Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.

Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies

Tijdstempel: 2 juni 2022 6:02 uur

Vandaag zijn we verheugd om dat aan te kondigen Amazon Sage Maker ondersteunt nu de mogelijkheid om Instance Metadata Service Version 2 (IMDSv2) voor Notebook Instances te configureren, en voor beheerders om de minimale versie te bepalen waarmee eindgebruikers nieuwe Notebook Instances maken. U kunt nu alleen IMDSv2 kiezen voor uw nieuwe en bestaande SageMaker Notebook Instances om te profiteren van de nieuwste bescherming en ondersteuning van IMDSv2.

Metadata van instantie zijn gegevens over uw instantie die u kunt gebruiken om de actieve instantie te configureren of te beheren, door tijdelijke en vaak geroteerde referenties te verstrekken die alleen toegankelijk zijn voor software die op de instantie wordt uitgevoerd. IMDS stelt metadata over de instance, zoals het netwerk en de opslag, beschikbaar via een speciaal link-local IP-adres van 169.254.169.254. U kunt IMDS gebruiken op uw SageMaker Notebook Instances, vergelijkbaar met hoe u IMDS zou gebruiken op een Amazon Elastic Compute-cloud (Amazon EC2) instantie. Voor gedetailleerde documentatie, zie Metadata en gebruikersgegevens van instanties.

De release van IMDSv2 voegt een extra beveiligingslaag toe met behulp van sessie-authenticatie. Met IMDSv2 begint elke sessie met een PUT-verzoek aan IMDSv2 om een ​​veilige token te krijgen, met een vervaltijd die minimaal 1 seconde en maximaal 6 uur kan zijn. Elk volgend GET-verzoek aan IMDS moet het resulterende token als een header verzenden om een ​​succesvol antwoord te ontvangen. Wanneer de opgegeven duur verloopt, is een nieuw token vereist voor toekomstige aanvragen.

Een voorbeeld van een IMDSv1-aanroep ziet eruit als de volgende code:

curl http://169.254.169.254/latest/meta-data/profile

Met IMDSv2 ziet de aanroep eruit als de volgende code:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Het adopteren van IMDSv2 en het instellen ervan als de minimumversie biedt verschillende beveiligingsvoordelen ten opzichte van IMDSv1. IMDSv2 beschermt tegen onbeperkte Web Application Firewall (WAF)-configuraties, open reverse proxy's, Server-Side Request Forgery (SSRF)-kwetsbaarheden en open laag 3-firewalls en NAT's die kunnen worden gebruikt om toegang te krijgen tot de metadata van de instantie. Voor een gedetailleerde vergelijking, zie Voeg diepgaande verdediging toe tegen open firewalls, reverse proxy's en SSRF-kwetsbaarheden met verbeteringen aan de EC2 Instance Metadata Service.

In dit bericht laten we u zien hoe u uw SageMaker-notebooks configureert met alleen IMDSv2-ondersteuning. We delen ook het ondersteuningsplan voor IMDSv1 en hoe u IMDSv2 op uw notebooks kunt afdwingen.

Wat is er nieuw met IMDSv2-ondersteuning en SageMaker

U kunt nu de IMDS-versie van SageMaker Notebook-instanties configureren tijdens het maken of bijwerken van de instantie, wat u kunt doen via de SageMaker API of de SageMaker Console, met de minimale IMDS-versieparameter. De minimale IMDS-versie specificeert de minimaal ondersteunde versie. Als u de waarde 1 instelt, wordt ondersteuning geboden voor zowel IMDSv1 als IMDSv2, en als u de minimumversie instelt op 2, wordt alleen IMDSv2 ondersteund. Met een notebook met alleen IMDSv2 kunt u profiteren van de extra diepgaande verdediging die IMDSv2 biedt.

We bieden ook een SageMaker-voorwaardesleutel voor IAM-beleid waarmee u de IMDS-versie voor Notebook Instances kunt beperken via de MaakNotebookInstance en UpdateNotebookInstance API-aanroepen. Beheerders kunnen deze voorwaardesleutel gebruiken om hun eindgebruikers te beperken tot het maken en/of bijwerken van notebooks die alleen IMDSv2 ondersteunen. U kunt deze voorwaardesleutel toevoegen aan de AWS Identiteits- en toegangsbeheer (IAM)-beleid dat is gekoppeld aan IAM-gebruikers, -rollen of -groepen die verantwoordelijk zijn voor het maken en bijwerken van notebooks.

Bovendien kunt u ook schakelen tussen IMDS-versieconfiguraties met behulp van de minimale IMDS-versieparameter in de SageMaker UpdateNotebookInstance API.

Ondersteuning voor het configureren van de IMDS-versie en het beperken van de IMDS-versie tot alleen v2 is nu beschikbaar in alle AWS-regio's waarin SageMaker Notebook-instanties beschikbaar zijn.

Ondersteuningsplan voor IMDS-versies op SageMaker Notebook Instances

Op 1 juni 2022 hebben we ondersteuning geïntroduceerd voor het besturen van de minimale versie van IMDS die moet worden gebruikt met Amazon SageMaker Notebook Instances. Alle Notebook-instanties die vóór 1 juni 2022 zijn gelanceerd, hebben de standaard minimumversie ingesteld op 1. U hebt de mogelijkheid om de minimumversie bij te werken naar 2 met behulp van de SageMaker API of de console.

Configureer de IMDS-versie op uw SageMaker Notebook-instantie

U kunt de minimale IMDS-versie voor SageMaker-notebook configureren via de AWS SageMaker-console (zie Maak een notebookexemplaar), SDK of de AWS-opdrachtregelinterface (AWS CLI). Dit is een optionele configuratie, met een standaardwaarde die is ingesteld op 1, wat betekent dat de notebookinstantie zowel IMDSv1- als IMDSv2-aanroepen ondersteunt.

Bij het maken van een nieuwe notebook-instantie op de SageMaker-console, hebt u nu de optie: Minimale IMDS-versie om de minimaal ondersteunde IMDS-versie op te geven, zoals weergegeven in de volgende schermafbeelding. Als de waarde is ingesteld op 1, worden zowel IMDSv1 als IMDSv2 ondersteund. Als de waarde is ingesteld op 2, wordt alleen IMDSv2 ondersteund.

maak-notebook-exemplaar-screenshot

U kunt ook een bestaande notebook-instantie bewerken om IMDSv2 alleen te ondersteunen met behulp van de SageMaker-console, zoals weergegeven in de volgende schermafbeelding.

bewerk-notebook-exemplaar-screenshot

De standaardwaarde blijft 1 tot 31 augustus 2022 en wordt op 2 augustus 31 gewijzigd in 2022.

Wanneer u de AWS CLI gebruikt om een ​​notebook te maken, kunt u de MinimumInstanceMetadataServiceVersion parameter om de minimaal ondersteunde IMDS-versie in te stellen:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Het volgende is een voorbeeld van een AWS CLI-opdracht om een ​​notebookexemplaar te maken met alleen IMDSv2-ondersteuning:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Als u een bestaande notebook wilt bijwerken om alleen IMDSv2 te ondersteunen, kunt u dit doen met de UpdateNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

IMDSv2 afdwingen voor alle SageMaker Notebook-instanties

U kunt een voorwaardesleutel gebruiken om af te dwingen dat uw gebruikers alleen Notebook-instanties kunnen maken of bijwerken die alleen IMDSv2 ondersteunen, om de beveiliging te verbeteren. U kunt deze voorwaardesleutel gebruiken in IAM-beleid dat is gekoppeld aan de IAM-gebruikers, -rollen of -groepen die verantwoordelijk zijn voor het maken en bijwerken van de notitieblokken, of AWS-organisaties beleid voor servicecontrole.

Het volgende is een voorbeeld van een beleidsverklaring die zowel het maken als bijwerken van notebook-instantie-API's beperkt om alleen IMDSv2 toe te staan:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Conclusie

Vandaag hebben we ondersteuning aangekondigd voor het configureren en administratief beperken van uw Instance Metadata Service (IMDS)-versie voor Notebook Instances. We hebben u laten zien hoe u de IMDS-versie configureert voor uw nieuwe en bestaande notebooks met behulp van de SageMaker-console en AWS CLI. We hebben u ook laten zien hoe u IMDS-versies administratief kunt beperken met behulp van IAM-voorwaardesleutels, en hebben de voordelen besproken van het ondersteunen van alleen IMDSv2.

Als je vragen en feedback hebt over IMDSv2, neem dan contact op met je AWS-ondersteuningscontact of plaats een bericht in de Amazon EC2 en Amazon Sage Maker discussie forums.

Over de auteurs

Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai. Apoorva Gupta is een Software Engineer in het SageMaker Notebooks-team. Haar focus ligt op het in staat stellen van klanten om SageMaker effectiever te gebruiken in alle aspecten van hun ML-activiteiten. Ze draagt ​​sinds 2021 bij aan Amazon SageMaker Notebooks. In haar vrije tijd houdt ze van lezen, schilderen, tuinieren, koken en reizen.

Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.Durga Sury is een ML Solutions Architect in het Amazon SageMaker Service SA-team. Ze heeft een passie om machine learning voor iedereen toegankelijk te maken. In haar 3 jaar bij AWS heeft ze geholpen bij het opzetten van AI/ML-platforms voor zakelijke klanten. Voordat ze bij AWS kwam, stelde ze non-profit- en overheidsinstanties in staat om inzichten uit hun gegevens te halen om de onderwijsresultaten te verbeteren. Als ze niet aan het werk is, houdt ze van motorritten, mysterieromans en wandelingen met haar vierjarige husky.

Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.Siddhanth Deshpande is Engineering Manager bij Amazon Web Services (AWS). Zijn huidige focus ligt op het bouwen van de beste beheerde Machine Learning (ML)-infrastructuur en toolingservices die erop gericht zijn klanten snel en gemakkelijk van "Ik moet ML te gebruiken" naar "Ik gebruik ML met succes" te krijgen. Hij werkt sinds 2013 voor AWS in verschillende technische functies en ontwikkelde AWS-services zoals Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint en Amazon SageMaker. In zijn vrije tijd brengt hij graag tijd door met zijn gezin, lezen, koken, tuinieren en de wereld rondreizen.

Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.Prashant Pawan Pisipati is Principal Product Manager bij Amazon Web Services (AWS). Hij heeft verschillende producten voor AWS en Alexa gebouwd en is momenteel gericht op het helpen van machine learning-beoefenaars om productiever te zijn via AWS-services.

Amazon SageMaker Notebook Instances ondersteunen nu het configureren en beperken van IMDS-versies PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.Edwin Bejarano is een Software Engineer in het SageMaker Notebooks-team. Hij is een veteraan van de luchtmacht die sinds 2017 voor Amazon werkt met bijdragen aan diensten zoals AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program en Amazon SageMaker. In zijn vrije tijd houdt hij van lezen, wandelen, fietsen en videogames spelen.

Tijdstempel:

Meer van AWS-machine learning