View a markdown version of this page

Contrôles Security Hub CSPM pour Amazon Bedrock AgentCore - AWS Security Hub
[BedrockAgentCore.1] Les environnements d' AgentCore exécution de Bedrock doivent être configurés en mode réseau VPC[BedrockAgentCore.2] Bedrock AgentCore Gateways devrait exiger une autorisation pour les demandes entrantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub CSPM pour Amazon Bedrock AgentCore

Ces AWS Security Hub CSPM contrôles évaluent le AgentCore service et les ressources Amazon Bedrock. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[BedrockAgentCore.1] Les environnements d' AgentCore exécution de Bedrock doivent être configurés en mode réseau VPC

Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public

Gravité : Élevée

Type de ressource : AWS::BedrockAgentCore::Runtime

Règle AWS Config  : bedrockagentcore-runtime-private-network-required

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un environnement d' AgentCore exécution Amazon Bedrock est configuré en mode réseau VPC. Le contrôle échoue si le mode réseau du moteur d'exécution est défini sur PUBLIC.

L'utilisation du mode réseau public pour les environnements d' AgentCore exécution d'Amazon Bedrock expose le moteur d'exécution directement à Internet, ce qui augmente la surface d'attaque et le risque d'accès non autorisé. La configuration des environnements d'exécution en mode réseau VPC garantit que le trafic d'exécution est confiné au sein de votre réseau privé, ce qui vous permet d'appliquer des contrôles de sécurité au niveau du réseau tels que les groupes de sécurité ACLs, le réseau et les journaux de flux VPC.

Correction

Pour remédier à ce problème, mettez à jour le AgentCore moteur d'exécution Bedrock non conforme et configurez-le en mode réseau VPC. Pour obtenir des instructions, consultez la section Configurer Amazon Bedrock AgentCore Runtime et les outils pour VPC dans le guide du développeur Amazon AgentCore Bedrock.

[BedrockAgentCore.2] Bedrock AgentCore Gateways devrait exiger une autorisation pour les demandes entrantes

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::BedrockAgentCore::Gateway

Règle AWS Config  : bedrockagentcore-gateway-authorizer-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une AgentCore passerelle Amazon Bedrock nécessite une autorisation pour les demandes entrantes. Le contrôle échoue si l'autorisation entrante n'est pas configurée sur la AgentCore passerelle Bedrock.

La configuration de l'authentification sur les AgentCore passerelles Amazon Bedrock garantit que seuls les clients autorisés peuvent envoyer des demandes à vos agents d'intelligence artificielle. Sans autorisation, toute entité disposant d'un accès réseau au point de terminaison de la passerelle peut appeler vos agents, ce qui peut entraîner un accès non autorisé aux données, une utilisation abusive des ressources ou des coûts imprévus. L'autorisation entrante valide les utilisateurs qui tentent d'accéder à des cibles via votre AgentCore passerelle.

Correction

Pour configurer l'autorisation entrante pour une AgentCore passerelle Amazon Bedrock, consultez Configurer l'autorisation entrante pour votre passerelle dans le guide du développeur Amazon AgentCore Bedrock.