อินสแตนซ์โน้ตบุ๊ก Amazon SageMaker รองรับการกำหนดค่าและจำกัดเวอร์ชัน IMDS

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

วันนี้เรารู้สึกตื่นเต้นที่จะประกาศให้ทราบว่า อเมซอน SageMaker ตอนนี้รองรับความสามารถในการกำหนดค่า Instance Metadata Service เวอร์ชัน 2 (IMDSv2) สำหรับอินสแตนซ์ Notebook และสำหรับผู้ดูแลระบบเพื่อควบคุมเวอร์ชันขั้นต่ำที่ผู้ใช้ปลายทางสร้างอินสแตนซ์ Notebook ใหม่ ขณะนี้คุณสามารถเลือก IMDSv2 สำหรับอินสแตนซ์โน้ตบุ๊ก SageMaker ใหม่และที่มีอยู่เท่านั้น เพื่อใช้ประโยชน์จากการป้องกันและการสนับสนุนล่าสุดจาก IMDSv2

ข้อมูลเมตาของอินสแตนซ์ คือข้อมูลเกี่ยวกับอินสแตนซ์ของคุณที่คุณสามารถใช้เพื่อกำหนดค่าหรือจัดการอินสแตนซ์ที่ทำงานอยู่ โดยให้ข้อมูลประจำตัวชั่วคราวและหมุนเวียนบ่อยๆ ซึ่งสามารถเข้าถึงได้โดยซอฟต์แวร์ที่ทำงานบนอินสแตนซ์เท่านั้น IMDS ทำให้ข้อมูลเมตาเกี่ยวกับอินสแตนซ์ เช่น เครือข่ายและพื้นที่จัดเก็บข้อมูล พร้อมใช้งานผ่านที่อยู่ IP แบบลิงก์โลคัลพิเศษของ 169.254.169.254. คุณสามารถใช้ IMDS บนอินสแตนซ์โน้ตบุ๊ก SageMaker ได้ เช่นเดียวกับที่คุณใช้ IMDS บน อเมซอน อีลาสติก คอมพิวท์ คลาวด์ (Amazon EC2) อินสแตนซ์ สำหรับเอกสารโดยละเอียด โปรดดูที่ ข้อมูลเมตาของอินสแตนซ์และข้อมูลผู้ใช้.

การเปิดตัว IMDSv2 เพิ่มชั้นการป้องกันเพิ่มเติมโดยใช้การพิสูจน์ตัวตนเซสชัน ด้วย IMDSv2 แต่ละเซสชันเริ่มต้นด้วยคำขอ PUT ไปยัง IMDSv2 เพื่อรับโทเค็นที่ปลอดภัย โดยมีเวลาหมดอายุ ซึ่งอาจอย่างน้อย 1 วินาทีและสูงสุด 6 ชั่วโมง คำขอ GET ที่ตามมาใดๆ ต่อ IMDS จะต้องส่งโทเค็นที่เป็นผลลัพธ์เป็นส่วนหัว เพื่อรับการตอบกลับที่ประสบความสำเร็จ เมื่อระยะเวลาที่ระบุหมดลง จำเป็นต้องมีโทเค็นใหม่สำหรับคำขอในอนาคต

ตัวอย่างการโทร IMDSv1 ดูเหมือนโค้ดต่อไปนี้:

curl http://169.254.169.254/latest/meta-data/profile

ด้วย IMDSv2 การโทรดูเหมือนรหัสต่อไปนี้:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

การนำ IMDSv2 มาใช้และตั้งค่าเป็นเวอร์ชันขั้นต่ำจะมอบประโยชน์ด้านความปลอดภัยที่หลากหลายเหนือ IMDSv1 IMDSv2 ป้องกันการกำหนดค่า Web Application Firewall (WAF) ที่ไม่จำกัด ช่องโหว่ open reverse proxies ช่องโหว่ Server-Side Request Forgery (SSRF) และไฟร์วอลล์และ NAT เลเยอร์ 3 แบบเปิดที่สามารถใช้เข้าถึงข้อมูลเมตาของอินสแตนซ์ได้ สำหรับการเปรียบเทียบโดยละเอียด โปรดดูที่ เพิ่มการป้องกันในเชิงลึกจากไฟร์วอลล์แบบเปิด พร็อกซีย้อนกลับ และช่องโหว่ SSRF ด้วยการปรับปรุงบริการข้อมูลเมตาของอินสแตนซ์ EC2.

ในบทความนี้ เราจะแสดงวิธีกำหนดค่าโน้ตบุ๊ก SageMaker ด้วยการสนับสนุน IMDSv2 เท่านั้น เรายังแชร์แผนการสนับสนุนสำหรับ IMDSv1 และวิธีบังคับใช้ IMDSv2 บนโน้ตบุ๊กของคุณ

มีอะไรใหม่ในการรองรับ IMDSv2 และ SageMaker

ขณะนี้ คุณสามารถกำหนดค่าเวอร์ชัน IMDS ของอินสแตนซ์โน้ตบุ๊ก SageMaker ขณะสร้างหรืออัปเดตอินสแตนซ์ ซึ่งคุณสามารถทำได้ผ่าน SageMaker API หรือ SageMaker Console ด้วยพารามิเตอร์เวอร์ชัน IMDS ขั้นต่ำ เวอร์ชัน IMDS ขั้นต่ำจะระบุเวอร์ชันขั้นต่ำที่รองรับ การตั้งค่าเป็น 1 ช่วยให้รองรับทั้ง IMDSv1 และ IMDSv2 และการตั้งค่าเวอร์ชันต่ำสุดเป็น 2 จะรองรับเฉพาะ IMDSv2 เท่านั้น ด้วยโน้ตบุ๊ก IMDSv2 เท่านั้น คุณสามารถใช้ประโยชน์จากการป้องกันเพิ่มเติมในเชิงลึกที่ IMDSv2 มีให้

นอกจากนี้เรายังมี รหัสเงื่อนไข SageMaker สำหรับนโยบาย IAM ที่อนุญาตให้คุณจำกัดเวอร์ชัน IMDS สำหรับอินสแตนซ์โน้ตบุ๊กผ่าน สร้างอินสแตนซ์ Notebook และ อัปเดตNotebookInstance การเรียก API ผู้ดูแลระบบสามารถใช้คีย์เงื่อนไขนี้เพื่อจำกัดผู้ใช้ให้สร้างและ/หรืออัปเดตโน้ตบุ๊กเพื่อรองรับ IMDSv2 เท่านั้น คุณสามารถเพิ่มคีย์เงื่อนไขนี้ในการ AWS Identity และการจัดการการเข้าถึง นโยบาย (IAM) ที่แนบกับผู้ใช้ IAM บทบาทหรือกลุ่มที่รับผิดชอบในการสร้างและอัปเดตโน้ตบุ๊ก

นอกจากนี้ คุณยังสามารถสลับระหว่างการกำหนดค่าเวอร์ชัน IMDS โดยใช้พารามิเตอร์เวอร์ชัน IMDS ขั้นต่ำใน SageMaker อัปเดตNotebookInstance API

รองรับการกำหนดค่าเวอร์ชัน IMDS และการจำกัดเวอร์ชัน IMDS เป็น v2 เท่านั้นในภูมิภาค AWS ทั้งหมดซึ่งมีอินสแตนซ์โน้ตบุ๊ก SageMaker ให้ใช้งาน

แผนการสนับสนุนสำหรับเวอร์ชัน IMDS บนอินสแตนซ์โน้ตบุ๊ก SageMaker

เมื่อวันที่ 1 มิถุนายน 2022 เราได้เปิดตัวการสนับสนุนสำหรับการควบคุมเวอร์ชันขั้นต่ำของ IMDS เพื่อใช้กับอินสแตนซ์โน้ตบุ๊กของ Amazon SageMaker อินสแตนซ์โน้ตบุ๊กทั้งหมดที่เปิดตัวก่อนวันที่ 1 มิถุนายน 2022 จะมีเวอร์ชันขั้นต่ำเริ่มต้นที่ตั้งค่าเป็น 1 คุณจะมีตัวเลือกในการอัปเดตเวอร์ชันขั้นต่ำเป็น 2 เวอร์ชันโดยใช้ SageMaker API หรือคอนโซล

กำหนดค่าเวอร์ชัน IMDS บน SageMaker Notebook Instance

คุณสามารถกำหนดค่าเวอร์ชัน IMDS ขั้นต่ำสำหรับโน้ตบุ๊ก SageMaker ผ่านคอนโซล AWS SageMaker (ดู สร้างอินสแตนซ์สมุดบันทึก), SDK หรือ the อินเทอร์เฟซบรรทัดคำสั่ง AWS AWS (AWS CLI). นี่เป็นการกำหนดค่าทางเลือก โดยมีค่าเริ่มต้นเป็น 1 ซึ่งหมายความว่าอินสแตนซ์โน้ตบุ๊กจะสนับสนุนทั้งการเรียก IMDSv1 และ IMDSv2

เมื่อสร้างอินสแตนซ์โน้ตบุ๊กใหม่บนคอนโซล SageMaker ตอนนี้คุณมีตัวเลือก เวอร์ชัน IMDS ขั้นต่ำ เพื่อระบุเวอร์ชัน IMDS ขั้นต่ำที่รองรับดังที่แสดงในภาพหน้าจอต่อไปนี้ หากตั้งค่าเป็น 1 จะรองรับทั้ง IMDSv1 และ IMDSv2 หากตั้งค่าเป็น 2 จะรองรับเฉพาะ IMDSv2 เท่านั้น

สร้างโน้ตบุ๊กอินสแตนซ์ภาพหน้าจอ

คุณยังสามารถแก้ไขอินสแตนซ์สมุดบันทึกที่มีอยู่เพื่อรองรับ IMDSv2 ได้โดยใช้คอนโซล SageMaker เท่านั้น ดังที่แสดงในภาพหน้าจอต่อไปนี้

แก้ไขโน้ตบุ๊กตัวอย่างภาพหน้าจอ

ค่าเริ่มต้นจะยังคงเป็น 1 จนถึง 31 สิงหาคม 2022 และจะเปลี่ยนเป็น 2 ในวันที่ 31 สิงหาคม 2022

เมื่อใช้ AWS CLI เพื่อสร้างสมุดบันทึก คุณสามารถใช้ MinimumInstanceMetadataServiceVersion พารามิเตอร์เพื่อตั้งค่าเวอร์ชัน IMDS ขั้นต่ำที่รองรับ:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

ต่อไปนี้คือตัวอย่างคำสั่ง AWS CLI เพื่อสร้างอินสแตนซ์โน้ตบุ๊กที่รองรับ IMDSv2 เท่านั้น:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

หากคุณต้องการอัปเดตสมุดบันทึกที่มีอยู่เพื่อรองรับ IMDSv2 เท่านั้น คุณสามารถทำได้โดยใช้ อัปเดตNotebookInstance ไฟ:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

บังคับใช้ IMDSv2 สำหรับอินสแตนซ์โน้ตบุ๊ก SageMaker ทั้งหมด

คุณสามารถใช้คีย์เงื่อนไขเพื่อบังคับให้ผู้ใช้ของคุณสามารถสร้างหรืออัปเดตอินสแตนซ์ของโน้ตบุ๊กที่สนับสนุน IMDSv2 เท่านั้น เพื่อเพิ่มความปลอดภัย คุณสามารถใช้คีย์เงื่อนไขนี้ในนโยบาย IAM ที่แนบกับผู้ใช้ IAM บทบาทหรือกลุ่มที่รับผิดชอบในการสร้างและอัปเดตสมุดบันทึก หรือ องค์กร AWS นโยบายการควบคุมการบริการ

ต่อไปนี้คือตัวอย่างคำชี้แจงนโยบายที่จำกัดทั้ง API สร้างและอัปเดตอินสแตนซ์โน้ตบุ๊กเพื่ออนุญาต IMDSv2 เท่านั้น:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

สรุป

วันนี้ เราได้ประกาศการสนับสนุนสำหรับการกำหนดค่าและการจำกัดการดูแลระบบเวอร์ชัน Instance Metadata Service (IMDS) ของคุณสำหรับอินสแตนซ์โน้ตบุ๊ก เราแสดงวิธีกำหนดค่าเวอร์ชัน IMDS สำหรับโน้ตบุ๊กใหม่และโน้ตบุ๊กที่มีอยู่โดยใช้คอนโซล SageMaker และ AWS CLI เรายังแสดงวิธีจำกัดเวอร์ชัน IMDS ในการดูแลระบบโดยใช้คีย์เงื่อนไข IAM และกล่าวถึงข้อดีของการสนับสนุน IMDSv2 เท่านั้น

หากคุณมีคำถามและข้อเสนอแนะเกี่ยวกับ IMDSv2 โปรดติดต่อฝ่ายสนับสนุน AWS ของคุณหรือโพสต์ข้อความใน Amazon EC2 และ อเมซอน SageMaker กระดานสนทนา

เกี่ยวกับผู้เขียน

อาปูรวา คุปตะ เป็นวิศวกรซอฟต์แวร์ในทีม SageMaker Notebooks เธอมุ่งเน้นที่การทำให้ลูกค้าใช้ประโยชน์จาก SageMaker ได้อย่างมีประสิทธิภาพมากขึ้นในทุกด้านของการดำเนินงาน ML ของพวกเขา เธอมีส่วนร่วมใน Amazon SageMaker Notebooks มาตั้งแต่ปี 2021 ในเวลาว่าง เธอชอบอ่านหนังสือ ระบายสี ทำสวน ทำอาหาร และเดินทาง

ทุรคาสุรีย์ เป็นสถาปนิกโซลูชัน ML ในทีม Amazon SageMaker Service SA เธอหลงใหลในการทำให้ทุกคนสามารถเข้าถึงการเรียนรู้ของเครื่อง ในช่วง 3 ปีที่ AWS เธอได้ช่วยตั้งค่าแพลตฟอร์ม AI/ML สำหรับลูกค้าองค์กร ก่อนหน้าที่จะร่วมงานกับ AWS เธอได้เปิดใช้งานองค์กรไม่แสวงหาผลกำไรและหน่วยงานภาครัฐได้รับข้อมูลเชิงลึกจากข้อมูลของตนเพื่อปรับปรุงผลการศึกษา เมื่อเธอไม่ได้ทำงาน เธอชอบขี่มอเตอร์ไซค์ นิยายลึกลับ และเดินป่ากับสุนัขฮัสกี้วัย XNUMX ขวบของเธอ

สิทธันธ์ เดชปานเด เป็นผู้จัดการฝ่ายวิศวกรรมที่ Amazon Web Services (AWS) จุดสนใจในปัจจุบันของเขาคือการสร้างโครงสร้างพื้นฐาน Machine Learning (ML) และบริการเครื่องมือที่มีการจัดการที่ดีที่สุดในกลุ่มเดียวกัน ซึ่งมีเป้าหมายเพื่อให้ลูกค้าจาก "ฉันจำเป็นต้องใช้ ML" เป็น "ฉันใช้ ML อย่างประสบความสำเร็จ" อย่างรวดเร็วและง่ายดาย เขาทำงานให้กับ AWS มาตั้งแต่ปี 2013 ในบทบาทด้านวิศวกรรมที่หลากหลาย พัฒนาบริการของ AWS เช่น Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint และ Amazon SageMaker ในเวลาว่าง เขาสนุกกับการใช้เวลาอยู่กับครอบครัว อ่านหนังสือ ทำอาหาร ทำสวน และท่องเที่ยวรอบโลก

ประชัน ปาวัน ปิสิปาฏิ เป็นผู้จัดการผลิตภัณฑ์หลักที่ Amazon Web Services (AWS) เขาได้สร้างผลิตภัณฑ์ต่างๆ ทั่วทั้ง AWS และ Alexa และปัจจุบันมุ่งเน้นที่การช่วยเหลือผู้ปฏิบัติงาน Machine Learning ให้มีประสิทธิผลมากขึ้นผ่านบริการของ AWS

เอ็ดวิน เบจาราโน เป็นวิศวกรซอฟต์แวร์ในทีม SageMaker Notebooks เขาเป็นทหารผ่านศึกของกองทัพอากาศที่ทำงานให้กับ Amazon มาตั้งแต่ปี 2017 โดยมีส่วนสนับสนุนในบริการต่างๆ เช่น AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program และ Amazon SageMaker ในเวลาว่าง เขาชอบอ่านหนังสือ เดินป่า ขี่จักรยาน และเล่นวิดีโอเกม

ประทับเวลา: มิถุนายน 2, 2022

ประทับเวลา: สิงหาคม 16, 2022

เผยแพร่ซ้ำโดยเพลโต

การประมวลผลเอกสารอัจฉริยะด้วยบริการ AWS AI: ตอนที่ 1

การวิเคราะห์ความรู้สึกของลูกค้าตามเวลาจริงโดยใช้ AWS

แนวทางที่ปลอดภัยในการสร้าง AI ด้วย AWS | อเมซอนเว็บเซอร์วิส

เร่งวงจรชีวิตการพัฒนาแชทบอทของ Amazon Lex ด้วย Test Workbench | บริการเว็บอเมซอน

ประกาศเปิดตัวฟีเจอร์คัดลอกแบบจำลองสำหรับ Amazon Rekognition Custom Labels

เกี่ยวกับเรา

การค้นหาแนวตั้ง & Ai

ระบบปฏิบัติการ

การติดต่อ

ลงชื่อเข้าใช้