Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS

חותמת זמן: 2 ביוני 2022 6:02

היום אנו שמחים לבשר זאת אמזון SageMaker תומך כעת ביכולת להגדיר את Instance Metadata Service גרסה 2 (IMDSv2) עבור מופעי Notebook, ולמנהלי מערכת לשלוט בגירסה המינימלית שבה משתמשי קצה יוצרים מופעי Notebook חדשים. כעת תוכל לבחור ב-IMDSv2 רק עבור מופעי SageMaker Notebook החדשים והקיימים שלך כדי לנצל את ההגנה והתמיכה העדכניים ביותר שמסופקים על ידי IMDSv2.

מטא נתונים של מופע הוא נתונים על המופע שלך שאתה יכול להשתמש בהם כדי להגדיר או לנהל את המופע הפועל, על ידי מתן אישורים זמניים ומתחלפים לעתים קרובות שניתן לגשת אליהם רק על ידי תוכנה הפועלת על המופע. IMDS הופך מטא נתונים על המופע, כגון הרשת והאחסון שלו, לזמינים באמצעות כתובת IP מקומית קישורית מיוחדת של 169.254.169.254. אתה יכול להשתמש ב-IMDS במופעי SageMaker Notebook שלך, בדומה לאופן שבו היית משתמש ב-IMDS ב- ענן מחשוב אלסטי של אמזון (Amazon EC2). לתיעוד מפורט, ראה מטא נתונים של מופע ונתוני משתמש.

שחרורו של IMDSv2 מוסיפה שכבת הגנה נוספת באמצעות אימות הפעלה. עם IMDSv2, כל הפעלה מתחילה בבקשת PUT ל-IMDSv2 כדי לקבל אסימון מאובטח, עם זמן תפוגה, שיכול להיות לפחות שנייה אחת ומקסימום של 1 שעות. כל בקשת GET הבאה ל-IMDS חייבת לשלוח את האסימון המתקבל ככותרת, כדי לקבל תשובה מוצלחת. כאשר משך הזמן שצוין יפוג, נדרש אסימון חדש עבור בקשות עתידיות.

קריאת IMDSv1 לדוגמה נראית כמו הקוד הבא:

curl http://169.254.169.254/latest/meta-data/profile

עם IMDSv2, השיחה נראית כמו הקוד הבא:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

אימוץ IMDSv2 והגדרתו כגרסת המינימום מציעה יתרונות אבטחה שונים על פני IMDSv1. IMDSv2 מגן מפני תצורות חומת אש של יישומי אינטרנט (WAF) בלתי מוגבלות, פרוקסי הפוכים פתוחים, פגיעויות של זיוף בקשות בצד שרת (SSRF), וחומות אש פתוחות של שכבה 3 ו-NATs שניתן להשתמש בהם כדי לגשת למטא נתונים של המופע. להשוואה מפורטת, ראה הוסף הגנה מעמיקה מפני חומות אש פתוחות, פרוקסי הפוכים ופגיעויות SSRF עם שיפורים ל-EC2 Instance Metadata Service.

בפוסט זה, אנו מראים לך כיצד להגדיר את מחשבי SageMaker שלך עם תמיכה ב-IMDSv2 בלבד. אנו גם חולקים את תוכנית התמיכה עבור IMDSv1, וכיצד אתה יכול לאכוף IMDSv2 על המחברות שלך.

מה חדש בתמיכה ב-IMDSv2 וב-SageMaker

כעת תוכל להגדיר את גירסת IMDS של SageMaker Notebook Instances תוך כדי יצירה או עדכון של המופע, מה שאתה יכול לעשות באמצעות SageMaker API או SageMaker Console, עם הפרמטר המינימלי של גרסת IMDS. גרסת ה-IMDS המינימלית מציינת את הגרסה המינימלית הנתמכת. הגדרה לערך של 1 מאפשרת תמיכה גם ב-IMDSv1 וגם ב-IMDSv2, והגדרת הגרסה המינימלית ל-2 תומכת רק ב-IMDSv2. עם מחברת IMDSv2 בלבד, תוכל למנף את ההגנה הנוספת לעומק שמספקת IMDSv2.

אנו מספקים גם א מפתח תנאי SageMaker עבור מדיניות IAM המאפשר לך להגביל את גרסת IMDS עבור מופעי מחברת באמצעות ה CreateNotebookInstance ו UpdateNotebookInstance קריאות API. מנהלי מערכת יכולים להשתמש במפתח תנאי זה כדי להגביל את משתמשי הקצה שלהם ליצור ו/או לעדכן מחברות לתמיכה ב-IMDSv2 בלבד. אתה יכול להוסיף מפתח תנאי זה ל- AWS זהות וניהול גישה מדיניות (IAM) המצורפת למשתמשים, תפקידים או קבוצות של IAM האחראים על יצירה ועדכון של מחברות.

בנוסף, אתה יכול גם לעבור בין תצורות גרסת IMDS באמצעות פרמטר גרסת IMDS המינימלי ב- SageMaker UpdateNotebookInstance ה-API.

תמיכה בהגדרת גרסת IMDS והגבלת גרסת IMDS לגרסה 2 בלבד זמינה כעת בכל אזורי ה-AWS שבהם זמינים מופעי Notebook SageMaker.

תוכנית תמיכה עבור גרסאות IMDS במופעי Notebook SageMaker

ב-1 ביוני 2022, השקנו תמיכה לשליטה בגרסת המינימום של IMDS לשימוש עם מופעי אמזון SageMaker Notebook. לכל מופעי המחברת שהושקו לפני 1 ביוני 2022 תהיה גרסת ברירת המחדל המינימלית מוגדרת ל-1. תהיה לך אפשרות לעדכן את הגרסה המינימלית ל-2 באמצעות SageMaker API או המסוף.

הגדר את גרסת IMDS במופע של SageMaker Notebook

אתה יכול להגדיר את גרסת ה-IMDS המינימלית עבור מחברת SageMaker דרך קונסולת AWS SageMaker (ראה צור מופע מחברת), SDK, או ה ממשק שורת הפקודה של AWS (AWS CLI). זוהי תצורה אופציונלית, עם ערך ברירת המחדל ל-1, כלומר, מופע המחברת יתמוך בשיחות IMDSv1 ו-IMDSv2.

בעת יצירת מופע מחברת חדש בקונסולת SageMaker, כעת יש לך את האפשרות גרסת IMDS מינימלית כדי לציין את גרסת ה-IMDS המינימלית הנתמכת, כפי שמוצג בצילום המסך הבא. אם הערך מוגדר ל-1, הן IMDSv1 והן IMDSv2 נתמכות. אם הערך מוגדר ל-2, רק IMDSv2 נתמך.

צור-מחברת-מופע-צילום מסך

אתה יכול גם לערוך מופע מחברת קיים כדי לתמוך ב-IMDSv2 רק באמצעות מסוף SageMaker, כפי שמוצג בצילום המסך הבא.

ערוך-מחברת-מופע-צילום מסך

ערך ברירת המחדל יישאר 1 עד 31 באוגוסט, 2022, ויעבור ל-2 ב-31 באוגוסט, 2022.

בעת שימוש ב-AWS CLI ליצירת מחברת, אתה יכול להשתמש ב- MinimumInstanceMetadataServiceVersion פרמטר כדי להגדיר את גרסת ה-IMDS המינימלית הנתמכת:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

להלן פקודת AWS CLI לדוגמה ליצירת מופע מחברת עם תמיכה ב-IMDSv2 בלבד:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

אם ברצונך לעדכן מחברת קיימת לתמיכה ב-IMDSv2 בלבד, תוכל לעשות זאת באמצעות UpdateNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

אכוף IMDSv2 עבור כל מופעי SageMaker Notebook

אתה יכול להשתמש במפתח תנאי כדי לאכוף שהמשתמשים שלך יכולים ליצור או לעדכן רק מופעי Notebook התומכים ב-IMDSv2 בלבד, כדי לשפר את האבטחה. אתה יכול להשתמש במפתח תנאי זה במדיניות IAM המצורפת למשתמשי IAM, לתפקידים או לקבוצות האחראים ליצירה ולעדכון של המחברות, או ארגוני AWS מדיניות בקרת שירות.

להלן הצהרת מדיניות לדוגמה המגבילה את היצירה והעדכון של ממשקי API של מופעי מחברת לאפשר IMDSv2 בלבד:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

סיכום

היום, הכרזנו על תמיכה בקביעת תצורה והגבלה מנהלתית של גרסת Instance Metadata Service (IMDS) שלך עבור מופעי מחברת. הראנו לך כיצד להגדיר את גרסת IMDS עבור המחברות החדשות והקיימות שלך באמצעות קונסולת SageMaker ו-AWS CLI. הראנו לך גם כיצד להגביל ניהול גירסאות IMDS באמצעות מפתחות תנאי IAM, ודנו ביתרונות של תמיכה ב-IMDSv2 בלבד.

אם יש לך שאלות ומשוב לגבי IMDSv2, אנא דבר עם איש הקשר שלך לתמיכה ב-AWS או פרסם הודעה ב- אמזון ו אמזון SageMaker קבוצות דיון.

על הכותבים

Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS PlatoBlockchain Data Intelligence. חיפוש אנכי. איי. אפורה גופטה הוא מהנדס תוכנה בצוות SageMaker Notebooks. ההתמקדות שלה היא לאפשר ללקוחות למנף את SageMaker בצורה יעילה יותר בכל ההיבטים של פעילות ה-ML שלהם. היא תורמת ל-Amazon SageMaker Notebooks מאז 2021. בזמנה הפנוי, היא נהנית לקרוא, לצייר, לערוך גינון, לבשל ולטייל.

Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.דורגה סורי הוא אדריכל ML Solutions בצוות Amazon SageMaker Service SA. היא נלהבת להנגיש למידת מכונה לכולם. ב-3 השנים שלה ב-AWS, היא סייעה בהקמת פלטפורמות AI/ML עבור לקוחות ארגוניים. לפני AWS, היא אפשרה למלכ"רים ולסוכנויות ממשלתיות להפיק תובנות מהנתונים שלהם כדי לשפר את תוצאות החינוך. כשהיא לא עובדת, היא אוהבת רכיבה על אופנוע, רומנים מסתוריים וטיולים עם האסקי בן הארבע שלה.

Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.Siddhanth Deshpande הוא מנהל הנדסה בשירותי האינטרנט של אמזון (AWS). ההתמקדות הנוכחית שלו היא בניית תשתית ושירותי כלי עבודה מנוהלים מהטובים בכיתה שמטרתם להביא לקוחות מ"אני צריך להשתמש ב-ML" ל"אני משתמש ב-ML בהצלחה" במהירות ובקלות. הוא עבד עבור AWS מאז 2013 בתפקידי הנדסה שונים, ופיתח שירותי AWS כמו Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint ו-Amazon SageMaker. בזמנו הפנוי הוא נהנה לבלות עם משפחתו, לקרוא, לבשל, ​​לערוך גינון ולטייל בעולם.

Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.פראשנט פאוואן פיסיפאטי הוא מנהל מוצר ראשי בשירותי האינטרנט של אמזון (AWS). הוא בנה מוצרים שונים ברחבי AWS ו-Alexa, וכרגע הוא מתמקד בסיוע למתרגלים של Machine Learning להיות פרודוקטיביים יותר באמצעות שירותי AWS.

Amazon SageMaker Notebook Instances תומכים כעת בהגדרה והגבלת גרסאות IMDS PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.אדווין בז'ראנו הוא מהנדס תוכנה בצוות SageMaker Notebooks. הוא יוצא חיל האוויר שעובד עבור אמזון מאז 2017 עם תרומות לשירותים כמו AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program, ו-Amazon SageMaker. בזמנו הפנוי, הוא נהנה לקרוא, לטייל, לרכוב על אופניים ולשחק במשחקי וידאו.

בול זמן:

עוד מ למידת מכונות AWS