Amazon SageMaker 控制

這些控制項與資 SageMaker 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[SageMaker.1] Amazon SageMaker 筆記本實例不應該直接訪問互聯網

相關要求：PCI DSS V3.2.1/1.2.1、投資管理系統 DSS V3.2.1/1.3.1、PCI DSS V3.2.1/1.3.4、PCI DSS V3.2.1/1.3.4、投資管理系統 DSS V3.2.1/1.3.6、Ni.800-53.R5 AC-21、交流電 -4 (21), 交流 6, 尼斯 .800-53.R5 交流 -6, 尼斯 .800-53.R5, 星期五 (20), 尼斯 .800-53.R5 (16), 尼斯 .800-53.R5 (16), 尼斯特 -53.R5 (20), 3), 早上七點七 (4), 日本七星期五 (9)

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::SageMaker::NotebookInstance

AWS Config 規則：sagemaker-notebook-no-direct-internet-access

排程類型：定期

參數：無

此控制項會檢查 SageMaker 筆記本執行個體是否已停用直接網際網路存取。如果已針對筆記本執行個體啟用DirectInternetAccess欄位，則控制項會失敗。

如果您在沒有 VPC 的情況下設定 SageMaker 執行個體，則執行個體預設會啟用直接網際網路存取。您應該使用 VPC 設定執行個體，並將預設設定變更為 [停用] — 透過 VPC 存取網際網路。若要從筆記型電腦訓練或託管模型，您需要存取網際網路。若要啟用網際網路存取，您的 VPC 必須具有介面端點 (AWS PrivateLink) 或 NAT 閘道，以及允許輸出連線的安全群組。若要進一步了解如何將筆記本執行個體 Connect 到 VPC 中的資源，請參閱 Amazon SageMaker 開發人員指南中的將筆記本執行個體連接到 VPC 中的資源。您也應該確保只有授權使用者才能存取您的 SageMaker 組態。限制允許使用者變更 SageMaker 設定和資源的 IAM 許可。

修補

建立筆記本執行個體之後，您無法變更網際網路存取設定。相反地，您可以停止、刪除和重新建立具有封鎖網際網路存取權的執行個體。若要刪除允許直接存取網際網路的筆記本執行個體，請參閱 Amazon SageMaker 開發人員指南中的使用筆記本執行個體建立模型：清理。若要重建拒絕網際網路存取的筆記本執行個體，請參閱建立筆記本執行個體。對於 [網路]、[直接網際網路存取]，選擇 [停用]-透過 VPC 存取網際網路。

[SageMaker.2] SageMaker 筆記型電腦執行個體應在自訂 VPC 中啟動

相關要求：指定的要求：AC-21、交流 -3、NIST -53.R5 交流 -3、交流 -3 (7)、奈特 -800-53.R5 交流 4、NIST-53.R5 交流 4 (21)、指定線 -53.R5 交流 -6、五月五日七 (16), 日本七點七 (20), 日本七點七 (20), 日本七點七 (21), 日本七點七 (3), 日本七點七 (3), 西元七七 (4), 日本

分類:保護 > 安全網絡配置 > VPC 內的資源

嚴重性：高

資源類型：AWS::SageMaker::NotebookInstance

AWS Config 規則：sagemaker-notebook-instance-inside-vpc

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon SageMaker 筆記型電腦執行個體是否在自訂虛擬私有雲 (VPC) 內啟動。如果 SageMaker 筆記本執行個體未在自訂 VPC 中啟動，或在 SageMaker 服務 VPC 中啟動筆記本執行個體，則此控制項會失敗。

子網路是 VPC 內的一系列 IP 位址。我們建議盡可能將資源保存在自訂 VPC 內，以確保基礎架構的安全網路保護。Amazon VPC 是一個虛擬網路，專用於您 AWS 帳戶的. 使用 Amazon VPC，您可以控制 SageMaker Studio 和筆記型電腦執行個體的網路存取和網際網路連線。

修補

建立筆記本執行個體之後，您無法變更 VPC 設定。相反地，您可以停止、刪除和重新建立執行個體。如需指示，請參閱 Amazon SageMaker 開發人員指南中的使用筆記本執行個體建立模型：清理。

[SageMaker.3] 用戶不應該擁有對 SageMaker 筆記本實例的 root 訪問權限

相關要求：交流 -2 (1)、交流 -6 (15)、指定交流 -6 (10)、指定交流 -6 (5)、指定交流 -6、交流 -6 (2)

類別:保護 > 安全存取管理 > 根使用者存取限制

嚴重性：高

資源類型：AWS::SageMaker::NotebookInstance

AWS Config 規則：sagemaker-notebook-instance-root-access-check

排程類型：已觸發變更

參數：無

此控制項可檢查 Amazon SageMaker 筆記型電腦執行個體的根存取是否開啟。如果針對 SageMaker 筆記本執行個體開啟 root 存取權，則控制項會失敗。

為了遵守最低權限的主體，建議您將 root 存取權限限制為執行個體資源，以避免意外過度佈建權限。

修補

若要限制 SageMaker 筆記本執行個體的根存取權限，請參閱 Amazon SageMaker 開發人員指南中的控制 SageMaker 筆記本執行個體的根存取權。

[SageMaker.4] SageMaker 端點生產變體的初始實例計數應該大於 1

相關要求：CP-10，尼斯 -53.R5 SC-5，東西 800-53.R5 的 SC-36，東西 800-53.R5 SA-13

分類:復原 > 復原能力 > 高可用性

嚴重性：中

資源類型：AWS::SageMaker::EndpointConfig

AWS Config 規則：sagemaker-endpoint-config-prod-instance-count

排程類型：定期

參數：無

此控制項會檢查 Amazon SageMaker 端點的生產變體是否初始執行個體計數大於 1。如果端點的生產變體只有 1 個初始實例，則控制將失敗。

執行個體計數大於 1 的生產變體允許由異地同步備份執行個體備援管理SageMaker。跨多個可用區域部署資源是在架構內提供高可用性的 AWS 最佳實務。高可用性可協助您從安全性事件中復原。

注意

此控制項僅適用於以執行個體為基礎的端點組態。

修補

如需端點組態參數的詳細資訊，請參閱 Amazon SageMaker 開發人員指南中的建立端點組態。