View a markdown version of this page

适用于 Amazon Bedrock 的 Security Hub CSPM 控件 AgentCore - AWS Security Hub
[BedrockAgentCore.1] 基岩 AgentCore 运行时应配置为 VPC 网络模式[BedrockAgentCore.2] Bedrock Gate AgentCore ways 应要求对入站请求进行授权

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Bedrock 的 Security Hub CSPM 控件 AgentCore

这些 AWS Security Hub CSPM 控制措施会评估 Amazon Bedrock AgentCore 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[BedrockAgentCore.1] 基岩 AgentCore 运行时应配置为 VPC 网络模式

类别:保护 > 安全访问管理 > 资源不公开访问

严重性:

资源类型:AWS::BedrockAgentCore::Runtime

AWS Config 规则:bedrockagentcore-runtime-private-network-required

计划类型:已触发变更

参数:

此控件检查 Amazon Bedrock AgentCore 运行时是否配置了 VPC 网络模式。如果运行时将其网络模式设置为 PUBLIC,则控件将失败。

在 Amazon Bedrock AgentCore 运行时使用公共网络模式会将运行时直接暴露给互联网,从而增加攻击面和未经授权访问的风险。使用 VPC 网络模式配置运行时可确保运行时流量限制在您的私有网络内,从而使您能够应用网络级安全控制,例如安全组 ACLs、网络和 VPC 流日志。

修复

要纠正这一发现,请更新不合规的 Bedrock AgentCore 运行时并将其配置为 VPC 网络模式。有关说明,请参阅《亚马逊 Bedrock AgentCore 开发者指南》中的为 VPC 配置亚马逊 Bedrock AgentCore 运行时和工具

[BedrockAgentCore.2] Bedrock Gate AgentCore ways 应要求对入站请求进行授权

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::BedrockAgentCore::Gateway

AWS Config 规则:bedrockagentcore-gateway-authorizer-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon Bedrock AgentCore Gateway 是否需要对入站请求进行授权。如果 Bedrock AgentCore Gateway 未设置入站授权,则控制失败。

在 Amazon Bedrock AgentCore 网关上配置身份验证可确保只有经过授权的客户端才能向您的 AI 代理发送请求。如果没有授权者,任何对网关端点具有网络访问权限的实体都可以调用您的代理,这可能会导致未经授权的数据访问、资源滥用或意外成本。入站授权对尝试通过您的 AgentCore网关访问目标的用户进行验证。

修复

要为 Amazon Bedrock AgentCore Gateway 设置入站授权,请参阅《亚马逊 B edrock AgentCore 开发者指南》中的为您的网关设置入站授权。