View a markdown version of this page

Controles CSPM de Security Hub para Amazon Bedrock AgentCore - AWS Security Hub
[BedrockAgentCore.1] Los AgentCore tiempos de ejecución de Bedrock deben configurarse con el modo de red VPC[BedrockAgentCore.2] Bedrock AgentCore Gateways debe requerir autorización para las solicitudes entrantes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles CSPM de Security Hub para Amazon Bedrock AgentCore

Estos AWS Security Hub CSPM controles evalúan el AgentCore servicio y los recursos de Amazon Bedrock. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[BedrockAgentCore.1] Los AgentCore tiempos de ejecución de Bedrock deben configurarse con el modo de red VPC

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: alta

Tipo de recurso: AWS::BedrockAgentCore::Runtime

Regla de AWS Config : bedrockagentcore-runtime-private-network-required

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un entorno de AgentCore ejecución de Amazon Bedrock está configurado con el modo de red VPC. El control falla si el modo de red del motor de ejecución está establecido en PUBLIC.

El uso del modo de red pública para los AgentCore tiempos de ejecución de Amazon Bedrock expone el tiempo de ejecución directamente a Internet, lo que aumenta la superficie de ataque y el riesgo de acceso no autorizado. La configuración de los tiempos de ejecución con el modo de red de VPC garantiza que el tráfico en tiempo de ejecución se limite a su red privada, lo que le permite aplicar controles de seguridad a nivel de red, como grupos de seguridad ACLs, redes y registros de flujo de VPC.

Corrección

Para solucionar este problema, actualiza el tiempo de AgentCore ejecución de Bedrock que no es compatible y configúralo con el modo de red VPC. Para obtener instrucciones, consulte Configurar el tiempo de AgentCore ejecución y las herramientas de Amazon Bedrock para VPC en la Guía para desarrolladores de Amazon AgentCore Bedrock.

[BedrockAgentCore.2] Bedrock AgentCore Gateways debe requerir autorización para las solicitudes entrantes

Categoría: Proteger - Administración de acceso seguro

Gravedad: alta

Tipo de recurso: AWS::BedrockAgentCore::Gateway

Regla de AWS Config : bedrockagentcore-gateway-authorizer-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si Amazon Bedrock AgentCore Gateway requiere autorización para las solicitudes entrantes. El control falla si Bedrock AgentCore Gateway no tiene configurada la autorización de entrada.

La configuración de la autenticación en AgentCore las pasarelas de Amazon Bedrock garantiza que solo los clientes autorizados puedan enviar solicitudes a sus agentes de IA. Sin un autorizador, cualquier entidad con acceso de red al punto final de la puerta de enlace puede invocar a sus agentes, lo que podría provocar un acceso no autorizado a los datos, un uso indebido de los recursos o costes inesperados. La autorización entrante valida a los usuarios que intentan acceder a los objetivos a través de su puerta de enlace. AgentCore

Corrección

Para configurar la autorización de AgentCore entrada para una puerta de enlace de Amazon Bedrock, consulte Configurar la autorización de entrada para una puerta de enlace en la Guía para desarrolladores de Amazon Bedrock AgentCore .