que tienen como objetivo hacer que los clientes pasen de "Necesito usar ML" a "Estoy usando ML con éxito" de forma rápida y sencilla. Ha trabajado para AWS desde 2013 en varios roles de ingeniería, desarrollando servicios de AWS como Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint y Amazon SageMaker. En su tiempo libre, disfruta pasar tiempo con su familia, leer, cocinar, hacer jardinería y viajar por el mundo.

Prashant Pawan Pisipati es gerente principal de productos en Amazon Web Services (AWS). Ha creado varios productos en AWS y Alexa, y actualmente se centra en ayudar a los profesionales del aprendizaje automático a ser más productivos a través de los servicios de AWS.

Edwin Bejarano es ingeniero de software en el equipo de SageMaker Notebooks. Es un veterano de la Fuerza Aérea que ha estado trabajando para Amazon desde 2017 con contribuciones a servicios como AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program y Amazon SageMaker. En su tiempo libre, le gusta leer, caminar, andar en bicicleta y jugar videojuegos.

• Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
• CriptoHawk. Radar de altcoins. Prueba gratis.
• Fuente: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/