Hôm nay, chúng tôi vui mừng thông báo rằng Amazon SageMaker hiện hỗ trợ khả năng đặt cấu hình Dịch vụ siêu dữ liệu phiên bản 2 (IMDSv2) cho Phiên bản sổ ghi chép và để quản trị viên kiểm soát phiên bản tối thiểu mà người dùng cuối dùng để tạo Phiên bản sổ ghi chép mới. Giờ đây, bạn chỉ có thể chọn IMDSv2 cho Phiên bản sổ ghi chép SageMaker mới và hiện có của mình để tận dụng sự bảo vệ và hỗ trợ mới nhất do IMDSv2 cung cấp.

Siêu dữ liệu phiên bản là dữ liệu về phiên bản của bạn mà bạn có thể sử dụng để đặt cấu hình hoặc quản lý phiên bản đang chạy bằng cách cung cấp thông tin xác thực tạm thời và được luân chuyển thường xuyên mà chỉ phần mềm chạy trên phiên bản mới có thể truy cập được. IMDS cung cấp siêu dữ liệu về phiên bản, chẳng hạn như mạng và bộ nhớ của phiên bản đó, thông qua địa chỉ IP liên kết cục bộ đặc biệt của 169.254.169.254. Bạn có thể sử dụng IMDS trên Phiên bản sổ ghi chép SageMaker của mình, tương tự như cách bạn sử dụng IMDS trên Đám mây điện toán đàn hồi Amazon (Amazon EC2). Để biết tài liệu chi tiết, xem Siêu dữ liệu phiên bản và dữ liệu người dùng.

Việc phát hành IMDSv2 bổ sung thêm một lớp bảo vệ bằng cách sử dụng xác thực phiên. Với IMDSv2, mỗi phiên bắt đầu bằng một yêu cầu PUT tới IMDSv2 để nhận mã thông báo bảo mật, có thời gian hết hạn, có thể tối thiểu là 1 giây và tối đa là 6 giờ. Mọi yêu cầu GET tiếp theo tới IMDS đều phải gửi mã thông báo kết quả dưới dạng tiêu đề để nhận được phản hồi thành công. Khi hết thời hạn đã chỉ định, cần có mã thông báo mới cho các yêu cầu trong tương lai.

Cuộc gọi IMDSv1 mẫu trông giống như đoạn mã sau:

curl http://169.254.169.254/latest/meta-data/profile

Với IMDSv2, cuộc gọi trông giống như đoạn mã sau:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` 

curl http://169.254.169.254/latest/meta-data/profile -H "X-aws-ec2-metadata-token: $TOKEN"

Việc sử dụng IMDSv2 và đặt nó làm phiên bản tối thiểu mang lại nhiều lợi ích bảo mật khác nhau so với IMDSv1. IMDSv2 bảo vệ khỏi các cấu hình Tường lửa ứng dụng web (WAF) không hạn chế, mở proxy ngược, lỗ hổng Giả mạo yêu cầu phía máy chủ (SSRF) cũng như tường lửa lớp 3 mở và NAT có thể được sử dụng để truy cập siêu dữ liệu phiên bản. Để so sánh chi tiết, xem Tăng cường khả năng bảo vệ chuyên sâu chống lại tường lửa mở, proxy ngược và lỗ hổng SSRF bằng các cải tiến đối với Dịch vụ siêu dữ liệu phiên bản EC2.

Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách định cấu hình sổ ghi chép SageMaker chỉ hỗ trợ IMDSv2. Chúng tôi cũng chia sẻ gói hỗ trợ cho IMDSv1 và cách bạn có thể thực thi IMDSv2 trên sổ ghi chép của mình.

Có gì mới với hỗ trợ IMDSv2 và SageMaker

Giờ đây, bạn có thể đặt cấu hình phiên bản IMDS của Phiên bản sổ ghi chép SageMaker trong khi tạo hoặc cập nhật phiên bản. Bạn có thể thực hiện việc này thông qua API SageMaker hoặc Bảng điều khiển SageMaker với tham số phiên bản IMDS tối thiểu. Phiên bản IMDS tối thiểu chỉ định phiên bản được hỗ trợ tối thiểu. Đặt giá trị thành 1 cho phép hỗ trợ cho cả IMDSv1 và IMDSv2 và đặt phiên bản tối thiểu thành 2 chỉ hỗ trợ IMDSv2. Với sổ ghi chép chỉ có IMDSv2, bạn có thể tận dụng khả năng bảo vệ bổ sung theo chiều sâu mà IMDSv2 cung cấp.

Chúng tôi cũng cung cấp một Khóa điều kiện SageMaker cho chính sách IAM cho phép bạn hạn chế phiên bản IMDS dành cho Phiên bản Notebook thông qua Tạo NotebookInstance và Cập nhậtNotebookInstance Cuộc gọi API. Quản trị viên có thể sử dụng phím điều kiện này để hạn chế người dùng cuối của họ tạo và/hoặc cập nhật sổ ghi chép để chỉ hỗ trợ IMDSv2. Bạn có thể thêm khóa điều kiện này vào Quản lý truy cập và nhận dạng AWS (IAM) đính kèm với người dùng IAM, vai trò hoặc nhóm chịu trách nhiệm tạo và cập nhật sổ ghi chép.

Ngoài ra, bạn cũng có thể chuyển đổi giữa các cấu hình phiên bản IMDS bằng cách sử dụng tham số phiên bản IMDS tối thiểu trong SageMaker Cập nhậtNotebookInstance API.

Hiện tại, hỗ trợ định cấu hình phiên bản IMDS và giới hạn phiên bản IMDS ở phiên bản v2 chỉ khả dụng ở tất cả các Khu vực AWS có sẵn Phiên bản sổ ghi chép SageMaker.

Gói hỗ trợ dành cho các phiên bản IMDS trên Phiên bản sổ ghi chép SageMaker

Vào ngày 1 tháng 2022 năm 1, chúng tôi đã triển khai hỗ trợ kiểm soát phiên bản IMDS tối thiểu để sử dụng với Phiên bản sổ ghi chép Amazon SageMaker. Tất cả các Phiên bản Notebook được khởi chạy trước ngày 2022 tháng 1 năm 2 sẽ có phiên bản tối thiểu mặc định được đặt thành XNUMX. Bạn sẽ có tùy chọn cập nhật phiên bản tối thiểu lên XNUMX bằng cách sử dụng API SageMaker hoặc bảng điều khiển.

Định cấu hình phiên bản IMDS trên Phiên bản sổ ghi chép SageMaker của bạn

Bạn có thể định cấu hình phiên bản IMDS tối thiểu cho sổ ghi chép SageMaker thông qua bảng điều khiển AWS SageMaker (xem Tạo một Instance Notebook), SDK hoặc Giao diện dòng lệnh AWS (AWS CLI). Đây là cấu hình tùy chọn, với giá trị mặc định được đặt thành 1, nghĩa là phiên bản máy tính xách tay sẽ hỗ trợ cả cuộc gọi IMDSv1 và IMDSv2.

Khi tạo một phiên bản sổ ghi chép mới trên bảng điều khiển SageMaker, giờ đây bạn có tùy chọn Phiên bản IMDS tối thiểu để chỉ định phiên bản IMDS được hỗ trợ tối thiểu, như minh họa trong ảnh chụp màn hình sau. Nếu giá trị được đặt thành 1 thì cả IMDSv1 và IMDSv2 đều được hỗ trợ. Nếu giá trị được đặt thành 2 thì chỉ IMDSv2 được hỗ trợ.

Bạn cũng có thể chỉnh sửa phiên bản sổ ghi chép hiện có để chỉ hỗ trợ IMDSv2 bằng bảng điều khiển SageMaker, như minh họa trong ảnh chụp màn hình sau.

Giá trị mặc định sẽ vẫn là 1 cho đến ngày 31 tháng 2022 năm 2 và sẽ chuyển sang 31 vào ngày 2022 tháng XNUMX năm XNUMX.

Khi sử dụng AWS CLI để tạo sổ ghi chép, bạn có thể sử dụng MinimumInstanceMetadataServiceVersion tham số để đặt phiên bản IMDS được hỗ trợ tối thiểu:

   "InstanceMetadataServiceConfiguration": {
      "MinimumInstanceMetadataServiceVersion": "string"
      //Valid Inputs: "1","2"
   }

Sau đây là lệnh AWS CLI mẫu để tạo phiên bản sổ ghi chép chỉ hỗ trợ IMDSv2:

aws sagemaker create-notebook-instance
    --region region 
    --notebook-instance-name my-imds-v2-instance 
    --instance-type ml.t3.medium
    --role-arn sagemaker-execution-role-arn 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Nếu bạn muốn cập nhật sổ ghi chép hiện có để chỉ hỗ trợ IMDSv2, bạn có thể thực hiện việc đó bằng cách sử dụng Cập nhậtNotebookInstance API:

aws sagemaker update-notebook-instance
    --region region 
    --notebook-instance-name my-existing-instance-name 
    --instance-metadata-service-configuration MinimumInstanceMetadataServiceVersion=2

Thực thi IMDSv2 cho tất cả các phiên bản sổ ghi chép SageMaker

Bạn có thể sử dụng phím điều kiện để buộc người dùng của bạn chỉ có thể tạo hoặc cập nhật Phiên bản Notebook chỉ hỗ trợ IMDSv2, nhằm tăng cường bảo mật. Bạn có thể sử dụng khóa điều kiện này trong chính sách IAM được đính kèm với người dùng IAM, vai trò hoặc nhóm chịu trách nhiệm tạo và cập nhật sổ ghi chép hoặc Tổ chức AWS chính sách kiểm soát dịch vụ.

Sau đây là câu lệnh chính sách mẫu hạn chế cả việc tạo và cập nhật API phiên bản sổ ghi chép để chỉ cho phép IMDSv2:

{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Sid": "AllowSagemakerWithIMDSv2Only",
            "Effect": "Allow",
            "Action":
            [
                "sagemaker:CreateNotebookInstance",
                "sagemaker:UpdateNotebookInstance"
            ],
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "sagemaker:MinimumInstanceMetadataServiceVersion": "2"
                }
            }
        }
    ]
}

Kết luận

Hôm nay, chúng tôi đã công bố hỗ trợ đặt cấu hình và hạn chế về mặt quản trị phiên bản Dịch vụ siêu dữ liệu phiên bản (IMDS) của bạn dành cho Phiên bản máy tính xách tay. Chúng tôi đã hướng dẫn bạn cách định cấu hình phiên bản IMDS cho sổ ghi chép mới và hiện có của bạn bằng bảng điều khiển SageMaker và AWS CLI. Chúng tôi cũng đã chỉ cho bạn cách hạn chế về mặt quản trị các phiên bản IMDS bằng cách sử dụng các khóa điều kiện IAM và thảo luận về những ưu điểm của việc chỉ hỗ trợ IMDSv2.

Nếu bạn có bất kỳ câu hỏi và phản hồi nào về IMDSv2, vui lòng liên hệ với người liên hệ hỗ trợ AWS của bạn hoặc gửi tin nhắn trong Amazon EC2 và Amazon SageMaker diễn đàn thảo luận.

Về các tác giả

Apoorva Gupta là Kỹ sư phần mềm của nhóm SageMaker Notebooks. Trọng tâm của cô là giúp khách hàng tận dụng SageMaker hiệu quả hơn trong mọi khía cạnh hoạt động ML của họ. Cô đã đóng góp cho Amazon SageMaker Notebooks từ năm 2021. Khi rảnh rỗi, cô thích đọc sách, vẽ tranh, làm vườn, nấu ăn và đi du lịch.

Durga Sury là Kiến trúc sư giải pháp ML trong nhóm Amazon SageMaker Service SA. Cô ấy đam mê làm cho việc học máy có thể tiếp cận được với mọi người. Trong 3 năm làm việc tại AWS, cô đã giúp thiết lập nền tảng AI/ML cho khách hàng doanh nghiệp. Trước AWS, cô đã giúp các cơ quan chính phủ và phi lợi nhuận thu được thông tin chuyên sâu từ dữ liệu của họ để cải thiện kết quả giáo dục. Khi không làm việc, cô ấy thích đi xe máy, tiểu thuyết bí ẩn và đi bộ đường dài với chú chó husky bốn tuổi của mình.

Siddhanth Deshpande là Giám đốc Kỹ thuật tại Amazon Web Services (AWS). Trọng tâm hiện tại của anh là xây dựng các dịch vụ công cụ và cơ sở hạ tầng Machine Learning (ML) được quản lý tốt nhất nhằm thu hút khách hàng từ “Tôi cần sử dụng ML” đến “Tôi đang sử dụng ML thành công” một cách nhanh chóng và dễ dàng. Anh đã làm việc cho AWS từ năm 2013 với nhiều vai trò kỹ thuật khác nhau, phát triển các dịch vụ AWS như Amazon Simple notification Service, Amazon Simple Queue Service, Amazon EC2, Amazon Pinpoint và Amazon SageMaker. Trong thời gian rảnh rỗi, anh thích dành thời gian cho gia đình, đọc sách, nấu ăn, làm vườn và đi du lịch khắp thế giới.

Prashant Pawan Pisipati là Giám đốc Sản phẩm Chính tại Amazon Web Services (AWS). Anh ấy đã xây dựng các sản phẩm khác nhau trên AWS và Alexa, đồng thời hiện đang tập trung vào việc giúp những người thực hiện Học máy làm việc hiệu quả hơn thông qua các dịch vụ AWS.

Edwin Bejarano là Kỹ sư phần mềm của nhóm SageMaker Notebooks. Anh ấy là một cựu chiến binh Không quân, đã làm việc cho Amazon từ năm 2017 với những đóng góp cho các dịch vụ như AWS Lambda, Amazon Pinpoint, Chương trình miễn thuế Amazon và Amazon SageMaker. Khi rảnh rỗi, anh thích đọc sách, đi bộ đường dài, đi xe đạp và chơi trò chơi điện tử.