Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本 PlatoBlockchain 数据智能。 垂直搜索。 哎。

Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本

时间戳:2年2022月6日下午02:XNUMX

今天,我们很高兴地宣布 亚马逊SageMaker 现在支持为笔记本实例配置实例元数据服务版本 2 (IMDSv2) 的能力,并支持管理员控制最终用户创建新笔记本实例的最低版本。 您现在可以仅为新的和现有的 SageMaker 笔记本实例选择 IMDSv2,以利用 IMDSv2 提供的最新保护和支持。

实例元数据 是有关您的实例的数据,您可以通过提供只能由实例上运行的软件访问的临时且经常轮换的凭证来配置或管理正在运行的实例。 IMDS 通过一个特殊的本地链接 IP 地址提供有关实例的元数据,例如其网络和存储。 169.254.169.254. 您可以在 SageMaker 笔记本实例上使用 IMDS,类似于在 亚马逊弹性计算云 (Amazon EC2) 实例。 有关详细文档,请参阅 实例元数据和用户数据.

IMDSv2 的发布增加了使用会话身份验证的额外保护层。 使用 IMDSv2,每个会话都以对 IMDSv2 的 PUT 请求开始,以获取安全令牌,到期时间最短为 1 秒,最长为 6 小时。 对 IMDS 的任何后续 GET 请求都必须将生成的令牌作为标头发送,以便接收成功的响应。 当指定的持续时间到期时,未来的请求需要一个新的令牌。

示例 IMDSv1 调用类似于以下代码:

curl http://169.254.169.254/latest/meta-data/profile

使用 IMDSv2,调用类似于以下代码:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

采用 IMDSv2 并将其设置为最低版本可提供优于 IMDSv1 的各种安全优势。 IMDSv2 可防止不受限制的 Web 应用程序防火墙 (WAF) 配置、开放式反向代理、服务器端请求伪造 (SSRF) 漏洞以及可用于访问实例元数据的开放式第 3 层防火墙和 NAT。 详细对比见 通过对 EC2 实例元数据服务的增强,针对开放式防火墙、反向代理和 SSRF 漏洞添加深度防御.

在这篇文章中,我们将向您展示如何使用仅支持 IMDSv2 来配置您的 SageMaker 笔记本。 我们还分享了 IMDSv1 的支持计划,以及如何在笔记本电脑上实施 IMDSv2。

IMDSv2 支持和 SageMaker 的新增功能

现在,您可以在创建或更新实例时配置 SageMaker 笔记本实例的 IMDS 版本,这可以通过 SageMaker API 或 SageMaker 控制台使用最低 IMDS 版本参数来完成。 最低 IMDS 版本指定支持的最低版本。 设置为 1 允许同时支持 IMDSv1 和 IMDSv2,将最低版本设置为 2 仅支持 IMDSv2。 使用仅限 IMDSv2 的笔记本,您可以利用 IMDSv2 提供的额外深度防御。

我们还提供一个 IAM 策略的 SageMaker 条件键 允许您通过 创建笔记本实例更新笔记本实例 API 调用。 管理员可以使用此条件键来限制其最终用户创建和/或更新笔记本以仅支持 IMDSv2。 您可以将此条件键添加到 AWS身份和访问管理 (IAM) 策略附加到负责创建和更新笔记本的 IAM 用户、角色或组。

此外,您还可以使用 SageMaker 中的最低 IMDS 版本参数在 IMDS 版本配置之间切换 更新笔记本实例 API。

现在,所有提供 SageMaker 笔记本实例的 AWS 区域都支持配置 IMDS 版本并将 IMDS 版本限制为仅 v2。

SageMaker Notebook 实例上 IMDS 版本的支持计划

1 年 2022 月 1 日,我们推出了对控制用于 Amazon SageMaker 笔记本实例的最低 IMDS 版本的支持。 在 2022 年 1 月 2 日之前启动的所有笔记本实例都将默认最低版本设置为 XNUMX。您可以选择使用 SageMaker API 或控制台将最低版本更新为 XNUMX。

在 SageMaker Notebook 实例上配置 IMDS 版本

您可以通过 AWS SageMaker 控制台为 SageMaker 笔记本配置最低 IMDS 版本(请参阅 创建笔记本实例)、SDK 或 AWS命令行界面 (AWS CLI)。 这是一个可选配置,默认值设置为 1,这意味着笔记本实例将同时支持 IMDSv1 和 IMDSv2 调用。

在 SageMaker 控制台上创建新笔记本实例时,您现在可以选择 最低 IMDS 版本 指定支持的最低 IMDS 版本,如以下屏幕截图所示。 如果该值设置为 1,则同时支持 IMDSv1 和 IMDSv2。 如果该值设置为 2,则仅支持 IMDSv2。

创建笔记本实例截图

您还可以使用 SageMaker 控制台编辑现有笔记本实例以仅支持 IMDSv2,如以下屏幕截图所示。

编辑笔记本实例截图

在 1 年 31 月 2022 日之前,默认值将保持为 2,并将在 31 年 2022 月 XNUMX 日切换为 XNUMX。

使用 AWS CLI 创建笔记本时,您可以使用 MinimumInstanceMetadataServiceVersion 用于设置支持的最低 IMDS 版本的参数:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

以下是创建仅支持 IMDSv2 的笔记本实例的示例 AWS CLI 命令:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

如果您想更新现有笔记本以仅支持 IMDSv2,您可以使用 更新笔记本实例 API:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

对所有 SageMaker Notebook 实例实施 IMDSv2

您可以使用条件键强制您的用户只能创建或更新仅支持 IMDSv2 的笔记本实例,以增强安全性。 您可以在附加到负责创建和更新笔记本的 IAM 用户、角色或组的 IAM 策略中使用此条件键,或者 AWS组织 服务控制策略。

以下是限制创建和更新笔记本实例 API 以仅允许 IMDSv2 的示例策略语句:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

结论

今天,我们宣布支持配置和管理限制笔记本实例的实例元数据服务 (IMDS) 版本。 我们向您展示了如何使用 SageMaker 控制台和 AWS CLI 为您的新笔记本和现有笔记本配置 IMDS 版本。 我们还向您展示了如何使用 IAM 条件键对 IMDS 版本进行管理限制,并讨论了仅支持 IMDSv2 的优势。

如果您对 IMDSv2 有任何问题和反馈,请联系您的 AWS 支持联系人或在 Amazon EC2亚马逊SageMaker 讨论论坛。

作者简介

Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本 PlatoBlockchain 数据智能。 垂直搜索。 哎。 阿普尔瓦·古普塔 是 SageMaker Notebooks 团队的软件工程师。 她的重点是使客户能够在其 ML 操作的各个方面更有效地利用 SageMaker。 自 2021 年以来,她一直为 Amazon SageMaker Notebooks 做出贡献。在业余时间,她喜欢阅读、绘画、园艺、烹饪和旅行。

Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本 PlatoBlockchain 数据智能。 垂直搜索。 哎。杜尔加苏里 是 Amazon SageMaker Service SA 团队的 ML 解决方案架构师。 她热衷于让每个人都可以使用机器学习。 在 AWS 的 3 年中,她帮助为企业客户建立了 AI/ML 平台。 在加入 AWS 之前,她帮助非营利组织和政府机构从他们的数据中获得洞察力,以改善教育成果。 当她不工作时,她喜欢骑摩托车、阅读推理小说以及和她四岁的哈士奇一起徒步旅行。

Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本 PlatoBlockchain 数据智能。 垂直搜索。 哎。悉达多·德什潘德 是 Amazon Web Services (AWS) 的工程经理。 他目前的重点是构建一流的托管机器学习 (ML) 基础设施和工具服务,旨在让客户快速轻松地从“我需要使用 ML”转变为“我正在成功使用 ML”。 自 2013 年以来,他一直在 AWS 工作,担任各种工程职务,开发 AWS 服务,如 Amazon Simple Notification Service、Amazon Simple Queue Service、Amazon EC2、Amazon Pinpoint 和 Amazon SageMaker。 在业余时间,他喜欢与家人共度时光、阅读、烹饪、园艺和环游世界。

Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本 PlatoBlockchain 数据智能。 垂直搜索。 哎。普拉尚特·帕万·皮西帕蒂 是亚马逊网络服务 (AWS) 的首席产品经理。 他在 AWS 和 Alexa 上构建了各种产品,目前专注于通过 AWS 服务帮助机器学习从业者提高工作效率。

Amazon SageMaker 笔记本实例现在支持配置和限制 IMDS 版本 PlatoBlockchain 数据智能。 垂直搜索。 哎。埃德温·贝哈拉诺 是 SageMaker Notebooks 团队的软件工程师。 他是一名空军老兵,自 2017 年以来一直在亚马逊工作,为 AWS Lambda、亚马逊 Pinpoint、亚马逊免税计划和亚马逊 SageMaker 等服务做出了贡献。 在业余时间,他喜欢阅读、远足、骑自行车和玩电子游戏。

时间戳记:

更多来自 AWS机器学习