Amazon SageMaker Notebook Instances अब IMDS संस्करण प्लेटोब्लॉकचैन डेटा इंटेलिजेंस को कॉन्फ़िगर और प्रतिबंधित करने का समर्थन करता है। लंबवत खोज। ऐ.

Amazon SageMaker Notebook Instances अब IMDS संस्करणों को कॉन्फ़िगर करने और प्रतिबंधित करने का समर्थन करते हैं

टाइम स्टैम्प: 2 जून, 2022 दोपहर 6:02 बजे

आज, हम यह घोषणा करने के लिए उत्साहित हैं अमेज़न SageMaker अब नोटबुक इंस्टेंस के लिए इंस्टेंस मेटाडेटा सर्विस वर्जन 2 (IMDSv2) को कॉन्फ़िगर करने की क्षमता का समर्थन करता है, और व्यवस्थापकों के लिए न्यूनतम संस्करण को नियंत्रित करने के लिए जिसके साथ अंतिम उपयोगकर्ता नए नोटबुक इंस्टेंस बनाते हैं। IMDSv2 द्वारा प्रदान की गई नवीनतम सुरक्षा और समर्थन का लाभ उठाने के लिए अब आप केवल अपने नए और मौजूदा सेजमेकर नोटबुक इंस्टेंस के लिए IMDSv2 चुन सकते हैं।

इंस्टेंस मेटाडेटा आपके उदाहरण के बारे में डेटा है जिसका उपयोग आप अस्थायी और बार-बार घुमाए गए क्रेडेंशियल प्रदान करके चल रहे इंस्टेंस को कॉन्फ़िगर या प्रबंधित करने के लिए कर सकते हैं, जिसे केवल इंस्टेंस पर चलने वाले सॉफ़्टवेयर द्वारा ही एक्सेस किया जा सकता है। IMDS इंस्टेंस के बारे में मेटाडेटा बनाता है, जैसे कि इसका नेटवर्क और स्टोरेज, एक विशेष लिंक-स्थानीय आईपी पते के माध्यम से उपलब्ध है 169.254.169.254. आप अपने सेजमेकर नोटबुक इंस्टेंस पर IMDS का उपयोग कर सकते हैं, ठीक उसी तरह जैसे आप किसी पर IMDS का उपयोग करते हैं अमेज़ॅन इलास्टिक कम्प्यूट क्लाउड (अमेज़ॅन ईसी 2) उदाहरण। विस्तृत दस्तावेज़ीकरण के लिए, देखें इंस्टेंस मेटाडेटा और उपयोगकर्ता डेटा.

IMDSv2 का रिलीज़ सत्र प्रमाणीकरण का उपयोग करके सुरक्षा की एक अतिरिक्त परत जोड़ता है। IMDSv2 के साथ, प्रत्येक सत्र एक समाप्ति समय के साथ एक सुरक्षित टोकन प्राप्त करने के लिए IMDSv2 को PUT अनुरोध के साथ शुरू होता है, जो न्यूनतम 1 सेकंड और अधिकतम 6 घंटे हो सकता है। IMDS को किसी भी अनुवर्ती GET अनुरोध को एक सफल प्रतिक्रिया प्राप्त करने के लिए परिणामी टोकन को हेडर के रूप में भेजना होगा। जब निर्दिष्ट अवधि समाप्त हो जाती है, तो भविष्य के अनुरोधों के लिए एक नए टोकन की आवश्यकता होती है।

एक नमूना IMDSv1 कॉल निम्न कोड की तरह दिखता है:

curl http://169.254.169.254/latest/meta-data/profile

IMDSv2 के साथ, कॉल निम्न कोड की तरह दिखता है:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

IMDSv2 को अपनाना और इसे न्यूनतम संस्करण के रूप में सेट करना IMDSv1 पर विभिन्न सुरक्षा लाभ प्रदान करता है। IMDSv2 अप्रतिबंधित वेब एप्लिकेशन फ़ायरवॉल (WAF) कॉन्फ़िगरेशन, ओपन रिवर्स प्रॉक्सी, सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) कमजोरियों और ओपन लेयर 3 फायरवॉल और NATs से बचाता है जिनका उपयोग इंस्टेंस मेटाडेटा तक पहुंचने के लिए किया जा सकता है। विस्तृत तुलना के लिए देखें EC2 इंस्टेंस मेटाडेटा सर्विस में एन्हांसमेंट के साथ ओपन फायरवॉल, रिवर्स प्रॉक्सी और SSRF कमजोरियों के खिलाफ गहराई से रक्षा जोड़ें.

इस पोस्ट में, हम आपको दिखाते हैं कि कैसे अपने सेजमेकर नोटबुक को केवल IMDSv2 समर्थन के साथ कॉन्फ़िगर करें। हम IMDSv1 के लिए समर्थन योजना और आप अपनी नोटबुक पर IMDSv2 को कैसे लागू कर सकते हैं, इसे भी साझा करते हैं।

IMDSv2 समर्थन और सेजमेकर के साथ नया क्या है?

अब आप इंस्टेंस बनाते या अपडेट करते समय सेजमेकर नोटबुक इंस्टेंस के आईएमडीएस संस्करण को कॉन्फ़िगर कर सकते हैं, जिसे आप न्यूनतम आईएमडीएस संस्करण पैरामीटर के साथ सेजमेकर एपीआई या सेजमेकर कंसोल के माध्यम से कर सकते हैं। न्यूनतम IMDS संस्करण न्यूनतम समर्थित संस्करण को निर्दिष्ट करता है। 1 के मान पर सेट करना IMDSv1 और IMDSv2 दोनों के लिए समर्थन की अनुमति देता है, और न्यूनतम संस्करण को 2 पर सेट करने से केवल IMDSv2 का समर्थन होता है। IMDSv2-only नोटबुक के साथ, आप IMDSv2 द्वारा प्रदान की जाने वाली अतिरिक्त सुरक्षा का गहराई से लाभ उठा सकते हैं।

हम एक भी प्रदान करते हैं IAM नीतियों के लिए सेजमेकर शर्त कुंजी जो आपको नोटबुक उदाहरणों के लिए IMDS संस्करण को प्रतिबंधित करने की अनुमति देता है नोटबुक इंस्टेंस बनाएं और अद्यतननोटबुकइंस्टेंस एपीआई कॉल। व्यवस्थापक इस शर्त कुंजी का उपयोग अपने अंतिम उपयोगकर्ताओं को केवल IMDSv2 का समर्थन करने के लिए नोटबुक बनाने और/या अपडेट करने तक सीमित रखने के लिए कर सकते हैं। आप इस शर्त कुंजी को इसमें जोड़ सकते हैं AWS पहचान और अभिगम प्रबंधन (IAM) नीति IAM उपयोगकर्ताओं, भूमिकाओं या समूहों से जुड़ी है जो नोटबुक बनाने और अपडेट करने के लिए जिम्मेदार हैं।

इसके अतिरिक्त, आप SageMaker में न्यूनतम IMDS संस्करण पैरामीटर का उपयोग करके IMDS संस्करण कॉन्फ़िगरेशन के बीच स्विच कर सकते हैं अद्यतननोटबुकइंस्टेंस एपीआई।

IMDS संस्करण को कॉन्फ़िगर करने और IMDS संस्करण को केवल v2 तक सीमित करने के लिए समर्थन अब उन सभी AWS क्षेत्रों में उपलब्ध है जिनमें SageMaker नोटबुक इंस्टेंस उपलब्ध हैं।

सेजमेकर नोटबुक इंस्टेंस पर आईएमडीएस संस्करणों के लिए समर्थन योजना

1 जून, 2022 को, हमने Amazon SageMaker नोटबुक इंस्टेंस के साथ उपयोग किए जाने वाले IMDS के न्यूनतम संस्करण को नियंत्रित करने के लिए समर्थन शुरू किया। 1 जून, 2022 से पहले लॉन्च किए गए सभी नोटबुक इंस्टेंस में डिफ़ॉल्ट न्यूनतम संस्करण 1 पर सेट होगा। आपके पास सेजमेकर एपीआई या कंसोल का उपयोग करके न्यूनतम संस्करण को 2 में अपडेट करने का विकल्प होगा।

अपने सेजमेकर नोटबुक इंस्टेंस पर IMDS संस्करण कॉन्फ़िगर करें

आप एडब्ल्यूएस सेजमेकर कंसोल के माध्यम से सेजमेकर नोटबुक के लिए न्यूनतम आईएमडीएस संस्करण को कॉन्फ़िगर कर सकते हैं (देखें एक नोटबुक उदाहरण बनाएँ), एसडीके, या AWS कमांड लाइन इंटरफ़ेस (एडब्ल्यूएस सीएलआई)। यह एक वैकल्पिक कॉन्फ़िगरेशन है, जिसका डिफ़ॉल्ट मान 1 पर सेट है, जिसका अर्थ है कि नोटबुक इंस्टेंस IMDSv1 और IMDSv2 कॉल दोनों का समर्थन करेगा।

सेजमेकर कंसोल पर एक नया नोटबुक इंस्टेंस बनाते समय, अब आपके पास विकल्प है न्यूनतम आईएमडीएस संस्करण न्यूनतम समर्थित IMDS संस्करण निर्दिष्ट करने के लिए, जैसा कि निम्न स्क्रीनशॉट में दिखाया गया है। यदि मान 1 पर सेट है, तो IMDSv1 और IMDSv2 दोनों समर्थित हैं। यदि मान 2 पर सेट है, तो केवल IMDSv2 समर्थित है।

क्रिएट-नोटबुक-इंस्टेंस-स्क्रीनशॉट

आप केवल सेजमेकर कंसोल का उपयोग करके IMDSv2 का समर्थन करने के लिए मौजूदा नोटबुक इंस्टेंस को संपादित कर सकते हैं, जैसा कि निम्नलिखित स्क्रीनशॉट में दिखाया गया है।

संपादित करें-नोटबुक-उदाहरण-स्क्रीनशॉट

डिफ़ॉल्ट मान 1 अगस्त, 31 तक 2022 रहेगा और 2 अगस्त, 31 को 2022 पर स्विच हो जाएगा।

नोटबुक बनाने के लिए AWS CLI का उपयोग करते समय, आप इसका उपयोग कर सकते हैं MinimumInstanceMetadataServiceVersion न्यूनतम समर्थित IMDS संस्करण सेट करने के लिए पैरामीटर:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

केवल IMDSv2 समर्थन के साथ एक नोटबुक इंस्टेंस बनाने के लिए नमूना AWS CLI कमांड निम्नलिखित है:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

यदि आप किसी मौजूदा नोटबुक को केवल IMDSv2 का समर्थन करने के लिए अपडेट करना चाहते हैं, तो आप इसका उपयोग करके कर सकते हैं अद्यतननोटबुकइंस्टेंस एपीआई:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

सभी सेजमेकर नोटबुक इंस्टेंस के लिए IMDSv2 लागू करें

आप यह सुनिश्चित करने के लिए एक शर्त कुंजी का उपयोग कर सकते हैं कि आपके उपयोगकर्ता सुरक्षा बढ़ाने के लिए केवल IMDSv2 का समर्थन करने वाले नोटबुक उदाहरण बना या अपडेट कर सकते हैं। आप इस शर्त कुंजी का उपयोग आईएएम उपयोगकर्ताओं, भूमिकाओं या समूहों से जुड़ी आईएएम नीतियों में कर सकते हैं जो नोटबुक बनाने और अपडेट करने के लिए जिम्मेदार हैं, या AWS संगठन सेवा नियंत्रण नीतियां।

निम्नलिखित एक नमूना नीति कथन है जो केवल IMDSv2 को अनुमति देने के लिए नोटबुक इंस्टेंस API बनाने और अपडेट करने दोनों को प्रतिबंधित करता है:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

निष्कर्ष

आज, हमने नोटबुक इंस्टेंस के लिए आपके इंस्टेंस मेटाडेटा सर्विस (IMDS) संस्करण को कॉन्फ़िगर करने और प्रशासनिक रूप से प्रतिबंधित करने के लिए समर्थन की घोषणा की। हमने आपको दिखाया कि सेजमेकर कंसोल और एडब्ल्यूएस सीएलआई का उपयोग करके अपनी नई और मौजूदा नोटबुक के लिए आईएमडीएस संस्करण को कैसे कॉन्फ़िगर किया जाए। हमने आपको यह भी दिखाया कि IAM कंडीशन कुंजियों का उपयोग करके IMDS संस्करणों को प्रशासनिक रूप से कैसे प्रतिबंधित किया जाए, और केवल IMDSv2 का समर्थन करने के लाभों पर चर्चा की।

यदि आपके पास IMDSv2 के संबंध में कोई प्रश्न और प्रतिक्रिया है, तो कृपया अपने AWS समर्थन संपर्क से बात करें या में एक संदेश पोस्ट करें अमेज़ॅन EC2 और अमेज़न SageMaker चर्चा मंच।

लेखक के बारे में

Amazon SageMaker Notebook Instances अब IMDS संस्करण प्लेटोब्लॉकचैन डेटा इंटेलिजेंस को कॉन्फ़िगर और प्रतिबंधित करने का समर्थन करता है। लंबवत खोज। ऐ. अपूर्व गुप्ता सेजमेकर नोटबुक टीम में सॉफ्टवेयर इंजीनियर हैं। उनका ध्यान ग्राहकों को अपने एमएल संचालन के सभी पहलुओं में सेजमेकर का अधिक प्रभावी ढंग से लाभ उठाने में सक्षम बनाने पर है। वह 2021 से Amazon SageMaker Notebooks में योगदान दे रही हैं। अपने खाली समय में, उन्हें पढ़ना, पेंटिंग करना, बागवानी करना, खाना बनाना और यात्रा करना पसंद है।

Amazon SageMaker Notebook Instances अब IMDS संस्करण प्लेटोब्लॉकचैन डेटा इंटेलिजेंस को कॉन्फ़िगर और प्रतिबंधित करने का समर्थन करता है। लंबवत खोज। ऐ.दुर्गा सूर्य Amazon SageMaker Service SA टीम में ML सॉल्यूशंस आर्किटेक्ट हैं। उन्हें मशीन लर्निंग को सभी के लिए सुलभ बनाने का शौक है। एडब्ल्यूएस में अपने 3 वर्षों में, उसने उद्यम ग्राहकों के लिए एआई/एमएल प्लेटफॉर्म स्थापित करने में मदद की है। एडब्ल्यूएस से पहले, उसने गैर-लाभकारी और सरकारी एजेंसियों को शिक्षा के परिणामों में सुधार के लिए अपने डेटा से अंतर्दृष्टि प्राप्त करने में सक्षम बनाया। जब वह काम नहीं कर रही होती है, तो उसे अपने चार साल के हस्की के साथ मोटरसाइकिल की सवारी, रहस्य उपन्यास और लंबी पैदल यात्रा पसंद है।

Amazon SageMaker Notebook Instances अब IMDS संस्करण प्लेटोब्लॉकचैन डेटा इंटेलिजेंस को कॉन्फ़िगर और प्रतिबंधित करने का समर्थन करता है। लंबवत खोज। ऐ.सिद्धांत देशपांडे Amazon Web Services (AWS) में इंजीनियरिंग मैनेजर हैं। उनका वर्तमान ध्यान सर्वश्रेष्ठ-इन-क्लास प्रबंधित मशीन लर्निंग (एमएल) बुनियादी ढांचे और टूलिंग सेवाओं का निर्माण कर रहा है, जिसका उद्देश्य ग्राहकों को "मुझे एमएल का उपयोग करने की आवश्यकता है" से "मैं सफलतापूर्वक एमएल का उपयोग कर रहा हूं" से जल्दी और आसानी से प्राप्त करना है। उन्होंने 2013 से विभिन्न इंजीनियरिंग भूमिकाओं में एडब्ल्यूएस के लिए काम किया है, अमेज़ॅन सिंपल नोटिफिकेशन सर्विस, अमेज़ॅन सिंपल क्यू सर्विस, अमेज़ॅन ईसी 2, अमेज़ॅन पिनपॉइंट और अमेज़ॅन सेजमेकर जैसी एडब्ल्यूएस सेवाओं का विकास किया है। अपने खाली समय में, वह अपने परिवार के साथ समय बिताना, पढ़ना, खाना बनाना, बागवानी करना और दुनिया की यात्रा करना पसंद करते हैं।

Amazon SageMaker Notebook Instances अब IMDS संस्करण प्लेटोब्लॉकचैन डेटा इंटेलिजेंस को कॉन्फ़िगर और प्रतिबंधित करने का समर्थन करता है। लंबवत खोज। ऐ.प्रशांत पवन पिसिपति Amazon Web Services (AWS) में प्रधान उत्पाद प्रबंधक हैं। उन्होंने एडब्ल्यूएस और एलेक्सा में विभिन्न उत्पादों का निर्माण किया है, और वर्तमान में एडब्ल्यूएस सेवाओं के माध्यम से मशीन लर्निंग प्रैक्टिशनर्स को अधिक उत्पादक बनने में मदद करने पर ध्यान केंद्रित कर रहे हैं।

Amazon SageMaker Notebook Instances अब IMDS संस्करण प्लेटोब्लॉकचैन डेटा इंटेलिजेंस को कॉन्फ़िगर और प्रतिबंधित करने का समर्थन करता है। लंबवत खोज। ऐ.एडविन बेजरानो सेजमेकर नोटबुक टीम में सॉफ्टवेयर इंजीनियर हैं। वह एक वायु सेना के दिग्गज हैं जो 2017 से AWS लैम्ब्डा, अमेज़न पिनपॉइंट, अमेज़न टैक्स छूट कार्यक्रम और अमेज़न सेजमेकर जैसी सेवाओं में योगदान के साथ अमेज़न के लिए काम कर रहे हैं। अपने खाली समय में, उन्हें पढ़ना, लंबी पैदल यात्रा, बाइक चलाना और वीडियो गेम खेलना पसंद है।

समय टिकट:

से अधिक AWS मशीन लर्निंग