Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.

Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista

Aikaleima: 2. kesäkuuta 2022 6

Tänään me olemme innoissamme ilmoittamaan siitä Amazon Sage Maker tukee nyt kykyä määrittää ilmentymän metatietopalvelun versio 2 (IMDSv2) kannettavan tietokoneen ilmentymille ja järjestelmänvalvojille mahdollisuus hallita vähimmäisversiota, jolla loppukäyttäjät luovat uusia kannettavan tietokoneen ilmentymiä. Voit nyt valita IMDSv2:n vain uusille ja olemassa oleville SageMaker Notebook -esiintymillesi, jotta voit hyödyntää IMDSv2:n tarjoamaa uusinta suojausta ja tukea.

Ilmentymän metatiedot on ilmentymääsi koskevia tietoja, joita voit käyttää käynnissä olevan ilmentymän määrittämiseen tai hallintaan antamalla väliaikaisia ​​ja usein kiertäviä valtuustietoja, joita vain ilmentymässä käynnissä oleva ohjelmisto voi käyttää. IMDS tarjoaa esiintymän metatiedot, kuten sen verkon ja tallennustilan, saataville erityisen linkki-paikallisen IP-osoitteen kautta. 169.254.169.254. Voit käyttää IMDS:ää SageMaker Notebook -esiintymissä samalla tavalla kuin käyttäisit IMDS:ää Amazonin elastinen laskentapilvi (Amazon EC2) esimerkki. Katso yksityiskohtaiset asiakirjat Ilmentymän metatiedot ja käyttäjätiedot.

IMDSv2:n julkaisu lisää ylimääräisen suojakerroksen istunnontodennusta käyttämällä. IMDSv2:ssa jokainen istunto alkaa PUT-pyynnöllä IMDSv2:lle suojatun tunnuksen saamiseksi, jonka vanhenemisaika voi olla vähintään 1 sekunti ja enintään 6 tuntia. Jokaisen myöhemmän GET-pyynnön IMDS:lle on lähetettävä tuloksena oleva token otsikkona, jotta se vastaanottaa onnistuneen vastauksen. Kun määritetty kesto umpeutuu, uusi tunnus vaaditaan tulevia pyyntöjä varten.

Esimerkki IMDSv1-kutsusta näyttää seuraavalta koodilta:

curl http://169.254.169.254/latest/meta-data/profile

IMDSv2:lla puhelu näyttää seuraavalta koodilta:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

IMDSv2:n käyttöönotto ja sen asettaminen vähimmäisversioksi tarjoaa useita tietoturvaetuja IMDSv1:een verrattuna. IMDSv2 suojaa rajoittamattomilta WAF (Web Application Firewall) -kokoonpanoilta, avoimia käänteisiä välityspalvelimia, palvelinpuolen pyyntöväärennösten (SSRF) haavoittuvuuksia sekä avoimen kerroksen 3 palomuurit ja NAT:t, joita voidaan käyttää ilmentymän metatietojen käyttämiseen. Yksityiskohtainen vertailu, katso Lisää syvällistä suojausta avoimia palomuureja, käänteisiä välityspalvelimia ja SSRF-haavoittuvuuksia vastaan ​​EC2-instanssin metatietopalvelun parannuksilla.

Tässä viestissä näytämme, kuinka voit määrittää SageMaker-muistikirjasi vain IMDSv2-tuella. Jaamme myös IMDSv1:n tukisuunnitelman ja sen, kuinka voit pakottaa IMDSv2:n käyttöön kannettavissa tietokoneissasi.

Mitä uutta IMDSv2-tuessa ja SageMakerissa

Voit nyt määrittää SageMaker-muistikirjan ilmentymien IMDS-version luodessasi tai päivittäessäsi ilmentymää, minkä voit tehdä SageMaker-sovellusliittymän tai SageMaker-konsolin kautta IMDS-version vähimmäisparametrilla. IMDS:n vähimmäisversio määrittää tuetun vähimmäisversion. Arvon asettaminen 1 sallii sekä IMDSv1:n että IMDSv2:n tuen, ja vähimmäisversion asettaminen arvoon 2 tukee vain IMDSv2:ta. Vain IMDSv2:ta käyttävän kannettavan tietokoneen avulla voit hyödyntää IMDSv2:n tarjoamaa syvällistä lisäsuojaa.

Tarjoamme myös a SageMaker-ehtoavain IAM-käytäntöihin jonka avulla voit rajoittaa kannettavan tietokoneen ilmentymien IMDS-versiota CreateNotebookInstance ja PäivitäNotebookInstance API-kutsut. Järjestelmänvalvojat voivat käyttää tätä ehtoavainta rajoittaakseen loppukäyttäjiään luomaan ja/tai päivittämään muistikirjoja tukemaan vain IMDSv2:ta. Voit lisätä tämän ehtoavaimen AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) -käytäntö, joka on liitetty muistikirjojen luomisesta ja päivittämisestä vastaaviin IAM-käyttäjiin, rooleihin tai ryhmiin.

Lisäksi voit myös vaihtaa IMDS-version kokoonpanojen välillä käyttämällä SageMakerin IMDS-version vähimmäisparametria. PäivitäNotebookInstance API.

Tuki IMDS-version määrittämiselle ja IMDS-version rajoittamiselle vain v2:een on nyt saatavilla kaikilla AWS-alueilla, joilla SageMaker-muistikirjan ilmentymiä on saatavilla.

Tukisuunnitelma IMDS-versioille SageMaker Notebook Instancesissa

Otimme 1. kesäkuuta 2022 käyttöön tuen IMDS:n vähimmäisversion hallintaan, jota käytetään Amazon SageMaker Notebook Instances -tapahtumien kanssa. Kaikkien ennen 1. kesäkuuta 2022 julkaistujen Notebook-instanssien oletusarvoiseksi vähimmäisversioksi on asetettu 1. Voit päivittää vähimmäisversion 2:ksi SageMaker API:n tai konsolin avulla.

Määritä IMDS-versio SageMaker Notebook -instanssiin

Voit määrittää SageMaker-muistikirjan IMDS-minimiversion AWS SageMaker -konsolin kautta (katso Luo muistikirjan esimerkki), SDK tai AWS-komentoriviliitäntä (AWS CLI). Tämä on valinnainen kokoonpano, jonka oletusarvo on 1, mikä tarkoittaa, että kannettavan tietokoneen ilmentymä tukee sekä IMDSv1- että IMDSv2-kutsuja.

Kun luot uuden muistikirjan esiintymän SageMaker-konsolissa, sinulla on nyt mahdollisuus Minimi IMDS-versio määrittääksesi vähimmäistuetun IMDS-version seuraavan kuvakaappauksen mukaisesti. Jos arvoksi on asetettu 1, sekä IMDSv1 että IMDSv2 ovat tuettuja. Jos arvoksi on asetettu 2, vain IMDSv2:ta tuetaan.

Create-notebook-instance-screenshot

Voit myös muokata olemassa olevaa muistikirjan ilmentymää tukemaan vain IMDSv2:ta käyttämällä SageMaker-konsolia, kuten seuraavassa kuvakaappauksessa näkyy.

edit-notebook-instance-screenshot

Oletusarvo on 1 31. elokuuta 2022 asti ja vaihtuu 2:ksi 31. elokuuta 2022.

Kun käytät AWS CLI:tä muistikirjan luomiseen, voit käyttää MinimumInstanceMetadataServiceVersion parametri vähimmäistuetun IMDS-version asettamiseksi:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Seuraavassa on esimerkki AWS CLI -komennosta, jolla luodaan vain IMDSv2-tuella varustettu muistikirjan ilmentymä:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Jos haluat päivittää olemassa olevan kannettavan tietokoneen tukemaan vain IMDSv2:ta, voit tehdä sen käyttämällä PäivitäNotebookInstance API:t:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Pakota IMDSv2 kaikille SageMaker-muistikirjan ilmentymille

Voit parantaa tietoturvaa ehtoavaimen avulla, jotta käyttäjät voivat luoda tai päivittää vain sellaisia ​​kannettavan tietokoneen ilmentymiä, jotka tukevat vain IMDSv2:ta. Voit käyttää tätä ehtoavainta IAM-käytännöissä, jotka on liitetty muistikirjojen luomisesta ja päivittämisestä vastaaviin IAM-käyttäjiin, rooleihin tai ryhmiin. AWS-organisaatiot palvelun ohjauskäytännöt.

Seuraavassa on esimerkkikäytäntölauseke, joka rajoittaa muistikirjan ilmentymien sovellusliittymien luomisen ja päivittämisen sallimaan vain IMDSv2:n:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Yhteenveto

Tänään julkistimme tuen Instance Metadata Service (IMDS) -versiosi määrittämiselle ja hallinnollisille rajoittamiselle kannettavan tietokoneen esiintymisiä varten. Näitimme sinulle, kuinka voit määrittää IMDS-version uusille ja olemassa oleville kannettavillesi SageMaker-konsolin ja AWS CLI:n avulla. Näimme myös, kuinka IMDS-versioita voidaan rajoittaa hallinnollisesti IAM-ehtoavainten avulla, ja keskustelimme vain IMDSv2:n tukemisen eduista.

Jos sinulla on kysyttävää tai palautetta IMDSv2:sta, ota yhteyttä AWS-tukiyhteyshenkilöösi tai lähetä viesti Amazon EC2 ja Amazon Sage Maker keskustelufoorumit.

Tietoja Tekijät

Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai. Apoorva Gupta on SageMaker Notebooks -tiimin ohjelmistosuunnittelija. Hän keskittyy siihen, että asiakkaat voivat hyödyntää SageMakeria tehokkaammin kaikilla ML-toimintojensa osa-alueilla. Hän on kirjoittanut Amazon SageMaker Notebooksille vuodesta 2021. Vapaa-ajallaan hän nauttii lukemisesta, maalaamisesta, puutarhanhoidosta, ruoanlaitosta ja matkustamisesta.

Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.Durga Sury on ML Solutions -arkkitehti Amazon SageMaker Service SA -tiimissä. Hän haluaa tehdä koneoppimisesta kaikkien ulottuville. Kolmen vuoden aikana AWS:ssä hän on auttanut luomaan AI/ML-alustoja yritysasiakkaille. Ennen AWS:ää hän antoi voittoa tavoittelemattomille ja valtion virastoille mahdollisuuden saada näkemyksiä tiedoistaan ​​koulutustulosten parantamiseksi. Kun hän ei ole töissä, hän rakastaa moottoripyöräilyä, mysteeriromaaneja ja patikointia nelivuotiaan huskynsa kanssa.

Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.Siddhanth Deshpande on suunnittelupäällikkö Amazon Web Servicesissä (AWS). Tällä hetkellä hän keskittyy rakentamaan luokkansa parasta hallittua koneoppimisinfrastruktuuria ja työkalupalveluja, joiden tavoitteena on saada asiakkaat nopeasti ja helposti "Minun täytyy käyttää ML:ää" -kohdasta "Käytän ML:ää onnistuneesti". Hän on työskennellyt AWS:llä vuodesta 2013 lähtien erilaisissa suunnittelurooleissa kehittäen AWS-palveluita, kuten Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint ja Amazon SageMaker. Vapaa-ajallaan hän viettää aikaa perheensä kanssa, lukee, kokkaa, hoitaa puutarhaa ja matkustaa ympäri maailmaa.

Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.Prashant Pawan Pisipati on päätuotepäällikkö Amazon Web Servicesissä (AWS). Hän on rakentanut erilaisia ​​tuotteita AWS:lle ja Alexalle, ja hän keskittyy tällä hetkellä auttamaan koneoppimisen harjoittajia olemaan tuottavampia AWS-palvelujen avulla.

Amazon SageMaker Notebook Instances tukee nyt IMDS-versioiden määrittämistä ja rajoittamista PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.Edwin Bejarano on SageMaker Notebooks -tiimin ohjelmistosuunnittelija. Hän on ilmavoimien veteraani, joka on työskennellyt Amazonilla vuodesta 2017 ja osallistunut sellaisiin palveluihin kuin AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program ja Amazon SageMaker. Vapaa-ajallaan hän pitää lukemisesta, vaeltamisesta, pyöräilystä ja videopelien pelaamisesta.

Aikaleima:

Lisää aiheesta AWS-koneoppiminen