View a markdown version of this page

Security Hub CSPM-Steuerelemente für Amazon Bedrock AgentCore - AWS Security Hub
[BedrockAgentCore.1] AgentCore Bedrock-Laufzeiten sollten mit dem VPC-Netzwerkmodus konfiguriert werden[BedrockAgentCore.2] Bedrock AgentCore Gateways sollten eine Autorisierung für eingehende Anfragen benötigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub CSPM-Steuerelemente für Amazon Bedrock AgentCore

Diese AWS Security Hub CSPM Kontrollen bewerten den AgentCore Service und die Ressourcen von Amazon Bedrock. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[BedrockAgentCore.1] AgentCore Bedrock-Laufzeiten sollten mit dem VPC-Netzwerkmodus konfiguriert werden

Kategorie: Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

Schweregrad: Hoch

Art der Ressource: AWS::BedrockAgentCore::Runtime

AWS Config -Regel: bedrockagentcore-runtime-private-network-required

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine Amazon AgentCore Bedrock-Laufzeit mit dem VPC-Netzwerkmodus konfiguriert ist. Die Steuerung schlägt fehl, wenn der Netzwerkmodus der Laufzeit auf PUBLIC gesetzt ist.

Durch die Verwendung des öffentlichen Netzwerkmodus für Amazon AgentCore Bedrock-Laufzeiten wird die Laufzeit direkt dem Internet ausgesetzt, wodurch die Angriffsfläche und das Risiko eines unbefugten Zugriffs erhöht werden. Durch die Konfiguration von Laufzeiten im VPC-Netzwerkmodus wird sichergestellt, dass der Laufzeitdatenverkehr auf Ihr privates Netzwerk beschränkt wird, sodass Sie Sicherheitskontrollen auf Netzwerkebene wie Sicherheitsgruppen ACLs, Netzwerk- und VPC-Flussprotokolle anwenden können.

Abhilfe

Um dieses Problem zu beheben, aktualisieren Sie die nicht konforme AgentCore Bedrock-Laufzeit und konfigurieren Sie sie mit dem VPC-Netzwerkmodus. Anweisungen finden Sie unter Amazon Bedrock AgentCore Runtime und Tools für VPC konfigurieren im Amazon Bedrock AgentCore Developer Guide.

[BedrockAgentCore.2] Bedrock AgentCore Gateways sollten eine Autorisierung für eingehende Anfragen benötigen

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Hoch

Art der Ressource: AWS::BedrockAgentCore::Gateway

AWS Config -Regel: bedrockagentcore-gateway-authorizer-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob ein Amazon Bedrock AgentCore Gateway eine Autorisierung für eingehende Anfragen benötigt. Die Kontrolle schlägt fehl, wenn für das Bedrock AgentCore Gateway keine eingehende Autorisierung eingerichtet ist.

Durch die Konfiguration der Authentifizierung auf Amazon Bedrock AgentCore Gateways wird sichergestellt, dass nur autorisierte Kunden Anfragen an Ihre KI-Agenten senden können. Ohne einen Autorisierer kann jede Entität mit Netzwerkzugriff auf den Gateway-Endpunkt Ihre Agenten aufrufen, was möglicherweise zu unbefugtem Datenzugriff, Ressourcenmissbrauch oder unerwarteten Kosten führen kann. Bei der eingehenden Autorisierung werden Benutzer validiert, die versuchen, über Ihr Gateway auf Ziele zuzugreifen. AgentCore

Abhilfe

Informationen zum Einrichten der eingehenden Autorisierung für ein Amazon Bedrock AgentCore Gateway finden Sie unter Einrichten der eingehenden Autorisierung für Ihr Gateway im Amazon AgentCore Bedrock Developer Guide.