Saate juurdepääsu Amazon SageMaker Studio märkmikud alates Amazon SageMaker konsooli kaudu AWS-i identiteedi- ja juurdepääsuhaldus (IAM) autentitud föderatsioon teie identiteedipakkujalt (IdP), nt Okta. Kui Studio kasutaja avab märkmiku lingi, kontrollib Studio juurdepääsu lubamiseks liitkasutaja IAM-poliitikat ning loob ja lahendab kasutaja jaoks eelnevalt allkirjastatud URL-i. Kuna SageMakeri konsool töötab Interneti-domeenis, on see loodud eelallkirjastatud URL brauseri seansis nähtav. See kujutab endast soovimatut ohuvektorit eksfiltreerimiseks ja kliendiandmetele juurdepääsu saamiseks, kui nõuetekohast juurdepääsukontrolli ei jõustata.
Studio toetab mõnda meetodit juurdepääsukontrollide jõustamiseks etteantud URL-i andmete väljafiltreerimise vastu.
- Kliendi IP valideerimine IAM-i poliitikatingimuse abil
aws:sourceIp
- Kliendi VPC valideerimine IAM-tingimuse abil
aws:sourceVpc
- Kliendi VPC lõpp-punkti valideerimine IAM-i poliitikatingimuse abil
aws:sourceVpce
Kui avate Studio märkmikud SageMakeri konsoolist, on ainus saadaolev võimalus kasutada kliendi IP valideerimist IAM-i poliitikatingimusega aws:sourceIp
. Siiski saate oma tööjõu Interneti-juurdepääsu ulatuse ja vastavuse tagamiseks kasutada brauseri liikluse marsruutimise tooteid, nagu Zscaler. Need liikluse suunamistooted loovad oma lähte-IP-i, mille IP-vahemikku ettevõtte klient ei kontrolli. See muudab nende ettevõtete klientide jaoks võimatuks aws:sourceIp
seisukorras.
Kliendi VPC lõpp-punkti valideerimise kasutamiseks IAM-i poliitikatingimuse abil aws:sourceVpce
, peab eelallkirjastatud URL-i loomine pärinema samast kliendi VPC-st, kus Studio juurutatakse, ja eelallkirjastatud URL-i lahendamine peab toimuma kliendi VPC-s Studio VPC lõpp-punkti kaudu. Eelallkirjastatud URL-i lahendamist ettevõtte võrgukasutajate juurdepääsuajal saab teha DNS-i edastamisreeglite abil (nii Zscaleris kui ka ettevõtte DNS-is) ja seejärel kliendi VPC lõpp-punkti, kasutades Amazoni tee 53 sissetulev lahendaja.
Selles osas käsitleme stuudio eelallkirjastatud URL-i turvalisuse üldist arhitektuuri ja näitame, kuidas seadistada põhiinfrastruktuur, et luua ja käivitada Studio eelallkirjastatud URL teie VPC lõpp-punkti kaudu privaatvõrgu kaudu ilma Internetti läbimata. See toimib aluskihina, et vältida andmete väljafiltreerimist väliste halbade osalejate poolt, kes saavad juurdepääsu Studio eelallkirjastatud URL-ile ja volitamata või võltsitud ettevõttekasutaja juurdepääsu ettevõtte keskkonnas.
Lahenduse ülevaade
Järgmine diagramm illustreerib kõikehõlmavat lahenduse arhitektuuri.
Protsess sisaldab järgmisi samme:
- Ettevõttekasutaja autentib oma IDP kaudu, loob ühenduse oma ettevõtte portaaliga ja avab ettevõtte portaalist lingi Studio.
- Ettevõtteportaali rakendus teeb privaatse API-kõne, kasutades API lüüsi VPC lõpp-punkti, et luua eelallkirjastatud URL.
- API lüüsi VPC lõpp-punkti kõne „loo eelallkirjastatud URL” suunatakse edasi kliendi VPC-s Route 53 sissetulevasse lahendajasse, nagu on konfigureeritud ettevõtte DNS-is.
- VPC DNS-i lahendaja lahendab selle API lüüsi VPC lõpp-punkti IP-le. Valikuliselt otsib see privaatse hostitud tsooni kirje, kui see on olemas.
- API lüüsi VPC lõpp-punkt suunab päringu Amazoni privaatvõrgu kaudu API lüüsi teenusekontol töötavasse "loo eelallkirjastatud URL API-liidese".
- API lüüs kutsub esile
create-pre-signedURL
privaatne API ja saadab päringu puhverserverikscreate-pre-signedURL
AWS Lambda funktsiooni. - .
create-pre-signedURL
Lambda kõne kutsutakse välja Lambda VPC lõpp-punkti kaudu. - .
create-pre-signedURL
funktsioon töötab teenusekontol, hangib autentitud kasutaja konteksti (kasutaja ID, regioon jne), otsib vastendustabeli SageMakeri domeeni ja kasutajaprofiili identifikaatori tuvastamiseks, teebsagemaker createpre-signedDomainURL
API-kõne ja genereerib eelnevalt allkirjastatud URL-i. Lambda teenuserollil on SageMaker API ja Studio jaoks määratletud lähte-VPC lõpp-punkti tingimused. - Loodud eelallkirjastatud URL lahendatakse Studio VPC lõpp-punkti kaudu.
- Studio kontrollib, kas eelallkirjastatud URL-ile pääsetakse juurde poliitikas määratletud kliendi VPC lõpp-punkti kaudu, ja tagastab tulemuse.
- Studio märkmik tagastatakse ettevõtte võrgu kaudu kasutaja brauseri seansile ilma Internetti läbimata.
Järgmistes jaotistes selgitatakse, kuidas seda arhitektuuri rakendada, et lahendada VPC lõpp-punkte kasutades ettevõtte võrgust Studio eelallkirjastatud URL-id. Näitame täielikku rakendamist, näidates järgmisi samme:
- Seadke alusarhitektuur.
- Konfigureerige ettevõtte rakendusserver VPC lõpp-punkti kaudu juurdepääsuks SageMakeri eelallkirjastatud URL-ile.
- Seadistage ja käivitage Studio ettevõtte võrgust.
Seadke alusarhitektuur
Postituses Juurdepääs Amazon SageMaker Studio sülearvutile ettevõtte võrgu kaudu, näitasime, kuidas lahendada ettevõtte võrgust Studio sülearvuti jaoks eelnevalt allkirjastatud URL-i domeeninime ilma Internetti läbimata. Võite järgida selle postituse juhiseid, et seadistada alusarhitektuur, seejärel naasta selle postituse juurde ja jätkata järgmise sammuga.
Konfigureerige ettevõtte rakendusserver VPC lõpp-punkti kaudu juurdepääsuks SageMakeri eelallkirjastatud URL-ile
Studiole juurdepääsu lubamiseks teie Interneti-brauserist seadistame Windows Serveris asutusesisese rakenduste serveri kohalikus VPC avalikus alamvõrgus. Kuid DNS-päringud Studiole juurdepääsuks suunatakse ettevõtte (era)võrgu kaudu. Stuudio liikluse ettevõtte võrgu kaudu marsruutimise konfigureerimiseks toimige järgmiselt.
- Looge ühendus oma kohapealse Windowsi rakenduste serveriga.
- Vali Hangi parool seejärel sirvige ja laadige üles oma privaatvõti, et oma parool dekrüpteerida.
- Kasutage RDP-klienti ja looge oma mandaatide abil ühendus Windows Serveriga.
Studio DNS-i lahendamine Windows Serveri käsurealt toob kaasa avalike DNS-serverite kasutamise, nagu on näidatud järgmisel ekraanipildil.
Nüüd värskendame Windows Serverit, et kasutada varem seadistatud kohapealset DNS-serverit. - Liigu juhtpaneel, Võrk ja Internetja vali Võrguühendused.
- Paremklõpsake Ethernet ja vali Kinnisvara Tab.
- Kohapealse DNS-serveri kasutamiseks värskendage Windows Serverit.
- Nüüd värskendate eelistatud DNS-serverit oma DNS-serveri IP-ga.
- Liigu VPC ja Marsruudi tabelid ja vali oma STUDIO-ONPREM-PUBLIC-RT marsruudi tabel.
- Lisage marsruut aadressile 10.16.0.0/16, mille sihtmärk on partnerlusühendus, mille lõime põhiarhitektuuri seadistamise ajal.
Seadistage ja käivitage Studio oma ettevõtte võrgust
Studio seadistamiseks ja käivitamiseks toimige järgmiselt.
- Laadige alla Chrome ja käivitage sellel Windowsi eksemplaril brauser.
Teil võib olla vaja lülitage Internet Exploreri täiustatud turbekonfiguratsioon välja failide allalaadimise lubamiseks ja seejärel lubada failide allalaadimist. - Liikuge kohalikus seadmes Chrome'i brauseris SageMakeri konsooli ja avage Chrome'i arendaja tööriistad võrk Tab.
- Käivitage rakendus Studio ja jälgige võrk vahekaart
authtoken
parameetri väärtus, mis sisaldab loodud eelallkirjastatud URL-i koos kaugserveri aadressiga, kuhu URL suunatakse lahendamiseks.Selles näites on kaugaadress 100.21.12.108 üks avalikest DNS-serveri aadressidest SageMakeri DNS-i domeeni lahendamiseksname d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Korrake neid samme alates Amazon Elastic Compute Cloud (Amazon EC2) Windowsi eksemplar, mille konfigureerisite põhiarhitektuuri osana.
Võime täheldada, et kaugaadress ei ole avalik DNS-i IP, selle asemel on Studio VPC lõpp-punkt 10.16.42.74.
Järeldus
Selles postituses demonstreerisime, kuidas lahendada Studio eelallkirjastatud URL ettevõtte võrgust, kasutades Amazoni privaatseid VPC lõpp-punkte, ilma eelallkirjastatud URL-i eraldusvõimet Internetti paljastamata. See kindlustab veelgi teie ettevõtte turvalisuse, et pääseda juurde ettevõtte võrgust Studiole, et luua SageMakeris üliturvaline masinõppe töökoormus. sisse osa 2 Selle seeria osas laiendame seda lahendust veelgi, et näidata, kuidas luua privaatset API-t Studio juurdepääsuks aws:sourceVPCE
IAM-i poliitika valideerimine ja loa autentimine. Proovige seda lahendust ja jätke oma tagasiside kommentaaridesse!
Autoritest
Ram Vital on AWS-i masinõppelahenduste arhitekt. Tal on üle 20-aastane kogemus hajutatud, hübriid- ja pilverakenduste kujundamisel ja ehitamisel. Ta on kirglik turvaliste ja skaleeritavate tehisintellekti/ML-i ja suurandmete lahenduste loomise vastu, et aidata ettevõtte klientidel pilveteenuste kasutuselevõtul ja optimeerimisel oma äritulemusi parandada. Vabal ajal tegeleb ta tennise ja fotograafiaga.
Neelam Koshiya on AWS-i ärilahenduste arhitekt. Tema praegune eesmärk on aidata ärikliente nende pilves kasutuselevõtu teekonnal strateegiliste äritulemuste saavutamiseks. Vabal ajal meeldib talle lugeda ja õues olla.
- Münditark. Euroopa parim Bitcoini ja krüptobörs.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. TASUTA PÄÄS.
- CryptoHawk. Altcoini radar. Tasuta prooviversioon.
- Allikas: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- MEIST
- juurdepääs
- Ligipääs
- konto
- aadress
- aadressid
- Vastuvõtmine
- vastu
- Amazon
- API
- app
- taotlus
- rakendused
- arhitektuur
- autenditud
- autentib
- Autentimine
- saadaval
- AWS
- sest
- on
- Big andmed
- piir
- brauseri
- ehitama
- Ehitus
- äri
- helistama
- Vali
- Kroom
- kroomitud brauser
- Cloud
- täitma
- Vastavus
- Arvutama
- seisund
- Tingimused
- Võta meiega ühendust
- ühendus
- konsool
- kontrolli
- Korporatiivne
- looma
- loodud
- loomine
- volikiri
- Praegune
- klient
- Kliendid
- andmed
- näitama
- Näidatud
- lähetatud
- arendaja
- seade
- arutama
- jagatud
- DNS
- domeen
- Domeeninimi
- allalaadimine
- ajal
- võimaldama
- Lõpp-punkt
- ettevõte
- ettevõtte turvalisus
- keskkond
- näide
- kogemus
- laiendama
- tagasiside
- Keskenduma
- järgima
- Järel
- Alates
- funktsioon
- edasi
- kasumi saamine
- värav
- tekitama
- loodud
- juhtuda
- aitama
- kõrgelt
- võõrustas
- Kuidas
- Kuidas
- aga
- HTTPS
- hübriid
- identifitseerima
- Identity
- rakendada
- täitmine
- võimatu
- parandama
- hõlmab
- Infrastruktuur
- Näiteks
- Internet
- IP
- IT
- teekond
- Võti
- algatama
- kiht
- õppimine
- Lahkuma
- LINK
- kohalik
- masin
- masinõpe
- TEEB
- kaardistus
- meetodid
- Microsoft
- Navigate
- vajadustele
- võrk
- järgmine
- märkmik
- avatud
- Avaneb
- optimeerimine
- valik
- väljas
- enda
- osa
- kirglik
- Parool
- fotograafia
- poliitika
- Portal
- eelistatud
- kingitusi
- ennetada
- era-
- Private Key
- protsess
- Toodet
- profiil
- tarnija
- avalik
- RAM
- valik
- Lugemine
- rekord
- piirkond
- kauge
- taotleda
- Tulemused
- tagasipöördumine
- Tulu
- Roll
- Marsruut
- eeskirjade
- jooksmine
- sama
- skaalautuvia
- Skaala
- kindlustama
- turvalisus
- Seeria
- teenus
- komplekt
- seade
- näidatud
- So
- tahke
- lahendus
- Lahendused
- Strateegiline
- strateegiline äri
- stuudio
- Toetab
- sihtmärk
- .
- Allikas
- Läbi
- aeg
- sümboolne
- töövahendid
- liiklus
- Värskendused
- kasutama
- Kasutajad
- kinnitamine
- väärtus
- nähtav
- aknad
- jooksul
- ilma
- Tööjõud
- aastat
- Sinu