Dziś z przyjemnością informujemy o tym Amazon Sage Maker obsługuje teraz możliwość konfigurowania usługi Instance Metadata Service w wersji 2 (IMDSv2) dla wystąpień notebooków oraz umożliwia administratorom kontrolowanie minimalnej wersji, za pomocą której użytkownicy końcowi tworzą nowe wystąpienia notebooków. Możesz teraz wybrać IMDSv2 tylko dla nowych i istniejących instancji notebooków SageMaker, aby skorzystać z najnowszej ochrony i wsparcia zapewnianego przez IMDSv2.
Metadane instancji to dane dotyczące Twojej instancji, których możesz użyć do skonfigurowania działającej instancji lub zarządzania nią, zapewniając tymczasowe i często zmieniane poświadczenia, do których dostęp ma tylko oprogramowanie uruchomione w instancji. IMDS udostępnia metadane dotyczące instancji, takie jak jej sieć i pamięć masowa, za pośrednictwem specjalnego łącza lokalnego adresu IP 169.254.169.254. Możesz używać IMDS w instancjach Notatnika SageMaker, podobnie jak używasz IMDS na Elastyczna chmura obliczeniowa Amazon (Amazon EC2) instancja. Aby uzyskać szczegółową dokumentację, zobacz Metadane instancji i dane użytkownika.
Wydanie IMDSv2 dodaje dodatkową warstwę ochrony za pomocą uwierzytelniania sesji. W przypadku IMDSv2 każda sesja rozpoczyna się od żądania PUT do IMDSv2 w celu uzyskania bezpiecznego tokena z czasem wygaśnięcia, który może wynosić od co najmniej 1 sekundy do maksymalnie 6 godzin. Każde kolejne żądanie GET do IMDS musi wysłać otrzymany token jako nagłówek, aby otrzymać pomyślną odpowiedź. Gdy określony czas trwania wygaśnie, dla przyszłych żądań wymagany jest nowy token.
Przykładowe wywołanie IMDSv1 wygląda jak następujący kod:
W przypadku IMDSv2 wywołanie wygląda następująco:
Przyjęcie IMDSv2 i ustawienie go jako wersji minimalnej oferuje różne korzyści w zakresie bezpieczeństwa w porównaniu z IMDSv1. IMDSv2 chroni przed nieograniczonymi konfiguracjami zapory aplikacji sieci Web (WAF), otwartymi odwrotnymi serwerami proxy, lukami w zabezpieczeniach związanych z fałszowaniem żądań po stronie serwera (SSRF) oraz otwartymi zaporami ogniowymi warstwy 3 i translatorami adresów sieciowych, których można użyć do uzyskania dostępu do metadanych instancji. Aby uzyskać szczegółowe porównanie, zobacz Dodaj dogłębną ochronę przed otwartymi zaporami ogniowymi, odwrotnymi serwerami proxy i lukami w zabezpieczeniach SSRF dzięki ulepszeniom usługi EC2 Instance Metadata Service.
W tym poście pokazujemy, jak skonfigurować notatniki SageMaker z obsługą tylko IMDSv2. Udostępniamy również plan pomocy technicznej dla IMDSv1 i sposób, w jaki można wymusić IMDSv2 w swoich notebookach.
Co nowego w obsłudze IMDSv2 i SageMaker
Możesz teraz skonfigurować wersję IMDS SageMaker Notebook Instances podczas tworzenia lub aktualizowania instancji, co można zrobić za pomocą interfejsu API SageMaker lub konsoli SageMaker, z parametrem minimalnej wersji IMDS. Minimalna wersja IMDS określa minimalną obsługiwaną wersję. Ustawienie wartości 1 umożliwia obsługę zarówno IMDSv1, jak i IMDSv2, a ustawienie minimalnej wersji na 2 obsługuje tylko IMDSv2. Dzięki notebookowi obsługującemu tylko IMDSv2 możesz wykorzystać dodatkową ochronę zapewnianą przez IMDSv2.
Zapewniamy również Klucz warunku SageMaker dla zasad uprawnień która pozwala ograniczyć wersję IMDS dla Instancji notebooków za pomocą Utwórz instancję notatnika i Aktualizuj instancję notebooka Wywołania API. Administratorzy mogą użyć tego klucza warunku, aby ograniczyć swoim użytkownikom końcowym możliwość tworzenia i/lub aktualizowania notatników tylko w celu obsługi IMDSv2. Możesz dodać ten klucz warunku do AWS Zarządzanie tożsamością i dostępem (IAM) polityka dołączona do użytkowników IAM, ról lub grup odpowiedzialnych za tworzenie i aktualizowanie notatników.
Dodatkowo możesz także przełączać się między konfiguracjami wersji IMDS, używając parametru minimalnej wersji IMDS w programie SageMaker Aktualizuj instancję notebooka API.
Obsługa konfiguracji wersji IMDS i ograniczania wersji IMDS tylko do v2 jest teraz dostępna we wszystkich regionach AWS, w których dostępne są instancje notebooków SageMaker.
Plan pomocy technicznej dla wersji IMDS w instancjach notebooków SageMaker
1 czerwca 2022 r. wprowadziliśmy obsługę kontrolowania minimalnej wersji IMDS, która ma być używana z instancjami notebooków Amazon SageMaker. Wszystkie instancje notebooków uruchomione przed 1 czerwca 2022 r. będą miały domyślną minimalną wersję ustawioną na 1. Będziesz mieć możliwość aktualizacji minimalnej wersji do 2 za pomocą interfejsu API SageMaker lub konsoli.
Skonfiguruj wersję IMDS w swojej instancji notebooka SageMaker
Możesz skonfigurować minimalną wersję IMDS dla notatnika SageMaker za pomocą konsoli AWS SageMaker (patrz Utwórz wystąpienie notatnika), SDK lub Interfejs wiersza poleceń AWS (AWS CLI). Jest to konfiguracja opcjonalna z wartością domyślną 1, co oznacza, że instancja notatnika będzie obsługiwać zarówno wywołania IMDSv1, jak i IMDSv2.
Podczas tworzenia nowej instancji notatnika w konsoli SageMaker masz teraz opcję Minimalna wersja IMDS aby określić minimalną obsługiwaną wersję IMDS, jak pokazano na poniższym zrzucie ekranu. Jeśli wartość jest ustawiona na 1, obsługiwane są zarówno IMDSv1, jak i IMDSv2. Jeśli wartość jest ustawiona na 2, obsługiwany jest tylko IMDSv2.
Możesz również edytować istniejącą instancję notatnika, aby obsługiwała IMDSv2 tylko za pomocą konsoli SageMaker, jak pokazano na poniższym zrzucie ekranu.
Wartość domyślna pozostanie 1 do 31 sierpnia 2022 r. i zmieni się na 2 31 sierpnia 2022 r.
Korzystając z interfejsu AWS CLI do tworzenia notatnika, możesz użyć MinimumInstanceMetadataServiceVersion parametr do ustawienia minimalnej obsługiwanej wersji IMDS:
Poniżej znajduje się przykładowe polecenie AWS CLI służące do tworzenia instancji notatnika tylko z obsługą IMDSv2:
Jeśli chcesz zaktualizować istniejący notatnik, aby obsługiwał tylko IMDSv2, możesz to zrobić za pomocą Aktualizuj instancję notebooka OGIEŃ:
Wymuszaj IMDSv2 we wszystkich instancjach notebooków SageMaker
Możesz użyć klucza warunku, aby wymusić, aby użytkownicy mogli tworzyć lub aktualizować tylko wystąpienia notesu obsługujące tylko IMDSv2, aby zwiększyć bezpieczeństwo. Możesz użyć tego klucza warunku w zasadach uprawnień przypisanych do użytkowników uprawnień, ról lub grup odpowiedzialnych za tworzenie i aktualizowanie notatników lub Organizacje AWS zasady kontroli usług.
Poniżej znajduje się przykładowa deklaracja zasad, która ogranicza interfejsy API tworzenia i aktualizowania instancji notatek do obsługi tylko IMDSv2:
Wnioski
Dzisiaj ogłosiliśmy obsługę konfiguracji i administracyjnego ograniczania wersji usługi Instance Metadata Service (IMDS) dla wystąpień notebooków. Pokazaliśmy, jak skonfigurować wersję IMDS dla nowych i istniejących notebooków za pomocą konsoli SageMaker i interfejsu AWS CLI. Pokazaliśmy również, jak administracyjnie ograniczać wersje IMDS przy użyciu kluczy warunków uprawnień i omówiliśmy zalety obsługi tylko IMDSv2.
Jeśli masz jakiekolwiek pytania i uwagi dotyczące IMDSv2, skontaktuj się z kontaktem z pomocą techniczną AWS lub opublikuj wiadomość w Amazon EC2 i Amazon Sage Maker fora dyskusyjne.
O autorach
Apoorva Gupta jest inżynierem oprogramowania w zespole SageMaker Notebooks. Koncentruje się na umożliwieniu klientom bardziej efektywnego wykorzystania SageMaker we wszystkich aspektach ich operacji ML. Współtworzy notebooki Amazon SageMaker od 2021 roku. W wolnym czasie lubi czytać, malować, pracować w ogrodzie, gotować i podróżować.
Durga Sury jest architektem rozwiązań ML w zespole Amazon SageMaker Service SA. Jej pasją jest udostępnianie uczenia maszynowego każdemu. W ciągu 3 lat pracy w AWS pomagała konfigurować platformy AI/ML dla klientów korporacyjnych. Przed AWS umożliwiała agencjom non-profit i rządowym uzyskiwanie spostrzeżeń z ich danych w celu poprawy wyników edukacyjnych. Kiedy nie pracuje, uwielbia przejażdżki motocyklem, powieści kryminalne i wędrówki ze swoim czteroletnim husky.
Siddhantha Deshpande’a jest kierownikiem ds. inżynierii w Amazon Web Services (AWS). Obecnie koncentruje się na budowaniu najlepszej w swojej klasie zarządzanej infrastruktury i usług narzędziowych uczenia maszynowego (ML), których celem jest szybkie i łatwe przekształcenie klientów z „muszę korzystać z ML” do „skutecznie korzystam z ML”. Pracował dla AWS od 2013 roku na różnych stanowiskach inżynierskich, rozwijając usługi AWS, takie jak Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint i Amazon SageMaker. W wolnym czasie lubi spędzać czas z rodziną, czytać, gotować, uprawiać ogród i podróżować po świecie.
Prashanta Pawana Pisipatiego jest głównym menedżerem produktu w Amazon Web Services (AWS). Zbudował różne produkty w AWS i Alexa, a obecnie koncentruje się na pomaganiu praktykom uczenia maszynowego w zwiększeniu produktywności dzięki usługom AWS.
Edwina Bejarano jest inżynierem oprogramowania w zespole SageMaker Notebooks. Jest weteranem Sił Powietrznych, który pracuje dla Amazon od 2017 roku, współpracując z takimi usługami jak AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program i Amazon SageMaker. W wolnym czasie lubi czytać, wędrować, jeździć na rowerze i grać w gry wideo.
- Coinsmart. Najlepsza w Europie giełda bitcoinów i kryptowalut.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. DARMOWY DOSTĘP.
- CryptoJastrząb. Radar Altcoin. Bezpłatna wersja próbna.
- Źródło: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/
- "
- 100
- 2021
- 2022
- zdolność
- O nas
- dostęp
- dostępny
- w poprzek
- Działania
- Dodatkowy
- adres
- Administratorzy
- Korzyść
- Zalety
- przed
- Wojska lotnicze
- Alexa
- Wszystkie kategorie
- Amazonka
- Amazon Web Services
- Ogłosić
- ogłosił
- api
- Pszczoła
- Zastosowanie
- Sierpnia
- Uwierzytelnianie
- dostępny
- AWS
- zanim
- Korzyści
- granica
- Budowanie
- wezwanie
- Dodaj
- kod
- obliczać
- warunek
- systemu
- Konsola
- skontaktuj się
- kontrola
- mógłby
- Stwórz
- Tworzenie
- Listy uwierzytelniające
- Aktualny
- Obecnie
- Klientów
- dane
- Obrona
- szczegółowe
- rozwijanie
- z łatwością
- Edukacja
- efekt
- faktycznie
- umożliwiając
- inżynier
- Inżynieria
- Enterprise
- wszyscy
- podniecony
- Przede wszystkim system został opracowany
- członków Twojej rodziny
- informacja zwrotna
- Skupiać
- koncentruje
- następujący
- Forum
- przyszłość
- Games
- Rząd
- Grupy
- pomoc
- W jaki sposób
- How To
- HTTPS
- tożsamość
- podnieść
- Infrastruktura
- spostrzeżenia
- IP
- Adres IP
- IT
- Klawisz
- Klawisze
- firmy
- uruchomiona
- warstwa
- nauka
- Dźwignia
- Linia
- maszyna
- uczenie maszynowe
- WYKONUJE
- Dokonywanie
- zarządzanie
- zarządzane
- kierownik
- znaczenie
- średni
- minimum
- ML
- jeszcze
- motocykl
- Tajemnica
- sieć
- niedochodowy
- notatnik
- powiadomienie
- Oferty
- koncepcja
- operacje
- Option
- zamówienie
- namiętny
- Platformy
- gra
- polityka
- polityka
- Główny
- Produkt
- Produkty
- Program
- ochrona
- zapewniać
- zapewnia
- że
- szybko
- Czytający
- otrzymać
- w sprawie
- zwolnić
- pozostawać
- zażądać
- wywołań
- wymagany
- Zasób
- odpowiedź
- odpowiedzialny
- rewers
- bieganie
- Sdk
- bezpieczne
- bezpieczeństwo
- usługa
- Usługi
- zestaw
- ustawienie
- Share
- pokazane
- podobny
- Prosty
- ponieważ
- Tworzenie
- Software Engineer
- solidny
- Rozwiązania
- mówić
- specjalny
- Spędzanie
- rozpocznie
- Zestawienie sprzedaży
- przechowywanie
- udany
- wsparcie
- Utrzymany
- Wspierający
- podpory
- Przełącznik
- podatek
- zespół
- tymczasowy
- Połączenia
- świat
- Przez
- czas
- żeton
- Podróżowanie
- Aktualizacja
- aktualizowanie
- posługiwać się
- Użytkownicy
- wartość
- różnorodny
- wersja
- weteran
- Wideo
- gier wideo
- Luki w zabezpieczeniach
- sieć
- usługi internetowe
- Podczas
- pracował
- pracujący
- świat
- by
- lat
- Twój
