Pertimbangan keamanan untuk pos pemeriksaan berjenjang terkelola - Amazon SageMaker AI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan keamanan untuk pos pemeriksaan berjenjang terkelola

Bagian ini mencakup pertimbangan keamanan penting saat menggunakan pos pemeriksaan berjenjang terkelola. Ini termasuk penggunaan acar Python, enkripsi Amazon S3, dan keamanan titik akhir jaringan.

Penggunaan acar Python

Checkpointing berjenjang terkelola menggunakan modul acar Python untuk deserialisasi data pos pemeriksaan yang disimpan di Amazon S3. Implementasi ini memiliki implikasi keamanan yang penting:

  • Batas kepercayaan yang diperluas: Saat menggunakan pos pemeriksaan berjenjang terkelola dengan Amazon S3, bucket Amazon S3 menjadi bagian dari batas kepercayaan klaster Anda.

  • Risiko eksekusi kode: Modul acar Python dapat mengeksekusi kode arbitrer selama deserialisasi. Jika pengguna yang tidak sah mendapatkan akses tulis ke bucket Amazon S3 pos pemeriksaan Anda, mereka berpotensi membuat data acar berbahaya yang dijalankan saat dimuat oleh pos pemeriksaan berjenjang terkelola.

Praktik terbaik untuk penyimpanan Amazon S3

Saat menggunakan pos pemeriksaan berjenjang terkelola dengan penyimpanan Amazon S3:

  • Batasi akses bucket Amazon S3: Pastikan hanya pengguna dan peran resmi yang terkait dengan kluster pelatihan Anda yang memiliki akses ke bucket Amazon S3 yang digunakan untuk pos pemeriksaan.

  • Menerapkan kebijakan bucket: Konfigurasikan kebijakan bucket yang sesuai untuk mencegah akses atau modifikasi yang tidak sah.

  • Validasi pola akses: Terapkan logging untuk memvalidasi pola akses ke bucket Amazon S3 pos pemeriksaan Anda.

  • Validasi nama bucket: Berhati-hatilah dengan pemilihan nama bucket untuk menghindari potensi pembajakan bucket.

Titik akhir jaringan

Checkpointing berjenjang terkelola memungkinkan titik akhir jaringan pada setiap node komputasi Anda pada port berikut: 9200/TCP, 9209/UDP, 9210/UDP, 9219/UDP, 9229/UDP, 9229/UDP, 9230/UDP, 9239/UDP, 9240/UDP. Port-port ini diperlukan agar layanan checkpointing berfungsi dan memelihara sinkronisasi data.

Secara default, SageMaker konfigurasi jaringan membatasi akses ke titik akhir ini untuk tujuan keamanan. Kami menyarankan Anda mempertahankan batasan default ini.

Saat mengonfigurasi pengaturan jaringan untuk node dan VPC Anda, AWS ikuti praktik terbaik VPCs untuk, grup keamanan, dan. ACLs Untuk informasi selengkapnya, lihat berikut ini: