Сегодня мы рады сообщить, что Создатель мудреца Амазонки теперь поддерживает возможность настройки службы метаданных экземпляров версии 2 (IMDSv2) для экземпляров ноутбуков, а администраторы могут контролировать минимальную версию, с которой конечные пользователи создают новые экземпляры ноутбуков. Теперь вы можете выбрать IMDSv2 только для новых и существующих экземпляров SageMaker Notebook, чтобы воспользоваться новейшей защитой и поддержкой, предоставляемыми IMDSv2.
Метаданные экземпляра — это данные о вашем экземпляре, которые вы можете использовать для настройки или управления запущенным экземпляром, предоставляя временные и часто меняющиеся учетные данные, доступ к которым может получить только программное обеспечение, работающее на экземпляре. IMDS делает метаданные об экземпляре, такие как его сеть и хранилище, доступными через специальный локальный IP-адрес 169.254.169.254. Вы можете использовать IMDS на экземплярах SageMaker Notebook аналогично тому, как вы используете IMDS на Эластичное вычислительное облако Amazon (Amazon EC2). Подробную документацию см. Метаданные экземпляра и пользовательские данные.
В выпуске IMDSv2 добавлен дополнительный уровень защиты с использованием сеансовой аутентификации. При использовании IMDSv2 каждый сеанс начинается с запроса PUT к IMDSv2 для получения защищенного токена со сроком действия, который может составлять не менее 1 секунды и не более 6 часов. Любой последующий запрос GET к IMDS должен отправить результирующий токен в качестве заголовка, чтобы получить успешный ответ. По истечении указанного срока для будущих запросов требуется новый токен.
Пример вызова IMDSv1 выглядит следующим образом:
С IMDSv2 вызов выглядит следующим образом:
Принятие IMDSv2 и установка его в качестве минимальной версии дает различные преимущества в плане безопасности по сравнению с IMDSv1. IMDSv2 защищает от неограниченных конфигураций брандмауэра веб-приложений (WAF), открытых обратных прокси-серверов, уязвимостей подделки запросов на стороне сервера (SSRF) и открытых брандмауэров уровня 3 и NAT, которые могут использоваться для доступа к метаданным экземпляра. Подробное сравнение см. Добавьте глубокую защиту от открытых брандмауэров, обратных прокси-серверов и уязвимостей SSRF с улучшениями службы метаданных экземпляров EC2..
В этом посте мы покажем вам, как настроить ноутбуки SageMaker с поддержкой только IMDSv2. Мы также делимся планом поддержки IMDSv1 и тем, как вы можете применить IMDSv2 на своих ноутбуках.
Что нового в поддержке IMDSv2 и SageMaker
Теперь вы можете настроить версию IMDS экземпляров SageMaker Notebook при создании или обновлении экземпляра, что можно сделать с помощью SageMaker API или консоли SageMaker, с параметром минимальной версии IMDS. Минимальная версия IMDS указывает минимальную поддерживаемую версию. Установка значения 1 разрешает поддержку как IMDSv1, так и IMDSv2, а установка минимальной версии 2 поддерживает только IMDSv2. С ноутбуком, поддерживающим только IMDSv2, вы можете использовать дополнительную многоуровневую защиту, которую обеспечивает IMDSv2.
Мы также предоставляем Ключ условия SageMaker для политик IAM который позволяет вам ограничить версию IMDS для экземпляров ноутбука через Создать экземпляр ноутбука и Обновить экземпляр ноутбука вызовы API. Администраторы могут использовать этот условный ключ, чтобы разрешить своим конечным пользователям создавать и/или обновлять записные книжки только для поддержки IMDSv2. Вы можете добавить этот ключ условия в Управление идентификацией и доступом AWS (IAM) политика, прикрепленная к пользователям, ролям или группам IAM, ответственным за создание и обновление блокнотов.
Кроме того, вы также можете переключаться между конфигурациями версии IMDS, используя параметр минимальной версии IMDS в SageMaker. Обновить экземпляр ноутбука API.
Поддержка настройки версии IMDS и ограничения версии IMDS только v2 теперь доступна во всех регионах AWS, в которых доступны экземпляры SageMaker Notebook.
План поддержки версий IMDS на экземплярах SageMaker Notebook
1 июня 2022 г. мы внедрили поддержку управления минимальной версией IMDS, которая будет использоваться с инстансами Amazon SageMaker Notebook. Для всех экземпляров Notebook, запущенных до 1 июня 2022 г., по умолчанию будет установлена минимальная версия 1. У вас будет возможность обновить минимальную версию до 2 с помощью SageMaker API или консоли.
Настройте версию IMDS на экземпляре SageMaker Notebook.
Вы можете настроить минимальную версию IMDS для ноутбука SageMaker через консоль AWS SageMaker (см. Создать экземпляр ноутбука), SDK или Интерфейс командной строки AWS (интерфейс командной строки AWS). Это необязательная конфигурация со значением по умолчанию, равным 1, что означает, что экземпляр ноутбука будет поддерживать вызовы как IMDSv1, так и IMDSv2.
При создании нового экземпляра записной книжки на консоли SageMaker теперь у вас есть возможность Минимальная версия IMDS чтобы указать минимальную поддерживаемую версию IMDS, как показано на следующем снимке экрана. Если установлено значение 1, поддерживаются как IMDSv1, так и IMDSv2. Если установлено значение 2, поддерживается только IMDSv2.
Вы также можете отредактировать существующий экземпляр записной книжки для поддержки IMDSv2 только с помощью консоли SageMaker, как показано на следующем снимке экрана.
Значение по умолчанию останется равным 1 до 31 августа 2022 г. и изменится на 2 31 августа 2022 г.
При использовании интерфейса командной строки AWS для создания записной книжки вы можете использовать MinimumInstanceMetadataServiceVersion параметр для установки минимальной поддерживаемой версии IMDS:
Ниже приведен пример команды командной строки AWS для создания экземпляра ноутбука только с поддержкой IMDSv2:
Если вы хотите обновить существующую записную книжку для поддержки только IMDSv2, вы можете сделать это с помощью Обновить экземпляр ноутбука API:
Применение IMDSv2 для всех экземпляров SageMaker Notebook
Вы можете использовать условный ключ, чтобы ваши пользователи могли создавать или обновлять только экземпляры Notebook, поддерживающие только IMDSv2, для повышения безопасности. Вы можете использовать этот ключ условия в политиках IAM, прикрепленных к пользователям, ролям или группам IAM, ответственным за создание и обновление блокнотов, или AWS Организации политики управления услугами.
Ниже приведен пример заявления о политике, которое ограничивает создание и обновление API-интерфейсов экземпляра записной книжки, разрешая только IMDSv2:
Заключение
Сегодня мы объявили о поддержке настройки и административного ограничения вашей версии службы метаданных экземпляров (IMDS) для экземпляров ноутбуков. Мы показали, как настроить версию IMDS для новых и существующих ноутбуков с помощью консоли SageMaker и интерфейса командной строки AWS. Мы также показали, как административно ограничить версии IMDS с помощью условных ключей IAM, и обсудили преимущества поддержки только IMDSv2.
Если у вас есть какие-либо вопросы и отзывы относительно IMDSv2, обратитесь к своему контактному лицу службы поддержки AWS или опубликуйте сообщение в Amazon EC2 и Создатель мудреца Амазонки дискуссионные форумы.
Об авторах
Апурва Гупта работает инженером-программистом в команде SageMaker Notebooks. Ее внимание сосредоточено на том, чтобы клиенты могли более эффективно использовать SageMaker во всех аспектах своих операций машинного обучения. Она участвует в Amazon SageMaker Notebooks с 2021 года. В свободное время она любит читать, рисовать, заниматься садоводством, готовить и путешествовать.
Дурга Сьюри является архитектором решений машинного обучения в команде Amazon SageMaker Service SA. Она увлечена тем, чтобы сделать машинное обучение доступным для всех. За три года работы в AWS она помогла настроить платформы AI/ML для корпоративных клиентов. До AWS она позволяла некоммерческим и государственным учреждениям извлекать ценную информацию из своих данных для улучшения результатов образования. Когда она не работает, она любит поездки на мотоцикле, детективные романы и походы со своим четырехлетним хаски.
Сиддхант Дешпанде является техническим менеджером в Amazon Web Services (AWS). В настоящее время он занимается созданием лучшей в своем классе управляемой инфраструктуры машинного обучения (ML) и инструментальных услуг, которые направлены на то, чтобы быстро и легко перевести клиентов с «мне нужно использовать ML» на «я успешно использую ML». Он работает в AWS с 2013 года на различных инженерных должностях, разрабатывая такие сервисы AWS, как Amazon Simple Notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint и Amazon SageMaker. В свободное время он любит проводить время со своей семьей, читать, готовить, заниматься садоводством и путешествовать по миру.
Прашант Паван Писипати является главным менеджером по продуктам в Amazon Web Services (AWS). Он создал различные продукты для AWS и Alexa и в настоящее время сосредоточен на том, чтобы помочь специалистам по машинному обучению работать более продуктивно с помощью сервисов AWS.
Эдвин Бехарано работает инженером-программистом в команде SageMaker Notebooks. Он ветеран ВВС, работает в Amazon с 2017 года, внося свой вклад в такие сервисы, как AWS Lambda, Amazon Pinpoint, Amazon Tax Exemption Program и Amazon SageMaker. В свободное время он любит читать, ходить в походы, кататься на велосипеде и играть в видеоигры.
- Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. БЕСПЛАТНЫЙ ДОСТУП.
- КриптоХок. Альткоин Радар. Бесплатная пробная версия.
- Источник: https://aws.amazon.com/blogs/machine-learning/amazon-sagemaker-notebook-instances-now-support-configuring-and-restricting-imds-versions/
- "
- 100
- 2021
- 2022
- способность
- О нас
- доступ
- доступной
- через
- Действие
- дополнительный
- адрес
- администраторы
- плюс
- Преимущества
- против
- Военно-воздушные силы
- Alexa
- Все
- Amazon
- Amazon Web Services
- анонсировать
- объявило
- API
- API
- Применение
- Август
- Аутентификация
- доступен
- AWS
- до
- Преимущества
- граница
- Строительство
- призывают
- Выберите
- код
- Вычисление
- состояние
- Конфигурация
- Консоли
- обращайтесь
- контроль
- может
- Создайте
- Создающий
- Полномочия
- Текущий
- В настоящее время
- Клиенты
- данным
- Защита
- подробный
- развивающийся
- легко
- Обучение
- эффект
- фактически
- позволяет
- инженер
- Проект и
- Предприятие
- все члены
- возбужденный
- существующий
- семья
- Обратная связь
- Фокус
- внимание
- после
- форумы
- будущее
- Игры
- Правительство
- Группы
- помощь
- Как
- How To
- HTTPS
- Личность
- улучшать
- Инфраструктура
- размышления
- IP
- IP-адрес
- IT
- Основные
- ключи
- последний
- запустили
- слой
- изучение
- Кредитное плечо
- линия
- машина
- обучение с помощью машины
- ДЕЛАЕТ
- Создание
- управлять
- управляемого
- менеджер
- смысл
- средний
- минимальный
- ML
- БОЛЕЕ
- мотоцикл
- Тайна
- сеть
- некоммерческий
- ноутбук
- уведомление
- Предложения
- открытый
- Операционный отдел
- Опция
- заказ
- страстный
- Платформы
- игры
- сборах
- политика
- Основной
- Продукт
- Продукция
- FitPartner™
- защиту
- обеспечивать
- приводит
- обеспечение
- быстро
- Reading
- Получать
- по
- освободить
- оставаться
- запросить
- Запросы
- обязательный
- ресурс
- ответ
- ответственный
- обратный
- Бег
- SDK
- безопасный
- безопасность
- обслуживание
- Услуги
- набор
- установка
- Поделиться
- показанный
- аналогичный
- просто
- с
- Software
- Инженер-программист
- твердый
- Решения
- говорить
- особый
- Расходы
- начинается
- заявление
- диск
- успешный
- поддержка
- Поддержанный
- поддержки
- Поддержка
- Коммутатор
- налог
- команда
- временный
- Ассоциация
- мир
- Через
- время
- знак
- Путешествие
- Обновление ПО
- обновление
- использование
- пользователей
- ценностное
- различный
- версия
- ветеран
- Видео
- видеоигры
- Уязвимости
- Web
- веб-сервисы
- в то время как
- работавший
- работает
- Мир
- бы
- лет
- ВАШЕ
