Amazon SageMaker Notebook Instances stöder nu konfigurering och begränsning av IMDS-versioner

Idag är vi glada att meddela det Amazon SageMaker stöder nu möjligheten att konfigurera Instance Metadata Service Version 2 (IMDSv2) för Notebook-instanser, och för administratörer att kontrollera den lägsta versionen med vilken slutanvändare skapar nya Notebook-instanser. Du kan nu endast välja IMDSv2 för dina nya och befintliga SageMaker Notebook-instanser för att dra nytta av det senaste skyddet och supporten från IMDSv2.

Instansmetadata är data om din instans som du kan använda för att konfigurera eller hantera den körande instansen, genom att tillhandahålla tillfälliga och ofta roterade autentiseringsuppgifter som endast kan nås av programvara som körs på instansen. IMDS gör metadata om instansen, såsom dess nätverk och lagring, tillgänglig via en speciell länk-lokal IP-adress för 169.254.169.254. Du kan använda IMDS på dina SageMaker Notebook-instanser, liknande hur du skulle använda IMDS på en Amazon Elastic Compute Cloud (Amazon EC2) instans. För detaljerad dokumentation, se Instansmetadata och användardata.

Utgivningen av IMDSv2 lägger till ett extra skyddslager med sessionsautentisering. Med IMDSv2 börjar varje session med en PUT-begäran till IMDSv2 för att få en säker token, med en utgångstid som kan vara minst 1 sekund och maximalt 6 timmar. Varje efterföljande GET-förfrågan till IMDS måste skicka den resulterande token som en rubrik för att få ett framgångsrikt svar. När den angivna varaktigheten löper ut krävs en ny token för framtida förfrågningar.

Ett exempel på IMDSv1-anrop ser ut som följande kod:

curl http://169.254.169.254/latest/meta-data/profile

Med IMDSv2 ser samtalet ut som följande kod:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Att använda IMDSv2 och ställa in den som lägsta version erbjuder olika säkerhetsfördelar jämfört med IMDSv1. IMDSv2 skyddar mot obegränsade WAF-konfigurationer (Web Application Firewall), öppna omvända proxyservrar, Server-Side Request Forgery (SSRF) sårbarheter och öppna lager 3-brandväggar och NAT:er som kan användas för att komma åt instansens metadata. För en detaljerad jämförelse, se Lägg till försvar på djupet mot öppna brandväggar, omvända proxyservrar och SSRF-sårbarheter med förbättringar av EC2 Instance Metadata Service.

I det här inlägget visar vi dig hur du konfigurerar dina SageMaker-anteckningsböcker med endast IMDSv2-stöd. Vi delar också supportplanen för IMDSv1 och hur du kan tillämpa IMDSv2 på dina bärbara datorer.

Vad är nytt med IMDSv2-stöd och SageMaker

Du kan nu konfigurera IMDS-versionen av SageMaker Notebook Instances samtidigt som du skapar eller uppdaterar instansen, vilket du kan göra via SageMaker API eller SageMaker Console, med den lägsta IMDS-versionsparametern. Den lägsta IMDS-versionen anger den lägsta versionen som stöds. Om du ställer in värdet 1 får du stöd för både IMDSv1 och IMDSv2, och inställning av minimiversionen till 2 stöder endast IMDSv2. Med en endast IMDSv2-anteckningsbok kan du utnyttja det ytterligare försvar på djupet som IMDSv2 ger.

Vi tillhandahåller även en SageMaker villkorsnyckel för IAM-policyer som låter dig begränsa IMDS-versionen för Notebook-instanser genom CreateNotebookInstance och UppdateraNotebookInstance API-anrop. Administratörer kan använda denna villkorsnyckel för att begränsa sina slutanvändare till att skapa och/eller uppdatera anteckningsböcker för att endast stödja IMDSv2. Du kan lägga till denna villkorsnyckel till AWS identitets- och åtkomsthantering (IAM)-policy kopplad till IAM-användare, roller eller grupper som ansvarar för att skapa och uppdatera anteckningsböcker.

Dessutom kan du också växla mellan IMDS-versionskonfigurationer med den lägsta IMDS-versionsparametern i SageMaker UppdateraNotebookInstance API.

Stöd för att konfigurera IMDS-versionen och begränsa IMDS-versionen till endast v2 är nu tillgängligt i alla AWS-regioner där SageMaker Notebook Instances är tillgängliga.

Supportplan för IMDS-versioner på SageMaker Notebook-instanser

Den 1 juni 2022 lanserade vi stöd för att kontrollera minimiversionen av IMDS som ska användas med Amazon SageMaker Notebook Instances. Alla Notebook-instanser som lanserats före den 1 juni 2022 kommer att ha den förinställda lägsta versionen inställd på 1. Du kommer att ha möjlighet att uppdatera lägsta versionen till 2 med SageMaker API eller konsolen.

Konfigurera IMDS-versionen på din SageMaker Notebook-instans

Du kan konfigurera den lägsta IMDS-versionen för SageMaker notebook via AWS SageMaker-konsolen (se Skapa ett anteckningsboken), SDK eller AWS-kommandoradsgränssnitt (AWS CLI). Detta är en valfri konfiguration, med ett standardvärde på 1, vilket betyder att notebook-instansen kommer att stödja både IMDSv1- och IMDSv2-anrop.

När du skapar en ny anteckningsboksinstans på SageMaker-konsolen har du nu möjligheten Minsta IMDS-version för att ange den lägsta stödda IMDS-versionen, som visas i följande skärmdump. Om värdet är satt till 1 stöds både IMDSv1 och IMDSv2. Om värdet är satt till 2 stöds endast IMDSv2.

Du kan också redigera en befintlig anteckningsbok-instans för att endast stödja IMDSv2 med SageMaker-konsolen, som visas i följande skärmdump.

Standardvärdet förblir 1 till 31 augusti 2022 och kommer att ändras till 2 den 31 augusti 2022.

När du använder AWS CLI för att skapa en anteckningsbok kan du använda MinimumInstanceMetadataServiceVersion parameter för att ställa in den lägsta stödda IMDS-versionen:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Följande är ett exempel på AWS CLI-kommando för att skapa en notebook-instans med endast IMDSv2-stöd:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Om du vill uppdatera en befintlig bärbar dator så att den endast stöder IMDSv2 kan du göra det med hjälp av UppdateraNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Genomför IMDSv2 för alla SageMaker Notebook-instanser

Du kan använda en villkorsnyckel för att framtvinga att dina användare endast kan skapa eller uppdatera Notebook-instanser som endast stöder IMDSv2, för att förbättra säkerheten. Du kan använda denna villkorsnyckel i IAM-policyer kopplade till IAM-användare, roller eller grupper som ansvarar för att skapa och uppdatera anteckningsböckerna, eller AWS-organisationer tjänstekontrollpolicyer.

Följande är ett exempel på policyuttalande som begränsar både skapa och uppdatera notebook-instansers API:er för att endast tillåta IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Slutsats

Idag tillkännagav vi stöd för att konfigurera och administrativt begränsa din Instance Metadata Service-version (IMDS) för Notebook-instanser. Vi visade dig hur du konfigurerar IMDS-versionen för dina nya och befintliga bärbara datorer med SageMaker-konsolen och AWS CLI. Vi visade dig också hur du administrativt begränsar IMDS-versioner med IAM-villkorsnycklar och diskuterade fördelarna med att endast stödja IMDSv2.

Om du har några frågor och feedback angående IMDSv2, vänligen prata med din AWS-supportkontakt eller skicka ett meddelande i Amazon EC2 och Amazon SageMaker diskussionsforum.

Om författarna

Apoorva Gupta är en mjukvaruingenjör i SageMaker Notebooks-teamet. Hennes fokus ligger på att göra det möjligt för kunder att utnyttja SageMaker mer effektivt i alla aspekter av sin ML-verksamhet. Hon har bidragit till Amazon SageMaker Notebooks sedan 2021. På fritiden tycker hon om att läsa, måla, arbeta i trädgården, laga mat och resa.

Durga Sury är en ML Solutions Architect i Amazon SageMaker Service SA-teamet. Hon brinner för att göra maskininlärning tillgängligt för alla. Under sina tre år på AWS har hon hjälpt till att sätta upp AI/ML-plattformar för företagskunder. Före AWS gjorde hon det möjligt för ideella och statliga myndigheter att hämta insikter från sina data för att förbättra utbildningsresultaten. När hon inte jobbar älskar hon motorcykelturer, mysterieromaner och vandringar med sin fyraåriga husky.

Siddhanth Deshpande är ingenjörschef på Amazon Web Services (AWS). Hans nuvarande fokus är att bygga klassens bästa hanterade maskininlärning (ML) infrastruktur och verktygstjänster som syftar till att få kunder från "Jag behöver använda ML" till "Jag använder ML framgångsrikt" snabbt och enkelt. Han har arbetat för AWS sedan 2013 i olika ingenjörsroller och utvecklat AWS-tjänster som Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint och Amazon SageMaker. På fritiden njuter han av att umgås med sin familj, läsa, laga mat, göra trädgård och resa jorden runt.

Prashant Pawan Pisipati är en huvudproduktchef på Amazon Web Services (AWS). Han har byggt olika produkter över AWS och Alexa, och är för närvarande fokuserad på att hjälpa maskininlärningsutövare att bli mer produktiva genom AWS-tjänster.

Edwin Bejarano är en mjukvaruingenjör i SageMaker Notebooks-teamet. Han är en flygvapenveteran som har arbetat för Amazon sedan 2017 med bidrag till tjänster som AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program och Amazon SageMaker. På fritiden tycker han om att läsa, vandra, cykla och spela tv-spel.

• Myntsmart. Europas bästa bitcoin- och kryptobörs.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. FRI TILLGÅNG.
• CryptoHawk. Altcoin radar. Gratis provperiod.
• Källa: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/