Astăzi, suntem încântați să anunțăm asta Amazon SageMaker acceptă acum capacitatea de a configura Serviciul de metadate ale instanțelor versiunea 2 (IMDSv2) pentru Instanțele Notebook și pentru ca administratorii să controleze versiunea minimă cu care utilizatorii finali creează noi Instanțe Notebook. Acum puteți alege IMDSv2 numai pentru Instanțele dvs. de notebook SageMaker noi și existente, pentru a beneficia de cea mai recentă protecție și asistență oferite de IMDSv2.
Metadate ale instanțelor sunt date despre instanța dvs. pe care le puteți utiliza pentru a configura sau gestiona instanța care rulează, furnizând acreditări temporare și rotite frecvent, care pot fi accesate numai de software-ul care rulează pe instanță. IMDS pune la dispoziție metadatele despre instanță, cum ar fi rețeaua și stocarea acesteia, printr-o adresă IP locală de legătură specială a 169.254.169.254. Puteți utiliza IMDS pe Instanțele de notebook SageMaker, similar modului în care ați folosi IMDS pe un Cloud Elastic de calcul Amazon instanță (Amazon EC2). Pentru documentație detaliată, vezi Metadatele instanțelor și datele utilizatorului.
Lansarea IMDSv2 adaugă un nivel suplimentar de protecție folosind autentificarea sesiunii. Cu IMDSv2, fiecare sesiune începe cu o solicitare PUT către IMDSv2 pentru a obține un token securizat, cu un timp de expirare, care poate fi de minim 1 secundă și maxim 6 ore. Orice solicitare GET ulterioară către IMDS trebuie să trimită simbolul rezultat ca antet, pentru a primi un răspuns de succes. Când durata specificată expiră, este necesar un nou token pentru cererile viitoare.
Un exemplu de apel IMDSv1 arată ca următorul cod:
Cu IMDSv2, apelul arată ca următorul cod:
Adoptarea IMDSv2 și setarea acestuia ca versiune minimă oferă diverse beneficii de securitate față de IMDSv1. IMDSv2 protejează împotriva configurațiilor nerestricționate Web Application Firewall (WAF), a proxy-urilor inverse deschise, a vulnerabilităților Server-Side Request Forgery (SSRF) și a firewall-urilor de nivel 3 și a NAT-urilor care ar putea fi utilizate pentru a accesa metadatele instanței. Pentru o comparație detaliată, vezi Adăugați apărare în profunzime împotriva paravanelor de protecție deschise, a proxy-urilor inverse și a vulnerabilităților SSRF cu îmbunătățiri aduse Serviciului de metadate ale instanțelor EC2.
În această postare, vă arătăm cum să vă configurați notebook-urile SageMaker doar cu suport IMDSv2. De asemenea, vă împărtășim planul de asistență pentru IMDSv1 și modul în care puteți aplica IMDSv2 pe notebook-uri.
Ce este nou cu suportul IMDSv2 și SageMaker
Acum puteți configura versiunea IMDS a Instanțelor SageMaker Notebook în timp ce creați sau actualizați instanța, lucru pe care îl puteți face prin API-ul SageMaker sau Consola SageMaker, cu parametrul de versiune IMDS minimă. Versiunea IMDS minimă specifică versiunea minimă acceptată. Setarea la o valoare de 1 permite suportul atât pentru IMDSv1, cât și pentru IMDSv2, iar setarea versiunii minime la 2 acceptă numai IMDSv2. Cu un notebook exclusiv IMDSv2, puteți profita de apărarea suplimentară în profunzime pe care o oferă IMDSv2.
De asemenea, oferim a Cheia de condiție SageMaker pentru politicile IAM care vă permite să restricționați versiunea IMDS pentru Instanțele de notebook prin intermediul CreateNotebookInstance și UpdateNotebookInstance Apeluri API. Administratorii pot folosi această cheie de condiție pentru a-și restricționa utilizatorii finali să creeze și/sau să actualizeze notebook-uri pentru a accepta numai IMDSv2. Puteți adăuga această cheie de condiție la Gestionarea identității și accesului AWS (IAM) atașată utilizatorilor, rolurilor sau grupurilor IAM responsabile pentru crearea și actualizarea notebook-urilor.
În plus, puteți comuta între configurațiile versiunii IMDS utilizând parametrul minim al versiunii IMDS din SageMaker UpdateNotebookInstance API-ul.
Suportul pentru configurarea versiunii IMDS și restricționarea versiunii IMDS doar la v2 este acum disponibil în toate regiunile AWS în care sunt disponibile Instanțele Notebook SageMaker.
Plan de asistență pentru versiunile IMDS pe Instanțele SageMaker Notebook
La 1 iunie 2022, am lansat suport pentru controlul versiunii minime de IMDS care să fie utilizată cu Instanțele de notebook Amazon SageMaker. Toate Instanțele de notebook lansate înainte de 1 iunie 2022 vor avea versiunea minimă implicită setată la 1. Veți avea opțiunea de a actualiza versiunea minimă la 2 utilizând API-ul SageMaker sau consola.
Configurați versiunea IMDS pe instanța dvs. de notebook SageMaker
Puteți configura versiunea IMDS minimă pentru notebook-ul SageMaker prin consola AWS SageMaker (consultați Creați o instanță de notebook), SDK sau Interfața liniei de comandă AWS (AWS CLI). Aceasta este o configurație opțională, cu o valoare implicită setată la 1, ceea ce înseamnă că instanța de notebook va accepta atât apelurile IMDSv1, cât și IMDSv2.
Când creați o nouă instanță de notebook pe consola SageMaker, aveți acum opțiunea Versiune IMDS minimă pentru a specifica versiunea IMDS minimă acceptată, așa cum se arată în următoarea captură de ecran. Dacă valoarea este setată la 1, atât IMDSv1, cât și IMDSv2 sunt acceptate. Dacă valoarea este setată la 2, este acceptat numai IMDSv2.
De asemenea, puteți edita o instanță de notebook existentă pentru a accepta IMDSv2 numai folosind consola SageMaker, așa cum se arată în următoarea captură de ecran.
Valoarea implicită va rămâne 1 până la 31 august 2022 și va trece la 2 la 31 august 2022.
Când utilizați AWS CLI pentru a crea un blocnotes, puteți utiliza MinimumInstanceMetadataServiceVersion parametru pentru a seta versiunea IMDS minimă acceptată:
Următorul este un exemplu de comandă AWS CLI pentru a crea o instanță de notebook doar cu suport IMDSv2:
Dacă doriți să actualizați un notebook existent pentru a accepta numai IMDSv2, puteți face acest lucru folosind UpdateNotebookInstance API-uri:
Aplicați IMDSv2 pentru toate Instanțele SageMaker Notebook
Puteți utiliza o cheie de condiție pentru a impune ca utilizatorii dvs. să poată crea sau actualiza doar Instanțele Notebook care acceptă numai IMDSv2, pentru a spori securitatea. Puteți utiliza această cheie de condiție în politicile IAM atașate utilizatorilor, rolurilor sau grupurilor IAM responsabile pentru crearea și actualizarea blocnotesurilor sau Organizații AWS politici de control al serviciilor.
Următorul este un exemplu de declarație de politică care restricționează atât crearea, cât și actualizarea API-urilor de instanță de notebook pentru a permite numai IMDSv2:
Concluzie
Astăzi, am anunțat suport pentru configurarea și restricționarea administrativă a versiunii tale Instance Metadata Service (IMDS) pentru Instanțele Notebook. V-am arătat cum să configurați versiunea IMDS pentru notebook-urile dvs. noi și existente folosind consola SageMaker și AWS CLI. De asemenea, v-am arătat cum să restricționați administrativ versiunile IMDS folosind cheile de condiție IAM și am discutat despre avantajele acceptării numai IMDSv2.
Dacă aveți întrebări și feedback cu privire la IMDSv2, vă rugăm să discutați cu contactul dvs. de asistență AWS sau să postați un mesaj în Amazon EC2 și Amazon SageMaker forumuri de discuții.
Despre Autori
Apoorva Gupta este inginer software în echipa SageMaker Notebooks. Accentul ei este să le permită clienților să folosească SageMaker mai eficient în toate aspectele operațiunilor lor de ML. Ea contribuie la Amazon SageMaker Notebooks din 2021. În timpul liber, îi place să citească, să picteze, să facă grădinărit, să gătească și să călătorească.
Durga Sury este arhitect de soluții ML în echipa Amazon SageMaker Service SA. Este pasionată de a face învățarea automată accesibilă tuturor. În cei 3 ani la AWS, ea a ajutat la crearea platformelor AI/ML pentru clienții întreprinderilor. Înainte de AWS, ea a permis agențiilor non-profit și guvernamentale să obțină informații din datele lor pentru a îmbunătăți rezultatele educației. Când nu lucrează, îi plac plimbările cu motocicleta, romanele misterioase și drumețiile cu husky-ul ei de patru ani.
Siddhanth Deshpande este manager de inginerie la Amazon Web Services (AWS). Actualul său obiectiv este construirea celei mai bune infrastructuri gestionate de învățare automată (ML) și servicii de instrumente care urmăresc să atragă clienții de la „Trebuie să folosesc ML” la „Folosesc ML cu succes” rapid și ușor. El a lucrat pentru AWS din 2013 în diverse roluri de inginerie, dezvoltând servicii AWS precum Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint și Amazon SageMaker. În timpul liber, îi place să petreacă timpul cu familia, să citească, să gătească, să facă grădinărit și să călătorească prin lume.
Prashant Pawan Pisipati este manager de produs principal la Amazon Web Services (AWS). El a construit diverse produse în AWS și Alexa și în prezent se concentrează pe a ajuta practicanții de învățare automată să fie mai productivi prin serviciile AWS.
Edwin Bejarano este inginer software în echipa SageMaker Notebooks. Este un veteran al Forțelor Aeriene care lucrează pentru Amazon din 2017 cu contribuții la servicii precum AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program și Amazon SageMaker. În timpul liber, îi place să citească, să facă drumeții, să meargă cu bicicleta și să joace jocuri video.
- Coinsmart. Cel mai bun schimb de Bitcoin și Crypto din Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. ACCES LIBER.
- CryptoHawk. Radar Altcoin. Încercare gratuită.
- Sursa: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/
- "
- 100
- 2021
- 2022
- capacitate
- Despre Noi
- acces
- accesibil
- peste
- Acțiune
- Suplimentar
- adresa
- administratori
- Avantaj
- Avantajele
- împotriva
- Air Force
- Alexa
- TOATE
- Amazon
- Amazon Web Services
- anunța
- a anunțat
- api
- API-uri
- aplicație
- August
- Autentificare
- disponibil
- AWS
- înainte
- Beneficiile
- frontieră
- Clădire
- apel
- Alege
- cod
- Calcula
- condiție
- Configuraţie
- Consoleze
- contactați-ne
- Control
- ar putea
- crea
- Crearea
- scrisori de acreditare
- Curent
- În prezent
- clienţii care
- de date
- Apărare
- detaliat
- în curs de dezvoltare
- cu ușurință
- Educaţie
- efect
- în mod eficient
- permițând
- inginer
- Inginerie
- Afacere
- toată lumea
- excitat
- existent
- familie
- feedback-ul
- Concentra
- concentrat
- următor
- forumuri
- viitor
- Jocuri
- Guvern
- Grupului
- ajutor
- Cum
- Cum Pentru a
- HTTPS
- Identitate
- îmbunătăţi
- Infrastructură
- perspective
- IP
- Adresa IP
- IT
- Cheie
- chei
- Ultimele
- a lansat
- strat
- învăţare
- Pârghie
- Linie
- maşină
- masina de învățare
- FACE
- Efectuarea
- administra
- gestionate
- manager
- sens
- mediu
- minim
- ML
- mai mult
- motocicletă
- Mister
- reţea
- non-profit
- caiet
- notificare
- promoții
- deschide
- Operațiuni
- Opțiune
- comandă
- pasionat
- Platforme
- joc
- Politicile
- Politica
- Principal
- Produs
- Produse
- Program
- protecţie
- furniza
- furnizează
- furnizarea
- repede
- Citind
- a primi
- cu privire la
- eliberaţi
- rămâne
- solicita
- cereri de
- necesar
- resursă
- răspuns
- responsabil
- inversa
- funcţionare
- sdk
- sigur
- securitate
- serviciu
- Servicii
- set
- instalare
- Distribuie
- indicat
- asemănător
- simplu
- întrucât
- Software
- Inginer Software
- solid
- soluţii
- vorbi
- special
- Cheltuire
- începe
- Declarație
- depozitare
- de succes
- a sustine
- Suportat
- De sprijin
- Sprijină
- Intrerupator
- impozit
- echipă
- temporar
- lumea
- Prin
- timp
- semn
- Traveling
- Actualizează
- actualizarea
- utilizare
- utilizatorii
- valoare
- diverse
- versiune
- veteran
- Video
- jocuri video
- Vulnerabilitățile
- web
- servicii web
- în timp ce
- a lucrat
- de lucru
- lume
- ar
- ani
- Ta
