Considérations relatives à la sécurité pour les points de contrôle par niveaux gérés

Cette section couvre des considérations de sécurité importantes lors de l’utilisation des points de contrôle par niveaux gérés. Cela inclut l’utilisation du module pickle Python, le chiffrement Amazon S3 et la sécurité des points de terminaison réseau.

Utilisation du module pickle Python

Les points de contrôle par niveaux gérés utilisent le module pickle de Python pour désérialiser les données de point de contrôle stockées dans Amazon S3. Cette mise en œuvre a d’importantes implications en matière de sécurité :

Limite de confiance étendue : lorsque vous utilisez les points de contrôle par niveaux gérés avec Amazon S3, le compartiment Amazon S3 devient partie intégrante de la limite de confiance de votre cluster.
Risque d’exécution du code : le module pickle de Python peut exécuter du code arbitraire lors de la désérialisation. Si un utilisateur non autorisé obtient un accès en écriture à votre compartiment Amazon S3 de points de contrôle, il est susceptible de créer des données pickle malveillantes qui s’exécuteront lorsqu’elles seront chargées par les points de contrôle par niveaux gérés.

Bonnes pratiques pour le stockage Amazon S3

Lorsque vous utilisez les points de contrôle par niveaux gérés avec le stockage Amazon S3 :

Restreindre l’accès au compartiment Amazon S3 : veillez à ce que seuls les utilisateurs autorisés et les rôles associés à votre cluster d’entraînement aient accès au compartiment Amazon S3 utilisé pour les points de contrôle.
Mettre en œuvre des stratégies de compartiment : configurez des stratégies de compartiment appropriées pour empêcher les accès ou les modifications non autorisés.
Surveiller les modèles d’accès : implémentez la journalisation et la surveillance de l’accès à vos compartiments Amazon S3 de points de contrôle.
Valider les noms des compartiments : faites preuve de prudence lors de la sélection des noms de compartiments afin d’éviter tout détournement potentiel des compartiments.

Points de terminaison réseau

Le points de contrôle par niveaux gérés activent les points de terminaison réseau sur chacun de vos nœuds de calcul sur les ports suivants : 9200/TCP, 9209/UDP, 9210/UDP, 9219/UDP, 9220/UDP, 9229/UDP, 9230/UDP, 9239/UDP, 9240/UDP. Ces ports sont nécessaires au fonctionnement du service de points de contrôle et au maintien de la synchronisation des données.

Par défaut, la configuration réseau de SageMaker restreint l’accès à ces points de terminaison pour des raisons de sécurité. Nous vous recommandons de conserver ces restrictions par défaut.

Lorsque vous configurez les paramètres réseau de vos nœuds et de votre VPC, suivez les bonnes pratiques AWS relatives aux VPC, aux groupes de sécurité et aux listes ACL. Pour plus d’informations, consultez les ressources suivantes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Remove (suppression)

Gouvernance des tâches