Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SageMaker Contrôles Amazon
Ces contrôles sont liés aux SageMaker ressources.
Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.
[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::SageMaker::NotebookInstance
Règle AWS Config : sagemaker-notebook-no-direct-internet-access
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si l'accès direct à Internet est désactivé pour une instance de SageMaker bloc-notes. Pour ce faire, il vérifie si le DirectInternetAccess champ est désactivé pour l'instance de bloc-notes.
Si vous configurez votre SageMaker instance sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et modifier le paramètre par défaut sur Disable—Accéder à Internet via un VPC.
Pour entraîner ou héberger des modèles à partir d'un ordinateur portable, vous devez avoir accès à Internet. Pour activer l'accès à Internet, assurez-vous que votre VPC dispose d'une passerelle NAT et que votre groupe de sécurité autorise les connexions sortantes. Pour en savoir plus sur la façon de connecter une instance de bloc-notes aux ressources d'un VPC, consultez Connecter une instance de bloc-notes aux ressources d'un VPC dans le manuel Amazon Developer Guide. SageMaker
Vous devez également vous assurer que l'accès à votre SageMaker configuration est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM qui permettent aux utilisateurs de modifier SageMaker les paramètres et les ressources.
Correction
Vous ne pouvez pas modifier le paramètre d'accès à Internet après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance avec un accès Internet bloqué. Pour supprimer une instance de bloc-notes qui permet un accès direct à Internet, consultez la section Utiliser des instances de bloc-notes pour créer des modèles : nettoyage dans le manuel Amazon SageMaker Developer Guide. Pour recréer une instance de bloc-notes qui refuse l'accès à Internet, consultez la section Créer une instance de bloc-notes. Pour Réseau, Accès direct à Internet, choisissez Désactiver : accéder à Internet via un VPC.
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC
Gravité : Élevée
Type de ressource : AWS::SageMaker::NotebookInstance
Règle AWS Config : sagemaker-notebook-instance-inside-vpc
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une instance Amazon SageMaker Notebook est lancée dans un cloud privé virtuel (VPC) personnalisé. Ce contrôle échoue si une instance de SageMaker bloc-notes n'est pas lancée dans un VPC personnalisé ou si elle est lancée dans le SageMaker VPC de service.
Les sous-réseaux sont une plage d'adresses IP au sein d'un VPC. Nous vous recommandons de conserver vos ressources dans un VPC personnalisé dans la mesure du possible afin de garantir une protection réseau sécurisée de votre infrastructure. Un Amazon VPC est un réseau virtuel dédié à votre. Compte AWS Avec un Amazon VPC, vous pouvez contrôler l'accès réseau et la connectivité Internet de vos instances SageMaker Studio et Notebook.
Correction
Vous ne pouvez pas modifier le paramètre VPC après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance. Pour obtenir des instructions, consultez la section Utiliser des instances de bloc-notes pour créer des modèles : nettoyage dans le manuel Amazon SageMaker Developer Guide.
[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2)
Catégorie : Protection > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
Gravité : Élevée
Type de ressource : AWS::SageMaker::NotebookInstance
Règle AWS Config : sagemaker-notebook-instance-root-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'accès root est activé pour une instance de SageMaker bloc-notes Amazon. Le contrôle échoue si l'accès root est activé pour une instance de SageMaker bloc-notes.
Conformément au principe du moindre privilège, il est recommandé en matière de sécurité de restreindre l'accès root aux ressources de l'instance afin d'éviter un surprovisionnement involontaire des autorisations.
Correction
Pour restreindre l'accès root aux instances de SageMaker bloc-notes, consultez la section Contrôler l'accès root à une instance de SageMaker bloc-notes dans le manuel Amazon SageMaker Developer Guide.
