本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon Bedrock AgentCore 的 Security Hub CSPM 控制項

這些 AWS Security Hub CSPM 控制項會評估 Amazon Bedrock AgentCore 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱依區域的控制項可用性。

【BedrockAgentCore.1] Bedrock AgentCore 執行時間應使用 VPC 網路模式設定

類別：保護 > 安全存取管理 > 資源不可公開存取

嚴重性：高

資源類型： AWS::BedrockAgentCore::Runtime

AWS Config 規則：bedrockagentcore-runtime-private-network-required

排程類型：變更已觸發

參數：無

此控制項會檢查 Amazon Bedrock AgentCore 執行期是否已設定 VPC 網路模式。如果執行時間的網路模式設為 PUBLIC，則控制項會失敗。

為 Amazon Bedrock AgentCore 執行期使用公有網路模式，會直接將執行期公開到網際網路，增加受攻擊面和未經授權的存取風險。使用 VPC 網路模式設定執行時間可確保執行時間流量限制在您的私有網路內，讓您能夠套用安全群組、網路 ACLs 和 VPC 流程日誌等網路層級安全控制。

修補

若要修復此調查結果，請更新不合規的 Bedrock AgentCore 執行時間，並使用 VPC 網路模式進行設定。如需說明，請參閱《Amazon Bedrock AgentCore 開發人員指南》中的設定 VPC 的 Amazon Bedrock AgentCore 執行期和工具。 AgentCore

【BedrockAgentCore.2] Bedrock AgentCore Gateways 需要傳入請求的授權

類別：保護 > 安全存取管理

嚴重性：高

資源類型： AWS::BedrockAgentCore::Gateway

AWS Config 規則：bedrockagentcore-gateway-authorizer-enabled

排程類型：變更已觸發

參數：無

此控制項會檢查 Amazon Bedrock AgentCore Gateway 是否需要傳入請求的授權。如果 Bedrock AgentCore Gateway 未設定傳入授權，則控制項會失敗。

在 Amazon Bedrock AgentCore 閘道上設定身分驗證可確保只有授權的用戶端才能將請求傳送至您的 AI 代理器。如果沒有授權方，任何具有閘道端點網路存取權的實體都可以叫用您的代理程式，這可能會導致未經授權的資料存取、資源濫用或非預期的成本。傳入授權會驗證嘗試透過 AgentCore 閘道存取目標的使用者。

修補

若要設定 Amazon Bedrock AgentCore Gateway 的傳入授權，請參閱《Amazon Bedrock AgentCore 開發人員指南》中的為您的閘道設定傳入授權。