Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub CSPM pour l'IA SageMaker

Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon SageMaker AI. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

Exigences connexes : NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::SageMaker::NotebookInstance

Règle AWS Config  : sagemaker-notebook-no-direct-internet-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'accès direct à Internet est désactivé pour une instance de bloc-notes SageMaker AI. Le contrôle échoue si le DirectInternetAccess champ est activé pour l'instance de bloc-notes.

Si vous configurez votre instance SageMaker AI sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et modifier le paramètre par défaut sur Disable—Accéder à Internet via un VPC. Pour entraîner ou héberger des modèles à partir d'un ordinateur portable, vous devez avoir accès à Internet. Pour permettre l'accès à Internet, votre VPC doit disposer d'un point de terminaison d'interface (AWS PrivateLink) ou d'une passerelle NAT et d'un groupe de sécurité qui autorise les connexions sortantes. Pour en savoir plus sur la façon de connecter une instance de bloc-notes aux ressources d'un VPC, consultez la section Connecter une instance de bloc-notes aux ressources d'un VPC dans le manuel Amazon SageMaker AI Developer Guide. Vous devez également vous assurer que l'accès à votre configuration SageMaker AI est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM qui permettent aux utilisateurs de modifier les paramètres et les ressources de l' SageMaker IA.

Correction

Vous ne pouvez pas modifier le paramètre d'accès à Internet après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance avec un accès Internet bloqué. Pour supprimer une instance de bloc-notes qui permet un accès direct à Internet, consultez la section Utiliser des instances de bloc-notes pour créer des modèles : nettoyage dans le manuel Amazon SageMaker AI Developer Guide. Pour recréer une instance de bloc-notes qui refuse l'accès à Internet, consultez la section Créer une instance de bloc-notes. Pour Réseau, Accès direct à Internet, choisissez Désactiver : accéder à Internet via un VPC.

[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé

Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC

Gravité : Élevée

Type de ressource : AWS::SageMaker::NotebookInstance

Règle AWS Config  : sagemaker-notebook-instance-inside-vpc

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est lancée dans un cloud privé virtuel (VPC) personnalisé. Ce contrôle échoue si une instance de bloc-notes SageMaker AI n'est pas lancée dans un VPC personnalisé ou si elle est lancée dans le VPC du service SageMaker AI.

Les sous-réseaux sont une plage d'adresses IP au sein d'un VPC. Nous vous recommandons de conserver vos ressources dans un VPC personnalisé dans la mesure du possible afin de garantir une protection réseau sécurisée de votre infrastructure. Un Amazon VPC est un réseau virtuel dédié à votre. Compte AWS Avec un Amazon VPC, vous pouvez contrôler l'accès au réseau et la connectivité Internet de vos instances d' SageMaker AI Studio et de bloc-notes.

Correction

Vous ne pouvez pas modifier le paramètre VPC après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance. Pour obtenir des instructions, consultez la section Utiliser des instances de bloc-notes pour créer des modèles : nettoyage dans le manuel Amazon SageMaker AI Developer Guide.

[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

Exigences associées : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)

Catégorie : Protection > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root

Gravité : Élevée

Type de ressource : AWS::SageMaker::NotebookInstance

Règle AWS Config  : sagemaker-notebook-instance-root-access-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'accès root est activé pour une instance de bloc-notes Amazon SageMaker AI. Le contrôle échoue si l'accès root est activé pour une instance de bloc-notes SageMaker AI.

Conformément au principe du moindre privilège, il est recommandé en matière de sécurité de restreindre l'accès root aux ressources de l'instance afin d'éviter un surprovisionnement involontaire des autorisations.

Correction

Pour restreindre l'accès root aux instances de bloc-notes SageMaker AI, consultez la section Contrôler l'accès root à une instance de bloc-notes SageMaker AI dans le manuel Amazon SageMaker AI Developer Guide.

[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::SageMaker::EndpointConfig

Règle AWS Config  : sagemaker-endpoint-config-prod-instance-count

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si les variantes de production d'un point de terminaison Amazon SageMaker AI ont un nombre initial d'instances supérieur à 1. Le contrôle échoue si les variantes de production du point de terminaison ne possèdent qu'une seule instance initiale.

Les variantes de production exécutées avec un nombre d'instances supérieur à 1 permettent la redondance des instances multi-AZ gérée par l'IA. SageMaker Le déploiement de ressources sur plusieurs zones de disponibilité est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La haute disponibilité vous aide à vous remettre d'un incident de sécurité.

Correction

Pour plus d'informations sur les paramètres de configuration d'un point de terminaison, consultez la section Créer une configuration de point de terminaison dans le manuel Amazon SageMaker AI Developer Guide.

[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Moyenne

Type de ressource : AWS::SageMaker::Model

Règle AWS Config  : sagemaker-model-isolation-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'isolation du réseau est activée sur un modèle hébergé par Amazon SageMaker AI. Le contrôle échoue si le EnableNetworkIsolation paramètre du modèle hébergé est défini surFalse.

SageMaker La formation à l'IA et les conteneurs d'inférence déployés sont compatibles avec Internet par défaut. Si vous ne souhaitez pas que l' SageMaker IA fournisse un accès réseau externe à vos conteneurs de formation ou d'inférence, vous pouvez activer l'isolation du réseau. Si vous activez l'isolation du réseau, aucun appel réseau entrant ou sortant ne peut être effectué vers ou depuis le conteneur modèle, y compris les appels vers ou depuis un autre conteneur. Services AWS En outre, aucune information AWS d'identification n'est mise à la disposition de l'environnement d'exécution du conteneur. L'activation de l'isolation du réseau permet d'empêcher tout accès involontaire à vos ressources d' SageMaker IA depuis Internet.

Correction

Pour plus d'informations sur l'isolation du réseau pour les modèles d' SageMaker IA, consultez la section Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le manuel Amazon SageMaker AI Developer Guide. Lorsque vous créez un modèle, vous pouvez activer l'isolation du réseau en définissant la valeur du EnableNetworkIsolation paramètre surTrue.

[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::SageMaker::AppImageConfig

Règle AWS Config  : sagemaker-app-image-config-tagged

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si la configuration d'image d'une application Amazon SageMaker AI (AppImageConfig) possède les clés de balise spécifiées par le requiredKeyTags paramètre. Le contrôle échoue si la configuration de l'image de l'application ne comporte aucune clé de balise ou si toutes les clés spécifiées par le requiredKeyTags paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le requiredKeyTags paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration de l'image de l'application ne comporte aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le aws: préfixe.

Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC dans le guide de l'utilisateur IAM. Pour plus d'informations sur les balises, consultez le guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises.

Correction

Pour ajouter des balises à la configuration d'une image d'une application Amazon SageMaker AI (AppImageConfig), vous pouvez utiliser le AddTagsfonctionnement de l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande add tags.

[SageMaker.7] les SageMaker images doivent être balisées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::SageMaker::Image

Règle AWS Config  : sagemaker-image-tagged

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si une image Amazon SageMaker AI possède les clés de balise spécifiées par le requiredKeyTags paramètre. Le contrôle échoue si l'image ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le requiredKeyTags paramètre. Si vous ne spécifiez aucune valeur pour le requiredKeyTags paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'image ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le aws: préfixe.

Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC dans le guide de l'utilisateur IAM. Pour plus d'informations sur les balises, consultez le guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises.

Correction

Pour ajouter des balises à une image Amazon SageMaker AI, vous pouvez AddTagsutiliser l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande add tags.

[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge

Catégorie : Détecter > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Moyenne

Type de ressource : AWS::SageMaker::NotebookInstance

Règle AWS Config  : sagemaker-notebook-instance-platform-version

Type de calendrier : Périodique

Paramètres :

Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Le contrôle échoue si l'instance du bloc-notes est configurée pour s'exécuter sur une plate-forme qui n'est plus prise en charge.

Si la plate-forme d'une instance de bloc-notes Amazon SageMaker AI n'est plus prise en charge, elle risque de ne pas recevoir de correctifs de sécurité, de corrections de bogues ou d'autres types de mises à jour. Les instances Notebook peuvent continuer à fonctionner, mais elles ne recevront pas de mises à jour de sécurité SageMaker liées à l'IA ni de corrections de bogues critiques. Vous assumez les risques associés à l'utilisation d'une plateforme non prise en charge. Pour plus d'informations, consultez la section JupyterLabGestion des versions dans le manuel Amazon SageMaker AI Developer Guide.

Correction

Pour plus d'informations sur les plateformes actuellement prises en charge par Amazon SageMaker AI et sur la manière de les migrer, consultez les instances de bloc-notes Amazon Linux 2 dans le manuel Amazon SageMaker AI Developer Guide.

[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::SageMaker::DataQualityJobDefinition

Règle AWS Config  : sagemaker-data-quality-job-encrypt-in-transit

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le chiffrement du trafic entre conteneurs est activé dans le cadre d'une définition de tâche de qualité des données Amazon SageMaker AI. Le contrôle échoue si le chiffrement du trafic entre conteneurs n'est pas activé dans la définition d'une tâche qui surveille la qualité et la dérive des données.

L'activation du chiffrement du trafic entre conteneurs protège les données ML sensibles lors du traitement distribué à des fins d'analyse de la qualité des données.

Correction

Pour plus d'informations sur le chiffrement du trafic inter-conteneurs pour Amazon SageMaker AI, consultez la section Protect communications between ML Compute Instances in a Distributed Training Job dans le manuel Amazon SageMaker AI Developer Guide. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer le chiffrement du trafic inter-conteneurs en définissant la valeur du EnableInterContainerTrafficEncryption paramètre sur. True

[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::SageMaker::ModelExplainabilityJobDefinition

Règle AWS Config  : sagemaker-model-explainability-job-encrypt-in-transit

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans une définition de tâche d'explicabilité du SageMaker modèle Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition de la tâche d'explicabilité du modèle.

L'activation du chiffrement du trafic inter-conteneurs protège les données ML sensibles telles que les données de modèle, les ensembles de données d'entraînement, les résultats de traitement intermédiaires, les paramètres et les poids des modèles lors du traitement distribué à des fins d'analyse d'explicabilité.

Correction

Pour la définition d'une tâche d'explicabilité d'un SageMaker modèle existant, le chiffrement du trafic inter-conteneurs ne peut pas être mis à jour en place. Pour créer une nouvelle définition de tâche explicable du SageMaker modèle avec le chiffrement du trafic inter-conteneurs activé, utilisez l'API ou la CLI ou définissez CloudFormationsur. EnableInterContainerTrafficEncryptionTrue

[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::SageMaker::DataQualityJobDefinition

Règle AWS Config  : sagemaker-data-quality-job-isolation

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche de surveillance de la qualité des données Amazon SageMaker AI. Le contrôle échoue si l'isolation du réseau est désactivée lors de la définition d'une tâche qui surveille la qualité et la dérive des données.

L'isolation du réseau réduit la surface d'attaque et empêche l'accès externe, protégeant ainsi contre tout accès externe non autorisé, toute exposition accidentelle aux données et toute exfiltration potentielle de données.

Correction

Pour plus d'informations sur l'isolation du réseau pour l' SageMaker IA, consultez la section Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le manuel Amazon SageMaker AI Developer Guide. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer l'isolation du réseau en définissant la valeur du EnableNetworkIsolation paramètre surTrue.

[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée

Catégorie : Protection > Configuration réseau sécurisée > Configuration de la politique de ressources

Gravité : Moyenne

Type de ressource : AWS::SageMaker::ModelBiasJobDefinition

Règle AWS Config  : sagemaker-model-bias-job-isolation

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche basée sur le biais d'un SageMaker modèle. Le contrôle échoue si l'isolation du réseau n'est pas activée dans la définition de la tâche de polarisation du modèle.

L'isolation du réseau empêche les tâches basées sur le biais du SageMaker modèle de communiquer avec des ressources externes via Internet. En activant l'isolation du réseau, vous vous assurez que les conteneurs de la tâche ne peuvent pas établir de connexions sortantes, réduisant ainsi la surface d'attaque et protégeant les données sensibles contre l'exfiltration. Cela est particulièrement important pour les tâches traitant des données réglementées ou sensibles.

Correction

Pour activer l'isolation du réseau, vous devez créer une nouvelle définition de tâche de polarisation du modèle avec EnableNetworkIsolation le paramètre défini surTrue. L'isolation du réseau ne peut pas être modifiée après la création de la définition de tâche. Pour créer une nouvelle définition de tâche basée sur le biais du modèle, consultez CreateModelBiasJobDefinitionle manuel Amazon SageMaker AI Developer Guide.

[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::SageMaker::ModelQualityJobDefinition

Règle AWS Config  : ssagemaker-model-quality-job-encrypt-in-transit

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le chiffrement en transit est activé pour le trafic entre conteneurs dans les définitions de tâches liées à la qualité des SageMaker modèles Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition d'une tâche de qualité du modèle.

Le chiffrement du trafic entre conteneurs protège les données transmises entre les conteneurs lors des tâches de surveillance de la qualité des modèles distribués. Par défaut, le trafic entre conteneurs n'est pas chiffré. L'activation du chiffrement permet de préserver la confidentialité des données pendant le traitement et de garantir le respect des exigences réglementaires en matière de protection des données en transit.

Correction

Pour activer le chiffrement du trafic entre conteneurs pour la définition de tâche de qualité de votre SageMaker modèle Amazon, vous devez recréer la définition de tâche avec la configuration de chiffrement en transit appropriée. Pour créer une définition de tâche de qualité modèle, consultez CreateModelQualityJobDefinitionle manuel Amazon SageMaker AI Developer Guide.

[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::SageMaker::MonitoringSchedule

Règle AWS Config  : sagemaker-monitoring-schedule-isolation

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'isolation du réseau est activée dans les plannings de SageMaker surveillance Amazon. Le contrôle échoue si un programme de surveillance est EnableNetworkIsolation défini sur faux ou n'est pas configuré

L'isolation du réseau empêche les tâches de surveillance de passer des appels réseau sortants, réduisant ainsi la surface d'attaque en éliminant l'accès à Internet depuis les conteneurs.

Correction

Pour plus d'informations sur la configuration de l'isolation du réseau dans le NetworkConfig paramètre lors de la création ou de la mise à jour d'un calendrier de surveillance, consultez CreateMonitoringSchedulele manuel Amazon SageMaker AI Developer Guide. UpdateMonitoringSchedule

[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::SageMaker::ModelBiasJobDefinition

Règle AWS Config  : sagemaker-model-bias-job-encrypt-in-transit

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans les définitions de tâches basées sur le SageMaker modèle Amazon lors de l'utilisation de plusieurs instances de calcul. Le contrôle échoue s'il EnableInterContainerTrafficEncryption est défini sur false ou s'il n'est pas configuré pour les définitions de tâches dont le nombre d'instances est supérieur ou égal à 2.

EInter-le chiffrement du trafic des conteneurs protège les données transmises entre les instances de calcul lors des tâches de surveillance du biais des modèles distribués. Le chiffrement empêche l'accès non autorisé aux informations relatives au modèle, telles que les poids transmis entre les instances.

Correction

Pour activer le chiffrement du trafic entre conteneurs pour les définitions de tâches basées sur le biais du SageMaker modèle, définissez le EnableInterContainerTrafficEncryption paramètre sur True lorsque la définition de tâche utilise plusieurs instances de calcul. Pour plus d'informations sur la protection des communications entre les instances de calcul ML, consultez la section Protéger les communications entre les instances de calcul ML dans le cadre d'un job de formation distribué dans le manuel Amazon SageMaker AI Developer Guide.