Du kan få adgang Amazon SageMaker Studio notesbøger fra Amazon SageMaker konsol via AWS identitets- og adgangsstyring (IAM) godkendt føderation fra din identitetsudbyder (IdP), såsom Okta. Når en Studio-bruger åbner notesbogslinket, validerer Studio den fødererede brugers IAM-politik for at autorisere adgang og genererer og løser den foruddefinerede URL for brugeren. Fordi SageMaker-konsollen kører på et internetdomæne, er denne genererede foruddefinerede URL synlig i browsersessionen. Dette udgør en uønsket trusselsvektor for eksfiltrering og adgang til kundedata, når korrekt adgangskontrol ikke håndhæves.
Studio understøtter nogle få metoder til at håndhæve adgangskontrol mod foruddefineret URL-dataeksfiltrering:
- Klient-IP-validering ved hjælp af IAM-politikbetingelsen
aws:sourceIp
- Klient VPC-validering ved hjælp af IAM-betingelsen
aws:sourceVpc
- Klient VPC-slutpunktsvalidering ved hjælp af IAM-politikbetingelsen
aws:sourceVpce
Når du får adgang til Studio-notebooks fra SageMaker-konsollen, er den eneste tilgængelige mulighed at bruge klient-IP-validering med IAM-politikbetingelsen aws:sourceIp
. Du kan dog bruge produkter til routing af browsertrafik såsom Zscaler for at sikre skala og overholdelse af din arbejdsstyrkes internetadgang. Disse trafikdirigeringsprodukter genererer deres egen kilde-IP, hvis IP-område ikke kontrolleres af virksomhedskunden. Dette gør det umuligt for disse virksomhedskunder at bruge aws:sourceIp
tilstand.
At bruge klient VPC-slutpunktsvalidering ved hjælp af IAM-politikbetingelsen aws:sourceVpce
, skal oprettelsen af en forudindstillet URL stamme fra den samme kunde-VPC, hvor Studio er implementeret, og opløsning af den forudindstillede URL skal ske via et Studio VPC-slutpunkt på kundens VPC. Denne opløsning af den forudindstillede URL under adgangstiden for firmanetværksbrugere kan opnås ved hjælp af DNS-videresendelsesregler (både i Zscaler og virksomheds-DNS) og derefter ind i kundens VPC-slutpunkt ved hjælp af en Amazonrute 53 indgående resolver.
I denne del diskuterer vi den overordnede arkitektur til sikring af studiets forudsigneret url og demonstrerer, hvordan man opsætter den grundlæggende infrastruktur til at oprette og starte en Studio forudindstillet URL gennem dit VPC-slutpunkt over et privat netværk uden at gå på internettet. Dette tjener som det grundlæggende lag til at forhindre dataeksfiltrering af eksterne dårlige aktører, der får adgang til Studio pre-signeret URL og uautoriseret eller forfalsket virksomhedsbrugeradgang i et virksomhedsmiljø.
Løsningsoversigt
Følgende diagram illustrerer den overordnede løsningsarkitektur.
Processen omfatter følgende trin:
- En virksomhedsbruger godkender via deres IdP, opretter forbindelse til deres virksomhedsportal og åbner Studio-linket fra virksomhedsportalen.
- Virksomhedsportalapplikationen foretager et privat API-kald ved hjælp af et API Gateway VPC-slutpunkt til at oprette en foruddefineret URL.
- API Gateway VPC-slutpunktet "create presigned URL"-kaldet videresendes til Route 53's indgående resolver på kundens VPC som konfigureret i virksomhedens DNS.
- VPC DNS-resolveren løser det til API Gateway VPC-slutpunktets IP. Den slår eventuelt en privat hostet zonepost op, hvis den findes.
- API Gateway VPC-slutpunktet dirigerer anmodningen via Amazons private netværk til "create presigned URL API", der kører i API Gateway-tjenestekontoen.
- API Gateway påberåber sig
create-pre-signedURL
private API og fuldmagter anmodningen tilcreate-pre-signedURL
AWS Lambda funktion. -
create-pre-signedURL
Lambda-opkald påkaldes via Lambda VPC-slutpunktet. -
create-pre-signedURL
funktionen kører i tjenestekontoen, henter godkendt brugerkontekst (bruger-id, region og så videre), slår en kortlægningstabel op for at identificere SageMaker-domænet og brugerprofil-id'en, laver ensagemaker createpre-signedDomainURL
API-kald og genererer en foruddefineret URL. Lambda-servicerollen har kilde-VPC-slutpunktsbetingelserne defineret for SageMaker API og Studio. - Den genererede foruddefinerede URL løses over Studio VPC-slutpunktet.
- Studio validerer, at den foruddefinerede URL tilgås via kundens VPC-slutpunkt, der er defineret i politikken, og returnerer resultatet.
- Studio-notebooken returneres til brugerens browsersession over virksomhedens netværk uden at gå på internettet.
De følgende sektioner leder dig gennem, hvordan du implementerer denne arkitektur for at løse Studio forudindstillede URL'er fra et virksomhedsnetværk ved hjælp af VPC-slutpunkter. Vi demonstrerer en komplet implementering ved at vise følgende trin:
- Opsæt den grundlæggende arkitektur.
- Konfigurer virksomhedens app-server til at få adgang til en SageMaker foruddefineret URL via et VPC-slutpunkt.
- Konfigurer og start Studio fra virksomhedens netværk.
Opsæt den grundlæggende arkitektur
I stillingen Få adgang til en Amazon SageMaker Studio notesbog fra et firmanetværk, viste vi, hvordan man løser et forudindstillet URL-domænenavn til en Studio-notebook fra et virksomhedsnetværk uden at gå på internettet. Du kan følge instruktionerne i det pågældende indlæg for at konfigurere den grundlæggende arkitektur og derefter vende tilbage til dette indlæg og fortsætte til næste trin.
Konfigurer virksomhedens app-server til at få adgang til en SageMaker foruddefineret URL via et VPC-slutpunkt
For at muliggøre adgang til Studio fra din internetbrowser konfigurerer vi en lokal app-server på Windows Server på det lokale VPC-offentlige undernet. DNS-forespørgslerne for at få adgang til Studio dirigeres dog gennem virksomhedens (private) netværk. Fuldfør følgende trin for at konfigurere routing af Studio-trafik gennem virksomhedens netværk:
- Opret forbindelse til din lokale Windows-appserver.
- Vælg Hent adgangskode Gennemse og upload derefter din private nøgle for at dekryptere din adgangskode.
- Brug en RDP-klient og opret forbindelse til Windows Server ved hjælp af dine legitimationsoplysninger.
Løsning af Studio DNS fra Windows Server-kommandoprompten resulterer i brug af offentlige DNS-servere, som vist på følgende skærmbillede.
Nu opdaterer vi Windows Server til at bruge den lokale DNS-server, som vi satte op tidligere. - Naviger til kontrol panel, Netværk og internet, og vælg Netværksforbindelser.
- Højreklik Ethernet og vælg Ejendomme fane.
- Opdater Windows Server for at bruge den lokale DNS-server.
- Nu opdaterer du din foretrukne DNS-server med din DNS-server-IP.
- Naviger til VPC , Rutetabeller og vælg din STUDIO-ONPREM-PUBLIC-RT rutetabel.
- Tilføj en rute til 10.16.0.0/16 med målet som peering-forbindelsen, som vi oprettede under den grundlæggende arkitekturopsætning.
Konfigurer og start Studio fra dit virksomhedsnetværk
For at konfigurere og starte Studio skal du udføre følgende trin:
- Download Chrome og start browseren på denne Windows-instans.
Du skal muligvis slå Internet Explorer Enhanced Security Configuration fra for at tillade fildownloads og derefter aktivere fildownloads. - I din lokale enheds Chrome-browser skal du navigere til SageMaker-konsollen og åbne Chrome-udviklerværktøjerne Netværk fane.
- Start Studio-appen og observer Netværk fanen for
authtoken
parameterværdi, som inkluderer den genererede foruddefinerede URL sammen med den eksterne serveradresse, som URL'en er omdirigeret til med henblik på opløsning. I dette eksempel er fjernadressen 100.21.12.108 en af de offentlige DNS-serveradresser til at løse SageMaker DNS-domænetname d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Gentag disse trin fra Amazon Elastic Compute Cloud (Amazon EC2) Windows-forekomst, som du konfigurerede som en del af den grundlæggende arkitektur.
Vi kan observere, at fjernadressen ikke er den offentlige DNS IP, i stedet er det Studio VPC-slutpunktet 10.16.42.74.
Konklusion
I dette indlæg demonstrerede vi, hvordan man løser en Studio forudindstillet URL fra et virksomhedsnetværk ved hjælp af Amazon private VPC-slutpunkter uden at udsætte den forudindstillede URL-opløsning for internettet. Dette sikrer yderligere din virksomheds sikkerhedsposition for at få adgang til Studio fra et virksomhedsnetværk til opbygning af meget sikre maskinlæringsarbejdsbelastninger på SageMaker. I del 2 af denne serie udvider vi denne løsning yderligere for at demonstrere, hvordan man bygger en privat API til at få adgang til Studio med aws:sourceVPCE
IAM-politikvalidering og tokengodkendelse. Prøv denne løsning og giv din feedback i kommentarerne!
Om forfatterne
Ram Vittal er maskinlæringsløsningsarkitekt hos AWS. Han har over 20 års erfaring med at arkitekte og bygge distribuerede, hybride og cloud-applikationer. Han brænder for at bygge sikre og skalerbare AI/ML- og Big Data-løsninger for at hjælpe virksomhedskunder med deres cloud-adoption og optimeringsrejse for at forbedre deres forretningsresultater. I sin fritid nyder han tennis og fotografering.
Neelam Koshiya er virksomhedsløsningsarkitekt hos AWS. Hendes nuværende fokus er at hjælpe virksomhedskunder med deres cloud-adoptionsrejse for strategiske forretningsresultater. I sin fritid nyder hun at læse og være udendørs.
- Coinsmart. Europas bedste Bitcoin og Crypto Exchange.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. FRI ADGANG.
- CryptoHawk. Altcoin radar. Gratis prøveversion.
- Kilde: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Om
- adgang
- Adgang
- Konto
- adresse
- adresser
- Vedtagelse
- mod
- Amazon
- api
- app
- Anvendelse
- applikationer
- arkitektur
- autentificeret
- godkender
- Godkendelse
- til rådighed
- AWS
- fordi
- være
- Big data
- grænse
- browser
- bygge
- Bygning
- virksomhed
- ringe
- Vælg
- Chrome
- Chrome-browser
- Cloud
- fuldføre
- Compliance
- Compute
- betingelse
- betingelser
- Tilslut
- tilslutning
- Konsol
- kontrol
- Corporate
- skabe
- oprettet
- skabelse
- Legitimationsoplysninger
- Nuværende
- kunde
- Kunder
- data
- demonstrere
- demonstreret
- indsat
- Udvikler
- enhed
- diskutere
- distribueret
- dns
- domæne
- Domain Name
- downloads
- i løbet af
- muliggøre
- Endpoint
- Enterprise
- virksomheds sikkerhed
- Miljø
- eksempel
- erfaring
- udvide
- tilbagemeldinger
- Fokus
- følger
- efter
- fra
- funktion
- yderligere
- vinder
- gateway
- generere
- genereret
- ske
- hjælpe
- stærkt
- hostede
- Hvordan
- How To
- Men
- HTTPS
- Hybrid
- identificere
- Identity
- gennemføre
- implementering
- umuligt
- Forbedre
- omfatter
- Infrastruktur
- instans
- Internet
- IP
- IT
- rejse
- Nøgle
- lancere
- lag
- læring
- Forlade
- LINK
- lokale
- maskine
- machine learning
- maerker
- kortlægning
- metoder
- microsoft
- Naviger
- behov
- netværk
- næste
- notesbog
- åbent
- åbner
- optimering
- Option
- udendørs
- egen
- del
- lidenskabelige
- Adgangskode
- fotografering
- politik
- Portal
- foretrækkes
- gaver
- forebyggelse
- private
- private nøgle
- behandle
- Produkter
- Profil
- udbyder
- offentlige
- RAM
- rækkevidde
- Læsning
- optage
- region
- fjern
- anmode
- Resultater
- afkast
- afkast
- roller
- R
- regler
- kører
- samme
- skalerbar
- Scale
- sikker
- sikkerhed
- Series
- tjeneste
- sæt
- setup
- vist
- So
- solid
- løsninger
- Løsninger
- Strategisk
- strategisk forretning
- Studio
- Understøtter
- mål
- The Source
- Gennem
- tid
- token
- værktøjer
- Trafik
- Opdatering
- brug
- brugere
- validering
- værdi
- synlig
- vinduer
- inden for
- uden
- Workforce
- år
- Din