今日、私達はそれを発表することに興奮しています アマゾンセージメーカー ノートブックインスタンス用にインスタンスメタデータサービスバージョン2(IMDSv2)を構成する機能、およびエンドユーザーが新しいノートブックインスタンスを作成するための最小バージョンを管理者が制御できるようになりました。 IMDSv2が提供する最新の保護とサポートを利用するために、新規および既存のSageMakerNotebookインスタンスに対してのみIMDSv2を選択できるようになりました。
インスタンスメタデータ インスタンスで実行されているソフトウェアによってのみアクセスできる一時的で頻繁にローテーションされる資格情報を提供することにより、実行中のインスタンスを構成または管理するために使用できるインスタンスに関するデータです。 IMDSは、ネットワークやストレージなどのインスタンスに関するメタデータを、次の特別なリンクローカルIPアドレスを介して利用できるようにします。 169.254.169.254。 SageMaker NotebookインスタンスでIMDSを使用できます。これは、 アマゾン エラスティック コンピューティング クラウド (Amazon EC2)インスタンス。 詳細なドキュメントについては、を参照してください。 インスタンスのメタデータとユーザーデータ.
IMDSv2のリリースにより、セッション認証を使用した保護の層が追加されます。 IMDSv2では、各セッションはIMDSv2へのPUT要求で開始され、有効期限は最小1秒、最大6時間です。 後続のIMDSへのGET要求は、正常な応答を受信するために、結果のトークンをヘッダーとして送信する必要があります。 指定された期間が満了すると、将来のリクエストのために新しいトークンが必要になります。
サンプルのIMDSv1呼び出しは、次のコードのようになります。
IMDSv2を使用すると、呼び出しは次のコードのようになります。
IMDSv2を採用し、それを最小バージョンとして設定すると、IMDSv1に比べてさまざまなセキュリティ上の利点が得られます。 IMDSv2は、無制限のWebアプリケーションファイアウォール(WAF)構成、オープンリバースプロキシ、サーバー側リクエストフォージェリ(SSRF)の脆弱性、およびインスタンスメタデータへのアクセスに使用される可能性のあるオープンレイヤー3ファイアウォールとNATから保護します。 詳細な比較については、を参照してください。 EC2インスタンスメタデータサービスの機能強化により、オープンファイアウォール、リバースプロキシ、SSRFの脆弱性に対する多層防御を追加します.
この投稿では、IMDSv2のみをサポートするSageMakerノートブックを設定する方法を紹介します。 また、IMDSv1のサポート計画と、ノートブックにIMDSv2を適用する方法についても説明します。
IMDSv2サポートとSageMakerの新機能
インスタンスの作成または更新中にSageMakerノートブックインスタンスのIMDSバージョンを設定できるようになりました。これは、最小のIMDSバージョンパラメーターを使用して、SageMakerAPIまたはSageMakerコンソールを介して行うことができます。 最小IMDSバージョンは、サポートされる最小バージョンを指定します。 値を1に設定すると、IMDSv1とIMDSv2の両方がサポートされ、最小バージョンを2に設定すると、IMDSv2のみがサポートされます。 IMDSv2のみのノートブックを使用すると、IMDSv2が提供する多層防御をさらに活用できます。
私達はまた提供します IAMポリシーのSageMaker条件キー これにより、ノートブックインスタンスのIMDSバージョンを制限することができます。 ノートブックインスタンスの作成 & ノートブックインスタンスの更新 API呼び出し。 管理者は、この条件キーを使用して、エンドユーザーがIMDSv2のみをサポートするノートブックの作成および/または更新に制限できます。 この条件キーをに追加できます AWS IDおよびアクセス管理 (IAM)ノートブックの作成と更新を担当するIAMユーザー、ロール、またはグループに関連付けられたポリシー。
さらに、SageMakerの最小IMDSバージョンパラメータを使用してIMDSバージョン構成を切り替えることもできます ノートブックインスタンスの更新 APIです。
IMDSバージョンの設定と、IMDSバージョンをv2のみに制限するためのサポートが、SageMakerNotebookインスタンスが利用可能なすべてのAWSリージョンで利用できるようになりました。
SageMakerNotebookインスタンスでのIMDSバージョンのサポートプラン
1年2022月1日に、AmazonSageMakerNotebookインスタンスで使用されるIMDSの最小バージョンを制御するためのサポートを開始しました。 2022年1月2日より前に起動されたすべてのノートブックインスタンスでは、デフォルトの最小バージョンがXNUMXに設定されます。SageMakerAPIまたはコンソールを使用して、最小バージョンをXNUMXに更新するオプションがあります。
SageMakerノートブックインスタンスでIMDSバージョンを設定する
AWS SageMakerコンソールを介してSageMakerノートブックの最小IMDSバージョンを設定できます(を参照) ノートブックインスタンスを作成する)、SDK、または AWSコマンドラインインターフェイス (AWS CLI)。 これはオプションの構成であり、デフォルト値は1に設定されています。これは、ノートブックインスタンスがIMDSv1呼び出しとIMDSv2呼び出しの両方をサポートすることを意味します。
SageMakerコンソールで新しいノートブックインスタンスを作成するときに、オプションがあります IMDSの最小バージョン 次のスクリーンショットに示すように、サポートされる最小のIMDSバージョンを指定します。 値が1に設定されている場合、IMDSv1とIMDSv2の両方がサポートされます。 値が2に設定されている場合、IMDSv2のみがサポートされます。
次のスクリーンショットに示すように、SageMakerコンソールを使用してのみIMDSv2をサポートするように既存のノートブックインスタンスを編集することもできます。
デフォルト値は1年31月2022日まで2のままで、31年2022月XNUMX日にXNUMXに切り替わります。
AWS CLIを使用してノートブックを作成する場合、 MinimumInstanceMetadataServiceVersion サポートされている最小のIMDSバージョンを設定するためのパラメーター:
以下は、IMDSv2のみをサポートするノートブックインスタンスを作成するためのサンプルAWSCLIコマンドです。
IMDSv2のみをサポートするように既存のノートブックを更新する場合は、 ノートブックインスタンスの更新 API:
すべてのSageMakerノートブックインスタンスにIMDSv2を適用します
条件キーを使用して、ユーザーがIMDSv2のみをサポートするノートブックインスタンスのみを作成または更新できるようにして、セキュリティを強化できます。 この条件キーは、ノートブックの作成と更新を担当するIAMユーザー、ロール、またはグループに関連付けられたIAMポリシーで使用できます。 AWS組織 サービス制御ポリシー。
以下は、ノートブックインスタンスAPIの作成と更新の両方を制限してIMDSv2のみを許可するサンプルポリシーステートメントです。
まとめ
本日、ノートブックインスタンスのインスタンスメタデータサービス(IMDS)バージョンの構成と管理上の制限のサポートを発表しました。 SageMakerコンソールとAWSCLIを使用して、新規および既存のノートブックのIMDSバージョンを設定する方法を示しました。 また、IAM条件キーを使用してIMDSバージョンを管理上制限する方法を示し、IMDSv2のみをサポートする利点について説明しました。
IMDSv2に関して質問やフィードバックがある場合は、AWSサポートの連絡先に相談するか、メッセージを投稿してください。 Amazon EC2 & アマゾンセージメーカー ディスカッションフォーラム。
著者について
アプールヴァ・グプタ SageMakerNotebooksチームのソフトウェアエンジニアです。 彼女の焦点は、顧客がML操作のすべての側面でSageMakerをより効果的に活用できるようにすることです。 彼女は2021年からAmazonSageMakerNotebooksに貢献しています。余暇には、読書、絵画、ガーデニング、料理、旅行を楽しんでいます。
ドゥルガスリー は、Amazon SageMakerServiceSAチームのMLソリューションアーキテクトです。 彼女は、機械学習を誰もが利用できるようにすることに情熱を注いでいます。 AWSでの3年間、彼女は企業顧客向けのAI/MLプラットフォームのセットアップを支援してきました。 AWSの前は、非営利団体や政府機関がデータから洞察を引き出して教育成果を向上させることを可能にしました。 仕事をしていないときは、バイクに乗ったり、ミステリー小説を書いたり、XNUMX歳のハスキーと一緒にハイキングをしたりするのが大好きです。
シッダント・デシュパンデ アマゾンウェブサービス(AWS)のエンジニアリングマネージャーです。 彼の現在の焦点は、顧客が「MLを使用する必要がある」から「MLを正常に使用している」まで迅速かつ簡単に顧客を獲得することを目的とした、クラス最高のマネージド機械学習(ML)インフラストラクチャとツールサービスの構築です。 彼は2013年からAWSでさまざまなエンジニアリングの役割を果たし、Amazon Simple Notification Service、Amazon Simple Queue Service、Amazon EC2、Amazon Pinpoint、AmazonSageMakerなどのAWSサービスを開発してきました。 余暇には、家族と過ごしたり、読書、料理、ガーデニング、世界旅行を楽しんでいます。
プラシャント・パワン・ピシパティ アマゾンウェブサービス(AWS)のプリンシパルプロダクトマネージャーです。 彼はAWSとAlexa全体でさまざまな製品を構築しており、現在、AWSサービスを通じて機械学習の実践者の生産性を高めることに注力しています。
エドウィン・ベハラノ SageMakerNotebooksチームのソフトウェアエンジニアです。 彼は空軍のベテランであり、2017年からAmazonで働いており、AWS Lambda、Amazon Pinpoint、Amazon Tax Exemption Program、AmazonSageMakerなどのサービスに貢献しています。 余暇には、読書、ハイキング、サイクリング、ビデオゲームを楽しんでいます。
- "
- 100
- 2021
- 2022
- 能力
- 私たちについて
- アクセス
- アクセス可能な
- 越えて
- Action
- NEW
- 住所
- 管理者
- 利点
- 利点
- に対して
- 空軍
- アレクサ
- すべて
- Amazon
- Amazon Webサービス
- アナウンス
- 発表の
- API
- API
- 申し込み
- 8月
- 認証
- 利用できます
- AWS
- 利点
- 国境
- 建物
- コール
- 選択する
- コード
- 計算
- 条件
- 領事
- 接触
- コントロール
- 可能性
- 作ります
- 作成
- Credentials
- 電流プローブ
- 現在
- Customers
- データ
- 防衛
- 詳細な
- 開発
- 簡単に
- 教育
- 効果
- 効果的に
- 有効にする
- エンジニア
- エンジニアリング
- Enterprise
- 誰も
- 興奮した
- 既存の
- 家族
- フィードバック
- フォーカス
- 焦点を当て
- フォロー中
- フォーラム
- 未来
- Games
- 政府・公共機関
- グループの
- 助け
- 認定条件
- How To
- HTTPS
- アイデンティティ
- 改善します
- インフラ
- 洞察
- IP
- IPアドレス
- IT
- キー
- キー
- 最新の
- 打ち上げ
- 層
- 学習
- 活用します
- LINE
- 機械
- 機械学習
- 作る
- 作成
- 管理します
- マネージド
- マネージャー
- 意味
- ミディアム
- 最小
- ML
- 他には?
- オートバイ
- 謎
- ネットワーク
- 非営利
- ノート
- 通知
- オファー
- 開いた
- 業務執行統括
- オプション
- 注文
- 情熱的な
- プラットフォーム
- 再生
- ポリシー
- 方針
- 校長
- プロダクト
- 製品
- 演奏曲目
- 保護
- 提供します
- は、大阪で
- 提供
- すぐに
- リーディング
- 受け取ります
- に対する
- リリース
- 残る
- 要求
- リクエスト
- の提出が必要です
- リソースを追加する。
- 応答
- 責任
- 逆
- ランニング
- SDDK
- 安全に
- セキュリティ
- サービス
- サービス
- セッションに
- 設定
- シェアする
- 示す
- 同様の
- 簡単な拡張で
- から
- ソフトウェア
- ソフトウェアエンジニア
- 固体
- ソリューション
- 話す
- 特別
- 支出
- 開始
- ステートメント
- ストレージ利用料
- 成功した
- サポート
- サポート
- 支援する
- サポート
- スイッチ
- 税金
- チーム
- 一時的
- 世界
- 介して
- 時間
- トークン
- 旅行
- アップデイト
- 更新
- つかいます
- users
- 値
- さまざまな
- バージョン
- ベテラン
- ビデオ
- ビデオゲーム
- 脆弱性
- ウェブ
- Webサービス
- while
- 働いていました
- ワーキング
- 世界
- でしょう
- 年
- あなたの
