Amazon SageMaker コントロール

SageMaker これらのコントロールはリソースに関連しています。

これらのコントロールは、一部のユーザーには使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[SageMaker.1] Amazon SageMaker ノートブックインスタンスはインターネットに直接アクセスしてはいけません

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ: AWS::SageMaker::NotebookInstance

AWS Config ルール: sagemaker-notebook-no-direct-internet-access

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 SageMaker ノートブックインスタンスのインターネットへの直接アクセスが無効になっているかどうかを確認します。DirectInternetAccessノートブックインスタンスでフィールドが有効になっていると、コントロールは失敗します。

VPC SageMaker なしでインスタンスを設定すると、デフォルトでインスタンスで直接インターネットアクセスが有効になります。VPC ありでインスタンスを設定し、デフォルト設定を [無効化 - VPC 経由でインターネットにアクセスする] に変更する必要があります。ノートブックからモデルをトレーニングまたはホストするには、インターネットアクセスが必要です。インターネットアクセスを有効にするには、VPC にインターフェイスエンドポイント (AWS PrivateLink) または NAT ゲートウェイ、およびアウトバウンド接続を許可するセキュリティグループが必要です。ノートブックインスタンスを VPC 内のリソースConnect する方法の詳細については、Amazon SageMaker 開発者ガイドの「ノートブックインスタンスを VPC 内のリソースに接続する」を参照してください。また、 SageMaker 設定へのアクセスが許可されたユーザーのみに制限されていることを確認する必要があります。 SageMaker ユーザーが設定やリソースを変更することを許可する IAM 権限を制限してください。

修正

ノートブックインスタンスを作成した後は、インターネットアクセスの設定を変更することはできません。代わりに、インターネットアクセスがブロックされているインスタンスを停止して削除し、再作成できます。インターネットへの直接アクセスを許可するノートブックインスタンスを削除するには、Amazon SageMaker 開発者ガイドの「ノートブックインスタンスを使用してモデルを構築する:クリーンアップ」を参照してください。インターネットアクセスを拒否するノートブックインスタンスを再作成するには、「ノートブックインスタンスを作成する」を参照してください。[ネットワーク] の [直接インターネットアクセス] で、[無効化 - VPC 経由でインターネットにアクセスする] を選択します。

[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース

重要度: 高

リソースタイプ: AWS::SageMaker::NotebookInstance

AWS Config ルール : sagemaker-notebook-instance-inside-vpc

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon SageMaker ノートブックインスタンスがカスタム仮想プライベートクラウド (VPC) 内で起動されているかどうかを確認します。 SageMaker ノートブックインスタンスがカスタム VPC 内で起動されない場合、 SageMaker またはサービス VPC で起動された場合、この制御は失敗します。

サブネットは、ある範囲の IP アドレスが示す VPC 内の領域です。インフラストラクチャの安全なネットワーク保護を確保するために、リソースは可能な限りカスタム VPC 内に保管することをお勧めします。Amazon VPC は、 AWS アカウントお客様専用の仮想ネットワークです。Amazon VPC を使用すると、 SageMaker Studio インスタンスとノートブックインスタンスのネットワークアクセスとインターネット接続を制御できます。

修正

ノートブックインスタンスを作成した後は、VPC の設定を変更することはできません。代わりに、インスタンスを停止して削除し、再作成できます。手順については、『Amazon SageMaker 開発者ガイド』の「ノートブックインスタンスを使用してモデルを構築する:クリーンアップ」を参照してください。

[SageMaker.3] SageMaker ユーザーにはノートブックインスタンスへのルートアクセス権があってはなりません。

関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)

カテゴリ: 保護 > セキュアなアクセス管理 > ルートユーザーのアクセス制限

重要度: 高

リソースタイプ: AWS::SageMaker::NotebookInstance

AWS Config ルール : sagemaker-notebook-instance-root-access-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon SageMaker ノートブックインスタンスのルートアクセスが有効になっているかどうかを確認します。 SageMaker ノートブックインスタンスのルートアクセスが有効になっていると、コントロールは失敗します。

最小特権のプリンシパルに従い、意図せずに権限を過剰にプロビジョニングしないために、ルートアクセスをインスタンスリソースに制限することが、推奨されるセキュリティ上のベストプラクティスです。

修正

SageMaker ノートブックインスタンスへのルートアクセスを制限するには、Amazon SageMaker 開発者ガイドの「 SageMaker ノートブックインスタンスへのルートアクセスの制御」を参照してください。