نمونه‌های نوت‌بوک آمازون SageMaker اکنون از پیکربندی و محدود کردن نسخه‌های IMDS پشتیبانی می‌کنند

امروز ، ما مشتاق هستیم که آن را اعلام کنیم آمازون SageMaker اکنون از قابلیت پیکربندی Instance Metadata Service نسخه 2 (IMDSv2) برای نمونه های نوت بوک، و برای مدیران برای کنترل حداقل نسخه ای که کاربران نهایی با آن نمونه های نوت بوک جدید ایجاد می کنند، پشتیبانی می کند. اکنون می توانید IMDSv2 را فقط برای نمونه های نوت بوک SageMaker جدید و موجود خود انتخاب کنید تا از آخرین محافظت و پشتیبانی ارائه شده توسط IMDSv2 استفاده کنید.

فراداده نمونه داده‌هایی در مورد نمونه شما است که می‌توانید برای پیکربندی یا مدیریت نمونه در حال اجرا استفاده کنید، با ارائه اعتبارنامه‌های موقت و مرتباً چرخانده شده که فقط توسط نرم‌افزار در حال اجرا بر روی نمونه قابل دسترسی است. IMDS ابرداده‌های مربوط به نمونه، مانند شبکه و فضای ذخیره‌سازی آن را از طریق یک آدرس IP پیوند محلی ویژه در دسترس قرار می‌دهد. 169.254.169.254. می‌توانید از IMDS در نمونه‌های نوت‌بوک SageMaker خود استفاده کنید، مشابه نحوه استفاده از IMDS در یک دستگاه ابر محاسبه الاستیک آمازون (Amazon EC2) نمونه. برای مستندات دقیق، نگاه کنید فراداده نمونه و داده های کاربر.

انتشار IMDSv2 یک لایه حفاظتی اضافی با استفاده از احراز هویت جلسه اضافه می کند. با IMDSv2، هر جلسه با یک درخواست PUT به IMDSv2 برای دریافت یک توکن ایمن، با زمان انقضا، که می تواند حداقل 1 ثانیه و حداکثر 6 ساعت باشد، شروع می شود. هر درخواست بعدی GET به IMDS باید توکن حاصل را به عنوان هدر ارسال کند تا پاسخ موفقیت آمیزی دریافت شود. هنگامی که مدت زمان مشخص شده منقضی می شود، یک رمز جدید برای درخواست های آینده مورد نیاز است.

یک تماس نمونه IMDSv1 شبیه کد زیر است:

curl http://169.254.169.254/latest/meta-data/profile

با IMDSv2، تماس مانند کد زیر است:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

پذیرش IMDSv2 و تنظیم آن به عنوان حداقل نسخه مزایای امنیتی مختلفی را نسبت به IMDSv1 ارائه می دهد. IMDSv2 در برابر پیکربندی‌های نامحدود فایروال برنامه کاربردی وب (WAF)، پراکسی‌های معکوس باز، آسیب‌پذیری‌های جعل درخواست سمت سرور (SSRF) و فایروال‌های لایه باز 3 و NAT‌هایی که می‌توانند برای دسترسی به ابرداده‌های نمونه استفاده شوند، محافظت می‌کند. برای مقایسه دقیق، نگاه کنید با پیشرفت‌هایی در سرویس فراداده نمونه EC2، دفاع عمیق در برابر فایروال‌های باز، پراکسی‌های معکوس و آسیب‌پذیری‌های SSRF اضافه کنید..

در این پست، ما به شما نشان می دهیم که چگونه نوت بوک های SageMaker خود را تنها با پشتیبانی از IMDSv2 پیکربندی کنید. ما همچنین طرح پشتیبانی IMDSv1 را به اشتراک می گذاریم، و اینکه چگونه می توانید IMDSv2 را در نوت بوک خود اعمال کنید.

ویژگی های جدید پشتیبانی IMDSv2 و SageMaker

اکنون می‌توانید نسخه IMDS نمونه‌های Notebook SageMaker را هنگام ایجاد یا به‌روزرسانی نمونه پیکربندی کنید، این کار را می‌توانید از طریق SageMaker API یا SageMaker Console با حداقل پارامتر نسخه IMDS انجام دهید. حداقل نسخه IMDS حداقل نسخه پشتیبانی شده را مشخص می کند. تنظیم مقدار 1 امکان پشتیبانی از هر دو IMDSv1 و IMDSv2 را فراهم می کند و تنظیم حداقل نسخه روی 2 فقط از IMDSv2 پشتیبانی می کند. با یک نوت بوک فقط IMDSv2، می توانید از دفاع اضافی در عمقی که IMDSv2 ارائه می کند، استفاده کنید.

ما همچنین ارائه می دهیم کلید شرط SageMaker برای سیاست های IAM که به شما امکان می دهد نسخه IMDS را برای نمونه های نوت بوک از طریق محدود کنید CreateNotebook Instance و UpdateNotebook Instance تماس های API مدیران می‌توانند از این کلید شرط برای محدود کردن کاربران نهایی خود برای ایجاد و/یا به‌روزرسانی نوت‌بوک‌ها برای پشتیبانی از IMDSv2 استفاده کنند. می توانید این کلید شرط را به هویت AWS و مدیریت دسترسی خط‌مشی (IAM) به کاربران، نقش‌ها یا گروه‌هایی که مسئول ایجاد و به‌روزرسانی نوت‌بوک‌ها هستند، پیوست شده است.

علاوه بر این، می‌توانید با استفاده از حداقل پارامتر نسخه IMDS در SageMaker بین پیکربندی‌های نسخه IMDS سوئیچ کنید. UpdateNotebook Instance API

پشتیبانی از پیکربندی نسخه IMDS و محدود کردن نسخه IMDS فقط به نسخه 2 اکنون در همه مناطق AWS که نمونه‌های نوت بوک SageMaker در دسترس هستند در دسترس است.

طرح پشتیبانی از نسخه های IMDS در نمونه های نوت بوک SageMaker

در 1 ژوئن 2022، ما پشتیبانی را برای کنترل حداقل نسخه IMDS برای استفاده با نمونه‌های Notebook SageMaker Amazon ارائه کردیم. تمام نمونه‌های نوت‌بوک که قبل از ۱ ژوئن ۲۰۲۲ راه‌اندازی شده‌اند، حداقل نسخه پیش‌فرض روی ۱ تنظیم شده است. شما می‌توانید با استفاده از SageMaker API یا کنسول، حداقل نسخه را به ۲ به‌روزرسانی کنید.

نسخه IMDS را روی نمونه نوت بوک SageMaker خود پیکربندی کنید

می توانید حداقل نسخه IMDS را برای نوت بوک SageMaker از طریق کنسول AWS SageMaker پیکربندی کنید (نگاه کنید به یک نمونه نوت بوک ایجاد کنید), SDK یا رابط خط فرمان AWS (AWS CLI). این یک پیکربندی اختیاری است، با مقدار پیش‌فرض روی 1، به این معنی که نمونه نوت‌بوک از تماس‌های IMDSv1 و IMDSv2 پشتیبانی می‌کند.

هنگام ایجاد یک نمونه نوت بوک جدید در کنسول SageMaker، اکنون این گزینه را دارید حداقل نسخه IMDS برای تعیین حداقل نسخه IMDS پشتیبانی شده، همانطور که در تصویر زیر نشان داده شده است. اگر مقدار روی 1 تنظیم شود، هر دو IMDSv1 و IMDSv2 پشتیبانی می شوند. اگر مقدار روی 2 تنظیم شود، فقط IMDSv2 پشتیبانی می شود.

همانطور که در تصویر زیر نشان داده شده است، می توانید یک نمونه نوت بوک موجود را برای پشتیبانی از IMDSv2 تنها با استفاده از کنسول SageMaker ویرایش کنید.

مقدار پیش‌فرض تا 1 آگوست 31 2022 باقی می‌ماند و در 2 آگوست 31 به 2022 تغییر می‌کند.

هنگام استفاده از AWS CLI برای ایجاد یک نوت بوک، می توانید از آن استفاده کنید MinimumInstanceMetadataServiceVersion پارامتر برای تنظیم حداقل نسخه پشتیبانی شده IMDS:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

در زیر یک نمونه دستور AWS CLI برای ایجاد یک نمونه نوت بوک با پشتیبانی فقط از IMDSv2 آمده است:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

اگر می‌خواهید یک نوت‌بوک موجود را به‌روزرسانی کنید تا فقط از IMDSv2 پشتیبانی کند، می‌توانید با استفاده از آن این کار را انجام دهید UpdateNotebook Instance API ها:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

IMDSv2 را برای همه نمونه‌های نوت‌بوک SageMaker اجرا کنید

می‌توانید از یک کلید شرط استفاده کنید تا اعمال کنید که کاربران شما فقط می‌توانند نمونه‌های Notebook را ایجاد یا به‌روزرسانی کنند که فقط از IMDSv2 پشتیبانی می‌کنند تا امنیت را افزایش دهند. می‌توانید از این کلید شرط در خط‌مشی‌های IAM پیوست شده به کاربران، نقش‌ها یا گروه‌های IAM که مسئول ایجاد و به‌روزرسانی نوت‌بوک‌ها هستند، استفاده کنید، یا سازمانهای AWS سیاست های کنترل خدمات

زیر یک بیانیه خط مشی نمونه است که APIهای نمونه نوت بوک را ایجاد و به روز رسانی می کند تا فقط IMDSv2 مجاز باشد:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

نتیجه

امروز، ما از پیکربندی و محدودیت اداری نسخه سرویس فراداده نمونه (IMDS) شما برای نمونه‌های Notebook پشتیبانی می‌کنیم. ما به شما نشان دادیم که چگونه نسخه IMDS را برای نوت بوک های جدید و موجود خود با استفاده از کنسول SageMaker و AWS CLI پیکربندی کنید. ما همچنین به شما نشان دادیم که چگونه نسخه‌های IMDS را با استفاده از کلیدهای شرط IAM به صورت اداری محدود کنید، و در مورد مزایای پشتیبانی فقط از IMDSv2 بحث کردیم.

اگر سؤال و بازخوردی در مورد IMDSv2 دارید، لطفاً با مخاطب پشتیبانی AWS خود صحبت کنید یا پیامی را در آمازون EC2 و آمازون SageMaker تالارهای بحث و گفتگو.

درباره نویسنده

آپوروا گوپتا یک مهندس نرم افزار در تیم SageMaker Notebooks است. تمرکز او بر این است که مشتریان را قادر سازد تا از SageMaker به طور مؤثرتری در تمام جنبه های عملیات ML خود استفاده کنند. او از سال 2021 با آمازون SageMaker Notebooks همکاری می کند. او در اوقات فراغت خود از خواندن، نقاشی، باغبانی، آشپزی و سفر لذت می برد.

دورگا سوری یک معمار ML Solutions در تیم Amazon SageMaker Service SA است. او مشتاق است که یادگیری ماشین را برای همه در دسترس قرار دهد. در 3 سال حضور خود در AWS، به راه اندازی پلتفرم های AI/ML برای مشتریان سازمانی کمک کرده است. قبل از AWS، او سازمان‌های غیرانتفاعی و دولتی را قادر می‌سازد تا از داده‌های خود بینش‌هایی را برای بهبود نتایج آموزشی کسب کنند. وقتی کار نمی کند، عاشق موتورسواری، رمان های معمایی و پیاده روی با هاسکی چهار ساله اش است.

سیدهانت دشپنده مدیر مهندسی در خدمات وب آمازون (AWS) است. تمرکز فعلی او بر ساختن زیرساخت‌های یادگیری ماشینی مدیریت شده (ML) و خدمات ابزاری با بهترین در کلاس است که هدف آن رساندن سریع و آسان مشتریان از «نیاز به استفاده از ML» به «من با موفقیت از ML استفاده می‌کنم» است. او از سال 2013 برای AWS در نقش های مهندسی مختلف کار کرده است و خدمات AWS مانند Amazon Simple Notification Service، Amazon Simple Queue Service، Amazon EC2، Amazon Pinpoint و Amazon SageMaker را توسعه داده است. او در اوقات فراغت خود از گذراندن وقت با خانواده، مطالعه، آشپزی، باغبانی و سفر به دنیا لذت می برد.

پراشانت پاوان پیسیپاتی مدیر محصول اصلی در خدمات وب آمازون (AWS) است. او محصولات مختلفی را در سراسر AWS و Alexa ساخته است و در حال حاضر روی کمک به متخصصان یادگیری ماشینی برای بهره‌وری بیشتر از طریق خدمات AWS متمرکز شده است.

ادوین بجارانو یک مهندس نرم افزار در تیم SageMaker Notebooks است. او یک کهنه سرباز نیروی هوایی است که از سال 2017 برای آمازون با خدماتی مانند AWS Lambda، Amazon Pinpoint، Amazon Tax Exemption Program و Amazon SageMaker کار می کند. در اوقات فراغت خود از خواندن، پیاده روی، دوچرخه سواری و بازی های ویدیویی لذت می برد.

• Coinsmart. بهترین صرافی بیت کوین و کریپتو اروپا.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی رایگان.
• CryptoHawk. رادار آلت کوین امتحان رایگان.
• منبع: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/