আপনি অ্যাক্সেস করতে পারেন অ্যামাজন সেজমেকার স্টুডিও থেকে নোটবুক আমাজন সেজমেকার মাধ্যমে কনসোল এডাব্লুএস আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট (IAM) আপনার পরিচয় প্রদানকারী (IdP) থেকে প্রমাণীকৃত ফেডারেশন, যেমন Okta। যখন একজন স্টুডিও ব্যবহারকারী নোটবুকের লিঙ্কটি খোলে, তখন স্টুডিও ফেডারেটেড ব্যবহারকারীর আইএএম নীতি অনুমোদন করে অ্যাক্সেস অনুমোদন করে এবং ব্যবহারকারীর জন্য নির্ধারিত URL তৈরি করে এবং সমাধান করে। যেহেতু সেজমেকার কনসোল একটি ইন্টারনেট ডোমেনে চলে, তাই এই তৈরি করা নির্ধারিত URL ব্রাউজার সেশনে দৃশ্যমান হয়। যখন সঠিক অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করা হয় না তখন এটি বহিস্কার এবং গ্রাহকের ডেটাতে অ্যাক্সেস পাওয়ার জন্য একটি অবাঞ্ছিত হুমকি ভেক্টর উপস্থাপন করে।
স্টুডিও নির্ধারিত ইউআরএল ডেটা এক্সফিল্ট্রেশনের বিরুদ্ধে অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করার জন্য কয়েকটি পদ্ধতি সমর্থন করে:
- IAM নীতি শর্ত ব্যবহার করে ক্লায়েন্ট আইপি যাচাইকরণ
aws:sourceIp
- IAM শর্ত ব্যবহার করে ক্লায়েন্ট VPC যাচাইকরণ
aws:sourceVpc
- IAM নীতি শর্ত ব্যবহার করে ক্লায়েন্ট VPC এন্ডপয়েন্ট যাচাইকরণ
aws:sourceVpce
আপনি যখন সেজমেকার কনসোল থেকে স্টুডিও নোটবুকগুলি অ্যাক্সেস করেন, তখন একমাত্র উপলব্ধ বিকল্প হল আইএএম নীতি শর্তের সাথে ক্লায়েন্ট আইপি বৈধতা ব্যবহার করা aws:sourceIp
. যাইহোক, আপনি আপনার কর্মীর ইন্টারনেট অ্যাক্সেসের জন্য স্কেল এবং সম্মতি নিশ্চিত করতে Zscaler-এর মতো ব্রাউজার ট্রাফিক রাউটিং পণ্য ব্যবহার করতে পারেন। এই ট্রাফিক রাউটিং পণ্যগুলি তাদের নিজস্ব উৎস আইপি তৈরি করে, যার আইপি পরিসীমা এন্টারপ্রাইজ গ্রাহক দ্বারা নিয়ন্ত্রিত হয় না। এটি এই এন্টারপ্রাইজ গ্রাহকদের জন্য এটি ব্যবহার করা অসম্ভব করে তোলে aws:sourceIp
শর্ত।
IAM নীতি শর্ত ব্যবহার করে ক্লায়েন্ট VPC এন্ডপয়েন্ট বৈধতা ব্যবহার করতে aws:sourceVpce
, একটি নির্ধারিত URL তৈরির জন্য একই গ্রাহক VPC থেকে উদ্ভূত হওয়া প্রয়োজন যেখানে স্টুডিও স্থাপন করা হয়েছে, এবং নির্ধারিত URL-এর রেজোলিউশন গ্রাহক VPC-তে একটি স্টুডিও VPC এন্ডপয়েন্টের মাধ্যমে ঘটতে হবে। কর্পোরেট নেটওয়ার্ক ব্যবহারকারীদের জন্য অ্যাক্সেসের সময় নির্ধারিত ইউআরএলের এই রেজোলিউশনটি ডিএনএস ফরওয়ার্ডিং নিয়ম (জেডস্ক্যালার এবং কর্পোরেট ডিএনএস উভয়েই) ব্যবহার করে সম্পন্ন করা যেতে পারে এবং তারপরে একটি ব্যবহার করে গ্রাহক ভিপিসি এন্ডপয়েন্টে অ্যামাজন রুট 53 অন্তর্মুখী সমাধানকারী।
এই অংশে, আমরা স্টুডিও প্রাক-স্বাক্ষর করা ইউআরএল সুরক্ষিত করার জন্য অত্যধিক আর্কিটেকচার নিয়ে আলোচনা করি এবং প্রদর্শন করি যে কীভাবে একটি স্টুডিও নির্ধারিত ইউআরএল তৈরি এবং চালু করার জন্য একটি প্রাইভেট নেটওয়ার্কের মাধ্যমে একটি ব্যক্তিগত নেটওয়ার্কের মাধ্যমে একটি স্টুডিও প্রিসিনড ইউআরএল চালু করতে হয়। এটি স্টুডিও প্রাক-স্বাক্ষর করা URL এবং কর্পোরেট পরিবেশের মধ্যে অননুমোদিত বা স্পুফড কর্পোরেট ব্যবহারকারীর অ্যাক্সেস অর্জন করে বহিরাগত খারাপ অভিনেতাদের দ্বারা ডেটা অপসারণ রোধ করার ভিত্তি হিসাবে কাজ করে।
সমাধান ওভারভিউ
নিচের চিত্রটি ওভার-আর্চিং সলিউশন আর্কিটেকচারকে চিত্রিত করে।
প্রক্রিয়াটি নিম্নলিখিত পদক্ষেপগুলি অন্তর্ভুক্ত করে:
- একজন কর্পোরেট ব্যবহারকারী তাদের আইডিপির মাধ্যমে প্রমাণীকরণ করে, তাদের কর্পোরেট পোর্টালের সাথে সংযোগ স্থাপন করে এবং কর্পোরেট পোর্টাল থেকে স্টুডিও লিঙ্কটি খোলে।
- কর্পোরেট পোর্টাল অ্যাপ্লিকেশনটি একটি নির্ধারিত URL তৈরি করতে API গেটওয়ে ভিপিসি এন্ডপয়েন্ট ব্যবহার করে একটি ব্যক্তিগত API কল করে।
- API গেটওয়ে ভিপিসি এন্ডপয়েন্ট "নির্ধারিত ইউআরএল তৈরি করুন" কলটি কর্পোরেট ডিএনএস-এ কনফিগার করা গ্রাহক ভিপিসি-তে রুট 53 ইনবাউন্ড রিসোলভারে ফরোয়ার্ড করা হয়।
- VPC DNS সমাধানকারী এটিকে API গেটওয়ে VPC এন্ডপয়েন্ট আইপিতে সমাধান করে। ঐচ্ছিকভাবে, এটি একটি ব্যক্তিগত হোস্টেড জোন রেকর্ড দেখায় যদি এটি বিদ্যমান থাকে।
- এপিআই গেটওয়ে ভিপিসি এন্ডপয়েন্ট অ্যামাজন প্রাইভেট নেটওয়ার্কের মাধ্যমে এপিআই গেটওয়ে পরিষেবা অ্যাকাউন্টে চলমান "নির্ধারিত ইউআরএল এপিআই তৈরি করুন" এ অনুরোধটি রুট করে।
- API গেটওয়ে আমন্ত্রণ জানায়
create-pre-signedURL
প্রাইভেট এপিআই এবং প্রক্সিকে অনুরোধ করেcreate-pre-signedURL
এডাব্লুএস ল্যাম্বদা ফাংশন. - সার্জারির
create-pre-signedURL
Lambda কল Lambda VPC এন্ডপয়েন্টের মাধ্যমে আহ্বান করা হয়। - সার্জারির
create-pre-signedURL
ফাংশন পরিষেবা অ্যাকাউন্টে চলে, প্রমাণীকৃত ব্যবহারকারীর প্রসঙ্গ (ইউজার আইডি, অঞ্চল এবং আরও অনেক কিছু) পুনরুদ্ধার করে, সেজমেকার ডোমেন এবং ব্যবহারকারীর প্রোফাইল শনাক্তকারী সনাক্ত করার জন্য একটি ম্যাপিং টেবিল সন্ধান করে, একটি তৈরি করেsagemaker createpre-signedDomainURL
API কল, এবং একটি নির্ধারিত URL তৈরি করে। Lambda পরিষেবা ভূমিকা SageMaker API এবং স্টুডিওর জন্য সংজ্ঞায়িত উৎস VPC শেষ পয়েন্ট শর্ত আছে. - জেনারেট করা নির্ধারিত ইউআরএলটি স্টুডিও ভিপিসি এন্ডপয়েন্টে সমাধান করা হয়েছে।
- স্টুডিও যাচাই করে যে নির্ধারিত ইউআরএলটি নীতিতে সংজ্ঞায়িত গ্রাহকের VPC এন্ডপয়েন্টের মাধ্যমে অ্যাক্সেস করা হচ্ছে এবং ফলাফল প্রদান করে।
- স্টুডিও নোটবুক ইন্টারনেটে না গিয়ে কর্পোরেট নেটওয়ার্কে ব্যবহারকারীর ব্রাউজার সেশনে ফেরত দেওয়া হয়।
নিম্নলিখিত বিভাগগুলি আপনাকে VPC এন্ডপয়েন্ট ব্যবহার করে কর্পোরেট নেটওয়ার্ক থেকে স্টুডিও দ্বারা নির্ধারিত ইউআরএলগুলি সমাধান করার জন্য এই আর্কিটেকচারটি কীভাবে বাস্তবায়ন করতে হয় তা নিয়ে চলে। আমরা নিম্নলিখিত পদক্ষেপগুলি দেখিয়ে একটি সম্পূর্ণ বাস্তবায়ন প্রদর্শন করি:
- ফাউন্ডেশনাল আর্কিটেকচার সেট আপ করুন।
- একটি VPC এন্ডপয়েন্টের মাধ্যমে SageMaker নির্ধারিত URL অ্যাক্সেস করতে কর্পোরেট অ্যাপ সার্ভার কনফিগার করুন।
- কর্পোরেট নেটওয়ার্ক থেকে স্টুডিও সেট আপ এবং চালু করুন।
ফাউন্ডেশনাল আর্কিটেকচার সেট আপ করুন
পদে একটি কর্পোরেট নেটওয়ার্ক থেকে একটি Amazon SageMaker স্টুডিও নোটবুক অ্যাক্সেস করুন৷, আমরা দেখিয়েছি কিভাবে ইন্টারনেটে না গিয়ে একটি কর্পোরেট নেটওয়ার্ক থেকে স্টুডিও নোটবুকের জন্য একটি নির্ধারিত URL ডোমেন নাম সমাধান করা যায়৷ ফাউন্ডেশনাল আর্কিটেকচার সেট আপ করতে আপনি সেই পোস্টে নির্দেশাবলী অনুসরণ করতে পারেন এবং তারপরে এই পোস্টে ফিরে যান এবং পরবর্তী ধাপে যেতে পারেন।
একটি VPC এন্ডপয়েন্টের মাধ্যমে SageMaker নির্ধারিত URL অ্যাক্সেস করতে কর্পোরেট অ্যাপ সার্ভার কনফিগার করুন
আপনার ইন্টারনেট ব্রাউজার থেকে স্টুডিও অ্যাক্সেস সক্ষম করতে, আমরা অন-প্রিমিসেস VPC পাবলিক সাবনেটে Windows সার্ভারে একটি অন-প্রিমিসেস অ্যাপ সার্ভার সেট আপ করি। যাইহোক, স্টুডিও অ্যাক্সেস করার জন্য ডিএনএস প্রশ্নগুলি কর্পোরেট (প্রাইভেট) নেটওয়ার্কের মাধ্যমে রুট করা হয়। কর্পোরেট নেটওয়ার্কের মাধ্যমে রাউটিং স্টুডিও ট্র্যাফিক কনফিগার করতে নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করুন:
- আপনার অন-প্রিমিসেস Windows অ্যাপ সার্ভারের সাথে সংযোগ করুন।
- বেছে নিন পাসওয়ার্ড পেতে তারপর আপনার পাসওয়ার্ড ডিক্রিপ্ট করতে আপনার ব্যক্তিগত কী ব্রাউজ করুন এবং আপলোড করুন।
- একটি RDP ক্লায়েন্ট ব্যবহার করুন এবং আপনার শংসাপত্র ব্যবহার করে Windows সার্ভারের সাথে সংযোগ করুন।
উইন্ডোজ সার্ভার কমান্ড প্রম্পট থেকে স্টুডিও ডিএনএস সমাধান করার ফলে পাবলিক ডিএনএস সার্ভার ব্যবহার করা হয়, যেমনটি নিম্নলিখিত স্ক্রিনশটে দেখানো হয়েছে।
এখন আমরা আগে সেট আপ করা অন-প্রিমিসেস DNS সার্ভার ব্যবহার করার জন্য Windows সার্ভার আপডেট করি। - নেভিগেট করুন কন্ট্রোল প্যানেল, নেটওয়ার্ক এবং ইন্টারনেট, এবং চয়ন করুন নেটওয়ার্ক সংযোগ.
- সঠিক পছন্দ ইথারনেট এবং নির্বাচন করুন প্রোপার্টি ট্যাব।
- অন-প্রিমিসেস DNS সার্ভার ব্যবহার করতে Windows সার্ভার আপডেট করুন।
- এখন আপনি আপনার ডিএনএস সার্ভার আইপি দিয়ে আপনার পছন্দের ডিএনএস সার্ভার আপডেট করুন।
- নেভিগেট করুন VPC এবং রুট টেবিল এবং আপনার চয়ন করুন স্টুডিও-অনপ্রেম-পাবলিক-আরটি রুট টেবিল।
- ফাউন্ডেশনাল আর্কিটেকচার সেটআপের সময় আমরা যে পিয়ারিং সংযোগ তৈরি করেছি তা লক্ষ্যের সাথে 10.16.0.0/16-এ একটি রুট যোগ করুন।
আপনার কর্পোরেট নেটওয়ার্ক থেকে স্টুডিও সেট আপ এবং চালু করুন
স্টুডিও সেট আপ এবং চালু করতে, নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করুন:
- ক্রোম ডাউনলোড করুন এবং এই উইন্ডোজ ইন্সট্যান্সে ব্রাউজারটি চালু করুন।
আপনি প্রয়োজন হতে পারে ইন্টারনেট এক্সপ্লোরার বর্ধিত নিরাপত্তা কনফিগারেশন বন্ধ করুন ফাইল ডাউনলোডের অনুমতি দিতে এবং তারপর ফাইল ডাউনলোড সক্রিয় করুন. - আপনার স্থানীয় ডিভাইস Chrome ব্রাউজারে, SageMaker কনসোলে নেভিগেট করুন এবং Chrome বিকাশকারী সরঞ্জামগুলি খুলুন৷ নেটওয়ার্ক ট্যাব।
- স্টুডিও অ্যাপ চালু করুন এবং পর্যবেক্ষণ করুন নেটওয়ার্ক জন্য ট্যাব
authtoken
প্যারামিটার মান, যার মধ্যে জেনারেট করা নির্ধারিত ইউআরএল এবং রিমোট সার্ভার অ্যাড্রেস অন্তর্ভুক্ত থাকে যেখানে ইউআরএলটি রেজোলিউশনের জন্য রাউট করা হয়।name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - থেকে এই ধাপগুলি পুনরাবৃত্তি করুন অ্যামাজন ইলাস্টিক কম্পিউট ক্লাউড (Amazon EC2) উইন্ডোজ ইন্সট্যান্স যা আপনি ফাউন্ডেশনাল আর্কিটেকচারের অংশ হিসেবে কনফিগার করেছেন।
আমরা লক্ষ্য করতে পারি যে দূরবর্তী ঠিকানাটি সর্বজনীন ডিএনএস আইপি নয়, পরিবর্তে এটি স্টুডিও ভিপিসি এন্ডপয়েন্ট 10.16.42.74।
উপসংহার
এই পোস্টে, আমরা দেখিয়েছি কিভাবে ইন্টারনেটে নির্ধারিত ইউআরএল রেজোলিউশন প্রকাশ না করে অ্যামাজন প্রাইভেট ভিপিসি এন্ডপয়েন্ট ব্যবহার করে কর্পোরেট নেটওয়ার্ক থেকে স্টুডিও-র দ্বারা নির্ধারিত ইউআরএল সমাধান করা যায়। এটি SageMaker-এ অত্যন্ত সুরক্ষিত মেশিন লার্নিং ওয়ার্কলোড তৈরির জন্য কর্পোরেট নেটওয়ার্ক থেকে স্টুডিও অ্যাক্সেস করার জন্য আপনার এন্টারপ্রাইজ নিরাপত্তা ভঙ্গিকে আরও সুরক্ষিত করে। ভিতরে অংশ 2 এই সিরিজের, আমরা স্টুডিও অ্যাক্সেস করার জন্য কীভাবে একটি ব্যক্তিগত API তৈরি করতে হয় তা প্রদর্শন করতে এই সমাধানটি আরও প্রসারিত করি aws:sourceVPCE
IAM নীতি যাচাইকরণ এবং টোকেন প্রমাণীকরণ। এই সমাধান চেষ্টা করে দেখুন এবং মন্তব্য আপনার প্রতিক্রিয়া ছেড়ে!
লেখক সম্পর্কে
রাম বিট্টল AWS-এর একজন মেশিন লার্নিং সলিউশন আর্কিটেক্ট। তার 20+ বছরের বেশি অভিজ্ঞতা আছে আর্কিটেক্টিং এবং বিল্ডিং ডিস্ট্রিবিউটেড, হাইব্রিড এবং ক্লাউড অ্যাপ্লিকেশন। এন্টারপ্রাইজ গ্রাহকদের তাদের ব্যবসায়িক ফলাফল উন্নত করতে তাদের ক্লাউড গ্রহণ এবং অপ্টিমাইজেশান যাত্রায় সহায়তা করার জন্য নিরাপদ এবং মাপযোগ্য AI/ML এবং বিগ ডেটা সমাধান তৈরির বিষয়ে তিনি উত্সাহী। তার অবসর সময়ে, তিনি টেনিস এবং ফটোগ্রাফি উপভোগ করেন।
নীলম কোশিয়া AWS-এর একজন এন্টারপ্রাইজ সলিউশন আর্কিটেক্ট। তার বর্তমান ফোকাস হল এন্টারপ্রাইজ গ্রাহকদের কৌশলগত ব্যবসায়িক ফলাফলের জন্য তাদের ক্লাউড গ্রহণের যাত্রায় সহায়তা করা। তার অবসর সময়ে, তিনি পড়া এবং বাইরে থাকা উপভোগ করেন।
- Coinsmart. ইউরোপের সেরা বিটকয়েন এবং ক্রিপ্টো এক্সচেঞ্জ।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. বিনামূল্যে এক্সেস.
- ক্রিপ্টোহক। Altcoin রাডার। বিনামূল্যে ট্রায়াল.
- সূত্র: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- সম্পর্কে
- প্রবেশ
- অ্যাক্সেস করা
- হিসাব
- ঠিকানা
- ঠিকানাগুলি
- গ্রহণ
- বিরুদ্ধে
- মর্দানী স্ত্রীলোক
- API
- অ্যাপ্লিকেশন
- আবেদন
- অ্যাপ্লিকেশন
- স্থাপত্য
- অনুমোদিত
- প্রমাণীকরণ করে
- প্রমাণীকরণ
- সহজলভ্য
- ডেস্কটপ AWS
- কারণ
- হচ্ছে
- বড় ডেটা
- সীমান্ত
- ব্রাউজার
- নির্মাণ করা
- ভবন
- ব্যবসায়
- কল
- বেছে নিন
- ক্রৌমিয়াম
- ক্রোম ব্রাউজার
- মেঘ
- সম্পূর্ণ
- সম্মতি
- গনা
- শর্ত
- পরিবেশ
- সংযোগ করা
- সংযোগ
- কনসোল
- নিয়ন্ত্রণগুলি
- কর্পোরেট
- সৃষ্টি
- নির্মিত
- সৃষ্টি
- পরিচয়পত্র
- বর্তমান
- ক্রেতা
- গ্রাহকদের
- উপাত্ত
- প্রদর্শন
- প্রদর্শিত
- মোতায়েন
- বিকাশকারী
- যন্ত্র
- আলোচনা করা
- বণ্টিত
- DNS
- ডোমেইন
- ডোমেন নাম
- ডাউনলোড
- সময়
- সক্ষম করা
- শেষপ্রান্ত
- উদ্যোগ
- এন্টারপ্রাইজ সুরক্ষা
- পরিবেশ
- উদাহরণ
- অভিজ্ঞতা
- প্রসারিত করা
- প্রতিক্রিয়া
- কেন্দ্রবিন্দু
- অনুসরণ করা
- অনুসরণ
- থেকে
- ক্রিয়া
- অধিকতর
- হত্তন
- প্রবেশপথ
- উত্পাদন করা
- উত্পন্ন
- ঘটা
- সাহায্য
- অত্যন্ত
- হোস্ট
- কিভাবে
- কিভাবে
- যাহোক
- HTTPS দ্বারা
- অকুলীন
- সনাক্ত করা
- পরিচয়
- বাস্তবায়ন
- বাস্তবায়ন
- অসম্ভব
- উন্নত করা
- অন্তর্ভুক্ত
- পরিকাঠামো
- উদাহরণ
- Internet
- IP
- IT
- যাত্রা
- চাবি
- শুরু করা
- স্তর
- শিক্ষা
- ত্যাগ
- LINK
- স্থানীয়
- মেশিন
- মেশিন লার্নিং
- তৈরি করে
- ম্যাপিং
- পদ্ধতি
- মাইক্রোসফট
- নেভিগেট করুন
- চাহিদা
- নেটওয়ার্ক
- পরবর্তী
- নোটবই
- খোলা
- প্রর্দশিত
- অপ্টিমাইজেশান
- পছন্দ
- বিদেশে
- নিজের
- অংশ
- কামুক
- পাসওয়ার্ড
- ফটোগ্রাফি
- নীতি
- পোর্টাল
- পছন্দের
- উপস্থাপন
- নিরোধক
- ব্যক্তিগত
- ব্যক্তিগত কী
- প্রক্রিয়া
- পণ্য
- প্রোফাইল
- প্রদানকারী
- প্রকাশ্য
- র্যাম
- পরিসর
- পড়া
- নথি
- এলাকা
- দূরবর্তী
- অনুরোধ
- ফলাফল
- প্রত্যাবর্তন
- আয়
- ভূমিকা
- রুট
- নিয়ম
- দৌড়
- একই
- মাপযোগ্য
- স্কেল
- নিরাপদ
- নিরাপত্তা
- ক্রম
- সেবা
- সেট
- সেটআপ
- প্রদর্শিত
- So
- কঠিন
- সমাধান
- সলিউশন
- কৌশলগত
- কৌশলগত ব্যবসা
- চিত্রশালা
- সমর্থন
- লক্ষ্য
- সার্জারির
- উৎস
- দ্বারা
- সময়
- টোকেন
- সরঞ্জাম
- ট্রাফিক
- আপডেট
- ব্যবহার
- ব্যবহারকারী
- বৈধতা
- মূল্য
- দৃশ্যমান
- জানালা
- মধ্যে
- ছাড়া
- কর্মীসংখ্যার
- বছর
- আপনার