翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock AgentCore の Security Hub CSPM コントロール

これらの AWS Security Hub CSPM コントロールは、Amazon Bedrock AgentCore サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[BedrockAgentCore.1] Bedrock AgentCore ランタイムは VPC ネットワークモードで設定する必要があります

カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

重要度: 高

リソースタイプ : AWS::BedrockAgentCore::Runtime

AWS Config ルール : bedrockagentcore-runtime-private-network-required

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Bedrock AgentCore ランタイムが VPC ネットワークモードで設定されているかどうかをチェックします。ランタイムのネットワークモードが PUBLIC に設定されている場合、コントロールは失敗します。

Amazon Bedrock AgentCore ランタイムにパブリックネットワークモードを使用すると、ランタイムがインターネットに直接公開されるため、攻撃対象領域が増加し、不正アクセスのリスクが高まります。VPC ネットワークモードでランタイムを設定すると、ランタイムトラフィックがプライベートネットワーク内に制限されるため、セキュリティグループ、ネットワーク ACLs、VPC フローログなどのネットワークレベルのセキュリティコントロールを適用できます。

修正

この検出結果を修復するには、非準拠の Bedrock AgentCore ランタイムを更新し、VPC ネットワークモードで設定します。手順については、「Amazon Bedrock AgentCore デベロッパーガイド」の「Configure Amazon Bedrock AgentCore Runtime and tools for VPC」を参照してください。 AgentCore

[BedrockAgentCore.2] Bedrock AgentCore Gateway には、インバウンドリクエストの承認が必要です

カテゴリ: 保護 > セキュアなアクセス管理

重要度: 高

リソースタイプ : AWS::BedrockAgentCore::Gateway

AWS Config ルール : bedrockagentcore-gateway-authorizer-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Bedrock AgentCore Gateway がインバウンドリクエストの認可を必要とするかどうかをチェックします。Bedrock AgentCore Gateway にインバウンド認可が設定されていない場合、コントロールは失敗します。

Amazon Bedrock AgentCore ゲートウェイで認証を設定すると、承認されたクライアントのみが AI エージェントにリクエストを送信できるようになります。オーソライザーがない場合、ゲートウェイエンドポイントへのネットワークアクセスを持つエンティティはエージェントを呼び出し、不正なデータアクセス、リソースの不正使用、または予期しないコストにつながる可能性があります。インバウンド認可は、AgentCore ゲートウェイを介してターゲットにアクセスしようとするユーザーを検証します。

修正

Amazon Bedrock AgentCore Gateway のインバウンド認可を設定するには、「Amazon Bedrock AgentCore デベロッパーガイド」の「ゲートウェイのインバウンド認可を設定する」を参照してください。