Les instances de bloc-notes Amazon SageMaker prennent désormais en charge la configuration et la restriction des versions IMDS

Aujourd'hui, nous sommes ravis d'annoncer que Amazon Sage Maker prend désormais en charge la possibilité de configurer le service de métadonnées d'instance version 2 (IMDSv2) pour les instances de bloc-notes, et permet aux administrateurs de contrôler la version minimale avec laquelle les utilisateurs finaux créent de nouvelles instances de bloc-notes. Vous pouvez désormais choisir IMDSv2 uniquement pour vos instances de bloc-notes SageMaker nouvelles et existantes afin de profiter de la protection et de la prise en charge les plus récentes fournies par IMDSv2.

Métadonnées d'instance sont des données sur votre instance que vous pouvez utiliser pour configurer ou gérer l'instance en cours d'exécution, en fournissant des informations d'identification temporaires et fréquemment renouvelées auxquelles seuls les logiciels exécutés sur l'instance peuvent accéder. IMDS met à disposition des métadonnées sur l'instance, telles que son réseau et son stockage, via une adresse IP locale de lien spéciale de 169.254.169.254. Vous pouvez utiliser IMDS sur vos instances de bloc-notes SageMaker, de la même manière que vous utiliseriez IMDS sur un Cloud de calcul élastique Amazon (Amazon EC2). Pour une documentation détaillée, voir Métadonnées d'instance et données utilisateur.

La version d'IMDSv2 ajoute une couche de protection supplémentaire à l'aide de l'authentification de session. Avec IMDSv2, chaque session commence par une requête PUT à IMDSv2 pour obtenir un jeton sécurisé, avec un délai d'expiration, qui peut être au minimum de 1 seconde et au maximum de 6 heures. Toute demande GET ultérieure à IMDS doit envoyer le jeton résultant en tant qu'en-tête, afin de recevoir une réponse réussie. Lorsque la durée spécifiée expire, un nouveau jeton est requis pour les demandes futures.

Un exemple d'appel IMDSv1 ressemble au code suivant :

curl http://169.254.169.254/latest/meta-data/profile

Avec IMDSv2, l'appel ressemble au code suivant :

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Adopter IMDSv2 et le définir comme version minimale offre divers avantages de sécurité par rapport à IMDSv1. IMDSv2 protège contre les configurations WAF (Web Application Firewall) illimitées, les proxys inverses ouverts, les vulnérabilités SSRF (Server-Side Request Forgery) et les pare-feu et NAT de couche 3 ouverts qui pourraient être utilisés pour accéder aux métadonnées de l'instance. Pour une comparaison détaillée, voir Renforcez la défense en profondeur contre les pare-feux ouverts, les proxys inverses et les vulnérabilités SSRF grâce aux améliorations apportées au service de métadonnées d'instance EC2.

Dans cet article, nous vous montrons comment configurer vos notebooks SageMaker avec la prise en charge IMDSv2 uniquement. Nous partageons également le plan de support pour IMDSv1 et comment vous pouvez appliquer IMDSv2 sur vos ordinateurs portables.

Quoi de neuf avec le support IMDSv2 et SageMaker

Vous pouvez désormais configurer la version IMDS des instances de bloc-notes SageMaker lors de la création ou de la mise à jour de l'instance, ce que vous pouvez faire via l'API SageMaker ou la console SageMaker, avec le paramètre de version minimale IMDS. La version minimale d'IMDS spécifie la version minimale prise en charge. La définition sur une valeur de 1 permet la prise en charge à la fois d'IMDSv1 et d'IMDSv2, et la définition de la version minimale sur 2 ne prend en charge que IMDSv2. Avec un bloc-notes IMDSv2 uniquement, vous pouvez tirer parti de la défense supplémentaire en profondeur fournie par IMDSv2.

Nous fournissons également un Clé de condition SageMaker pour les stratégies IAM qui vous permet de restreindre la version IMDS pour les instances de bloc-notes via le Créer une instance de bloc-notes ainsi que le Mettre à jour l'instance de bloc-notes Appels API. Les administrateurs peuvent utiliser cette clé de condition pour limiter leurs utilisateurs finaux à la création et/ou à la mise à jour de blocs-notes pour prendre en charge IMDSv2 uniquement. Vous pouvez ajouter cette clé de condition au Gestion des identités et des accès AWS (IAM) politique attachée aux utilisateurs, rôles ou groupes IAM responsables de la création et de la mise à jour des blocs-notes.

De plus, vous pouvez également basculer entre les configurations de version IMDS à l'aide du paramètre de version minimale IMDS dans SageMaker Mettre à jour l'instance de bloc-notes API.

La prise en charge de la configuration de la version IMDS et de la restriction de la version IMDS à v2 uniquement est désormais disponible dans toutes les régions AWS dans lesquelles des instances de bloc-notes SageMaker sont disponibles.

Plan de support pour les versions IMDS sur les instances de notebook SageMaker

Le 1er juin 2022, nous avons déployé la prise en charge du contrôle de la version minimale d'IMDS à utiliser avec les instances de bloc-notes Amazon SageMaker. Toutes les instances de notebook lancées avant le 1er juin 2022 auront la version minimale par défaut définie sur 1. Vous aurez la possibilité de mettre à jour la version minimale sur 2 à l'aide de l'API SageMaker ou de la console.

Configurer la version IMDS sur votre instance SageMaker Notebook

Vous pouvez configurer la version minimale d'IMDS pour le bloc-notes SageMaker via la console AWS SageMaker (voir Créer une instance de bloc-notes), SDK ou le Interface de ligne de commande AWS (AWS CLI). Il s'agit d'une configuration facultative, avec une valeur par défaut définie sur 1, ce qui signifie que l'instance de bloc-notes prendra en charge les appels IMDSv1 et IMDSv2.

Lors de la création d'une nouvelle instance de bloc-notes sur la console SageMaker, vous avez désormais la possibilité Version minimale d'IMDS pour spécifier la version IMDS minimale prise en charge, comme illustré dans la capture d'écran suivante. Si la valeur est définie sur 1, IMDSv1 et IMDSv2 sont pris en charge. Si la valeur est définie sur 2, seul IMDSv2 est pris en charge.

Vous pouvez également modifier une instance de bloc-notes existante pour prendre en charge IMDSv2 uniquement à l'aide de la console SageMaker, comme illustré dans la capture d'écran suivante.

La valeur par défaut restera 1 jusqu'au 31 août 2022 et passera à 2 le 31 août 2022.

Lorsque vous utilisez l'AWS CLI pour créer un bloc-notes, vous pouvez utiliser le MinimumInstanceMetadataServiceVersion paramètre pour définir la version minimale d'IMDS prise en charge :

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Voici un exemple de commande AWS CLI pour créer une instance de bloc-notes avec prise en charge IMDSv2 uniquement :

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Si vous souhaitez mettre à jour un bloc-notes existant pour prendre en charge IMDSv2 uniquement, vous pouvez le faire en utilisant le Mettre à jour l'instance de bloc-notes API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Appliquer IMDSv2 pour toutes les instances de bloc-notes SageMaker

Vous pouvez utiliser une clé de condition pour faire en sorte que vos utilisateurs ne puissent créer ou mettre à jour que des instances de bloc-notes prenant uniquement en charge IMDSv2, afin d'améliorer la sécurité. Vous pouvez utiliser cette clé de condition dans les stratégies IAM attachées aux utilisateurs, rôles ou groupes IAM responsables de la création et de la mise à jour des blocs-notes, ou Organisations AWS politiques de contrôle des services.

Voici un exemple de déclaration de stratégie qui limite à la fois la création et la mise à jour des API d'instance de bloc-notes pour autoriser uniquement IMDSv2 :

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Conclusion

Aujourd'hui, nous avons annoncé la prise en charge de la configuration et de la restriction administrative de votre version IMDS (Instance Metadata Service) pour les instances Notebook. Nous vous avons montré comment configurer la version IMDS pour vos blocs-notes nouveaux et existants à l'aide de la console SageMaker et de l'AWS CLI. Nous vous avons également montré comment restreindre administrativement les versions d'IMDS à l'aide de clés de condition IAM et discuté des avantages de la prise en charge d'IMDSv2 uniquement.

Si vous avez des questions et des commentaires concernant IMDSv2, veuillez vous adresser à votre contact d'assistance AWS ou publier un message dans le Amazon EC2 ainsi que le Amazon Sage Maker forums de discussions.

À propos des auteurs

Apoorva Gupta est ingénieur logiciel au sein de l'équipe SageMaker Notebooks. Son objectif est de permettre aux clients de tirer parti plus efficacement de SageMaker dans tous les aspects de leurs opérations de ML. Elle contribue à Amazon SageMaker Notebooks depuis 2021. Dans ses temps libres, elle aime lire, peindre, jardiner, cuisiner et voyager.

Durga Sury est architecte de solutions ML au sein de l'équipe Amazon SageMaker Service SA. Elle est passionnée par l'idée de rendre l'apprentissage automatique accessible à tous. Au cours de ses 3 années chez AWS, elle a contribué à la mise en place de plateformes AI/ML pour les entreprises clientes. Avant AWS, elle a permis aux organismes à but non lucratif et gouvernementaux de tirer des informations de leurs données pour améliorer les résultats scolaires. Lorsqu'elle ne travaille pas, elle adore les balades à moto, les romans policiers et les randonnées avec son husky de quatre ans.

Siddhanth Deshpande est responsable de l'ingénierie chez Amazon Web Services (AWS). Son objectif actuel est de créer les meilleurs services d'infrastructure et d'outils d'apprentissage automatique (ML) gérés de leur catégorie, qui visent à faire passer les clients de « J'ai besoin d'utiliser ML » à « J'utilise ML avec succès » rapidement et facilement. Il travaille pour AWS depuis 2013 dans divers rôles d'ingénierie, développant des services AWS comme Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint et Amazon SageMaker. Dans ses temps libres, il aime passer du temps avec sa famille, lire, cuisiner, jardiner et parcourir le monde.

Prashant Pawan Pisipati est chef de produit principal chez Amazon Web Services (AWS). Il a créé divers produits sur AWS et Alexa, et se concentre actuellement sur l'aide aux praticiens de l'apprentissage automatique pour être plus productifs grâce aux services AWS.

Edwin Béjarano est ingénieur logiciel au sein de l'équipe SageMaker Notebooks. Il est un vétéran de l'Air Force qui travaille pour Amazon depuis 2017 avec des contributions à des services comme AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program et Amazon SageMaker. Dans ses temps libres, il aime lire, faire de la randonnée, du vélo et jouer à des jeux vidéo.

• Coinsmart. Le meilleur échange Bitcoin et Crypto d'Europe.
• Platoblockchain. Intelligence métaverse Web3. Connaissance amplifiée. ACCÈS LIBRE.
• CryptoHawk. Radar Altcoins. Essai gratuit.
• Source : https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/