يمكنك الوصول أمازون ساجميكر ستوديو دفاتر الملاحظات من الأمازون SageMaker عبر وحدة التحكم إدارة الهوية والوصول AWS (IAM) اتحاد مصدق من موفر الهوية (IdP) ، مثل Okta. عندما يفتح مستخدم Studio ارتباط دفتر الملاحظات ، يقوم Studio بالتحقق من صحة نهج IAM الخاص بالمستخدم المتحد للسماح بالوصول ، ويقوم بإنشاء وحل عنوان URL المعين للمستخدم. نظرًا لأن وحدة تحكم SageMaker تعمل على مجال الإنترنت ، فإن عنوان URL المُنشأ مسبقًا يكون مرئيًا في جلسة المتصفح. يمثل هذا عامل تهديد غير مرغوب فيه للتسلل والوصول إلى بيانات العميل عندما لا يتم فرض ضوابط الوصول المناسبة.
يدعم Studio بعض الطرق لفرض ضوابط الوصول ضد استخراج بيانات URL المعين مسبقًا:
- التحقق من صحة عنوان IP للعميل باستخدام شرط نهج IAM
aws:sourceIp
- التحقق من صحة العميل VPC باستخدام شرط IAM
aws:sourceVpc
- التحقق من صحة نقطة نهاية VPC للعميل باستخدام شرط سياسة IAM
aws:sourceVpce
عند الوصول إلى دفاتر ملاحظات Studio من وحدة تحكم SageMaker ، فإن الخيار الوحيد المتاح هو استخدام التحقق من صحة عنوان IP للعميل مع شرط نهج IAM aws:sourceIp
. ومع ذلك ، يمكنك استخدام منتجات توجيه حركة مرور المتصفح مثل Zscaler لضمان النطاق والامتثال للوصول إلى الإنترنت للقوى العاملة لديك. تولد منتجات توجيه حركة المرور هذه IP المصدر الخاص بها ، والذي لا يتحكم عميل المؤسسة في نطاق IP الخاص به. هذا يجعل من المستحيل على عملاء المؤسسة هؤلاء استخدام aws:sourceIp
شرط.
لاستخدام التحقق من صحة نقطة نهاية VPC للعميل باستخدام شرط نهج IAM aws:sourceVpce
، يجب أن يتم إنشاء عنوان URL المعين مسبقًا في نفس العميل VPC حيث يتم نشر Studio ، ويجب أن يتم حل عنوان URL المحدد مسبقًا عبر نقطة نهاية Studio VPC على VPC العميل. يمكن تحقيق هذا القرار لعنوان URL المعين مسبقًا أثناء وقت الوصول لمستخدمي شبكة الشركة باستخدام قواعد إعادة توجيه DNS (في كل من Zscaler و DNS الخاص بالشركات) ثم إلى نقطة نهاية VPC الخاصة بالعميل باستخدام الأمازون الطريق 53 محلل وارد.
في هذا الجزء ، نناقش البنية الشاملة لتأمين عنوان url موقّع مسبقًا في الاستوديو وشرح كيفية إعداد البنية التحتية التأسيسية لإنشاء وتشغيل عنوان URL مُخصص من Studio من خلال نقطة نهاية VPC عبر شبكة خاصة دون عبور الإنترنت. يعمل هذا كطبقة أساسية لمنع سرقة البيانات من قبل جهات خارجية سيئة من الوصول إلى عنوان URL موقّع مسبقًا من Studio ووصول مستخدم الشركة غير المصرح به أو المخادع داخل بيئة الشركة.
حل نظرة عامة
يوضح الرسم البياني التالي بنية الحلول الشاملة.
تتضمن العملية الخطوات التالية:
- يقوم مستخدم الشركة بالمصادقة عبر IdP الخاص به ، ويتصل ببوابة الشركة ويفتح رابط Studio من بوابة الشركة.
- يقوم تطبيق بوابة الشركة بإجراء استدعاء API خاص باستخدام نقطة نهاية API Gateway VPC لإنشاء عنوان URL مُعد مسبقًا.
- تتم إعادة توجيه استدعاء نقطة نهاية API Gateway VPC "إنشاء عنوان URL مُعد مسبقًا" إلى المحلل الداخلي Route 53 على VPC الخاص بالعميل كما تم تكوينه في DNS الخاص بالشركة.
- يقوم محلل VPC DNS بحلها إلى عنوان IP لنقطة نهاية API Gateway VPC. اختياريًا ، يبحث عن سجل منطقة مستضافة خاصة إذا كان موجودًا.
- تقوم نقطة نهاية API Gateway VPC بتوجيه الطلب عبر شبكة Amazon الخاصة إلى "إنشاء واجهة برمجة تطبيقات URL مُعدة مسبقًا" التي تعمل في حساب خدمة API Gateway.
- تستدعي API Gateway ملف
create-pre-signedURL
واجهة برمجة التطبيقات الخاصة ووكلاء الطلب إلىcreate-pre-signedURL
AWS لامدا وظيفة. - •
create-pre-signedURL
يتم استدعاء استدعاء Lambda عبر نقطة نهاية Lambda VPC. - •
create-pre-signedURL
تعمل الوظيفة في حساب الخدمة ، وتسترد سياق المستخدم المصادق عليه (معرف المستخدم ، والمنطقة ، وما إلى ذلك) ، وتبحث عن جدول تعيين لتحديد مجال SageMaker ومعرف ملف تعريف المستخدم ، ويجعلsagemaker createpre-signedDomainURL
استدعاء API ، ويقوم بإنشاء عنوان URL محدد. يحتوي دور خدمة Lambda على شروط نقطة نهاية VPC المصدر المحددة لـ SageMaker API و Studio. - يتم حل عنوان URL الذي تم إنشاؤه مسبقًا عبر نقطة نهاية Studio VPC.
- يتحقق Studio من أنه يتم الوصول إلى عنوان URL المعين مسبقًا عبر نقطة نهاية VPC الخاصة بالعميل المحددة في السياسة ، ويعيد النتيجة.
- يتم إرجاع دفتر ملاحظات Studio إلى جلسة متصفح المستخدم عبر شبكة الشركة دون عبور الإنترنت.
ترشدك الأقسام التالية إلى كيفية تنفيذ هذه البنية لحل عناوين URL المعينة مسبقًا من Studio من شبكة شركة باستخدام نقاط نهاية VPC. نظهر تنفيذًا كاملاً من خلال إظهار الخطوات التالية:
- قم بإعداد الهيكل التأسيسي.
- قم بتكوين خادم تطبيقات الشركة للوصول إلى عنوان URL المعين مسبقًا من SageMaker عبر نقطة نهاية VPC.
- قم بإعداد Studio وتشغيله من شبكة الشركة.
قم بإعداد الهيكل التأسيسي
في هذا المنصب قم بالوصول إلى دفتر ملاحظات Amazon SageMaker Studio من شبكة شركة، أوضحنا كيفية حل اسم مجال URL المعين مسبقًا لجهاز كمبيوتر محمول Studio من شبكة شركة دون عبور الإنترنت. يمكنك اتباع التعليمات الواردة في هذا المنشور لإعداد البنية الأساسية ، ثم العودة إلى هذا المنشور والانتقال إلى الخطوة التالية.
قم بتكوين خادم تطبيقات الشركة للوصول إلى عنوان URL المعين مسبقًا من SageMaker عبر نقطة نهاية VPC
لتمكين الوصول إلى Studio من متصفح الإنترنت الخاص بك ، قمنا بإعداد خادم تطبيقات محلي على Windows Server على الشبكة الفرعية العامة VPC المحلية. ومع ذلك ، يتم توجيه استعلامات DNS الخاصة بالوصول إلى Studio عبر شبكة الشركة (الخاصة). أكمل الخطوات التالية لتكوين توجيه حركة مرور Studio عبر شبكة الشركة:
- اتصل بخادم تطبيقات Windows المحلي.
- اختار احصل على كلمة المرور ثم تصفح وتحميل مفتاحك الخاص لفك تشفير كلمة مرورك.
- استخدم عميل RDP واتصل بخادم Windows باستخدام بيانات الاعتماد الخاصة بك.
يؤدي حل Studio DNS من موجه أوامر Windows Server إلى استخدام خوادم DNS العامة ، كما هو موضح في لقطة الشاشة التالية.
نقوم الآن بتحديث Windows Server لاستخدام خادم DNS المحلي الذي قمنا بإعداده مسبقًا. - انتقل إلى لوحة التحكم, شبكة الإنترنت و، و اختار اتصالات شبكة الاتصال.
- انقر بزر الماوس الأيمن إيثرنت واختيار عقارات علامة التبويب.
- قم بتحديث Windows Server لاستخدام خادم DNS المحلي.
- الآن تقوم بتحديث خادم DNS المفضل لديك باستخدام IP لخادم DNS الخاص بك.
- انتقل إلى VPC و جداول الطريق واختيار ستوديو-ONPREM-PUBLIC-RT جدول الطريق.
- أضف مسارًا إلى 10.16.0.0/16 بحيث يكون الهدف هو الاتصال التناظري الذي أنشأناه أثناء إعداد البنية التأسيسية.
قم بإعداد Studio وتشغيله من شبكة شركتك
لإعداد Studio وتشغيله ، أكمل الخطوات التالية:
- قم بتنزيل Chrome وابدأ تشغيل المتصفح على مثيل Windows هذا.
قد تحتاج إلى قم بإيقاف تشغيل تكوين أمان Internet Explorer المحسّن للسماح بتنزيل الملفات ثم تمكين تنزيلات الملفات. - في متصفح Chrome الخاص بجهازك المحلي ، انتقل إلى وحدة تحكم SageMaker وافتح أدوات مطور Chrome شبكة علامة التبويب.
- قم بتشغيل تطبيق الاستوديو ولاحظ ملف شبكة علامة التبويب
authtoken
قيمة المعلمة ، والتي تتضمن عنوان URL المُنشأ مسبقًا مع عنوان الخادم البعيد الذي يتم توجيه عنوان URL إليه للحل. في هذا المثال ، العنوان البعيد 100.21.12.108 هو أحد عناوين خادم DNS العامة لحل مجال SageMaker DNSname d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - كرر هذه الخطوات من ملف الأمازون الحوسبة المرنة السحابية (Amazon EC2) مثيل Windows الذي قمت بتكوينه كجزء من البنية الأساسية.
يمكننا أن نلاحظ أن العنوان البعيد ليس عنوان DNS IP العام ، بل هو نقطة نهاية Studio VPC 10.16.42.74.
وفي الختام
في هذا المنشور ، أوضحنا كيفية حل عنوان URL مُعد مسبقًا من Studio من شبكة شركة باستخدام نقاط نهاية Amazon VPC الخاصة دون الكشف عن دقة عنوان URL المحددة مسبقًا على الإنترنت. يؤمن هذا أيضًا وضع أمان مؤسستك للوصول إلى Studio من شبكة شركة لبناء أحمال عمل تعلم آلي عالية الأمان على SageMaker. في جزء 2 من هذه السلسلة ، قمنا بتوسيع هذا الحل لشرح كيفية إنشاء واجهة برمجة تطبيقات خاصة للوصول إلى Studio باستخدام aws:sourceVPCE
التحقق من صحة سياسة IAM والمصادقة الرمزية. جرب هذا الحل واترك ملاحظاتك في التعليقات!
حول المؤلف
رام فيتال مهندس حلول التعلم الآلي في AWS. يتمتع بخبرة تزيد عن 20 عامًا في تصميم وبناء التطبيقات الموزعة والهجينة والسحابية. إنه متحمس لبناء حلول آمنة وقابلة للتطوير للذكاء الاصطناعي / التعلم الآلي والبيانات الضخمة لمساعدة عملاء المؤسسات في تبني السحابة ورحلة التحسين لتحسين نتائج أعمالهم. في أوقات فراغه ، يستمتع بالتنس والتصوير.
نيلام كوشيا هو مهندس حلول المشاريع في AWS. ينصب تركيزها الحالي على مساعدة عملاء المؤسسة في رحلة تبني السحابة لتحقيق نتائج أعمال استراتيجية في أوقات فراغها ، تستمتع بالقراءة والتواجد في الهواء الطلق.
- "
- 10
- 100
- a
- من نحن
- الوصول
- الوصول
- حسابي
- العنوان
- عناوين
- تبني
- ضد
- أمازون
- API
- التطبيق
- تطبيق
- التطبيقات
- هندسة معمارية
- موثق
- يصادق
- التحقّق من المُستخدم
- متاح
- AWS
- لان
- يجري
- البيانات الكبيرة
- الحدود
- المتصفح
- نساعدك في بناء
- ابني
- الأعمال
- دعوة
- اختار
- الكروم
- متصفح الكروم
- سحابة
- إكمال
- الالتزام
- إحصاء
- حالة
- الشروط
- التواصل
- صلة
- كنسولات
- ضوابط
- منظمة
- خلق
- خلق
- خلق
- أوراق اعتماد
- حالياًّ
- زبون
- العملاء
- البيانات
- شرح
- تظاهر
- نشر
- المطور
- جهاز
- بحث
- وزعت
- DNS
- نطاق
- اسم نطاق
- التنزيلات
- أثناء
- تمكين
- نقطة النهاية
- مشروع
- أمن المؤسسة
- البيئة
- مثال
- الخبره في مجال الغطس
- مد
- ردود الفعل
- تركز
- اتباع
- متابعيك
- تبدأ من
- وظيفة
- إضافي
- كسب
- بوابة
- توليد
- ولدت
- يحدث
- مساعدة
- جدا
- استضافت
- كيفية
- كيفية
- لكن
- HTTPS
- مهجنة
- تحديد
- هوية
- تنفيذ
- التنفيذ
- مستحيل
- تحسن
- يشمل
- البنية التحتية
- مثل
- Internet
- IP
- IT
- رحلة
- القفل
- إطلاق
- طبقة
- تعلم
- يترك
- LINK
- محلي
- آلة
- آلة التعلم
- يصنع
- رسم الخرائط
- طرق
- مایکروسافت
- التنقل
- إحتياجات
- شبكة
- التالي
- مفكرة
- جاكيت
- يفتح
- التحسين
- خيار
- في الهواء الطلق
- الخاصة
- جزء
- عاطفي
- كلمة المرور
- تصوير
- سياسة
- بوابة
- المفضل
- الهدايا
- منع
- خاص
- المفتاح الخاص
- عملية المعالجة
- المنتجات
- ملفي الشخصي
- مزود
- جمهور
- رامات
- نطاق
- نادي القراءة
- سجل
- منطقة
- عن بعد
- طلب
- النتائج
- عائد أعلى
- عائدات
- النوع
- طريق
- القواعد
- تشغيل
- نفسه
- تحجيم
- حجم
- تأمين
- أمن
- مسلسلات
- الخدمة
- طقم
- الإعداد
- أظهرت
- So
- الصلبة
- حل
- الحلول
- إستراتيجي
- عمل إستراتيجي
- ستوديو
- الدعم
- الهدف
- •
- المصدر
- عبر
- الوقت
- رمز
- أدوات
- حركة المرور
- تحديث
- تستخدم
- المستخدمين
- التحقق من صحة
- قيمنا
- مرئي
- نوافذ
- في غضون
- بدون
- القوى العاملة
- سنوات
- حل متجر العقارات الشامل الخاص بك في جورجيا