本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于 Amazon Bedrock 的 Security Hub CSPM 控件 AgentCore
<a name="bedrockagentcore-controls"></a>

这些 AWS Security Hub CSPM 控制措施会评估 Amazon Bedrock AgentCore 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [BedrockAgentCore.1] 基岩 AgentCore 运行时应配置为 VPC 网络模式
<a name="bedrockagentcore-1"></a>

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**高

**资源类型：**`AWS::BedrockAgentCore::Runtime`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-runtime-private-network-required.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-runtime-private-network-required.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Bedrock AgentCore 运行时是否配置了 VPC 网络模式。如果运行时将其网络模式设置为 PUBLIC，则控件将失败。

在 Amazon Bedrock AgentCore 运行时使用公共网络模式会将运行时直接暴露给互联网，从而增加攻击面和未经授权访问的风险。使用 VPC 网络模式配置运行时可确保运行时流量限制在您的私有网络内，从而使您能够应用网络级安全控制，例如安全组 ACLs、网络和 VPC 流日志。

### 修复
<a name="bedrockagentcore-1-remediation"></a>

要纠正这一发现，请更新不合规的 Bedrock AgentCore 运行时并将其配置为 VPC 网络模式。有关说明，请参阅《[亚马逊 Bedrock * AgentCore 开发者指南》中的为 VPC 配置亚马逊 Bedrock AgentCore * 运行时和工具](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/agentcore-vpc.html)。

## [BedrockAgentCore.2] Bedrock Gate AgentCore ways 应要求对入站请求进行授权
<a name="bedrockagentcore-2"></a>

**类别：**保护 > 安全访问管理

**严重性：**高

**资源类型：**`AWS::BedrockAgentCore::Gateway`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-gateway-authorizer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-gateway-authorizer-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Bedrock AgentCore Gateway 是否需要对入站请求进行授权。如果 Bedrock AgentCore Gateway 未设置入站授权，则控制失败。

在 Amazon Bedrock AgentCore 网关上配置身份验证可确保只有经过授权的客户端才能向您的 AI 代理发送请求。如果没有授权者，任何对网关端点具有网络访问权限的实体都可以调用您的代理，这可能会导致未经授权的数据访问、资源滥用或意外成本。入站授权对尝试通过您的 AgentCore网关访问目标的用户进行验证。

### 修复
<a name="bedrockagentcore-2-remediation"></a>

要为 Amazon Bedrock AgentCore Gateway [设置入站授权，请参阅《亚马逊 B *edrock AgentCore 开发者*指南》中的为您的网关](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/gateway-inbound-auth.html#gateway-inbound-auth-none)设置入站授权。