Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

适用于 AI 的 Security Hub CSPM 控件 SageMaker

这些 Amazon Security Hub CSPM 控制措施会评估 Amazon SageMaker AI 服务和资源。这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

相关要求： NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3（7）、（21） NIST.800-53.r5 AC-3、、、（11）、（16） NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4（20）、（21） NIST.800-53.r5 AC-6、（3） NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7（4）、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7（9）、PCI DSS v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4 2.1/1.3.6，PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别：保护 > 安全网络配置

严重性：高

资源类型：AWS::SageMaker::NotebookInstance

Amazon Config 规则：sagemaker-notebook-no-direct-internet-access

计划类型：定期

参数：无

此控件用于检查 SageMaker AI 笔记本实例是否已禁用直接互联网接入。如果为笔记本实例启用了 DirectInternetAccess 字段，则此控件将失败。

如果您在没有 VPC 的情况下配置 SageMaker AI 实例，则默认情况下，您的实例将启用直接互联网访问。您应该使用 VPC 配置实例，并将默认设置变更为禁用——通过 VPC 访问 Internet。要使用笔记本电脑训练或托管模型，您需要访问 Internet。要启用互联网访问，您的 VPC 必须具有接口端点（Amazon PrivateLink）或 NAT 网关，以及允许出站连接的安全组。要详细了解如何将笔记本实例连接到 VPC 中的资源，请参阅 Amazon A SageMaker I 开发人员指南中的将笔记本实例连接到 VPC 中的资源。您还应确保只有经过授权的用户才能访问您的 SageMaker AI 配置。限制允许用户更改 A SageMaker I 设置和资源的 IAM 权限。

修复

在创建笔记本实例后，您无法变更 Internet 访问设置。相反，您可以停止、删除和重新创建 Internet 访问受阻的实例。要删除允许直接访问互联网的笔记本实例，请参阅 Amazon A SageMaker I 开发者指南中的使用笔记本实例构建模型：清理。要重新创建拒绝 Internet 访问的笔记本实例，请参阅创建笔记本实例。对于网络，直接访问Internet，选择禁用-通过 VPC 访问 Internet。

[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动

相关要求： NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

类别：保护 > 安全网络配置 > VPC 内的资源

严重性：高

资源类型：AWS::SageMaker::NotebookInstance

Amazon Config 规则：sagemaker-notebook-instance-inside-vpc

计划类型：已触发变更

参数：无

此控件检查 Amazon SageMaker AI 笔记本实例是否在自定义虚拟私有云 (VPC) 中启动。如果 A SageMaker I 笔记本实例未在自定义 VPC 内启动或在 SageMaker AI 服务 VPC 中启动，则此控制失败。

子网是 VPC 内的一系列 IP 地址。我们建议尽可能将资源保留在自定义 VPC 内，以确保为您的基础设施提供安全的网络保护。Amazon VPC 是专用于您的虚拟网络 Amazon Web Services 账户。使用 Amazon VPC，您可以控制 A SageMaker I Studio 和笔记本实例的网络访问和互联网连接。

修复

在创建笔记本实例后，您无法变更 VPC 设置。相反，您可以停止、删除和重新创建实例。有关说明，请参阅 Amazon A SageMaker I 开发者指南中的使用笔记本实例构建模型：清理。

[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限

相关要求： NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6 (10)、 NIST.800-53.r5 AC-6 (2)

类别：保护 > 安全访问管理 >根用户访问限制

严重性：高

资源类型：AWS::SageMaker::NotebookInstance

Amazon Config 规则：sagemaker-notebook-instance-root-access-check

计划类型：已触发变更

参数：无

此控件检查是否已为 Amazon A SageMaker I 笔记本实例开启根访问权限。如果为 SageMaker AI 笔记本实例开启了根访问权限，则控制失败。

根据最低权限原则，建议的安全最佳实践是限制根用户对实例资源的访问权限，以避免无意中过度预置权限。

修复

要限制对 SageMaker AI 笔记本实例的根访问权限，请参阅 A mazon A SageMaker I 开发者指南中的控制 A SageMaker I 笔记本实例的根访问权限。

[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1

相关要求： NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-3 6、 NIST.800-53.r5 SA-1 3

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::SageMaker::EndpointConfig

Amazon Config 规则：sagemaker-endpoint-config-prod-instance-count

计划类型：定期

参数：无

此控件会检查 Amazon A SageMaker I 终端节点的生产变体的初始实例数是否大于 1。如果端点的生产变体只有 1 个初始实例，则此控件将失败。

在实例数大于 1 的情况下运行的生产变体允许由 A SageMaker I 管理的多可用区实例冗余。跨多个可用区部署资源是在您的架构中提供高可用性 Amazon 的最佳实践。高可用性可帮助您从安全事件中恢复。

修复

有关终端节点配置参数的更多信息，请参阅 Amazon A SageMaker I 开发人员指南中的创建终端节点配置。

[SageMaker.5] SageMaker 模型应启用网络隔离

类别：保护 > 安全网络配置 > 不公开访问的资源

严重性：中

资源类型：AWS::SageMaker::Model

Amazon Config 规则：sagemaker-model-isolation-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon A SageMaker I 托管模型是否启用了网络隔离。如果托管模型的 EnableNetworkIsolation 参数设置为 False，则该控件会失败。

SageMaker AI 训练和部署的推理容器默认支持互联网。如果您不希望 SageMaker AI 为训练或推理容器提供外部网络访问权限，则可以启用网络隔离。如果启用网络隔离，则无法通过模型容器进行入站或出站网络调用，包括通过其他 Amazon Web Services 服务进行的调用。此外，容器运行时环境不提供任何 Amazon 凭证。启用网络隔离有助于防止互联网意外访问您的 SageMaker AI 资源。

修复

有关 SageMaker AI 模型的网络隔离的更多信息，请参阅 A mazon A SageMaker I 开发者指南中的在无互联网模式下运行训练和推理容器。创建模型时，您可以通过将 EnableNetworkIsolation 参数的值设置为 True 来启用网络隔离。

[SageMaker.6] 应 SageMaker 标记应用程序映像配置

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::SageMaker::AppImageConfig

Amazon Config 规则：sagemaker-app-image-config-tagged

计划类型：已触发变更

参数：

此控件检查 Amazon SageMaker AI 应用程序映像配置 (AppImageConfig) 是否具有requiredKeyTags参数指定的标签密钥。如果应用程序映像配置没有任何标签键，或者缺少 requiredKeyTags 参数指定的所有键，则该控件会失败。如果没有为 requiredKeyTags 参数指定任何值，则该控件仅检查是否存在标签键，如果应用程序映像配置没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 aws: 前缀。

标签是您创建并分配给 Amazon 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》中的使用 ABAC 授权根据属性定义权限。有关标签的更多信息，请参阅《标签 Amazon 资源和标签编辑器用户指南》。

修复

要向 Amazon A SageMaker I 应用程序映像配置 (AppImageConfig) 添加标签，您可以使用 SageMaker AI API 的AddTags操作，或者，如果您使用的是 Amazon CLI，则运行 add -tags 命令。

[SageMaker.7] 应为 SageMaker 图像加标签

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::SageMaker::Image

Amazon Config 规则：sagemaker-image-tagged

计划类型：已触发变更

参数：

此控件检查 Amazon SageMaker AI 图像是否具有requiredKeyTags参数指定的标签密钥。如果映像没有任何标签键，或者缺少 requiredKeyTags 参数指定的所有键，则该控件会失败。如果没有为 requiredKeyTags 参数指定任何值，则该控件仅检查是否存在标签键，如果映像没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 aws: 前缀。

标签是您创建并分配给 Amazon 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》中的使用 ABAC 授权根据属性定义权限。有关标签的更多信息，请参阅《标签 Amazon 资源和标签编辑器用户指南》。

修复

要向 Amazon A SageMaker I 图像添加标签，您可以使用 AI AP SageMaker I 的AddTags操作，或者，如果您使用的是 Amazon CLI，则可以运行 add -tags 命令。

[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行

类别：检测 > 漏洞、补丁和版本管理

严重性：中

资源类型：AWS::SageMaker::NotebookInstance

Amazon Config 规则：sagemaker-notebook-instance-platform-version

计划类型：定期

参数：

此控件根据为笔记本实例指定的平台标识符，检查 SageMaker Amazon AI 笔记本实例是否配置为在支持的平台上运行。如果笔记本实例配置为在不再受支持的平台上运行，则该控件会失败。

如果不再支持 Amazon SageMaker AI 笔记本实例的平台，则该平台可能无法收到安全补丁、错误修复或其他类型的更新。笔记本实例可能会继续运行，但它们不会收到 SageMaker AI 安全更新或严重错误修复。使用不支持的平台所带来的风险由您自行承担。有关更多信息，请参阅 Amazon A SageMaker I 开发者指南中的JupyterLab版本控制。

修复

有关 Amazon A SageMaker I 目前支持的平台以及如何迁移到这些平台的信息，请参阅《亚马逊 A SageMaker I 开发者指南》中的 Amaz on Linux 2 笔记本实例。

[SageMaker.9] SageMaker 数据质量任务定义应启用容器间流量加密

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::SageMaker::DataQualityJobDefinition

Amazon Config 规则：sagemaker-data-quality-job-encrypt-in-transit

计划类型：已触发变更

参数：无

此控件检查 Amazon SageMaker AI 数据质量任务定义是否为容器间流量启用了加密。如果监控数据质量和漂移的任务的定义没有为容器间流量启用加密，则控制失败。

启用容器间流量加密可在分布式处理期间保护敏感的机器学习数据，以进行数据质量分析。

修复

有关 Amazon AI 的容器间流量加密的更多信息，请参阅 SageMaker Amazon A SageMaker I 开发人员指南中的保护分布式训练 Job 中机器学习计算实例之间的通信。创建数据质量任务定义时，您可以通过将EnableInterContainerTrafficEncryption参数的值设置为来启用容器间流量加密。True

[SageMaker.10] SageMaker 模型可解释性任务定义应启用容器间流量加密

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::SageMaker::ModelExplainabilityJobDefinition

Amazon Config 规则：sagemaker-model-explainability-job-encrypt-in-transit

计划类型：已触发变更

参数：无

此控件检查 Amazon SageMaker 模型可解释性任务定义是否启用了容器间流量加密。如果模型可解释性任务定义未启用容器间流量加密，则控制失败。

启用容器间流量加密可在分布式处理期间保护敏感的机器学习数据，例如模型数据、训练数据集、中间处理结果、参数和模型权重，以进行可解释性分析。

修复

对于现有的 SageMaker 模型可解释性任务定义，无法在原地更新容器间流量加密。要创建启用容器间流量加密的新 SageMaker 模型可解释性任务定义，请使用 API 或 CL I 或 CloudFormation并将设置为。EnableInterContainerTrafficEncryptionTrue

[SageMaker.11] SageMaker 数据质量作业定义应启用网络隔离

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::SageMaker::DataQualityJobDefinition

Amazon Config 规则：sagemaker-data-quality-job-isolation

计划类型：已触发变更

参数：无

此控件检查 Amazon SageMaker AI 数据质量监控任务定义是否启用了网络隔离。如果监控数据质量和偏差的作业的定义禁用了网络隔离，则控制失败。

网络隔离可减少攻击。浮出水面并防止外部访问，从而防止未经授权的外部访问、意外的数据泄露和潜在的数据泄露。

修复

有关 AI 网络隔离的更多信息，请参阅 A mazon SageMaker A SageMaker I 开发者指南中的在无互联网模式下运行训练和推理容器。创建数据质量作业定义时，可以通过将EnableNetworkIsolation参数的值设置为来启用网络隔离True。

[SageMaker.12] SageMaker 模型偏差任务定义应启用网络隔离

类别：保护 > 安全网络配置 > 资源策略配置

严重性：中

资源类型：AWS::SageMaker::ModelBiasJobDefinition

Amazon Config 规则：sagemaker-model-bias-job-isolation

计划类型：已触发变更

参数：无

此控件检查 SageMaker 模型偏差作业定义是否启用了网络隔离。如果模型偏差作业定义未启用网络隔离，则控制失败。

网络隔离可防止 SageMaker 模型偏差作业通过 Internet 与外部资源通信。通过启用网络隔离，可以确保任务的容器无法建立出站连接，从而减少攻击面并保护敏感数据免遭泄露。这对于处理受监管或敏感数据的作业尤其重要。

修复

要启用网络隔离，您必须创建一个新的模型偏差作业定义，并将EnableNetworkIsolation参数设置为True。创建作业定义后，无法修改网络隔离。要创建新的模型偏差任务定义，请参阅 Amazon A SageMaker I 开发者指南 CreateModelBiasJobDefinition中的。

[SageMaker.13] SageMaker 模型质量任务定义应启用容器间流量加密

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::SageMaker::ModelQualityJobDefinition

Amazon Config 规则：ssagemaker-model-quality-job-encrypt-in-transit

计划类型：已触发变更

参数：无

此控件检查 Amazon SageMaker 模型质量任务定义是否为容器间流量启用了传输中加密。如果模型质量任务定义未启用容器间流量加密，则控制失败。

容器间流量加密可保护分布式模型质量监控任务期间容器之间传输的数据。默认情况下，容器间流量未加密。启用加密有助于在处理过程中保持数据机密性，并支持遵守传输中数据保护的监管要求。

修复

要为您的 Amazon SageMaker 模型质量任务定义启用容器间流量加密，您必须使用相应的传输中加密配置重新创建任务定义。要创建模型质量任务定义，请参阅 Amazon A SageMaker I 开发者指南 CreateModelQualityJobDefinition中的。

[SageMaker.14] SageMaker 监控计划应启用网络隔离

类别：保护 > 安全网络配置

严重性：中

资源类型：AWS::SageMaker::MonitoringSchedule

Amazon Config 规则：sagemaker-monitoring-schedule-isolation

计划类型：已触发变更

参数：无

此控件检查 Amazon SageMaker 监控计划是否启用了网络隔离。如果监视计划 EnableNetworkIsolation 设置为 false 或未配置，则控制失败

网络隔离可防止监控作业进行出站网络呼叫，通过消除容器访问互联网来减少攻击面。

修复

有关在创建或更新监控计划时在 NetworkConfig 参数中配置网络隔离的信息，请参阅 Amazon A SageMaker I 开发者指南 UpdateMonitoringSchedule中的CreateMonitoringSchedule或。

[SageMaker.15] SageMaker 模型偏差任务定义应启用容器间流量加密

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::SageMaker::ModelBiasJobDefinition

Amazon Config 规则：sagemaker-model-bias-job-encrypt-in-transit

计划类型：已触发变更

参数：无

此控件检查在使用多个计算实例时，Amazon SageMaker 模型偏差任务定义是否启用了容器间流量加密。如果设置EnableInterContainerTrafficEncryption为 false 或者没有为实例计数等于 2 或更大的作业定义进行配置，则控件将失败。

EInter-容器流量加密可保护分布式模型偏差监控作业期间计算实例之间传输的数据。加密可防止未经授权访问模型相关信息，例如在实例之间传输的权重。

修复

要为 SageMaker 模型偏差任务定义启用容器间流量加密，请在任务定义使用多个计算实例True时将EnableInterContainerTrafficEncryption参数设置为。有关保护 ML 计算实例之间通信的信息，请参阅 Amazon A SageMaker I 开发人员指南中的保护分布式训练 Job 中机器学习计算实例之间的通信。