می توانید دسترسی داشته باشید Amazon SageMaker Studio نوت بوک از آمازون SageMaker کنسول از طریق هویت AWS و مدیریت دسترسی (IAM) فدراسیون احراز هویت از ارائهدهنده هویت شما (IdP)، مانند Okta. هنگامی که یک کاربر استودیو پیوند نوت بوک را باز می کند، استودیو خط مشی IAM کاربر فدرال را برای مجوز دسترسی تأیید می کند و URL تعیین شده را برای کاربر ایجاد و حل می کند. از آنجایی که کنسول SageMaker در یک دامنه اینترنتی اجرا می شود، این URL تعیین شده ایجاد شده در جلسه مرورگر قابل مشاهده است. این یک بردار تهدید نامطلوب برای نفوذ و دسترسی به داده های مشتری در زمانی که کنترل های دسترسی مناسب اعمال نمی شود، ارائه می دهد.
Studio از چند روش برای اعمال کنترلهای دسترسی در برابر استخراج دادههای URL از پیش تعیین شده پشتیبانی میکند:
- اعتبارسنجی IP مشتری با استفاده از شرایط سیاست IAM
aws:sourceIp
- اعتبار سنجی VPC مشتری با استفاده از شرط IAM
aws:sourceVpc
- اعتبار سنجی نقطه پایانی VPC مشتری با استفاده از شرط خط مشی IAM
aws:sourceVpce
وقتی از کنسول SageMaker به نوتبوکهای استودیو دسترسی دارید، تنها گزینه موجود استفاده از اعتبارسنجی IP مشتری با شرط خطمشی IAM است. aws:sourceIp
. با این حال، می توانید از محصولات مسیریابی ترافیک مرورگر مانند Zscaler برای اطمینان از مقیاس و انطباق برای دسترسی به اینترنت نیروی کار خود استفاده کنید. این محصولات مسیریابی ترافیک IP منبع خود را تولید می کنند که محدوده IP آن توسط مشتری سازمانی کنترل نمی شود. این امر باعث می شود که این مشتریان سازمانی نتوانند از آن استفاده کنند aws:sourceIp
وضعیت.
برای استفاده از اعتبارسنجی نقطه پایانی VPC مشتری با استفاده از شرط خط مشی IAM aws:sourceVpce
، ایجاد یک URL از پیش تعیین شده باید از همان VPC مشتری که Studio در آن مستقر شده است منشاء گیرد، و حل و فصل URL تعیین شده باید از طریق یک نقطه پایانی Studio VPC در VPC مشتری انجام شود. این وضوح URL تعیین شده در طول زمان دسترسی برای کاربران شبکه شرکتی را می توان با استفاده از قوانین ارسال DNS (هم در Zscaler و هم در DNS شرکتی) و سپس با استفاده از یک نقطه پایانی VPC مشتری انجام داد. مسیر آمازون 53 حل کننده ورودی
در این بخش، معماری کلی برای ایمن سازی url از پیش امضا شده استودیو را مورد بحث قرار میدهیم و نحوه راهاندازی زیرساختهای اساسی برای ایجاد و راهاندازی یک URL با علامت استودیو از طریق نقطه پایانی VPC خود از طریق یک شبکه خصوصی بدون عبور از اینترنت را نشان میدهیم. این به عنوان لایه اساسی برای جلوگیری از نفوذ داده ها توسط بازیگران بد خارجی که به URL از پیش امضا شده استودیو دسترسی پیدا می کنند و دسترسی کاربر شرکتی غیرمجاز یا جعلی در یک محیط شرکتی عمل می کند.
بررسی اجمالی راه حل
نمودار زیر معماری راه حل بیش از حد قوس را نشان می دهد.
فرآیند شامل مراحل زیر است:
- یک کاربر شرکتی از طریق IdP خود احراز هویت می کند، به پورتال شرکتی خود متصل می شود و پیوند Studio را از پورتال شرکتی باز می کند.
- برنامه پورتال شرکتی یک تماس API خصوصی با استفاده از نقطه پایانی API Gateway VPC برای ایجاد یک URL تعیین شده برقرار می کند.
- تماس نقطه پایانی API Gateway VPC "ایجاد URL تعیین شده" به حل کننده ورودی Route 53 در VPC مشتری همانطور که در DNS شرکتی پیکربندی شده است، ارسال می شود.
- حلکننده VPC DNS آن را به IP نقطه پایانی VPC دروازه API حل میکند. به صورت اختیاری، در صورت وجود رکورد منطقه میزبان خصوصی را جستجو می کند.
- نقطه پایانی API Gateway VPC درخواست را از طریق شبکه خصوصی آمازون به "ایجاد API URL تعیین شده" که در حساب سرویس API Gateway اجرا می شود، هدایت می کند.
- API Gateway را فراخوانی می کند
create-pre-signedURL
خصوصی API و پروکسی درخواست بهcreate-pre-signedURL
AWS لامبدا تابع. - La
create-pre-signedURL
تماس Lambda از طریق نقطه پایانی Lambda VPC فراخوانی می شود. - La
create-pre-signedURL
تابع در حساب سرویس اجرا می شود، زمینه کاربر احراز هویت شده (شناسه کاربر، منطقه و غیره) را بازیابی می کند، یک جدول نقشه برداری را برای شناسایی دامنه SageMaker و شناسه نمایه کاربر جستجو می کند،sagemaker createpre-signedDomainURL
API تماس می گیرد و یک URL تعیین شده ایجاد می کند. نقش سرویس Lambda دارای شرایط نقطه پایانی منبع VPC است که برای SageMaker API و Studio تعریف شده است. - URL تعیین شده ایجاد شده در نقطه پایانی Studio VPC حل می شود.
- Studio تأیید می کند که URL تعیین شده از طریق نقطه پایانی VPC مشتری تعریف شده در خط مشی قابل دسترسی است و نتیجه را برمی گرداند.
- نوت بوک استودیو از طریق شبکه شرکتی بدون عبور از اینترنت به جلسه مرورگر کاربر بازگردانده می شود.
بخشهای زیر نحوه پیادهسازی این معماری را برای حل و فصل URLهای تعیینشده استودیو از یک شبکه شرکتی با استفاده از نقاط پایانی VPC توضیح میدهند. ما یک پیاده سازی کامل را با نشان دادن مراحل زیر نشان می دهیم:
- معماری پایه را تنظیم کنید.
- سرور برنامه شرکتی را برای دسترسی به URL تعیین شده SageMaker از طریق نقطه پایانی VPC پیکربندی کنید.
- Studio را از شبکه شرکتی راه اندازی و راه اندازی کنید.
معماری پایه را تنظیم کنید
در پست از یک شبکه شرکتی به نوت بوک Amazon SageMaker Studio دسترسی پیدا کنید، ما نشان دادیم که چگونه یک نام دامنه URL تعیین شده برای یک نوت بوک استودیو را از یک شبکه شرکتی بدون عبور از اینترنت حل کنیم. برای راه اندازی معماری پایه می توانید دستورالعمل های آن پست را دنبال کنید و سپس به این پست برگردید و به مرحله بعدی بروید.
سرور برنامه شرکتی را برای دسترسی به URL تعیین شده SageMaker از طریق نقطه پایانی VPC پیکربندی کنید
برای فعال کردن دسترسی به استودیو از مرورگر اینترنت شما، ما یک سرور برنامه داخلی روی Windows Server در زیرشبکه عمومی VPC داخلی راه اندازی کردیم. با این حال، درخواست های DNS برای دسترسی به Studio از طریق شبکه شرکتی (خصوصی) هدایت می شوند. مراحل زیر را برای پیکربندی مسیریابی ترافیک استودیو از طریق شبکه شرکتی انجام دهید:
- به سرور برنامه ویندوز داخلی خود متصل شوید.
- را انتخاب کنید رمز عبور را دریافت کنید سپس کلید خصوصی خود را مرور و آپلود کنید تا رمز عبور خود را رمزگشایی کنید.
- از یک سرویس گیرنده RDP استفاده کنید و با استفاده از اطلاعات کاربری خود به ویندوز سرور متصل شوید.
همانطور که در تصویر زیر نشان داده شده است، حل DNS Studio از خط فرمان Windows Server منجر به استفاده از سرورهای عمومی DNS می شود.
اکنون ویندوز سرور را به روز می کنیم تا از سرور DNS داخلی که قبلاً راه اندازی کرده بودیم استفاده کند. - هدایت به صفحه کنترل, شبکه و اینترنت، و انتخاب کنید اتصالات شبکه.
- کلیک راست کنید اترنت و انتخاب کنید پروژه های ما تب.
- ویندوز سرور را برای استفاده از سرور DNS داخلی به روز کنید.
- اکنون سرور DNS مورد نظر خود را با IP سرور DNS خود به روز می کنید.
- هدایت به VPC و جداول مسیر و خود را انتخاب کنید STUDIO-ONPREM-PUBLIC-RT جدول مسیر
- مسیری را به 10.16.0.0/16 اضافه کنید که هدف آن اتصال همتا است که در طول راه اندازی معماری پایه ایجاد کردیم.
Studio را از شبکه شرکتی خود راه اندازی و راه اندازی کنید
برای راه اندازی و راه اندازی Studio، مراحل زیر را انجام دهید:
- Chrome را دانلود کنید و مرورگر را در این نمونه ویندوز راه اندازی کنید.
شما ممکن است نیاز تنظیمات امنیتی پیشرفته اینترنت اکسپلورر را خاموش کنید برای اجازه دانلود فایل و سپس دانلود فایل را فعال کنید. - در مرورگر Chrome دستگاه محلی خود، به کنسول SageMaker بروید و ابزارهای توسعه دهنده Chrome را باز کنید شبکه ارتباطی تب.
- برنامه استودیو را اجرا کنید و آن را مشاهده کنید شبکه ارتباطی زبانه برای
authtoken
مقدار پارامتر، که شامل URL از پیش تعیین شده تولید شده به همراه آدرس سرور راه دور است که URL برای تفکیک به آن هدایت می شود. در این مثال، آدرس راه دور 100.21.12.108 یکی از آدرس های سرور DNS عمومی برای حل دامنه DNS SageMaker است.name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - این مراحل را از ابر محاسبه الاستیک آمازون (Amazon EC2) نمونه ویندوزی که به عنوان بخشی از معماری پایه پیکربندی کرده اید.
میتوانیم مشاهده کنیم که آدرس راه دور IP DNS عمومی نیست، در عوض آن نقطه پایانی Studio VPC 10.16.42.74 است.
نتیجه
در این پست، ما نشان دادیم که چگونه میتوان URL تعیینشده استودیو را از یک شبکه شرکتی با استفاده از نقاط پایانی خصوصی VPC آمازون بدون افشای وضوح URL تعیینشده در اینترنت حل کرد. این امر وضعیت امنیتی شرکت شما را برای دسترسی به استودیو از یک شبکه شرکتی برای ایجاد بارهای کاری یادگیری ماشینی بسیار ایمن در SageMaker ایمن می کند. که در بخش 2 از این سری، ما این راه حل را بیشتر گسترش می دهیم تا نشان دهیم چگونه یک API خصوصی برای دسترسی به استودیو با آن بسازیم aws:sourceVPCE
اعتبار سنجی خط مشی IAM و احراز هویت توکن. این راه حل را امتحان کنید و نظرات خود را در نظرات بنویسید!
درباره نویسنده
رام ویتال یک معمار راه حل های یادگیری ماشین در AWS است. او بیش از 20 سال تجربه در زمینه معماری و ساخت برنامه های کاربردی توزیع شده، ترکیبی و ابری دارد. او مشتاق ساخت راهحلهای AI/ML و Big Data امن و مقیاسپذیر است تا به مشتریان سازمانی در سفر بهینهسازی و پذیرش ابری کمک کند تا نتایج کسبوکارشان را بهبود بخشند. در اوقات فراغت به تنیس و عکاسی علاقه دارد.
نیلم کوشیا یک معمار راه حل سازمانی در AWS است. تمرکز فعلی او کمک به مشتریان سازمانی در سفر پذیرش ابری برای نتایج استراتژیک تجاری است. در اوقات فراغت خود از خواندن و بیرون بودن لذت می برد.
- "
- 10
- 100
- a
- درباره ما
- دسترسی
- دسترسی
- حساب
- نشانی
- آدرس
- اتخاذ
- در برابر
- آمازون
- API
- نرم افزار
- کاربرد
- برنامه های کاربردی
- معماری
- تأیید اعتبار
- احراز هویت
- تصدیق
- در دسترس
- AWS
- زیرا
- بودن
- بزرگ داده
- مرز
- مرورگر
- ساختن
- بنا
- کسب و کار
- صدا
- را انتخاب کنید
- کروم
- مرورگر کروم
- ابر
- کامل
- انطباق
- محاسبه
- شرط
- شرایط
- اتصال
- ارتباط
- کنسول
- گروه شاهد
- شرکت
- ایجاد
- ایجاد شده
- ایجاد
- مجوزها و اعتبارات
- جاری
- مشتری
- مشتریان
- داده ها
- نشان دادن
- نشان
- مستقر
- توسعه دهنده
- دستگاه
- بحث و تبادل نظر
- توزیع شده
- دی ان اس
- دامنه
- نام دامنه
- دانلود
- در طی
- قادر ساختن
- نقطه پایانی
- سرمایه گذاری
- امنیت شرکت
- محیط
- مثال
- تجربه
- گسترش
- باز خورد
- تمرکز
- به دنبال
- پیروی
- از جانب
- تابع
- بیشتر
- به دست آوردن
- دروازه
- تولید می کنند
- تولید
- رخ دادن
- کمک
- خیلی
- میزبانی
- چگونه
- چگونه
- اما
- HTTPS
- ترکیبی
- شناسایی
- هویت
- انجام
- پیاده سازی
- غیر ممکن
- بهبود
- شامل
- شالوده
- نمونه
- اینترنت
- IP
- IT
- سفر
- کلید
- راه اندازی
- لایه
- یادگیری
- ترک کردن
- ارتباط دادن
- محلی
- دستگاه
- فراگیری ماشین
- باعث می شود
- نقشه برداری
- روش
- مایکروسافت
- هدایت
- نیازهای
- شبکه
- بعد
- دفتر یادداشت
- باز کن
- باز می شود
- بهینه سازی
- گزینه
- خارج از منزل
- خود
- بخش
- احساساتی
- کلمه عبور
- عکاسی
- سیاست
- پورتال
- مرجح
- هدیه
- جلوگیری
- خصوصی
- کلید خصوصی
- روند
- محصولات
- مشخصات
- ارائه دهنده
- عمومی
- رم
- محدوده
- مطالعه
- رکورد
- منطقه
- دور
- درخواست
- نتایج
- برگشت
- بازده
- نقش
- مسیر
- قوانین
- در حال اجرا
- همان
- مقیاس پذیر
- مقیاس
- امن
- تیم امنیت لاتاری
- سلسله
- سرویس
- تنظیم
- برپایی
- نشان داده شده
- So
- جامد
- راه حل
- مزایا
- استراتژیک
- کسب و کار استراتژیک
- استودیو
- پشتیبانی از
- هدف
- La
- منبع
- از طریق
- زمان
- رمز
- ابزار
- ترافیک
- بروزرسانی
- استفاده کنید
- کاربران
- اعتبار سنجی
- ارزش
- قابل رویت
- پنجره
- در داخل
- بدون
- نیروی کار
- سال
- شما