Amazon SageMaker sülearvuti eksemplarid toetavad nüüd IMDS-i versioonide konfigureerimist ja piiramist

Täna on meil hea meel sellest teada anda Amazon SageMaker toetab nüüd võimalust konfigureerida eksemplari metaandmete teenuse versioon 2 (IMDSv2) sülearvuti eksemplaride jaoks ja administraatorid kontrollivad minimaalset versiooni, millega lõppkasutajad loovad uusi sülearvuti eksemplare. Nüüd saate valida IMDSv2 ainult oma uute ja olemasolevate SageMakeri sülearvuti eksemplaride jaoks, et kasutada ära IMDSv2 pakutavat uusimat kaitset ja tuge.

Eksemplari metaandmed on andmed teie eksemplari kohta, mida saate kasutada töötava eksemplari konfigureerimiseks või haldamiseks, pakkudes ajutisi ja sageli vahelduvaid mandaate, millele pääseb juurde ainult eksemplaris töötav tarkvara. IMDS teeb eksemplari metaandmed (nt selle võrgu ja salvestusruumi) kättesaadavaks spetsiaalse lingipõhise IP-aadressi kaudu. 169.254.169.254. Saate kasutada IMDS-i oma SageMakeri sülearvuti eksemplaridel, sarnaselt sellele, kuidas kasutaksite IMDS-i Amazon Elastic Compute Cloud (Amazon EC2) näide. Üksikasjalikku dokumentatsiooni vt Eksemplari metaandmed ja kasutajaandmed.

IMDSv2 väljalase lisab seansi autentimise abil täiendava kaitsekihi. IMDSv2 puhul algab iga seanss PUT-päringuga IMDSv2-le, et saada turvaline luba, mille aegumisaeg võib olla vähemalt 1 sekund ja maksimaalselt 6 tundi. Iga järgmine GET-i päring IMDS-ile peab eduka vastuse saamiseks saatma saadud märgi päisena. Kui määratud kestus aegub, on tulevaste taotluste jaoks vaja uut luba.

Näidis IMDSv1 kõne näeb välja järgmine kood:

curl http://169.254.169.254/latest/meta-data/profile

IMDSv2 puhul näeb kõne välja järgmise koodina:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`  curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

IMDSv2 vastuvõtmine ja selle minimaalseks versiooniks seadmine pakub võrreldes IMDSv1-ga erinevaid turvaeeliseid. IMDSv2 kaitseb piiranguteta veebirakenduse tulemüüri (WAF) konfiguratsioonide, avatud pöördpuhverserverite, serveripoolse päringu võltsimise (SSRF) haavatavuste ning avatud kihi 3 tulemüüride ja NAT-ide eest, mida saab kasutada eksemplari metaandmetele juurde pääsemiseks. Üksikasjaliku võrdluse jaoks vt Lisage EC2 eksemplari metaandmete teenuse täiustuste abil sügav kaitse avatud tulemüüride, pöördpuhverserverite ja SSRF-i haavatavuste vastu.

Selles postituses näitame teile, kuidas konfigureerida oma SageMakeri märkmikke ainult IMDSv2 toega. Jagame ka IMDSv1 tugiplaani ja seda, kuidas saate IMDSv2 oma sülearvutites jõustada.

Mis on uut IMDSv2 toega ja SageMakeriga

Nüüd saate SageMakeri sülearvuti eksemplaride IMDS-versiooni konfigureerida eksemplari loomise või värskendamise ajal, mida saate teha SageMaker API või SageMaker Console'i ​​kaudu minimaalse IMDS-i versiooni parameetriga. Minimaalne IMDS-versioon määrab minimaalse toetatud versiooni. Väärtuse 1 seadmine toetab nii IMDSv1 kui ka IMDSv2 ning minimaalse versiooni 2 seadmine toetab ainult IMDSv2. Ainult IMDSv2-ga sülearvutiga saate kasutada täiendavat põhjalikku kaitset, mida IMDSv2 pakub.

Pakume ka a SageMakeri tingimuse võti IAM-poliitika jaoks mis võimaldab piirata sülearvuti eksemplaride IMDS-i versiooni läbi Loo NotebookInstance ja Uuenda NotebookInstance API kõned. Administraatorid saavad kasutada seda tingimusklahvi, et piirata oma lõppkasutajaid sülearvutite loomise ja/või värskendamisega, et toetada ainult IMDSv2. Saate selle tingimuse võtme lisada AWS-i identiteedi- ja juurdepääsuhaldus (IAM) poliitika, mis on seotud IAM-i kasutajatele, märkmike loomise ja värskendamise eest vastutavate rollide või rühmadega.

Lisaks saate IMDS-i versiooni konfiguratsioonide vahel vahetada, kasutades SageMakeris minimaalset IMDS-versiooni parameetrit Uuenda NotebookInstance API.

Tugi IMDS-i versiooni konfigureerimiseks ja IMDS-i versiooni piiramiseks ainult v2-ga on nüüd saadaval kõigis AWS-i piirkondades, kus on saadaval SageMakeri sülearvuti eksemplarid.

SageMakeri sülearvuti eksemplaride IMDS-i versioonide tugiplaan

1. juunil 2022 võtsime kasutusele toe IMDS-i minimaalse versiooni juhtimiseks, mida saab kasutada koos Amazon SageMakeri sülearvuti eksemplaridega. Kõigil enne 1. juunit 2022 käivitatud sülearvuti eksemplaridel on minimaalne vaikeversioon 1. Teil on võimalik SageMaker API või konsooli abil värskendada minimaalset versiooni 2-le.

Konfigureerige oma SageMakeri sülearvuti eksemplaris IMDS-i versioon

SageMakeri sülearvuti minimaalse IMDS-versiooni saate seadistada AWS SageMakeri konsooli kaudu (vt Looge sülearvuti eksemplar), SDK või AWS-i käsurea liides (AWS CLI). See on valikuline konfiguratsioon, mille vaikeväärtuseks on seatud 1, mis tähendab, et sülearvuti eksemplar toetab nii IMDSv1 kui ka IMDSv2 kõnesid.

Kui loote SageMakeri konsoolis uue märkmiku eksemplari, on teil nüüd see valik Minimaalne IMDS-versioon minimaalse toetatud IMDS-i versiooni määramiseks, nagu on näidatud järgmisel ekraanipildil. Kui väärtuseks on seatud 1, toetatakse nii IMDSv1 kui ka IMDSv2. Kui väärtuseks on seatud 2, toetatakse ainult IMDSv2.

Saate redigeerida ka olemasolevat märkmiku eksemplari, et toetada ainult IMDSv2, kasutades SageMakeri konsooli, nagu on näidatud järgmisel ekraanipildil.

Vaikeväärtus jääb 1-ks kuni 31. augustini 2022 ja lülitub 2-le 31. augustil 2022.

Kui kasutate märkmiku loomiseks AWS-i CLI-d, saate kasutada MinimumInstanceMetadataServiceVersion parameeter minimaalse toetatud IMDS-i versiooni määramiseks:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Järgmine on AWS-i CLI näidiskäsk ainult IMDSv2 toega märkmiku eksemplari loomiseks:

aws sagemaker create-notebook-instance     --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium     --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Kui soovite värskendada olemasolevat sülearvutit, et see toetaks ainult IMDSv2, saate seda teha kasutades Uuenda NotebookInstance API-d:

aws sagemaker update-notebook-instance     --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Jõustage IMDSv2 kõigi SageMakeri sülearvuti eksemplaride jaoks

Turvalisuse suurendamiseks saate kasutada tingimusvõtit, et tagada, et teie kasutajad saavad luua või värskendada ainult selliseid sülearvuti eksemplare, mis toetavad ainult IMDSv2. Seda tingimuse võtit saate kasutada IAM-i poliitikates, mis on lisatud IAM-i kasutajatele, märkmike loomise ja värskendamise eest vastutavatele rollidele või rühmadele või AWS-i organisatsioonid teenuse kontrolli poliitikad.

Järgmine on poliitikaavalduse näidis, mis piirab nii märkmiku eksemplari API-de loomist kui ka värskendamist, et lubada ainult IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Järeldus

Täna teatasime teie sülearvuti eksemplaride eksemplari metaandmete teenuse (IMDS) versiooni konfigureerimise ja administratiivse piiramise toest. Näitasime teile, kuidas konfigureerida oma uute ja olemasolevate sülearvutite jaoks IMDS-i versiooni, kasutades SageMakeri konsooli ja AWS-i CLI-d. Samuti näitasime teile, kuidas IMDS-i versioone IAM-i tingimusvõtmete abil administratiivselt piirata, ja arutasime ainult IMDSv2 toetamise eeliseid.

Kui teil on IMDSv2 kohta küsimusi ja tagasisidet, võtke ühendust oma AWS-i tugikontaktiga või postitage sõnum Amazon EC2 ja Amazon SageMaker arutelufoorumid.

Autoritest

Apoorva Gupta on tarkvarainsener SageMakeri sülearvutite meeskonnas. Ta keskendub sellele, et võimaldada klientidel SageMakerit oma ML-toimingute kõigis aspektides tõhusamalt kasutada. Ta on teinud kaastööd Amazon SageMakeri sülearvutitele alates 2021. aastast. Vabal ajal naudib ta lugemist, maalimist, aiatööd, toiduvalmistamist ja reisimist.

Durga Sury on ML Solutionsi arhitekt Amazon SageMaker Service SA meeskonnas. Ta on kirglik masinõppe kõigile kättesaadavaks tegemise vastu. Kolme aasta jooksul AWS-is on ta aidanud luua AI/ML platvorme ettevõtete klientidele. Enne AWS-i võimaldas ta mittetulundusühingutel ja valitsusasutustel saada oma andmetest teadmisi haridustulemuste parandamiseks. Kui ta ei tööta, armastab ta mootorrattasõite, mõistatusromaane ja matkamist oma nelja-aastase huskyga.

Siddhanth Deshpande on Amazon Web Services (AWS) insenerijuht. Praegu keskendub ta oma klassi parima hallatava masinõppe (ML) infrastruktuuri ja tööriistateenuste loomisele, mille eesmärk on viia kliendid kiiresti ja hõlpsalt sõnadest "Ma pean kasutama ML-i" kuni "kasutan ML-i edukalt". Ta on töötanud AWS-is alates 2013. aastast erinevates insenerirollides, arendades AWS-i teenuseid, nagu Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint ja Amazon SageMaker. Vabal ajal veedab ta meelsasti perega aega, loeb, kokkab, teeb aiatööd ja reisib mööda maailma.

Prashant Pawan Pisipati on Amazon Web Servicesi (AWS) peamine tootejuht. Ta on loonud AWS-i ja Alexa jaoks erinevaid tooteid ning keskendub praegu sellele, et aidata masinõppe praktikutel AWS-i teenuste kaudu produktiivsemalt töötada.

Edwin Bejarano on tarkvarainsener SageMakeri sülearvutite meeskonnas. Ta on õhuväe veteran, kes on töötanud Amazonis alates 2017. aastast, panustades sellistesse teenustesse nagu AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program ja Amazon SageMaker. Vabal ajal meeldib talle lugeda, matkata, jalgrattaga sõita ja videomänge mängida.

• Münditark. Euroopa parim Bitcoini ja krüptobörs.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. TASUTA PÄÄS.
• CryptoHawk. Altcoini radar. Tasuta prooviversioon.
• Allikas: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/