View a markdown version of this page

Controles CSPM do Security Hub para Amazon Bedrock AgentCore - AWS Security Hub
[BedrockAgentCore.1] Os AgentCore tempos de execução do Bedrock devem ser configurados com o modo de rede VPC[BedrockAgentCore.2] Os Bedrock AgentCore Gateways devem exigir autorização para solicitações de entrada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles CSPM do Security Hub para Amazon Bedrock AgentCore

Esses AWS Security Hub CSPM controles avaliam o AgentCore serviço e os recursos do Amazon Bedrock. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[BedrockAgentCore.1] Os AgentCore tempos de execução do Bedrock devem ser configurados com o modo de rede VPC

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Gravidade: alta

Tipo de recurso: AWS::BedrockAgentCore::Runtime

Regra do AWS Config : bedrockagentcore-runtime-private-network-required

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um tempo de AgentCore execução do Amazon Bedrock está configurado com o modo de rede VPC. O controle falhará se o tempo de execução tiver seu modo de rede definido como PÚBLICO.

O uso do modo de rede pública para AgentCore tempos de execução do Amazon Bedrock expõe o tempo de execução diretamente à Internet, aumentando a superfície de ataque e o risco de acesso não autorizado. A configuração de tempos de execução com o modo de rede VPC garante que o tráfego de tempo de execução fique confinado em sua rede privada, permitindo que você aplique controles de segurança em nível de rede, como grupos de segurança, rede e registros de fluxo de VPC. ACLs

Correção

Para corrigir essa descoberta, atualize o tempo de AgentCore execução não compatível do Bedrock e configure-o com o modo de rede VPC. Para obter instruções, consulte Configurar o Amazon Bedrock AgentCore Runtime e as ferramentas para VPC no Amazon AgentCore Bedrock Developer Guide.

[BedrockAgentCore.2] Os Bedrock AgentCore Gateways devem exigir autorização para solicitações de entrada

Categoria: Proteger > Gerenciamento de acesso seguro

Gravidade: alta

Tipo de recurso: AWS::BedrockAgentCore::Gateway

Regra do AWS Config : bedrockagentcore-gateway-authorizer-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um Amazon Bedrock AgentCore Gateway exige autorização para solicitações de entrada. O controle falhará se o Bedrock AgentCore Gateway não tiver a autorização de entrada configurada.

A configuração da autenticação nos AgentCore gateways do Amazon Bedrock garante que somente clientes autorizados possam enviar solicitações aos seus agentes de IA. Sem um autorizador, qualquer entidade com acesso de rede ao endpoint do gateway pode invocar seus agentes, o que pode levar ao acesso não autorizado aos dados, abuso de recursos ou custos inesperados. A autorização de entrada valida os usuários que tentam acessar alvos por meio do seu AgentCore gateway.

Correção

Para configurar a autorização de entrada para um Amazon Bedrock AgentCore Gateway, consulte Configurar autorização de entrada para seu gateway no Amazon Bedrock AgentCore Developer Guide.