Μπορείτε να αποκτήσετε πρόσβαση Στούντιο Amazon SageMaker τετράδια από το Amazon Sage Maker κονσόλα μέσω Διαχείριση ταυτότητας και πρόσβασης AWS (IAM) επαληθεύτηκε ομοσπονδία από τον πάροχο ταυτότητάς σας (IdP), όπως το Okta. Όταν ένας χρήστης του Studio ανοίγει τη σύνδεση του σημειωματάριου, το Studio επικυρώνει την πολιτική IAM του ομοσπονδιακού χρήστη για εξουσιοδότηση πρόσβασης και δημιουργεί και επιλύει την προκαθορισμένη διεύθυνση URL για τον χρήστη. Επειδή η κονσόλα SageMaker εκτελείται σε έναν τομέα Διαδικτύου, αυτή η προκαθορισμένη διεύθυνση URL που δημιουργείται είναι ορατή στην περίοδο λειτουργίας του προγράμματος περιήγησης. Αυτό παρουσιάζει ένα ανεπιθύμητο διάνυσμα απειλής για διείσδυση και απόκτηση πρόσβασης στα δεδομένα πελατών όταν δεν επιβάλλονται οι κατάλληλοι έλεγχοι πρόσβασης.
Το Studio υποστηρίζει μερικές μεθόδους για την επιβολή ελέγχων πρόσβασης έναντι της προκαθορισμένης εξαγωγής δεδομένων URL:
- Επικύρωση IP πελάτη με χρήση της συνθήκης πολιτικής IAM
aws:sourceIp
- Επικύρωση VPC πελάτη με χρήση της συνθήκης IAM
aws:sourceVpc
- Επικύρωση τελικού σημείου VPC πελάτη με χρήση της συνθήκης πολιτικής IAM
aws:sourceVpce
Όταν αποκτάτε πρόσβαση σε σημειωματάρια Studio από την κονσόλα SageMaker, η μόνη διαθέσιμη επιλογή είναι να χρησιμοποιήσετε την επικύρωση IP πελάτη με την συνθήκη πολιτικής IAM aws:sourceIp
. Ωστόσο, μπορείτε να χρησιμοποιήσετε προϊόντα δρομολόγησης της κυκλοφορίας του προγράμματος περιήγησης, όπως το Zscaler, για να διασφαλίσετε την κλίμακα και τη συμμόρφωση για την πρόσβαση του εργατικού δυναμικού σας στο Διαδίκτυο. Αυτά τα προϊόντα δρομολόγησης κυκλοφορίας δημιουργούν τη δική τους IP πηγής, της οποίας το εύρος IP δεν ελέγχεται από τον εταιρικό πελάτη. Αυτό καθιστά αδύνατο για αυτούς τους εταιρικούς πελάτες να χρησιμοποιήσουν το aws:sourceIp
κατάσταση.
Για να χρησιμοποιήσετε την επικύρωση τελικού σημείου VPC πελάτη χρησιμοποιώντας τη συνθήκη πολιτικής IAM aws:sourceVpce
, η δημιουργία μιας προκαθορισμένης διεύθυνσης URL πρέπει να ξεκινά από το ίδιο VPC πελάτη όπου αναπτύσσεται το Studio και η επίλυση της προκαθορισμένης διεύθυνσης URL πρέπει να γίνεται μέσω ενός τερματικού σημείου VPC του Studio στο VPC πελάτη. Αυτή η ανάλυση της προκαθορισμένης διεύθυνσης URL κατά τη διάρκεια του χρόνου πρόσβασης για χρήστες εταιρικού δικτύου μπορεί να επιτευχθεί χρησιμοποιώντας κανόνες προώθησης DNS (τόσο στο Zscaler όσο και στο εταιρικό DNS) και στη συνέχεια στο τελικό σημείο VPC πελάτη χρησιμοποιώντας ένα Η διαδρομή του Αμαζονίου 53 εισερχόμενος επιλύτης.
Σε αυτό το μέρος, συζητάμε την γενική αρχιτεκτονική για την εξασφάλιση προϋπογεγραμμένων url στο στούντιο και δείχνουμε πώς να ρυθμίσετε τη βασική υποδομή για τη δημιουργία και την εκκίνηση μιας προσημειωμένης διεύθυνσης URL στο Studio μέσω του τελικού σημείου VPC σας μέσω ενός ιδιωτικού δικτύου χωρίς διέλευση στο διαδίκτυο. Αυτό χρησιμεύει ως το θεμελιώδες επίπεδο για την αποτροπή της διείσδυσης δεδομένων από εξωτερικούς κακούς παράγοντες που αποκτούν πρόσβαση σε προϋπογεγραμμένη διεύθυνση URL του Studio και μη εξουσιοδοτημένη ή πλαστογραφημένη πρόσβαση εταιρικών χρηστών σε ένα εταιρικό περιβάλλον.
Επισκόπηση λύσεων
Το παρακάτω διάγραμμα απεικονίζει την αρχιτεκτονική λύσης γενικής αψίδας.
Η διαδικασία περιλαμβάνει τα ακόλουθα βήματα:
- Ένας εταιρικός χρήστης πραγματοποιεί έλεγχο ταυτότητας μέσω του IdP του, συνδέεται στην εταιρική του πύλη και ανοίγει τη σύνδεση Studio από την εταιρική πύλη.
- Η εφαρμογή εταιρικής πύλης πραγματοποιεί μια ιδιωτική κλήση API χρησιμοποιώντας ένα τελικό σημείο API Gateway VPC για τη δημιουργία μιας προκαθορισμένης διεύθυνσης URL.
- Η κλήση τερματικού σημείου API Gateway VPC "δημιουργία προκαθορισμένης διεύθυνσης URL" προωθείται στην εισερχόμενη λύση Route 53 στο VPC πελάτη, όπως έχει διαμορφωθεί στο εταιρικό DNS.
- Το πρόγραμμα επίλυσης VPC DNS το επιλύει στο τελικό σημείο IP της πύλης API VPC. Προαιρετικά, αναζητά μια εγγραφή ιδιωτικής φιλοξενούμενης ζώνης, εάν υπάρχει.
- Το τελικό σημείο API Gateway VPC δρομολογεί το αίτημα μέσω του ιδιωτικού δικτύου της Amazon στο "create presigned URL API" που εκτελείται στον λογαριασμό υπηρεσίας API Gateway.
- Το API Gateway καλεί το
create-pre-signedURL
ιδιωτικό API και μεταφέρει το αίτημα στοcreate-pre-signedURL
AWS Lambda λειτουργία. - Η
create-pre-signedURL
Η κλήση Lambda καλείται μέσω του τερματικού σημείου Lambda VPC. - Η
create-pre-signedURL
η λειτουργία εκτελείται στον λογαριασμό υπηρεσίας, ανακτά το περιβάλλον χρήστη που έχει πιστοποιηθεί (αναγνωριστικό χρήστη, περιοχή κ.λπ.), αναζητά έναν πίνακα αντιστοίχισης για να προσδιορίσει τον τομέα SageMaker και το αναγνωριστικό προφίλ χρήστη, κάνει έναsagemaker createpre-signedDomainURL
Κλήση API και δημιουργεί μια προκαθορισμένη διεύθυνση URL. Ο ρόλος της υπηρεσίας Lambda έχει τις συνθήκες τελικού σημείου πηγής VPC που ορίζονται για το SageMaker API και το Studio. - Η προκαθορισμένη διεύθυνση URL που δημιουργήθηκε επιλύεται στο τελικό σημείο Studio VPC.
- Το Studio επικυρώνει ότι γίνεται πρόσβαση στην προκαθορισμένη διεύθυνση URL μέσω του τελικού σημείου VPC του πελάτη που ορίζεται στην πολιτική και επιστρέφει το αποτέλεσμα.
- Το σημειωματάριο Studio επιστρέφεται στην περίοδο λειτουργίας του προγράμματος περιήγησης του χρήστη μέσω του εταιρικού δικτύου χωρίς διέλευση στο διαδίκτυο.
Οι ακόλουθες ενότητες σας καθοδηγούν στον τρόπο υλοποίησης αυτής της αρχιτεκτονικής για την επίλυση URL προκαθορισμένων στο Studio από ένα εταιρικό δίκτυο χρησιμοποιώντας τελικά σημεία VPC. Δείχνουμε μια πλήρη υλοποίηση δείχνοντας τα ακόλουθα βήματα:
- Ρυθμίστε τη θεμελιώδη αρχιτεκτονική.
- Διαμορφώστε τον εταιρικό διακομιστή εφαρμογών για πρόσβαση σε μια προκαθορισμένη διεύθυνση URL του SageMaker μέσω ενός τερματικού σημείου VPC.
- Ρυθμίστε και εκκινήστε το Studio από το εταιρικό δίκτυο.
Ρυθμίστε τη θεμελιώδη αρχιτεκτονική
Στο ταχυδρομείο Αποκτήστε πρόσβαση σε ένα φορητό υπολογιστή Amazon SageMaker Studio από ένα εταιρικό δίκτυο, δείξαμε πώς να επιλύσετε ένα προκαθορισμένο όνομα τομέα διεύθυνσης URL για ένα φορητό υπολογιστή Studio από ένα εταιρικό δίκτυο χωρίς διέλευση στο διαδίκτυο. Μπορείτε να ακολουθήσετε τις οδηγίες σε αυτήν την ανάρτηση για να ρυθμίσετε τη βασική αρχιτεκτονική και, στη συνέχεια, να επιστρέψετε σε αυτήν τη θέση και να προχωρήσετε στο επόμενο βήμα.
Διαμορφώστε τον εταιρικό διακομιστή εφαρμογών για πρόσβαση σε μια προκαθορισμένη διεύθυνση URL του SageMaker μέσω ενός τερματικού σημείου VPC
Για να ενεργοποιήσετε την πρόσβαση στο Studio από το πρόγραμμα περιήγησής σας στο Διαδίκτυο, δημιουργήσαμε έναν διακομιστή εφαρμογών εσωτερικής εγκατάστασης στον Windows Server στο δημόσιο υποδίκτυο VPC εσωτερικής εγκατάστασης. Ωστόσο, τα ερωτήματα DNS για πρόσβαση στο Studio δρομολογούνται μέσω του εταιρικού (ιδιωτικού) δικτύου. Ολοκληρώστε τα παρακάτω βήματα για να διαμορφώσετε την κυκλοφορία δρομολόγησης του Studio μέσω του εταιρικού δικτύου:
- Συνδεθείτε στον εσωτερικό διακομιστή εφαρμογών των Windows.
- Επιλέξτε Παρε τον κωδικο Στη συνέχεια, περιηγηθείτε και ανεβάστε το ιδιωτικό σας κλειδί για να αποκρυπτογραφήσετε τον κωδικό πρόσβασής σας.
- Χρησιμοποιήστε έναν πελάτη RDP και συνδεθείτε στον Windows Server χρησιμοποιώντας τα διαπιστευτήριά σας.
Η επίλυση του Studio DNS από τη γραμμή εντολών του Windows Server έχει ως αποτέλεσμα τη χρήση δημόσιων διακομιστών DNS, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης.
Τώρα ενημερώνουμε τον Windows Server για να χρησιμοποιήσουμε τον εσωτερικό διακομιστή DNS που δημιουργήσαμε νωρίτερα. - Πλοηγηθείτε στο Πίνακας ελέγχου, Δίκτυο και Internet, και επιλέξτε Συνδέσεις Δικτύου.
- Κάντε δεξί κλικ Ethernet Και επιλέξτε το Ιδιοκτησίες Tab.
- Ενημερώστε τον Windows Server για να χρησιμοποιήσετε τον εσωτερικό διακομιστή DNS.
- Τώρα ενημερώνετε τον προτιμώμενο διακομιστή DNS με την IP του διακομιστή DNS.
- Πλοηγηθείτε στο VPC και Πίνακες διαδρομής και επιλέξτε το δικό σας STUDIO-ONPREM-PUBLIC-RT πίνακας διαδρομής.
- Προσθέστε μια διαδρομή στο 10.16.0.0/16 με στόχο τη σύνδεση peering που δημιουργήσαμε κατά τη ρύθμιση της βασικής αρχιτεκτονικής.
Ρυθμίστε και εκκινήστε το Studio από το εταιρικό σας δίκτυο
Για να ρυθμίσετε και να εκκινήσετε το Studio, ολοκληρώστε τα παρακάτω βήματα:
- Κάντε λήψη του Chrome και εκκινήστε το πρόγραμμα περιήγησης σε αυτήν την παρουσία των Windows.
Μπορεί να χρειαστεί να απενεργοποιήστε τη ρύθμιση παραμέτρων βελτιωμένης ασφάλειας του Internet Explorer για να επιτρέψετε τη λήψη αρχείων και στη συνέχεια ενεργοποιήστε τη λήψη αρχείων. - Στο πρόγραμμα περιήγησης Chrome της τοπικής συσκευής σας, μεταβείτε στην κονσόλα SageMaker και ανοίξτε τα εργαλεία προγραμματιστών του Chrome Δίκτυο Tab.
- Εκκινήστε την εφαρμογή Studio και παρατηρήστε το Δίκτυο καρτέλα για το
authtoken
τιμή παραμέτρου, η οποία περιλαμβάνει την προκαθορισμένη διεύθυνση URL που δημιουργήθηκε μαζί με τη διεύθυνση απομακρυσμένου διακομιστή στον οποίο δρομολογείται η διεύθυνση URL για επίλυση. Σε αυτό το παράδειγμα, η απομακρυσμένη διεύθυνση 100.21.12.108 είναι μία από τις δημόσιες διευθύνσεις διακομιστή DNS για την επίλυση του τομέα DNS του SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Επαναλάβετε αυτά τα βήματα από το Amazon Elastic Compute Cloud (Amazon EC2) Παρουσίαση των Windows που ρυθμίσατε ως μέρος της βασικής αρχιτεκτονικής.
Μπορούμε να παρατηρήσουμε ότι η απομακρυσμένη διεύθυνση δεν είναι η δημόσια IP DNS, αλλά το τελικό σημείο Studio VPC 10.16.42.74.
Συμπέρασμα
Σε αυτήν την ανάρτηση, δείξαμε πώς να επιλύσετε μια προκαθορισμένη διεύθυνση URL από το Studio από ένα εταιρικό δίκτυο χρησιμοποιώντας ιδιωτικά τελικά σημεία VPC της Amazon χωρίς να εκθέσετε την προκαθορισμένη ανάλυση URL στο διαδίκτυο. Αυτό διασφαλίζει περαιτέρω τη στάση ασφαλείας της επιχείρησής σας για πρόσβαση στο Studio από ένα εταιρικό δίκτυο για τη δημιουργία εξαιρετικά ασφαλούς φόρτου εργασίας μηχανικής εκμάθησης στο SageMaker. Σε μέρος 2 αυτής της σειράς, επεκτείνουμε περαιτέρω αυτήν τη λύση για να δείξουμε πώς να δημιουργήσετε ένα ιδιωτικό API για πρόσβαση στο Studio aws:sourceVPCE
Επικύρωση πολιτικής IAM και έλεγχος ταυτότητας διακριτικού. Δοκιμάστε αυτή τη λύση και αφήστε τα σχόλιά σας στα σχόλια!
Σχετικά με τους Συγγραφείς
Ραμ Βιτάλ είναι αρχιτέκτονας λύσεων μηχανικής μάθησης στην AWS. Έχει πάνω από 20+ χρόνια εμπειρία στην αρχιτεκτονική και την κατασκευή εφαρμογών κατανεμημένων, υβριδικών και cloud εφαρμογών. Είναι παθιασμένος με τη δημιουργία ασφαλών και επεκτάσιμων λύσεων AI/ML και Big Data για να βοηθήσει τους εταιρικούς πελάτες με το ταξίδι υιοθέτησης και βελτιστοποίησης του cloud για να βελτιώσουν τα επιχειρηματικά τους αποτελέσματα. Στον ελεύθερο χρόνο του, του αρέσει το τένις και η φωτογραφία.
Neelam Koshiya είναι αρχιτέκτονας επιχειρησιακής λύσης στο AWS. Η σημερινή της εστίαση είναι να βοηθήσει τους πελάτες των επιχειρήσεων με το ταξίδι υιοθέτησης σύννεφο για στρατηγικά επιχειρησιακά αποτελέσματα. Στον ελεύθερο χρόνο της, απολαμβάνει την ανάγνωση και το ύπαιθρο.
- Coinsmart. Το καλύτερο ανταλλακτήριο Bitcoin και Crypto στην Ευρώπη.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. ΕΛΕΥΘΕΡΗ ΠΡΟΣΒΑΣΗ.
- CryptoHawk. Ραντάρ Altcoin. Δωρεάν δοκιμή.
- Πηγή: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Σχετικά
- πρόσβαση
- πρόσβαση
- Λογαριασμός
- διεύθυνση
- διευθύνσεις
- Υιοθεσία
- κατά
- Amazon
- api
- app
- Εφαρμογή
- εφαρμογές
- αρχιτεκτονική
- επικυρωμένο
- επικυρώνει
- Πιστοποίηση
- διαθέσιμος
- AWS
- επειδή
- είναι
- Big Data
- σύνορο
- πρόγραμμα περιήγησης
- χτίζω
- Κτίριο
- επιχείρηση
- κλήση
- Επιλέξτε
- Chrome
- Chrome browser
- Backup
- πλήρης
- Συμμόρφωση
- Υπολογίστε
- κατάσταση
- Συνθήκες
- Connect
- σύνδεση
- πρόξενος
- ελέγχους
- Εταιρικές εκδηλώσεις
- δημιουργία
- δημιουργήθηκε
- δημιουργία
- Διαπιστεύσεις
- Ρεύμα
- πελάτης
- Πελάτες
- ημερομηνία
- αποδεικνύουν
- κατέδειξε
- αναπτυχθεί
- Εργολάβος
- συσκευή
- συζητήσουν
- διανέμονται
- dns
- τομέα
- Όνομα Χώρου
- λήψεις
- κατά την διάρκεια
- ενεργοποιήσετε
- Τελικό σημείο
- Εταιρεία
- επιχειρηματική ασφάλεια
- Περιβάλλον
- παράδειγμα
- εμπειρία
- επεκτείνουν
- ανατροφοδότηση
- Συγκέντρωση
- ακολουθήστε
- Εξής
- από
- λειτουργία
- περαιτέρω
- κερδίζει
- πύλη
- παράγουν
- παράγεται
- συμβαίνω
- βοήθεια
- υψηλά
- φιλοξενείται
- Πως
- Πώς να
- Ωστόσο
- HTTPS
- Υβριδικό
- προσδιορίσει
- Ταυτότητα
- εφαρμογή
- εκτέλεση
- αδύνατος
- βελτίωση
- περιλαμβάνει
- Υποδομή
- παράδειγμα
- Internet
- IP
- IT
- ταξίδι
- Κλειδί
- ξεκινήσει
- στρώμα
- μάθηση
- Άδεια
- LINK
- τοπικός
- μηχανή
- μάθηση μηχανής
- ΚΑΝΕΙ
- χαρτης
- μέθοδοι
- Microsoft
- Πλοηγηθείτε
- ανάγκες
- δίκτυο
- επόμενη
- σημειωματάριο
- ανοίξτε
- ανοίγει
- βελτιστοποίηση
- Επιλογή
- ύπαιθρο
- δική
- μέρος
- παθιασμένος
- Κωδικός Πρόσβασης
- φωτογραφία
- πολιτική
- Πύλη
- προτιμάται
- δώρα
- πρόληψη
- ιδιωτικός
- ιδιωτικού κλειδιού
- διαδικασια μας
- Προϊόντα
- Προφίλ ⬇️
- προμηθευτής
- δημόσιο
- RAM
- σειρά
- Ανάγνωση
- ρεκόρ
- περιοχή
- μακρινός
- ζητήσει
- Αποτελέσματα
- απόδοση
- Επιστροφές
- Ρόλος
- Διαδρομή
- κανόνες
- τρέξιμο
- ίδιο
- επεκτάσιμη
- Κλίμακα
- προστατευμένο περιβάλλον
- ασφάλεια
- Σειρές
- υπηρεσία
- σειρά
- setup
- παρουσιάζεται
- So
- στέρεο
- λύση
- Λύσεις
- Στρατηγική
- στρατηγική επιχείρηση
- στούντιο
- Υποστηρίζει
- στόχος
- Η
- Η Πηγη
- Μέσω
- ώρα
- ένδειξη
- εργαλεία
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Ενημέρωση
- χρήση
- Χρήστες
- επικύρωση
- αξία
- ορατός
- παράθυρα
- εντός
- χωρίς
- Εργατικό δυναμικό
- χρόνια
- Σας