As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Amazon Bedrock AgentCore
Esses AWS Security Hub CSPM controles avaliam o AgentCore serviço e os recursos do Amazon Bedrock. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [BedrockAgentCore.1] Os AgentCore tempos de execução do Bedrock devem ser configurados com o modo de rede VPC
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** alta
**Tipo de recurso:** `AWS::BedrockAgentCore::Runtime`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-runtime-private-network-required.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-runtime-private-network-required.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um tempo de AgentCore execução do Amazon Bedrock está configurado com o modo de rede VPC. O controle falhará se o tempo de execução tiver seu modo de rede definido como PÚBLICO.
O uso do modo de rede pública para AgentCore tempos de execução do Amazon Bedrock expõe o tempo de execução diretamente à Internet, aumentando a superfície de ataque e o risco de acesso não autorizado. A configuração de tempos de execução com o modo de rede VPC garante que o tráfego de tempo de execução fique confinado em sua rede privada, permitindo que você aplique controles de segurança em nível de rede, como grupos de segurança, rede e registros de fluxo de VPC. ACLs
### Correção
Para corrigir essa descoberta, atualize o tempo de AgentCore execução não compatível do Bedrock e configure-o com o modo de rede VPC. Para obter instruções, consulte [Configurar o Amazon Bedrock AgentCore Runtime e as ferramentas para VPC no](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/agentcore-vpc.html) *Amazon AgentCore Bedrock* Developer Guide.
## [BedrockAgentCore.2] Os Bedrock AgentCore Gateways devem exigir autorização para solicitações de entrada
**Categoria:** Proteger > Gerenciamento de acesso seguro
**Gravidade:** alta
**Tipo de recurso:** `AWS::BedrockAgentCore::Gateway`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-gateway-authorizer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-gateway-authorizer-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um Amazon Bedrock AgentCore Gateway exige autorização para solicitações de entrada. O controle falhará se o Bedrock AgentCore Gateway não tiver a autorização de entrada configurada.
A configuração da autenticação nos AgentCore gateways do Amazon Bedrock garante que somente clientes autorizados possam enviar solicitações aos seus agentes de IA. Sem um autorizador, qualquer entidade com acesso de rede ao endpoint do gateway pode invocar seus agentes, o que pode levar ao acesso não autorizado aos dados, abuso de recursos ou custos inesperados. A autorização de entrada valida os usuários que tentam acessar alvos por meio do seu AgentCore gateway.
### Correção
Para configurar a autorização de entrada para um Amazon Bedrock AgentCore Gateway, consulte [Configurar autorização de entrada para seu gateway](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/gateway-inbound-auth.html#gateway-inbound-auth-none) no *Amazon Bedrock AgentCore * Developer Guide.