Тепер екземпляри ноутбуків Amazon SageMaker підтримують налаштування та обмеження версій IMDS

Сьогодні ми раді повідомити про це Amazon SageMaker тепер підтримується можливість налаштувати службу метаданих екземплярів версії 2 (IMDSv2) для екземплярів Notebook, а адміністратори можуть контролювати мінімальну версію, за допомогою якої кінцеві користувачі створюють нові екземпляри Notebook. Тепер ви можете вибрати IMDSv2 лише для своїх нових і існуючих екземплярів SageMaker Notebook, щоб скористатися найновішим захистом і підтримкою, які надає IMDSv2.

Метадані екземпляра це дані про ваш екземпляр, які ви можете використовувати для налаштування або керування запущеним екземпляром, надаючи тимчасові та часто змінювані облікові дані, до яких може отримати доступ лише програмне забезпечення, запущене на екземплярі. IMDS робить доступними метадані про екземпляр, наприклад його мережу та сховище, через спеціальну локальну IP-адресу посилання 169.254.169.254. Ви можете використовувати IMDS на своїх примірниках SageMaker Notebook, подібно до того, як ви використовували б IMDS на Обчислювальна хмара Amazon Elastic (Amazon EC2). Детальну документацію див Метадані екземпляра та дані користувача.

Випуск IMDSv2 додає додатковий рівень захисту за допомогою автентифікації сеансу. У IMDSv2 кожен сеанс починається із запиту PUT до IMDSv2 для отримання захищеного маркера з часом закінчення, який може становити від 1 секунди до 6 годин. Щоб отримати успішну відповідь, будь-який наступний запит GET до IMDS повинен надсилати отриманий маркер як заголовок. Після закінчення вказаного терміну для майбутніх запитів потрібен новий маркер.

Зразок виклику IMDSv1 виглядає так:

curl http://169.254.169.254/latest/meta-data/profile

З IMDSv2 виклик виглядає так:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Прийняття IMDSv2 і встановлення його як мінімальної версії забезпечує різноманітні переваги безпеки порівняно з IMDSv1. IMDSv2 захищає від необмежених конфігурацій брандмауера веб-додатків (WAF), відкритих зворотних проксі-серверів, уразливостей підробки запитів на стороні сервера (SSRF), а також відкритих брандмауерів рівня 3 і NAT, які можуть використовуватися для доступу до метаданих екземпляра. Детальне порівняння див Додайте глибокий захист від відкритих брандмауерів, зворотних проксі-серверів і вразливостей SSRF за допомогою вдосконалень служби метаданих екземплярів EC2.

У цій публікації ми покажемо вам, як налаштувати ваші ноутбуки SageMaker лише з підтримкою IMDSv2. Ми також ділимося планом підтримки IMDSv1 і тим, як ви можете застосувати IMDSv2 на своїх ноутбуках.

Що нового з підтримкою IMDSv2 і SageMaker

Тепер ви можете налаштувати версію IMDS екземплярів Notebook SageMaker під час створення або оновлення екземпляра, що можна зробити через API SageMaker або консоль SageMaker, використовуючи мінімальний параметр версії IMDS. Мінімальна версія IMDS визначає мінімальну підтримувану версію. Встановлення значення 1 дозволяє підтримувати як IMDSv1, так і IMDSv2, а встановлення мінімальної версії 2 підтримує лише IMDSv2. За допомогою ноутбука, що підтримує лише IMDSv2, ви можете використовувати додатковий глибокий захист, який забезпечує IMDSv2.

Ми також надаємо а Ключ умови SageMaker для політик IAM що дозволяє обмежити версію IMDS для екземплярів Notebook за допомогою CreateNotebookInstance та UpdateNotebookInstance Виклики API. Адміністратори можуть використовувати цей ключ умови, щоб обмежити своїх кінцевих користувачів створенням та/або оновленням блокнотів лише для підтримки IMDSv2. Ви можете додати цей ключ умови до Управління ідентифікацією та доступом AWS (IAM) політика, пов’язана з користувачами, ролями або групами IAM, відповідальними за створення та оновлення блокнотів.

Крім того, ви також можете перемикатися між конфігураціями версій IMDS за допомогою параметра мінімальної версії IMDS у SageMaker UpdateNotebookInstance API.

Підтримка налаштування версії IMDS і обмеження версії IMDS лише v2 тепер доступна в усіх регіонах AWS, у яких доступні екземпляри SageMaker Notebook.

План підтримки для версій IMDS на примірниках Notebook SageMaker

1 червня 2022 року ми запустили підтримку керування мінімальною версією IMDS для використання з екземплярами ноутбуків Amazon SageMaker. Усі екземпляри Notebook, запущені до 1 червня 2022 року, матимуть стандартну мінімальну версію 1. Ви матимете можливість оновити мінімальну версію до 2 за допомогою API SageMaker або консолі.

Налаштуйте версію IMDS на своєму екземплярі SageMaker Notebook

Ви можете налаштувати мінімальну версію IMDS для ноутбука SageMaker через консоль AWS SageMaker (див. Створіть екземпляр блокнота), SDK або Інтерфейс командного рядка AWS (AWS CLI). Це необов’язкова конфігурація зі значенням за замовчуванням 1, що означає, що екземпляр блокнота підтримуватиме виклики як IMDSv1, так і IMDSv2.

Під час створення нового екземпляра блокнота на консолі SageMaker тепер у вас є така можливість Мінімальна версія IMDS щоб указати мінімальну підтримувану версію IMDS, як показано на наступному знімку екрана. Якщо встановлено значення 1, підтримуються як IMDSv1, так і IMDSv2. Якщо встановлено значення 2, підтримується лише IMDSv2.

Ви також можете редагувати наявний екземпляр блокнота для підтримки IMDSv2 лише за допомогою консолі SageMaker, як показано на наступному знімку екрана.

Значення за замовчуванням залишатиметься 1 до 31 серпня 2022 року та зміниться на 2 31 серпня 2022 року.

Використовуючи AWS CLI для створення блокнота, ви можете використовувати MinimumInstanceMetadataServiceVersion параметр для встановлення мінімальної підтримуваної версії IMDS:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Нижче наведено приклад команди AWS CLI для створення екземпляра блокнота лише з підтримкою IMDSv2:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Якщо ви хочете оновити наявний блокнот лише для підтримки IMDSv2, ви можете зробити це за допомогою UpdateNotebookInstance API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Примусово застосувати IMDSv2 для всіх екземплярів SageMaker Notebook

Щоб підвищити безпеку, ви можете використовувати ключ умови, щоб ваші користувачі могли створювати або оновлювати лише екземпляри Notebook, які підтримують лише IMDSv2. Ви можете використовувати цей ключ умови в політиках IAM, пов’язаних із користувачами, ролями чи групами IAM, відповідальними за створення та оновлення блокнотів, або Організації AWS політики контролю послуг.

Нижче наведено зразок заяви про політику, яка обмежує створювати й оновлювати API екземпляра блокнота лише для IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Висновок

Сьогодні ми оголосили про підтримку налаштування та адміністративного обмеження вашої версії служби метаданих екземплярів (IMDS) для екземплярів Notebook. Ми показали вам, як налаштувати версію IMDS для ваших нових і існуючих ноутбуків за допомогою консолі SageMaker і AWS CLI. Ми також показали вам, як адміністративно обмежити версії IMDS за допомогою ключів умов IAM, і обговорили переваги підтримки лише IMDSv2.

Якщо у вас виникли запитання чи відгуки щодо IMDSv2, зверніться до контактної особи служби підтримки AWS або опублікуйте повідомлення в Amazon EC2 та Amazon SageMaker дискусійні форуми.

Про авторів

Апурва Гупта є інженером-програмістом у команді SageMaker Notebooks. Вона зосереджена на тому, щоб надати клієнтам змогу ефективніше використовувати SageMaker у всіх аспектах операцій машинного навчання. З 2021 року вона працює над Amazon SageMaker Notebooks. У вільний час вона любить читати, малювати, садівничити, готувати та подорожувати.

Дурга Сурі є архітектором рішень ML у команді Amazon SageMaker Service SA. Вона прагне зробити машинне навчання доступним для всіх. За 3 роки роботи в AWS вона допомагала створювати платформи AI/ML для корпоративних клієнтів. До створення AWS вона дозволяла некомерційним і державним установам отримувати інформацію з їхніх даних для покращення результатів навчання. Коли вона не працює, вона любить прогулянки на мотоциклі, загадкові романи та походи зі своїм чотирирічним хаскі.

Сіддхант Дешпанде є менеджером з розробки Amazon Web Services (AWS). Зараз він зосереджується на розбудові найкращої у своєму класі інфраструктури керованого машинного навчання (ML) і інструментальних послуг, які мають на меті швидко й легко перевести клієнтів від «Мені потрібно використовувати ML» до «Я успішно використовую ML». З 2013 року він працював в AWS на різних інженерних посадах, розробляючи такі сервіси AWS, як Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint і Amazon SageMaker. У вільний час він любить проводити час із сім’єю, читати, готувати, займатися садівництвом і подорожувати світом.

Прашант Паван Пісіпаті є головним менеджером з продуктів Amazon Web Services (AWS). Він створив різні продукти для AWS та Alexa, і зараз зосереджений на тому, щоб допомогти спеціалістам, які практикують машинне навчання, бути більш продуктивними за допомогою служб AWS.

Едвін Беджарано є інженером-програмістом у команді SageMaker Notebooks. Він є ветераном ВПС, який працює в Amazon з 2017 року, працюючи в таких сервісах, як AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program і Amazon SageMaker. У вільний час він захоплюється читанням, пішим туризмом, їздою на велосипеді та грою у відеоігри.

• Coinsmart. Найкраща в Європі біржа біткойн та криптовалют.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. БЕЗКОШТОВНИЙ ДОСТУП.
• CryptoHawk. Альткойн Радар. Безкоштовне випробування.
• Джерело: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/