Hoje, temos o prazer de anunciar que Amazon Sage Maker agora suporta a capacidade de configurar o Instance Metadata Service Versão 2 (IMDSv2) para instâncias de notebook e para que os administradores controlem a versão mínima com a qual os usuários finais criam novas instâncias de notebook. Agora você pode escolher IMDSv2 apenas para suas instâncias de notebook SageMaker novas e existentes para aproveitar a proteção e o suporte mais recentes fornecidos pelo IMDSv2.
Metadados da instância são dados sobre sua instância que você pode usar para configurar ou gerenciar a instância em execução, fornecendo credenciais temporárias e frequentemente alternadas que só podem ser acessadas pelo software em execução na instância. O IMDS disponibiliza metadados sobre a instância, como sua rede e armazenamento, por meio de um endereço IP local de link especial de 169.254.169.254. Você pode usar o IMDS em suas instâncias de notebook do SageMaker, da mesma forma que usaria o IMDS em um Amazon Elastic Compute Nuvem (Amazon EC2). Para documentação detalhada, consulte Metadados da instância e dados do usuário.
O lançamento do IMDSv2 adiciona uma camada adicional de proteção usando autenticação de sessão. Com o IMDSv2, cada sessão começa com uma solicitação PUT ao IMDSv2 para obter um token seguro, com tempo de expiração, que pode ser de no mínimo 1 segundo e no máximo 6 horas. Qualquer solicitação GET subsequente ao IMDS deve enviar o token resultante como um cabeçalho para receber uma resposta bem-sucedida. Quando a duração especificada expirar, um novo token será necessário para solicitações futuras.
Um exemplo de chamada IMDSv1 se parece com o seguinte código:
Com o IMDSv2, a chamada se parece com o seguinte código:
Adotar o IMDSv2 e defini-lo como a versão mínima oferece vários benefícios de segurança em relação ao IMDSv1. O IMDSv2 protege contra configurações irrestritas de Web Application Firewall (WAF), proxies reversos abertos, vulnerabilidades de SSRF (Server-Side Request Forgery) e firewalls e NATs de camada 3 abertos que podem ser usados para acessar os metadados da instância. Para uma comparação detalhada, consulte Adicione defesa em profundidade contra firewalls abertos, proxies reversos e vulnerabilidades de SSRF com aprimoramentos no EC2 Instance Metadata Service.
Neste post, mostramos como configurar seus notebooks SageMaker com suporte apenas para IMDSv2. Também compartilhamos o plano de suporte para IMDSv1 e como você pode aplicar o IMDSv2 em seus notebooks.
O que há de novo com suporte a IMDSv2 e SageMaker
Agora você pode configurar a versão IMDS das Instâncias do SageMaker Notebook ao criar ou atualizar a instância, o que pode ser feito por meio da API do SageMaker ou do Console do SageMaker, com o parâmetro de versão mínima do IMDS. A versão mínima do IMDS especifica a versão mínima com suporte. Definir como um valor de 1 permite suporte para IMDSv1 e IMDSv2, e definir a versão mínima como 2 suporta apenas IMDSv2. Com um notebook somente IMDSv2, você pode aproveitar a defesa adicional em profundidade que o IMDSv2 oferece.
Também fornecemos um Chave de condição do SageMaker para políticas do IAM que permite restringir a versão do IMDS para instâncias de notebook por meio do Criar instância do bloco de anotações e AtualizarNotebookInstance chamadas de API. Os administradores podem usar essa chave de condição para restringir seus usuários finais à criação e/ou atualização de notebooks para oferecer suporte apenas ao IMDSv2. Você pode adicionar esta chave de condição ao Gerenciamento de acesso e identidade da AWS (IAM) anexada a usuários, funções ou grupos do IAM responsáveis por criar e atualizar notebooks.
Além disso, você também pode alternar entre as configurações de versão do IMDS usando o parâmetro de versão mínima do IMDS no SageMaker AtualizarNotebookInstance API.
O suporte para configurar a versão do IMDS e restringir a versão do IMDS apenas para v2 agora está disponível em todas as regiões da AWS nas quais as instâncias do SageMaker Notebook estão disponíveis.
Plano de suporte para versões IMDS em instâncias de notebook do SageMaker
Em 1º de junho de 2022, lançamos o suporte para controlar a versão mínima do IMDS a ser usada com instâncias de notebook do Amazon SageMaker. Todas as instâncias de notebook lançadas antes de 1º de junho de 2022 terão a versão mínima padrão definida como 1. Você terá a opção de atualizar a versão mínima para 2 usando a API do SageMaker ou o console.
Configure a versão do IMDS em sua instância de notebook do SageMaker
Você pode configurar a versão mínima do IMDS para o notebook SageMaker por meio do console do AWS SageMaker (consulte Criar uma Instância do Notebook), SDK ou o Interface de linha de comando da AWS (AWS CLI). Essa é uma configuração opcional, com um valor padrão definido como 1, o que significa que a instância do notebook oferecerá suporte a chamadas IMDSv1 e IMDSv2.
Ao criar uma nova instância de notebook no console do SageMaker, agora você tem a opção Versão mínima do IMDS para especificar a versão mínima de IMDS com suporte, conforme mostrado na captura de tela a seguir. Se o valor for definido como 1, IMDSv1 e IMDSv2 serão suportados. Se o valor for definido como 2, apenas o IMDSv2 será suportado.
Você também pode editar uma instância de notebook existente para dar suporte ao IMDSv2 apenas usando o console do SageMaker, conforme mostrado na captura de tela a seguir.
O valor padrão permanecerá 1 até 31 de agosto de 2022 e mudará para 2 em 31 de agosto de 2022.
Ao usar a AWS CLI para criar um notebook, você pode usar o MinimumInstanceMetadataServiceVersion parâmetro para definir a versão IMDS mínima suportada:
Veja a seguir um exemplo de comando da AWS CLI para criar uma instância de notebook apenas com suporte a IMDSv2:
Se você deseja atualizar um notebook existente para oferecer suporte apenas ao IMDSv2, você pode fazê-lo usando o AtualizarNotebookInstance API:
Aplicar IMDSv2 para todas as instâncias de notebook do SageMaker
Você pode usar uma chave de condição para garantir que seus usuários só possam criar ou atualizar Instâncias de Notebook que suportem apenas IMDSv2, para aumentar a segurança. Você pode usar essa chave de condição nas políticas do IAM anexadas aos usuários, funções ou grupos do IAM responsáveis por criar e atualizar os notebooks ou Organizações da AWS políticas de controle de serviço.
Veja a seguir um exemplo de declaração de política que restringe a criação e atualização de APIs de instância de notebook para permitir apenas IMDSv2:
Conclusão
Hoje, anunciamos o suporte para configurar e restringir administrativamente sua versão do Instance Metadata Service (IMDS) para instâncias de notebook. Mostramos como configurar a versão do IMDS para seus notebooks novos e existentes usando o console do SageMaker e a AWS CLI. Também mostramos como restringir administrativamente as versões do IMDS usando chaves de condição do IAM e discutimos as vantagens de oferecer suporte apenas ao IMDSv2.
Se você tiver dúvidas e comentários sobre o IMDSv2, fale com seu contato de suporte da AWS ou poste uma mensagem no Amazon EC2 e Amazon Sage Maker fóruns de discussão.
Sobre os autores
Apoorva Gupta é engenheiro de software da equipe de notebooks do SageMaker. Seu foco é permitir que os clientes aproveitem o SageMaker com mais eficiência em todos os aspectos de suas operações de ML. Ela contribui para o Amazon SageMaker Notebooks desde 2021. Em seu tempo livre, gosta de ler, pintar, fazer jardinagem, cozinhar e viajar.
Durga Sury é arquiteto de soluções de ML na equipe do Amazon SageMaker Service SA. Ela é apaixonada por tornar o aprendizado de máquina acessível a todos. Em seus 3 anos na AWS, ela ajudou a configurar plataformas de IA/ML para clientes corporativos. Antes da AWS, ela permitiu que agências governamentais e sem fins lucrativos obtivessem insights de seus dados para melhorar os resultados da educação. Quando não está trabalhando, adora passeios de moto, romances de mistério e caminhadas com seu husky de quatro anos.
Siddhanth Deshpande é gerente de engenharia da Amazon Web Services (AWS). Seu foco atual é construir a melhor infraestrutura gerenciada de Machine Learning (ML) e serviços de ferramentas que visam levar os clientes de “Preciso usar ML” para “Estou usando ML com sucesso” de maneira rápida e fácil. Ele trabalha para a AWS desde 2013 em várias funções de engenharia, desenvolvendo serviços da AWS como Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint e Amazon SageMaker. Em seu tempo livre, ele gosta de passar tempo com sua família, ler, cozinhar, jardinagem e viajar pelo mundo.
Prashant Pawan Pisipati é gerente de produto principal da Amazon Web Services (AWS). Ele criou vários produtos na AWS e na Alexa e atualmente está focado em ajudar os profissionais de Machine Learning a serem mais produtivos por meio dos serviços da AWS.
Edwin Bejarano é engenheiro de software da equipe de notebooks do SageMaker. Ele é um veterano da Força Aérea que trabalha para a Amazon desde 2017 com contribuições para serviços como AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program e Amazon SageMaker. Em seu tempo livre, ele gosta de ler, caminhar, andar de bicicleta e jogar videogame.
- Coinsmart. A melhor troca de Bitcoin e criptografia da Europa.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. ACESSO LIVRE.
- CryptoHawk. Radar Altcoin. Teste grátis.
- Fonte: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configurando-and-restricting-imds-versions/
- "
- 100
- 2021
- 2022
- habilidade
- Sobre
- Acesso
- acessível
- em
- Açao Social
- Adicional
- endereço
- administradores
- Vantagem
- vantagens
- contra
- Força Aérea
- Alexa
- Todos os Produtos
- Amazon
- Amazon Web Services
- Anunciar
- anunciou
- api
- APIs
- Aplicação
- AGOSTO
- Autenticação
- disponível
- AWS
- antes
- Benefícios
- fronteira
- Prédio
- chamada
- Escolha
- código
- Computar
- condição
- Configuração
- cônsul
- Contacto
- ao controle
- poderia
- crio
- Criar
- Credenciais
- Atual
- Atualmente
- Clientes
- dados,
- Defesa
- detalhado
- em desenvolvimento
- facilmente
- Educação
- efeito
- efetivamente
- permitindo
- engenheiro
- Engenharia
- Empreendimento
- todos
- animado
- existente
- família
- retornos
- Foco
- focado
- seguinte
- fóruns
- futuro
- Games
- Governo
- Do grupo
- ajuda
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Dados de identificação:
- melhorar
- Infraestrutura
- insights
- IP
- Endereço IP
- IT
- Chave
- chaves
- mais recente
- lançado
- camada
- aprendizagem
- Alavancagem
- Line
- máquina
- aprendizado de máquina
- FAZ
- Fazendo
- gerencia
- gerenciados
- Gerente
- significado
- média
- mínimo
- ML
- mais
- motocicleta
- Mistério
- rede
- sem fins lucrativos,
- caderno
- notificação
- Oferece
- aberto
- Operações
- Opção
- ordem
- apaixonado
- Plataformas
- jogar
- políticas
- Privacidade
- Diretor
- Produto
- Produtos
- Agenda
- proteção
- fornecer
- fornece
- fornecendo
- rapidamente
- Leitura
- receber
- em relação a
- liberar
- permanecem
- solicitar
- pedidos
- requeridos
- recurso
- resposta
- responsável
- reverso
- corrida
- Sdk
- seguro
- segurança
- serviço
- Serviços
- conjunto
- contexto
- Partilhar
- mostrando
- semelhante
- simples
- desde
- Software
- Engenheiro de Software
- sólido
- Soluções
- falar
- especial
- Passar
- começa
- Declaração
- armazenamento
- bem sucedido
- ajuda
- Suportado
- Apoiar
- suportes
- Interruptor
- imposto
- Profissionais
- temporário
- A
- o mundo
- Através da
- tempo
- token
- Viagens
- Atualizar
- atualização
- usar
- usuários
- valor
- vário
- versão
- veterano
- Vídeo
- jogos de vídeo
- vulnerabilidades
- web
- serviços web
- enquanto
- trabalhou
- trabalhar
- mundo
- seria
- anos
- investimentos
