Az Amazon SageMaker notebook példányok mostantól támogatják az IMDS-verziók konfigurálását és korlátozását

Ma örömmel jelentjük be Amazon SageMaker mostantól támogatja a Példány metaadat-szolgáltatás 2-es verziójának (IMDSv2) konfigurálását a notebook példányokhoz, és a rendszergazdák számára, hogy szabályozzák azt a minimális verziót, amellyel a végfelhasználók új notebook példányokat hoznak létre. Mostantól csak az új és a meglévő SageMaker notebook példányaihoz választhatja az IMDSv2-t, hogy kihasználhassa az IMDSv2 által biztosított legújabb védelmet és támogatást.

Példány metaadatai olyan adatok a példányáról, amelyeket a futó példány konfigurálására vagy kezelésére használhat, ideiglenes és gyakran elforgatott hitelesítő adatok megadásával, amelyekhez csak a példányon futó szoftverek férhetnek hozzá. Az IMDS egy speciális link-local IP-címen keresztül teszi elérhetővé a példány metaadatait, például a hálózatát és a tárhelyét. 169.254.169.254. Használhatja az IMDS-t a SageMaker notebook példányaiban, hasonlóan ahhoz, ahogyan az IMDS-t egy Amazon rugalmas számítási felhő (Amazon EC2) példány. A részletes dokumentációt lásd Példány metaadatai és felhasználói adatok.

Az IMDSv2 kiadása további védelmi réteget ad a munkamenet-hitelesítés használatával. Az IMDSv2 esetén minden munkamenet egy PUT kéréssel kezdődik az IMDSv2 felé, hogy biztonságos tokent kapjon, lejárati idővel, amely minimum 1 másodperc és maximum 6 óra lehet. Az IMDS-nek küldött minden későbbi GET-kérelemnek fejlécként kell elküldenie a kapott tokent, hogy sikeres választ kapjon. Amikor a megadott időtartam lejár, új tokenre van szükség a jövőbeni kérésekhez.

Egy minta IMDSv1 hívás a következő kódhoz hasonlóan néz ki:

curl http://169.254.169.254/latest/meta-data/profile

Az IMDSv2 esetén a hívás a következő kódhoz hasonlóan néz ki:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Az IMDSv2 elfogadása és minimális verzióként való beállítása különféle biztonsági előnyöket kínál az IMDSv1-hez képest. Az IMDSv2 védelmet nyújt a korlátlan webalkalmazási tűzfal (WAF) konfigurációk, a nyílt fordított proxyk, a szerveroldali kéréshamisítás (SSRF) sebezhetőségei, valamint a példány metaadatainak eléréséhez használható nyílt 3. rétegű tűzfalak és NAT-ok ellen. A részletes összehasonlításhoz lásd Az EC2 Instance Metadata Service továbbfejlesztéseivel mélyreható védelmet nyújt a nyílt tűzfalak, fordított proxyk és SSRF sebezhetőségek ellen.

Ebben a bejegyzésben megmutatjuk, hogyan konfigurálhatja SageMaker notebookjait csak az IMDSv2 támogatással. Megosztjuk továbbá az IMDSv1 támogatási tervét, és azt is, hogyan kényszerítheti ki az IMDSv2-t notebookjain.

Az IMDSv2 támogatás és a SageMaker újdonságai

Most már konfigurálhatja a SageMaker notebook példányok IMDS-verzióját a példány létrehozása vagy frissítése közben, amit a SageMaker API-n vagy a SageMaker Console-on keresztül tehet meg, a minimális IMDS-verzió paraméterrel. A minimális IMDS-verzió határozza meg a minimálisan támogatott verziót. Az 1-es érték beállítása lehetővé teszi az IMDSv1 és az IMDSv2 támogatását, és a minimális verzió 2-re állítása csak az IMDSv2-t támogatja. A csak IMDSv2-t használó noteszgéppel kiaknázhatja az IMDSv2 által nyújtott mélyreható védelmet.

Biztosítjuk továbbá a SageMaker feltételkulcs az IAM-irányelvekhez amely lehetővé teszi a notebook példányok IMDS-verziójának korlátozását a CreateNotebookInstance és a UpdateNotebookInstance API-hívások. A rendszergazdák ezzel a feltételkulccsal korlátozhatják végfelhasználóikat jegyzetfüzetek létrehozására és/vagy frissítésére, hogy csak az IMDSv2-t támogassák. Ezt a feltétel kulcsot hozzáadhatja a AWS Identity and Access Management (IAM) szabályzat az IAM-felhasználókhoz, a jegyzetfüzetek létrehozásáért és frissítéséért felelős szerepkörökhöz vagy csoportokhoz.

Ezenkívül az IMDS-verzió konfigurációi között is válthat a SageMaker minimális IMDS-verzió paraméterével. UpdateNotebookInstance API.

Az IMDS-verzió konfigurálásának és az IMDS-verziónak a v2-re való korlátozásának támogatása mostantól minden AWS-régióban elérhető, ahol a SageMaker notebook példányok elérhetők.

Támogatási terv az IMDS-verziókhoz a SageMaker notebook példányokon

1. június 2022-jén bevezettük az Amazon SageMaker notebook példányokkal használható minimális IMDS-verzió vezérlésének támogatását. A 1. június 2022. előtt elindított összes Notebook-példány alapértelmezett minimális verziója 1 lesz. Lehetősége van arra, hogy a minimális verziót 2-re frissítse a SageMaker API vagy a konzol segítségével.

Konfigurálja az IMDS verziót a SageMaker notebook példányán

A SageMaker notebook minimális IMDS-verzióját az AWS SageMaker konzolon keresztül állíthatja be (lásd Hozzon létre egy notebook példányt), SDK vagy a AWS parancssori interfész (AWS CLI). Ez egy opcionális konfiguráció, amelynek alapértelmezett értéke 1, ami azt jelenti, hogy a notebook példány támogatja az IMDSv1 és IMDSv2 hívásokat is.

Ha új jegyzetfüzet-példányt hoz létre a SageMaker konzolon, most lehetősége van rá Minimális IMDS verzió a minimálisan támogatott IMDS-verzió megadásához, ahogy az a következő képernyőképen látható. Ha az érték 1, akkor az IMDSv1 és az IMDSv2 is támogatott. Ha az érték 2, csak az IMDSv2 támogatott.

Meglévő jegyzetfüzet-példányt is szerkeszthet úgy, hogy csak az IMDSv2-t támogassa a SageMaker konzol használatával, ahogy az a következő képernyőképen látható.

Az alapértelmezett érték 1 marad 31. augusztus 2022-ig, és 2. augusztus 31-én 2022-re vált.

Ha az AWS parancssori felületet használja jegyzetfüzet létrehozásához, használhatja a MinimumInstanceMetadataServiceVersion paraméter a minimálisan támogatott IMDS-verzió beállításához:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

A következő példa egy AWS CLI-parancs, amellyel csak IMDSv2-támogatással rendelkező jegyzetfüzet-példányt hozhat létre:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Ha egy meglévő notebookot csak az IMDSv2 támogatására szeretne frissíteni, ezt megteheti a UpdateNotebookInstance API-k:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Kényszerítse az IMDSv2-t az összes SageMaker notebook példányra

A biztonság fokozása érdekében feltételkulcsot használhat annak kikényszerítésére, hogy a felhasználók csak az IMDSv2-t támogató Notebook-példányokat hozzanak létre vagy frissítsenek. Ezt a feltételkulcsot használhatja a jegyzetfüzetek létrehozásáért és frissítéséért felelős IAM-felhasználókhoz, szerepkörökhöz vagy csoportokhoz csatolt IAM-szabályzatokban, vagy AWS szervezetek szolgáltatás-ellenőrzési szabályzatok.

Az alábbiakban egy minta házirend-nyilatkozat, amely korlátozza a jegyzetfüzet-példány API-k létrehozását és frissítését, hogy csak az IMDSv2 engedélyezze:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Következtetés

Ma bejelentettük, hogy támogatjuk a Példány metaadatszolgáltatás (IMDS) verziójának konfigurálását és adminisztratív korlátozását a notebook példányokhoz. Megmutattuk, hogyan konfigurálhatja az IMDS-verziót új és meglévő notebookjaihoz a SageMaker konzol és az AWS CLI segítségével. Megmutattuk azt is, hogyan lehet adminisztratív módon korlátozni az IMDS-verziókat IAM-feltételkulcsok használatával, és megvitattuk a csak IMDSv2 támogatásának előnyeit.

Ha bármilyen kérdése vagy visszajelzése van az IMDSv2-vel kapcsolatban, forduljon az AWS ügyfélszolgálati kapcsolattartójához, vagy küldjön üzenetet a Amazon EC2 és a Amazon SageMaker vitafórumok.

A szerzőkről

Apoorva Gupta a SageMaker Notebooks csapat szoftvermérnöke. Arra összpontosít, hogy lehetővé tegye az ügyfelek számára, hogy hatékonyabban tudják kihasználni a SageMaker-t ML-műveleteik minden aspektusában. 2021 óta dolgozik az Amazon SageMaker Notebooks-on. Szabadidejében szívesen olvas, fest, kertészkedik, főz és utazik.

Durga Sury ML Solutions Architect az Amazon SageMaker Service SA csapatában. Szenvedélyesen törekszik arra, hogy mindenki számára elérhetővé tegye a gépi tanulást. Az AWS-nél eltöltött 3 év alatt segített AI/ML platformok felállításában vállalati ügyfelek számára. Az AWS előtt lehetővé tette a nonprofit és kormányzati szervek számára, hogy adataikból betekintést nyerjenek az oktatási eredmények javítása érdekében. Amikor nem dolgozik, imád motorozni, rejtélyes regényeket írni és túrázni négyéves huskyjával.

Siddhanth Deshpande az Amazon Web Services (AWS) mérnöki menedzsere. Jelenleg a kategóriájában legjobban felügyelt gépi tanulási (ML) infrastruktúra és szerszámszolgáltatások kiépítésére összpontosít, amelyek célja, hogy az ügyfelek gyorsan és egyszerűen eljuttassák az „ML-t kell használnom kell”-től a „sikeresen használom az ML-t”-ig. 2013 óta dolgozik az AWS-nél különböző mérnöki beosztásokban, olyan AWS-szolgáltatásokat fejlesztve, mint az Amazon Simple Notification Service, az Amazon Simple Queue Service, az Amazon EC2, az Amazon Pinpoint és az Amazon SageMaker. Szabadidejében szívesen tölt időt a családjával, olvas, főz, kertészkedik és utazik a világban.

Prashant Pawan Pisipati az Amazon Web Services (AWS) fő termékmenedzsere. Különféle termékeket épített ki az AWS-en és az Alexán, és jelenleg arra összpontosít, hogy segítse a gépi tanulással foglalkozó szakembereket az AWS-szolgáltatások révén termelékenyebbé tenni.

Edwin Bejarano a SageMaker Notebooks csapat szoftvermérnöke. Ő a légierő veteránja, aki 2017 óta dolgozik az Amazonnál, és olyan szolgáltatásokhoz járult hozzá, mint az AWS Lambda, az Amazon Pinpoint, az Amazon Tax Exemption Program és az Amazon SageMaker. Szabadidejében szeret olvasni, túrázni, biciklizni és videojátékokkal játszani.

• Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
• CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
• Forrás: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/