Oggi siamo lieti di annunciare che Amazon Sage Maker ora supporta la possibilità di configurare il servizio di metadati dell'istanza versione 2 (IMDSv2) per le istanze notebook e per consentire agli amministratori di controllare la versione minima con cui gli utenti finali creano nuove istanze notebook. Ora puoi scegliere IMDSv2 solo per le tue istanze SageMaker Notebook nuove ed esistenti per sfruttare la protezione e il supporto più recenti forniti da IMDSv2.
Metadati dell'istanza sono i dati sulla tua istanza che puoi utilizzare per configurare o gestire l'istanza in esecuzione, fornendo credenziali temporanee e ruotate di frequente a cui è possibile accedere solo dal software in esecuzione sull'istanza. IMDS rende disponibili i metadati sull'istanza, come la rete e lo storage, tramite uno speciale indirizzo IP link-local di 169.254.169.254. Puoi utilizzare IMDS sulle tue istanze SageMaker Notebook, in modo simile a come useresti IMDS su un Cloud di calcolo elastico di Amazon (Amazon EC2). Per la documentazione dettagliata, vedere Metadati dell'istanza e dati utente.
Il rilascio di IMDSv2 aggiunge un ulteriore livello di protezione tramite l'autenticazione della sessione. Con IMDSv2, ogni sessione inizia con una richiesta PUT a IMDSv2 per ottenere un token sicuro, con un tempo di scadenza, che può essere minimo 1 secondo e massimo 6 ore. Qualsiasi successiva richiesta GET a IMDS deve inviare il token risultante come intestazione, al fine di ricevere una risposta corretta. Quando la durata specificata scade, è necessario un nuovo token per le richieste future.
Una chiamata IMDSv1 di esempio è simile al codice seguente:
Con IMDSv2, la chiamata è simile al codice seguente:
L'adozione di IMDSv2 e l'impostazione come versione minima offre vari vantaggi di sicurezza rispetto a IMDSv1. IMDSv2 protegge da configurazioni WAF (Web Application Firewall) illimitate, proxy inverso aperti, vulnerabilità Server-Side Request Forgery (SSRF) e firewall e NAT di livello 3 aperti che potrebbero essere utilizzati per accedere ai metadati dell'istanza. Per un confronto dettagliato, cfr Aggiungi una difesa approfondita contro firewall aperti, proxy inverso e vulnerabilità SSRF con miglioramenti al servizio di metadati dell'istanza EC2.
In questo post, ti mostriamo come configurare i tuoi notebook SageMaker con solo il supporto IMDSv2. Condividiamo anche il piano di supporto per IMDSv1 e come puoi applicare IMDSv2 ai tuoi notebook.
Novità con il supporto IMDSv2 e SageMaker
È ora possibile configurare la versione IMDS delle istanze SageMaker Notebook durante la creazione o l'aggiornamento dell'istanza, operazione che è possibile eseguire tramite l'API SageMaker o la console SageMaker, con il parametro minimo della versione IMDS. La versione minima di IMDS specifica la versione minima supportata. L'impostazione su un valore di 1 consente il supporto sia per IMDSv1 che IMDSv2 e l'impostazione della versione minima su 2 supporta solo IMDSv2. Con un notebook solo IMDSv2, puoi sfruttare la difesa aggiuntiva in profondità fornita da IMDSv2.
Forniamo anche un Chiave di condizione SageMaker per le policy IAM che ti consente di limitare la versione IMDS per le istanze Notebook tramite il Crea istanza del notebook ed Aggiorna istanza del notebook Chiamate API. Gli amministratori possono utilizzare questa chiave di condizione per limitare i propri utenti finali alla creazione e/o all'aggiornamento di notebook per supportare solo IMDSv2. È possibile aggiungere questa chiave di condizione a Gestione dell'identità e dell'accesso di AWS (IAM) allegata a utenti, ruoli o gruppi IAM responsabili della creazione e dell'aggiornamento dei notebook.
Inoltre, puoi anche passare da una configurazione di versione IMDS a un'altra utilizzando il parametro versione minima di IMDS in SageMaker Aggiorna istanza del notebook API.
Il supporto per la configurazione della versione IMDS e la limitazione della versione IMDS solo alla v2 è ora disponibile in tutte le regioni AWS in cui sono disponibili le istanze SageMaker Notebook.
Piano di supporto per versioni IMDS su istanze notebook SageMaker
Il 1° giugno 2022 abbiamo implementato il supporto per il controllo della versione minima di IMDS da utilizzare con le istanze notebook Amazon SageMaker. Tutte le istanze Notebook avviate prima del 1 giugno 2022 avranno la versione minima predefinita impostata su 1. Avrai la possibilità di aggiornare la versione minima a 2 utilizzando l'API SageMaker o la console.
Configura la versione IMDS sulla tua istanza SageMaker Notebook
Puoi configurare la versione IMDS minima per il notebook SageMaker tramite la console AWS SageMaker (vedi Creare un'istanza di Notebook), SDK o il Interfaccia della riga di comando di AWS (AWS CLI). Questa è una configurazione facoltativa, con un valore predefinito impostato su 1, il che significa che l'istanza notebook supporterà sia le chiamate IMDSv1 che IMDSv2.
Quando crei una nuova istanza notebook sulla console SageMaker, ora hai l'opzione Versione minima di IMDS per specificare la versione IMDS minima supportata, come mostrato nella schermata seguente. Se il valore è impostato su 1, sono supportati sia IMDSv1 che IMDSv2. Se il valore è impostato su 2, è supportato solo IMDSv2.
Puoi anche modificare un'istanza notebook esistente per supportare IMDSv2 solo utilizzando la console SageMaker, come mostrato nella schermata seguente.
Il valore predefinito rimarrà 1 fino al 31 agosto 2022 e passerà a 2 il 31 agosto 2022.
Quando utilizzi l'AWS CLI per creare un notebook, puoi utilizzare il MinimumInstanceMetadataServiceVersion parametro per impostare la versione IMDS minima supportata:
Di seguito è riportato un comando AWS CLI di esempio per creare un'istanza notebook solo con supporto IMDSv2:
Se desideri aggiornare un notebook esistente per supportare solo IMDSv2, puoi farlo utilizzando il file Aggiorna istanza del notebook API:
Applica IMDSv2 per tutte le istanze di SageMaker Notebook
È possibile utilizzare una chiave di condizione per imporre che gli utenti possano creare o aggiornare solo le istanze notebook che supportano solo IMDSv2, per migliorare la sicurezza. È possibile utilizzare questa chiave di condizione nelle policy IAM allegate agli utenti, ai ruoli o ai gruppi IAM responsabili della creazione e dell'aggiornamento dei notebook oppure Organizzazioni AWS politiche di controllo del servizio.
Quella che segue è una dichiarazione di policy di esempio che limita sia la creazione che l'aggiornamento delle API dell'istanza notebook per consentire solo IMDSv2:
Conclusione
Oggi abbiamo annunciato il supporto per la configurazione e la limitazione amministrativa della versione del servizio di metadati dell'istanza (IMDS) per le istanze Notebook. Ti abbiamo mostrato come configurare la versione IMDS per i tuoi notebook nuovi ed esistenti utilizzando la console SageMaker e AWS CLI. Ti abbiamo anche mostrato come limitare amministrativamente le versioni IMDS utilizzando chiavi di condizione IAM e discusso i vantaggi del supporto solo di IMDSv2.
In caso di domande e feedback su IMDSv2, rivolgiti al tuo contatto di supporto AWS o pubblica un messaggio in Amazon EC2 ed Amazon Sage Maker forum di discussione.
Informazioni sugli autori
Apoorva Gupta è un ingegnere del software nel team SageMaker Notebooks. Il suo obiettivo è consentire ai clienti di sfruttare SageMaker in modo più efficace in tutti gli aspetti delle loro operazioni ML. Collabora con Amazon SageMaker Notebooks dal 2021. Nel tempo libero ama leggere, dipingere, fare giardinaggio, cucinare e viaggiare.
Durga Sury è un ML Solutions Architect nel team Amazon SageMaker Service SA. È appassionata di rendere l'apprendimento automatico accessibile a tutti. Nei suoi 3 anni in AWS, ha aiutato a configurare piattaforme AI/ML per clienti aziendali. Prima di AWS, ha consentito alle agenzie non profit e governative di ricavare informazioni dai propri dati per migliorare i risultati dell'istruzione. Quando non lavora, ama le gite in moto, i romanzi gialli e le escursioni con il suo husky di quattro anni.
Siddhanth Deshpande è Engineering Manager presso Amazon Web Services (AWS). Il suo obiettivo attuale è la creazione di un'infrastruttura di Machine Learning (ML) gestita all'avanguardia e servizi di strumenti che mirano a portare i clienti da "Ho bisogno di usare ML" a "Sto usando ML con successo" in modo rapido e semplice. Ha lavorato per AWS dal 2013 in vari ruoli ingegneristici, sviluppando servizi AWS come Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint e Amazon SageMaker. Nel tempo libero gli piace passare il tempo con la sua famiglia, leggere, cucinare, fare giardinaggio e viaggiare per il mondo.
Prashant Pawan Pisipati è Principal Product Manager presso Amazon Web Services (AWS). Ha creato vari prodotti in AWS e Alexa e attualmente si concentra sull'aiutare i professionisti del Machine Learning a essere più produttivi attraverso i servizi AWS.
Edwin Bejarano è un ingegnere del software nel team SageMaker Notebooks. È un veterano dell'Air Force che lavora per Amazon dal 2017 con contributi a servizi come AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program e Amazon SageMaker. Nel tempo libero ama leggere, fare escursioni, andare in bicicletta e giocare ai videogiochi.
- Coinsmart. Il miglior scambio di bitcoin e criptovalute d'Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. ACCESSO LIBERO.
- Criptofalco. Radar Altcoin. Prova gratuita.
- Fonte: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/
- "
- 100
- 2021
- 2022
- capacità
- Chi siamo
- accesso
- accessibile
- operanti in
- Action
- aggiuntivo
- indirizzo
- amministratori
- Vantaggio
- vantaggi
- contro
- Air Force
- Alexa
- Tutti
- Amazon
- Amazon Web Services
- Annunciare
- ha annunciato
- api
- API
- Applicazioni
- AGOSTO
- Autenticazione
- disponibile
- AWS
- prima
- vantaggi
- sistema
- Costruzione
- chiamata
- Scegli
- codice
- Calcolare
- condizione
- Configurazione
- consolle
- contatti
- di controllo
- potuto
- creare
- Creazione
- Credenziali
- Corrente
- Attualmente
- Clienti
- dati
- Difesa
- dettagliati
- in via di sviluppo
- facilmente
- Istruzione
- effetto
- in maniera efficace
- consentendo
- ingegnere
- Ingegneria
- Impresa
- tutti
- eccitato
- esistente
- famiglia
- feedback
- Focus
- concentrato
- i seguenti
- forum
- futuro
- Giochi
- Enti Pubblici
- Gruppo
- aiutare
- Come
- Tutorial
- HTTPS
- Identità
- competenze
- Infrastruttura
- intuizioni
- IP
- Indirizzo IP
- IT
- Le
- Tasti
- con i più recenti
- lanciato
- strato
- apprendimento
- Leva
- linea
- macchina
- machine learning
- FA
- Fare
- gestire
- gestito
- direttore
- significato
- medie
- ordine
- ML
- Scopri di più
- MOTO
- Mistero
- Rete
- senza scopo di lucro
- taccuino
- notifica
- Offerte
- aprire
- Operazioni
- Opzione
- minimo
- appassionato
- Piattaforme
- gioco
- Termini e Condizioni
- politica
- Direttore
- Prodotto
- Prodotti
- Programma
- protezione
- fornire
- fornisce
- fornitura
- rapidamente
- Lettura
- ricevere
- per quanto riguarda
- rilasciare
- rimanere
- richiesta
- richieste
- necessario
- risorsa
- risposta
- responsabile
- invertire
- running
- sdk
- sicuro
- problemi di
- servizio
- Servizi
- set
- regolazione
- Condividi
- mostrato
- simile
- Un'espansione
- da
- Software
- Software Engineer
- solido
- Soluzioni
- parlare
- la nostra speciale
- Spendere
- inizio
- dichiarazione
- conservazione
- di successo
- supporto
- supportato
- Supporto
- supporti
- Interruttore
- imposta
- team
- temporaneo
- I
- il mondo
- Attraverso
- tempo
- token
- Di viaggio
- Aggiornanento
- aggiornamento
- uso
- utenti
- APPREZZIAMO
- vario
- versione
- veterano
- Video
- video games
- vulnerabilità
- sito web
- servizi web
- while
- lavorato
- lavoro
- mondo
- sarebbe
- anni
- Trasferimento da aeroporto a Sharm
