Amazon SageMaker Notebook Instances støtter nå konfigurering og begrensning av IMDS-versjoner

I dag er vi glade for å kunngjøre det Amazon SageMaker støtter nå muligheten til å konfigurere Instance Metadata Service versjon 2 (IMDSv2) for Notebook-forekomster, og for administratorer å kontrollere minimumsversjonen som sluttbrukere oppretter nye Notebook-forekomster med. Du kan nå velge IMDSv2 kun for dine nye og eksisterende SageMaker Notebook-instanser for å dra nytte av den nyeste beskyttelsen og støtten fra IMDSv2.

Forekomst metadata er data om din forekomst som du kan bruke til å konfigurere eller administrere den kjørende forekomsten, ved å oppgi midlertidige og ofte roterte legitimasjoner som bare kan nås av programvare som kjører på forekomsten. IMDS gjør metadata om forekomsten, slik som nettverket og lagringen, tilgjengelig gjennom en spesiell lenke-lokal IP-adresse til 169.254.169.254. Du kan bruke IMDS på SageMaker Notebook-forekomster, på samme måte som du ville brukt IMDS på en Amazon Elastic Compute Cloud (Amazon EC2) forekomst. For detaljert dokumentasjon, se Forekomstmetadata og brukerdata.

Utgivelsen av IMDSv2 legger til et ekstra lag med beskyttelse ved bruk av øktautentisering. Med IMDSv2 starter hver økt med en PUT-forespørsel til IMDSv2 for å få et sikkert token, med en utløpstid som kan være minimum 1 sekund og maksimalt 6 timer. Enhver påfølgende GET-forespørsel til IMDS må sende det resulterende tokenet som en overskrift for å motta et vellykket svar. Når den angitte varigheten utløper, kreves et nytt token for fremtidige forespørsler.

Et eksempel på IMDSv1-kall ser ut som følgende kode:

curl http://169.254.169.254/latest/meta-data/profile

Med IMDSv2 ser samtalen ut som følgende kode:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Å ta i bruk IMDSv2 og sette den som minimumsversjon gir ulike sikkerhetsfordeler i forhold til IMDSv1. IMDSv2 beskytter mot ubegrensede Web Application Firewall-konfigurasjoner (WAF), åpne omvendte proxyer, Server-Side Request Forgery (SSRF) sårbarheter og åpne lag 3-brannmurer og NAT-er som kan brukes til å få tilgang til forekomstens metadata. For en detaljert sammenligning, se Legg til dybdeforsvar mot åpne brannmurer, omvendte proxyer og SSRF-sårbarheter med forbedringer av EC2 Instance Metadata Service.

I dette innlegget viser vi deg hvordan du konfigurerer SageMaker-notatbøkene med kun IMDSv2-støtte. Vi deler også støtteplanen for IMDSv1, og hvordan du kan håndheve IMDSv2 på bærbare datamaskiner.

Hva er nytt med IMDSv2-støtte og SageMaker

Du kan nå konfigurere IMDS-versjonen av SageMaker Notebook Instances mens du oppretter eller oppdaterer forekomsten, noe du kan gjøre via SageMaker API eller SageMaker Console, med minimum IMDS-versjonsparameter. Minimum IMDS versjon spesifiserer minimum støttet versjon. Innstilling til en verdi på 1 gir støtte for både IMDSv1 og IMDSv2, og å sette minimumsversjonen til 2 støtter kun IMDSv2. Med en IMDSv2-bare bærbar PC kan du utnytte det ekstra forsvaret i dybden som IMDSv2 gir.

Vi tilbyr også en SageMaker betingelsesnøkkel for IAM-policyer som lar deg begrense IMDS-versjonen for Notebook-forekomster gjennom CreateNotebookInstance og OppdaterNotebookInstance API-kall. Administratorer kan bruke denne betingelsesnøkkelen til å begrense sluttbrukerne til å opprette og/eller oppdatere notatblokker for kun å støtte IMDSv2. Du kan legge til denne betingelsesnøkkelen til AWS identitets- og tilgangsadministrasjon (IAM)-policy knyttet til IAM-brukere, roller eller grupper som er ansvarlige for å opprette og oppdatere notatbøker.

I tillegg kan du også bytte mellom IMDS-versjonskonfigurasjoner ved å bruke minimum IMDS-versjonsparameteren i SageMaker OppdaterNotebookInstance API.

Støtte for å konfigurere IMDS-versjonen og begrense IMDS-versjonen til kun v2 er nå tilgjengelig i alle AWS-regioner der SageMaker Notebook Instances er tilgjengelig.

Støtteplan for IMDS-versjoner på SageMaker Notebook-forekomster

1. juni 2022 lanserte vi støtte for å kontrollere minimumsversjonen av IMDS som skal brukes med Amazon SageMaker Notebook Instances. Alle Notebook-forekomster lansert før 1. juni 2022 vil ha standard minimumsversjon satt til 1. Du vil ha muligheten til å oppdatere minimumsversjonen til 2 ved å bruke SageMaker API eller konsollen.

Konfigurer IMDS-versjonen på SageMaker Notebook Instance

Du kan konfigurere minimum IMDS-versjonen for SageMaker bærbar PC gjennom AWS SageMaker-konsollen (se Opprett et Notebook-forekomst), SDK eller AWS kommandolinjegrensesnitt (AWS CLI). Dette er en valgfri konfigurasjon, med standardverdien satt til 1, noe som betyr at den bærbare forekomsten vil støtte både IMDSv1- og IMDSv2-anrop.

Når du oppretter en ny notatbokforekomst på SageMaker-konsollen, har du nå muligheten Minimum IMDS-versjon for å spesifisere minimum støttet IMDS-versjon, som vist i følgende skjermbilde. Hvis verdien er satt til 1, støttes både IMDSv1 og IMDSv2. Hvis verdien er satt til 2, støttes kun IMDSv2.

Du kan også redigere en eksisterende notatbokforekomst for å støtte IMDSv2 kun ved å bruke SageMaker-konsollen, som vist i følgende skjermbilde.

Standardverdien forblir 1 til 31. august 2022, og vil bytte til 2 31. august 2022.

Når du bruker AWS CLI til å lage en notatbok, kan du bruke MinimumInstanceMetadataServiceVersion parameter for å angi minimum støttet IMDS-versjon:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Følgende er et eksempel på AWS CLI-kommando for å lage en notebook-forekomst med kun IMDSv2-støtte:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Hvis du vil oppdatere en eksisterende bærbar PC til kun å støtte IMDSv2, kan du gjøre det ved å bruke OppdaterNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Håndhev IMDSv2 for alle SageMaker Notebook-forekomster

Du kan bruke en betingelsesnøkkel for å håndheve at brukerne dine bare kan opprette eller oppdatere Notebook-forekomster som kun støtter IMDSv2, for å øke sikkerheten. Du kan bruke denne betingelsesnøkkelen i IAM-policyer knyttet til IAM-brukere, roller eller grupper som er ansvarlige for å opprette og oppdatere notatbøkene, eller AWS organisasjoner retningslinjer for tjenestekontroll.

Følgende er en eksempelpolicyerklæring som begrenser både oppretting og oppdatering av notebook-forekomst-API-er til kun å tillate IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

konklusjonen

I dag annonserte vi støtte for å konfigurere og administrativt begrense din Instance Metadata Service (IMDS)-versjon for Notebook-forekomster. Vi viste deg hvordan du konfigurerer IMDS-versjonen for nye og eksisterende bærbare PC-er ved å bruke SageMaker-konsollen og AWS CLI. Vi viste deg også hvordan du administrativt begrenser IMDS-versjoner ved å bruke IAM-betingelsesnøkler, og diskuterte fordelene ved kun å støtte IMDSv2.

Hvis du har spørsmål og tilbakemeldinger angående IMDSv2, vennligst snakk med din AWS-støttekontakt eller legg ut en melding i Amazon EC2 og Amazon SageMaker diskusjonsfora.

Om forfatterne

Apoorva Gupta er programvareingeniør i SageMaker Notebooks-teamet. Hennes fokus er på å gjøre det mulig for kunder å utnytte SageMaker mer effektivt i alle aspekter av deres ML-operasjoner. Hun har bidratt til Amazon SageMaker Notebooks siden 2021. På fritiden liker hun å lese, male, hagearbeid, lage mat og reise.

Durga Sury er en ML Solutions Architect i Amazon SageMaker Service SA-teamet. Hun brenner for å gjøre maskinlæring tilgjengelig for alle. I løpet av sine 3 år i AWS har hun vært med på å sette opp AI/ML-plattformer for bedriftskunder. Før AWS gjorde hun det mulig for ideelle organisasjoner og offentlige etater å hente innsikt fra dataene sine for å forbedre utdanningsresultatene. Når hun ikke jobber, elsker hun motorsykkelturer, mysterieromaner og fotturer med sin fire år gamle husky.

Siddhanth Deshpande er ingeniørsjef hos Amazon Web Services (AWS). Hans nåværende fokus er å bygge best-i-klassen administrert maskinlæring (ML)-infrastruktur og verktøytjenester som tar sikte på å få kunder fra "Jeg trenger å bruke ML" til "Jeg bruker ML vellykket" raskt og enkelt. Han har jobbet for AWS siden 2013 i forskjellige ingeniørroller, og utviklet AWS-tjenester som Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint og Amazon SageMaker. På fritiden liker han å tilbringe tid med familien, lese, lage mat, hagearbeid og reise verden rundt.

Prashant Pawan Pisipati er hovedproduktsjef hos Amazon Web Services (AWS). Han har bygget ulike produkter på tvers av AWS og Alexa, og er for tiden fokusert på å hjelpe maskinlæringsutøvere til å bli mer produktive gjennom AWS-tjenester.

Edwin Bejarano er programvareingeniør i SageMaker Notebooks-teamet. Han er en luftvåpenveteran som har jobbet for Amazon siden 2017 med bidrag til tjenester som AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program og Amazon SageMaker. På fritiden liker han å lese, gå på tur, sykle og spille videospill.

• Myntsmart. Europas beste Bitcoin og Crypto Exchange.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
• CryptoHawk. Altcoin Radar. Gratis prøveperiode.
• Kilde: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/