View a markdown version of this page

Controlli CSPM del Security Hub per Amazon Bedrock AgentCore - AWS Security Hub
[BedrockAgentCore.1] I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC[BedrockAgentCore.2] Bedrock AgentCore Gateways dovrebbe richiedere l'autorizzazione per le richieste in entrata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli CSPM del Security Hub per Amazon Bedrock AgentCore

Questi AWS Security Hub CSPM controlli valutano il AgentCore servizio e le risorse Amazon Bedrock. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[BedrockAgentCore.1] I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC

Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::Runtime

Regola AWS Config : bedrockagentcore-runtime-private-network-required

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AgentCore runtime Amazon Bedrock è configurato con la modalità di rete VPC. Il controllo fallisce se la modalità di rete del runtime è impostata su PUBLIC.

L'utilizzo della modalità di rete pubblica per i AgentCore runtime di Amazon Bedrock espone il runtime direttamente a Internet, aumentando la superficie di attacco e il rischio di accessi non autorizzati. La configurazione dei runtime con la modalità di rete VPC garantisce che il traffico di runtime sia limitato all'interno della rete privata, consentendoti di applicare controlli di sicurezza a livello di rete come gruppi di sicurezza, rete e log di flusso VPC. ACLs

Correzione

Per correggere questo problema, aggiorna il AgentCore runtime di Bedrock non conforme e configuralo con la modalità di rete VPC. Per istruzioni, consulta Configurare Amazon Bedrock AgentCore Runtime e gli strumenti per VPC nella Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.2] Bedrock AgentCore Gateways dovrebbe richiedere l'autorizzazione per le richieste in entrata

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: alta

Tipo di risorsa: AWS::BedrockAgentCore::Gateway

Regola AWS Config : bedrockagentcore-gateway-authorizer-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un Amazon Bedrock AgentCore Gateway richiede l'autorizzazione per le richieste in entrata. Il controllo fallisce se su Bedrock AgentCore Gateway non è configurata l'autorizzazione in entrata.

La configurazione dell'autenticazione sui AgentCore gateway Amazon Bedrock garantisce che solo i client autorizzati possano inviare richieste ai tuoi agenti AI. Senza un'autorizzazione, qualsiasi entità con accesso di rete all'endpoint gateway può invocare i tuoi agenti, con conseguenti possibili accessi non autorizzati ai dati, abuso di risorse o costi imprevisti. L'autorizzazione in entrata convalida gli utenti che tentano di accedere agli obiettivi tramite il gateway. AgentCore

Correzione

Per configurare l'autorizzazione in entrata per un Amazon Bedrock AgentCore Gateway, consulta Configurare l'autorizzazione in entrata per il gateway nella Amazon AgentCore Bedrock Developer Guide.