As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub para IA SageMaker
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos de SageMaker IA da Amazon. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Gravidade: alta
Tipo de recurso: AWS::SageMaker::NotebookInstance
Regra do AWS Config : sagemaker-notebook-no-direct-internet-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o acesso direto à Internet está desativado para uma instância de notebook SageMaker AI. O controle falhará se o campo DirectInternetAccess estiver habilitado para a instância de notebook.
Se você configurar sua instância de SageMaker IA sem uma VPC, por padrão, o acesso direto à Internet será habilitado em sua instância. É necessário configurar sua instância com uma VPC e alterar a configuração padrão para Desabilitar: acessar a Internet por meio de uma VPC. Para treinar ou hospedar modelos a partir de um notebook, você precisa de acesso à Internet. Para habilitar o acesso à Internet, a VPC deve ter um endpoint de interface (AWS PrivateLink) ou um gateway de NAT e um grupo de segurança que permita conexões de saída. Para saber mais sobre como conectar uma instância de notebook a recursos em uma VPC, consulte Conectar uma instância de notebook a recursos em uma VPC no Amazon SageMaker AI Developer Guide. Você também deve garantir que o acesso à sua configuração de SageMaker IA seja limitado somente aos usuários autorizados. Restrinja as permissões do IAM que permitem que os usuários alterem as configurações e os recursos de SageMaker IA.
Correção
Você não pode alterar a configuração do acesso à Internet depois de criar uma instância do notebook. Em vez disso, é possível parar, excluir e recriar a instância com acesso bloqueado à Internet. Para excluir uma instância de notebook que permite acesso direto à Internet, consulte Usar instâncias de notebook para criar modelos: Limpeza no Amazon SageMaker AI Developer Guide. Para recriar uma instância do notebook que nega o acesso à Internet, consulte Criar uma instância do notebook. Em Rede, Acesso direto à Internet, escolha Desabilitar: acessar a Internet por meio de uma VPC.
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos na VPC
Gravidade: alta
Tipo de recurso: AWS::SageMaker::NotebookInstance
Regra do AWS Config : sagemaker-notebook-instance-inside-vpc
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma instância de notebook Amazon SageMaker AI é executada em uma nuvem privada virtual (VPC) personalizada. Esse controle falhará se uma instância do notebook de SageMaker IA não for iniciada em uma VPC personalizada ou se for iniciada na VPC do serviço de SageMaker IA.
Sub-redes são intervalos de endereços IP em uma VPC. Recomendamos manter seus recursos dentro de uma VPC personalizada sempre que possível para garantir a proteção segura da rede de sua infraestrutura. Uma Amazon VPC é uma rede virtual dedicada à sua. Conta da AWS Com uma Amazon VPC, você pode controlar o acesso à rede e a conectividade com a Internet de suas instâncias de SageMaker AI Studio e notebook.
Correção
Você não pode alterar a configuração da VPC depois de criar uma instância do notebook. Em vez disso, você pode parar, excluir e recriar a instância. Para obter instruções, consulte Usar instâncias de notebook para criar modelos: Limpeza no Amazon SageMaker AI Developer Guide.
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
Categoria: Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
Gravidade: alta
Tipo de recurso: AWS::SageMaker::NotebookInstance
Regra do AWS Config : sagemaker-notebook-instance-root-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o acesso root está ativado para uma instância de notebook Amazon SageMaker AI. O controle falhará se o acesso root estiver ativado para uma instância de notebook de SageMaker IA.
Seguindo o princípio do privilégio mínimo, é uma prática recomendada de segurança restringir o acesso raiz aos recursos da instância para evitar o provisionamento excessivo involuntário de permissões.
Correção
Para restringir o acesso root às instâncias do notebook SageMaker AI, consulte Controlar o acesso root a uma instância do notebook SageMaker AI no Amazon SageMaker AI Developer Guide.
[SageMaker.4] As variantes de produção de SageMaker endpoints devem ter uma contagem inicial de instâncias maior que 1
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
Categoria: Recuperação > Resiliência > Alta disponibilidade
Gravidade: média
Tipo de recurso: AWS::SageMaker::EndpointConfig
Regra do AWS Config : sagemaker-endpoint-config-prod-instance-count
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se as variantes de produção de um endpoint de SageMaker IA da Amazon têm uma contagem inicial de instâncias maior que 1. O controle falhará se as variantes de produção do endpoint tiverem apenas 1 instância inicial.
As variantes de produção executadas com uma contagem de instâncias maior que 1 permitem a redundância de instâncias Multi-AZ gerenciada pela IA. SageMaker A implantação de recursos em várias zonas de disponibilidade é uma prática AWS recomendada para fornecer alta disponibilidade em sua arquitetura. A alta disponibilidade ajuda você a se recuperar de incidentes de segurança.
nota
Esse controle se aplica somente à configuração de endpoint baseada na instância.
Correção
Para obter mais informações sobre os parâmetros da configuração do endpoint, consulte Criar uma configuração de endpoint no Amazon SageMaker AI Developer Guide.
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: média
Tipo de recurso: AWS::SageMaker::Model
Regra do AWS Config : sagemaker-model-isolation-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um modelo hospedado pela Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se o parâmetro EnableNetworkIsolation do modelo hospedado estiver definido como False.
SageMaker O treinamento de IA e os contêineres de inferência implantados são habilitados para a Internet por padrão. Se você não quiser que a SageMaker IA forneça acesso externo à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede. Se você habilitar o isolamento de rede, nenhuma chamada de rede de entrada ou saída poderá ser feita de ou para o contêiner do modelo, incluindo chamadas de ou para outros Serviços da AWS. Além disso, nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. Ativar o isolamento da rede ajuda a impedir o acesso não intencional aos seus recursos de SageMaker IA pela Internet.
nota
Em 13 de agosto de 2025, o Security Hub CSPM alterou o título e a descrição desse controle. O novo título e a descrição refletem com mais precisão que o controle verifica a configuração do EnableNetworkIsolation parâmetro dos modelos hospedados pela Amazon SageMaker AI. Anteriormente, o título desse controle era: SageMaker models should block inbound
traffic.
Correção
Para obter mais informações sobre isolamento de rede para modelos de SageMaker IA, consulte Executar contêineres de treinamento e inferência no modo sem internet no Amazon SageMaker AI Developer Guide. Quando você cria um modelo, é possível habilitar o isolamento de rede definindo o valor do parâmetro EnableNetworkIsolation como True.
[SageMaker.6] as configurações da imagem SageMaker do aplicativo devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::SageMaker::AppImageConfig
Regra do AWS Config : sagemaker-app-image-config-tagged
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredKeyTags |
Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma configuração de imagem do aplicativo Amazon SageMaker AI (AppImageConfig) tem as chaves de tag especificadas pelo requiredKeyTags parâmetro. O controle falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro requiredKeyTags. Se você não especificar nenhum valor para o parâmetro requiredKeyTags, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração de imagem da aplicação não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo aws:.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte Definição de permissões baseadas em atributos com autorização do ABAC no Guia do usuário do IAM. Para obter mais informações sobre tags, consulte o Guia do usuário dos AWS recursos de marcação e do editor de tags.
nota
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
Correção
Para adicionar tags a uma configuração de imagem do aplicativo Amazon SageMaker AI (AppImageConfig), você pode usar a AddTagsoperação da API SageMaker AI ou, se estiver usando a AWS CLI, executar o comando add-tags.
[SageMaker.7] SageMaker as imagens devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::SageMaker::Image
Regra do AWS Config : sagemaker-image-tagged
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredKeyTags |
Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma imagem do Amazon SageMaker AI tem as chaves de tag especificadas pelo requiredKeyTags parâmetro. O controle falhará se a imagem não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro requiredKeyTags. Se você não especificar nenhum valor para o parâmetro requiredKeyTags, o controle verificará apenas a existência de uma chave de tag e falhará se a imagem não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo aws:.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte Definição de permissões baseadas em atributos com autorização do ABAC no Guia do usuário do IAM. Para obter mais informações sobre tags, consulte o Guia do usuário dos AWS recursos de marcação e do editor de tags.
nota
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
Correção
Para adicionar tags a uma imagem de SageMaker IA da Amazon, você pode usar a AddTagsoperação da API de SageMaker IA ou, se estiver usando a AWS CLI, executar o comando add-tags.
[SageMaker.8] as instâncias do SageMaker notebook devem ser executadas em plataformas compatíveis
Categoria: Detectar > Gerenciamento de vulnerabilidades, patches e versões
Gravidade: média
Tipo de recurso: AWS::SageMaker::NotebookInstance
Regra do AWS Config : sagemaker-notebook-instance-platform-version
Tipo de programação: Periódico
Parâmetros:
-
supportedPlatformIdentifierVersions:notebook-al2-v3(não personalizável)
Esse controle verifica se uma instância do notebook Amazon SageMaker AI está configurada para ser executada em uma plataforma compatível, com base no identificador da plataforma especificado para a instância do notebook. O controle falhará se a instância do notebook estiver configurada para ser executada em uma plataforma para a qual não haja mais suporte.
Se a plataforma de uma instância de notebook Amazon SageMaker AI não for mais suportada, ela poderá não receber patches de segurança, correções de bugs ou outros tipos de atualizações. As instâncias do notebook podem continuar funcionando, mas não receberão atualizações de segurança de SageMaker IA nem correções críticas de bugs. Você assume os riscos associados ao uso de uma plataforma sem suporte. Para obter mais informações, consulte o controle de JupyterLabversão no Amazon SageMaker AI Developer Guide.
Correção
Para obter informações sobre as plataformas que a Amazon SageMaker AI suporta atualmente e como migrar para elas, consulte as instâncias do notebook Amazon Linux 2 no Amazon SageMaker AI Developer Guide.
[SageMaker.9] as definições de tarefas SageMaker de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::SageMaker::DataQualityJobDefinition
Regra do AWS Config : sagemaker-data-quality-job-encrypt-in-transit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma definição de trabalho de qualidade de dados do Amazon SageMaker AI tem criptografia habilitada para tráfego entre contêineres. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados não tiver a criptografia habilitada para o tráfego entre contêineres.
A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML durante o processamento distribuído para análise da qualidade dos dados.
Correção
Para obter mais informações sobre criptografia de tráfego entre contêineres para Amazon SageMaker AI, consulte Protect Communications Between ML Compute Instances in a Distributed Training Job no Amazon SageMaker AI Developer Guide. Ao criar uma definição de tarefa de qualidade de dados, você pode habilitar a criptografia de tráfego entre contêineres definindo o valor do EnableInterContainerTrafficEncryption parâmetro como. True
[SageMaker.10] As definições de tarefas de explicabilidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::SageMaker::ModelExplainabilityJobDefinition
Regra do AWS Config : sagemaker-model-explainability-job-encrypt-in-transit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a definição de tarefa de explicabilidade SageMaker do modelo da Amazon tem a criptografia de tráfego entre contêineres ativada. O controle falhará se a definição do trabalho de explicabilidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.
A ativação da criptografia de tráfego entre contêineres protege dados confidenciais de ML, como dados de modelo, conjuntos de dados de treinamento, resultados de processamento intermediário, parâmetros e pesos do modelo durante o processamento distribuído para análise de explicabilidade.
Correção
Para uma definição de tarefa de explicabilidade de um SageMaker modelo existente, a criptografia de tráfego entre contêineres não pode ser atualizada em vigor. Para criar uma nova definição de tarefa de explicabilidade do SageMaker modelo com a criptografia de tráfego entre contêineres ativada, use a API ou a CLI ou e defina como. CloudFormationEnableInterContainerTrafficEncryptionTrue
[SageMaker.11] as definições de trabalho de qualidade de SageMaker dados devem ter o isolamento de rede ativado
Categoria: Proteger > Configuração de rede segura
Gravidade: média
Tipo de recurso: AWS::SageMaker::DataQualityJobDefinition
Regra do AWS Config : sagemaker-data-quality-job-isolation
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma definição de trabalho de monitoramento de qualidade de dados da Amazon SageMaker AI tem o isolamento de rede ativado. O controle falhará se a definição de uma tarefa que monitora a qualidade e o desvio dos dados tiver o isolamento da rede desativado.
O isolamento da rede reduz a superfície de ataque e impede o acesso externo, protegendo assim contra acesso externo não autorizado, exposição acidental de dados e possível exfiltração de dados.
Correção
Para obter mais informações sobre isolamento de rede para SageMaker IA, consulte Executar contêineres de treinamento e inferência no modo sem internet no Amazon SageMaker AI Developer Guide. Ao criar uma definição de tarefa de qualidade de dados, você pode ativar o isolamento da rede definindo o valor do EnableNetworkIsolation parâmetro comoTrue.
[SageMaker.12] as definições de tarefas de viés de SageMaker modelo devem ter o isolamento de rede ativado
Categoria: Proteger > Configuração de rede segura > Configuração da política de recursos
Gravidade: média
Tipo de recurso: AWS::SageMaker::ModelBiasJobDefinition
Regra do AWS Config : sagemaker-model-bias-job-isolation
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a definição de tarefa de polarização do SageMaker modelo tem o isolamento de rede ativado. O controle falhará se a definição da tarefa de polarização do modelo não tiver o isolamento de rede ativado.
O isolamento da rede impede que trabalhos tendenciosos do SageMaker modelo se comuniquem com recursos externos pela Internet. Ao habilitar o isolamento da rede, você garante que os contêineres do trabalho não possam fazer conexões de saída, reduzindo a superfície de ataque e protegendo dados confidenciais da exfiltração. Isso é particularmente importante para trabalhos que processam dados regulamentados ou confidenciais.
Correção
Para ativar o isolamento da rede, você deve criar uma nova definição de tarefa de polarização do modelo com o EnableNetworkIsolation parâmetro definido comoTrue. O isolamento da rede não pode ser modificado após a criação da definição do trabalho. Para criar uma nova definição de trabalho tendenciosa de modelo, consulte CreateModelBiasJobDefinitiono Amazon SageMaker AI Developer Guide.
[SageMaker.13] as definições de trabalho de qualidade do SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::SageMaker::ModelQualityJobDefinition
Regra do AWS Config : ssagemaker-model-quality-job-encrypt-in-transit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as definições de trabalho de qualidade do SageMaker modelo Amazon têm criptografia em trânsito habilitada para tráfego entre contêineres. O controle falhará se a definição de tarefa de qualidade do modelo não tiver a criptografia de tráfego entre contêineres ativada.
A criptografia de tráfego entre contêineres protege os dados transmitidos entre contêineres durante trabalhos de monitoramento da qualidade do modelo distribuído. Por padrão, o tráfego entre contêineres não é criptografado. A ativação da criptografia ajuda a manter a confidencialidade dos dados durante o processamento e apoia a conformidade com os requisitos normativos para proteção de dados em trânsito.
Correção
Para habilitar a criptografia de tráfego entre contêineres para sua definição de trabalho de qualidade de SageMaker modelo da Amazon, você deve recriar a definição de trabalho com a configuração apropriada de criptografia em trânsito. Para criar uma definição de trabalho com qualidade de modelo, consulte CreateModelQualityJobDefinitiono Amazon SageMaker AI Developer Guide.
[SageMaker.14] os cronogramas SageMaker de monitoramento devem ter o isolamento de rede ativado
Categoria: Proteger > Configuração de rede segura
Gravidade: média
Tipo de recurso: AWS::SageMaker::MonitoringSchedule
Regra do AWS Config : sagemaker-monitoring-schedule-isolation
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os cronogramas de SageMaker monitoramento da Amazon têm o isolamento de rede ativado. O controle falhará se um cronograma de monitoramento for EnableNetworkIsolation definido como falso ou não configurado
O isolamento da rede impede que os trabalhos de monitoramento façam chamadas de rede de saída, reduzindo a superfície de ataque ao eliminar o acesso à Internet dos contêineres.
Correção
Para obter informações sobre como configurar o isolamento de rede no NetworkConfig parâmetro ao criar ou atualizar um cronograma de monitoramento, consulte CreateMonitoringScheduleou UpdateMonitoringScheduleno Amazon SageMaker AI Developer Guide.
[SageMaker.15] As definições de tarefas de viés de SageMaker modelo devem ter a criptografia de tráfego entre contêineres ativada
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::SageMaker::ModelBiasJobDefinition
Regra do AWS Config : sagemaker-model-bias-job-encrypt-in-transit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as definições de trabalho tendenciosas do SageMaker modelo da Amazon têm a criptografia de tráfego entre contêineres ativada ao usar várias instâncias de computação. O controle falhará se EnableInterContainerTrafficEncryption for definido como falso ou não estiver configurado para definições de tarefas com uma contagem de instâncias igual ou superior a 2.
EInter- a criptografia de tráfego de contêineres protege os dados transmitidos entre instâncias de computação durante trabalhos de monitoramento de viés de modelos distribuídos. A criptografia impede o acesso não autorizado a informações relacionadas ao modelo, como pesos que são transmitidos entre instâncias.
Correção
Para habilitar a criptografia de tráfego entre contêineres para definições de tarefas com polarização de SageMaker modelo, defina o EnableInterContainerTrafficEncryption parâmetro como True quando a definição de tarefa usa várias instâncias de computação. Para obter informações sobre como proteger as comunicações entre instâncias de computação de ML, consulte Protect Communications Between ML Compute Instances in a Distributed Training Job no Amazon SageMaker AI Developer Guide.
