Voit käyttää Amazon SageMaker Studio muistikirjat alkaen Amazon Sage Maker konsoli kautta AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) todennettu liittoutuminen identiteetintarjoajaltasi (IdP), kuten Okta. Kun Studion käyttäjä avaa muistikirjan linkin, Studio vahvistaa liitetyn käyttäjän IAM-käytännön käyttöoikeuden valtuuttamiseksi sekä luo ja ratkaisee ennalta allekirjoitetun URL-osoitteen käyttäjälle. Koska SageMaker-konsoli toimii Internet-toimialueella, tämä luotu ennalta allekirjoitettu URL-osoite näkyy selainistunnossa. Tämä muodostaa ei-toivotun uhkavektorin suodatukselle ja pääsylle asiakastietoihin, kun asianmukaisia pääsynvalvontaa ei pakoteta.
Studio tukee muutamia menetelmiä pääsynvalvontaan ennalta määrätyn URL-tietojen suodattamisen estämiseksi:
- Asiakkaan IP-tarkistus IAM-käytäntöehdon avulla
aws:sourceIp
- Asiakkaan VPC-vahvistus IAM-ehdon avulla
aws:sourceVpc
- Asiakkaan VPC-päätepisteen vahvistus IAM-käytäntöehdon avulla
aws:sourceVpce
Kun käytät Studio-muistikirjoja SageMaker-konsolista, ainoa käytettävissä oleva vaihtoehto on käyttää asiakkaan IP-tarkistusta IAM-käytäntöehdon kanssa. aws:sourceIp
. Voit kuitenkin käyttää selainliikenteen reititystuotteita, kuten Zscaleria, varmistaaksesi työvoimasi Internet-yhteyden laajuuden ja vaatimustenmukaisuuden. Nämä liikenteen reititystuotteet luovat oman lähde-IP-osoitteensa, jonka IP-alue ei ole yritysasiakkaan hallinnassa. Tämä tekee näiden yritysasiakkaiden mahdottomaksi käyttää aws:sourceIp
kunto.
Voit käyttää asiakkaan VPC-päätepisteen vahvistusta IAM-käytäntöehdon avulla aws:sourceVpce
, ennalta allekirjoitetun URL-osoitteen luomisen on lähdettävä samasta asiakkaan VPC:stä, jossa Studio on otettu käyttöön, ja ennalta allekirjoitetun URL-osoitteen ratkaisemisen on tapahduttava asiakkaan VPC:n Studio VPC -päätepisteen kautta. Tämä ennalta allekirjoitetun URL-osoitteen ratkaiseminen yritysverkon käyttäjien käyttöaikana voidaan suorittaa DNS-välityssäännöillä (sekä Zscalerissa että yrityksen DNS:ssä) ja sitten asiakkaan VPC-päätepisteeseen käyttämällä Amazon-reitti 53 saapuva ratkaisija.
Tässä osassa käsittelemme studion ennalta allekirjoitetun URL-osoitteen suojaamisen kattavaa arkkitehtuuria ja esittelemme, kuinka perustaa perusinfrastruktuuri Studion ennalta allekirjoitetun URL-osoitteen luomiseksi ja käynnistämiseksi VPC-päätepisteesi kautta yksityisen verkon kautta ilman Internetiä. Tämä toimii perustana, jolla estetään ulkoisten huonojen toimijoiden pääsy Studion ennalta allekirjoitettuun URL-osoitteeseen ja luvaton tai väärennetty yrityskäyttäjän pääsy yritysympäristössä.
Ratkaisun yleiskatsaus
Seuraava kaavio havainnollistaa kokonaisvaltaista ratkaisuarkkitehtuuria.
Prosessi sisältää seuraavat vaiheet:
- Yrityskäyttäjä todentaa tunnuksensa kautta, muodostaa yhteyden yritysportaaliinsa ja avaa Studio-linkin yritysportaalista.
- Yritysportaalisovellus tekee yksityisen API-kutsun API-yhdyskäytävän VPC-päätepisteen avulla ennalta allekirjoitetun URL-osoitteen luomiseksi.
- API-yhdyskäytävän VPC-päätepisteen "luo ennalta allekirjoitettu URL-osoite" -kutsu välitetään asiakkaan VPC:n Route 53 -saapuvan liikenteen ratkaisijalle yrityksen DNS:ssä määritettyjen mukaisesti.
- VPC DNS-selvitin ratkaisee sen API-yhdyskäytävän VPC-päätepisteen IP:ksi. Valinnaisesti se etsii yksityisen isännöidyn vyöhykkeen tietueen, jos sellainen on olemassa.
- API Gateway VPC -päätepiste reitittää pyynnön Amazonin yksityisen verkon kautta API Gateway -palvelutilillä toimivaan "create presigned URL API" -sovellukseen.
- API-yhdyskäytävä kutsuu
create-pre-signedURL
yksityinen API ja välittää pyynnöncreate-pre-signedURL
AWS Lambda toiminto. - -
create-pre-signedURL
Lambda-kutsu kutsutaan Lambda VPC -päätepisteen kautta. - -
create-pre-signedURL
toiminto toimii palvelutilillä, hakee todennettua käyttäjäkontekstia (käyttäjätunnus, alue ja niin edelleen), etsii kartoitustaulukon SageMaker-toimialueen ja käyttäjäprofiilin tunnisteen tunnistamiseksi, tekeesagemaker createpre-signedDomainURL
API-kutsu ja luo ennalta allekirjoitetun URL-osoitteen. Lambda-palveluroolissa on SageMaker API:lle ja Studiolle määritellyt VPC-lähdepisteen ehdot. - Luotu ennalta allekirjoitettu URL-osoite ratkaistaan Studio VPC -päätepisteen kautta.
- Studio vahvistaa, että ennalta allekirjoitettua URL-osoitetta käytetään asiakkaan käytännössä määritellyn VPC-päätepisteen kautta, ja palauttaa tuloksen.
- Studio-muistikirja palautetaan käyttäjän selainistuntoon yritysverkon kautta ilman Internetin käyttöä.
Seuraavissa osioissa kerrotaan, kuinka tämä arkkitehtuuri otetaan käyttöön Studion ennalta allekirjoittamien URL-osoitteiden ratkaisemiseksi yritysverkosta VPC-päätepisteiden avulla. Osoitamme täydellisen toteutuksen näyttämällä seuraavat vaiheet:
- Aseta perusarkkitehtuuri.
- Määritä yrityksen sovelluspalvelin käyttämään SageMakerin ennalta määritettyä URL-osoitetta VPC-päätepisteen kautta.
- Ota Studio käyttöön ja käynnistä se yritysverkosta.
Aseta perusarkkitehtuuri
Postissa Käytä Amazon SageMaker Studio -muistikirjaa yritysverkosta, osoitimme kuinka ratkaista ennalta allekirjoitettu URL-verkkotunnus Studio-muistikirjalle yritysverkosta ilman Internetiä. Voit määrittää perusarkkitehtuurin noudattamalla kyseisen viestin ohjeita ja palata sitten tähän viestiin ja siirtyä seuraavaan vaiheeseen.
Määritä yrityksen sovelluspalvelin käyttämään SageMakerin ennalta määritettyä URL-osoitetta VPC-päätepisteen kautta
Studion käytön mahdollistamiseksi Internet-selaimellasi määritämme paikallisen sovelluspalvelimen Windows Serveriin paikalliseen VPC:n julkiseen aliverkkoon. DNS-kyselyt Studioon pääsyä varten reititetään kuitenkin yrityksen (yksityisen) verkon kautta. Suorita seuraavat vaiheet määrittääksesi Studio-liikenteen reitityksen yritysverkon kautta:
- Muodosta yhteys paikalliseen Windows-sovelluspalvelimeesi.
- Valita Hanki salasana sen jälkeen selaa ja lataa yksityinen avaimesi salasanasi salauksen purkamiseksi.
- Käytä RDP-asiakasta ja muodosta yhteys Windows Serveriin valtuustiedoillasi.
Studio DNS:n ratkaiseminen Windows Server -komentokehotteessa johtaa julkisten DNS-palvelimien käyttöön seuraavan kuvakaappauksen mukaisesti.
Päivitämme nyt Windows Serverin käyttämään paikallista DNS-palvelinta, jonka määritimme aiemmin. - Navigoida johonkin Ohjauspaneelin, Verkko ja Internet, ja valitse Verkkoyhteydet.
- Napsauta hiiren kakkospainikkeella Ethernet Ja valitse Kiinteistöt Tab.
- Päivitä Windows Server käyttääksesi paikallista DNS-palvelinta.
- Nyt päivität haluamasi DNS-palvelimen DNS-palvelimesi IP-osoitteella.
- Navigoida johonkin VPC ja Reittitaulukot ja valitse STUDIO-ONPREM-PUBLIC-RT reittitaulukko.
- Lisää reitti osoitteeseen 10.16.0.0/16, jossa kohde on peering-yhteys, jonka loimme perusarkkitehtuurin asennuksen aikana.
Ota Studio käyttöön ja käynnistä se yritysverkostasi
Ota Studio käyttöön ja käynnistä se suorittamalla seuraavat vaiheet:
- Lataa Chrome ja käynnistä selain tässä Windows-esiintymässä.
Voit joutua poista Internet Explorerin Enhanced Security Configuration käytöstä salliaksesi tiedostojen lataamisen ja sitten salli tiedostojen lataukset. - Siirry paikallisella laitteesi Chrome-selaimella SageMaker-konsoliin ja avaa Chromen kehittäjätyökalut verkko Tab.
- Käynnistä Studio-sovellus ja tarkkaile verkko -välilehti
authtoken
parametrin arvo, joka sisältää luodun ennalta allekirjoitetun URL-osoitteen sekä etäpalvelimen osoitteen, johon URL-osoite reititetään ratkaisua varten. Tässä esimerkissä etäosoite 100.21.12.108 on yksi julkisista DNS-palvelinosoitteista SageMaker DNS -toimialueen ratkaisemiseksi.name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Toista nämä vaiheet alkaen Amazonin elastinen laskentapilvi (Amazon EC2) Windows-esiintymä, jonka määritit osaksi perusarkkitehtuuria.
Voimme havaita, että etäosoite ei ole julkinen DNS-IP, vaan se on Studio VPC -päätepiste 10.16.42.74.
Yhteenveto
Tässä viestissä osoitimme, kuinka ratkaista Studion ennalta allekirjoittama URL-osoite yritysverkosta käyttämällä Amazonin yksityisiä VPC-päätepisteitä paljastamatta ennalta allekirjoitettua URL-resoluutiota Internetiin. Tämä varmistaa entisestään yrityksesi suojausasennon, jonka avulla voit käyttää Studiota yritysverkosta erittäin turvallisten koneoppimistyökuormien rakentamiseksi SageMakerissa. Sisään osa 2 Tässä sarjassa laajennamme tätä ratkaisua edelleen osoittaaksemme, kuinka luodaan yksityinen sovellusliittymä Studion käyttöä varten aws:sourceVPCE
IAM-käytännön vahvistus ja tunnuksen todennus. Kokeile tätä ratkaisua ja jätä palautetta kommentteihin!
Tietoja Tekijät
Ram Vital on AWS:n koneoppimisratkaisujen arkkitehti. Hänellä on yli 20 vuoden kokemus hajautettujen, hybridi- ja pilvisovellusten arkkitehtuurista ja rakentamisesta. Hän on intohimoinen turvallisten ja skaalautuvien AI/ML- ja Big Data -ratkaisujen rakentamiseen auttaakseen yritysasiakkaita heidän pilvipalveluiden käyttöönotto- ja optimointimatkallaan parantaakseen liiketoimintansa tuloksia. Vapaa-ajallaan hän harrastaa tennistä ja valokuvausta.
Neelam Koshiya on AWS: n yritysratkaisuarkkitehti. Hänen nykyinen painopiste on auttaa yritysasiakkaita heidän pilvipalvelumatkalla strategisten liiketoimintatulosten saavuttamiseksi. Vapaa-ajallaan hän nauttii lukemisesta ja ulkona olemisesta.
- Coinsmart. Euroopan paras Bitcoin- ja kryptopörssi.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. VAPAA PÄÄSY.
- CryptoHawk. Altcoinin tutka. Ilmainen kokeilu.
- Lähde: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Meistä
- pääsy
- Pääsy
- Tili
- osoite
- osoitteet
- Hyväksyminen
- vastaan
- Amazon
- api
- sovelluksen
- Hakemus
- sovellukset
- arkkitehtuuri
- todennettu
- todentaa
- Authentication
- saatavissa
- AWS
- koska
- ovat
- Big Data
- reunus
- selain
- rakentaa
- Rakentaminen
- liiketoiminta
- soittaa
- Valita
- kromi
- kromi-selain
- pilvi
- täydellinen
- noudattaminen
- Laskea
- ehto
- olosuhteet
- kytkeä
- liitäntä
- Console
- valvonta
- Yrityksen
- luoda
- luotu
- luominen
- Valtakirja
- Nykyinen
- asiakas
- Asiakkaat
- tiedot
- osoittaa
- osoittivat
- käyttöön
- Kehittäjä
- laite
- pohtia
- jaettu
- dns
- verkkotunnuksen
- Domain Name
- lataukset
- aikana
- mahdollistaa
- päätepiste
- yritys
- yrityksen turvallisuus
- ympäristö
- esimerkki
- experience
- laajentaa
- palaute
- Keskittää
- seurata
- jälkeen
- alkaen
- toiminto
- edelleen
- saamassa
- portti
- tuottaa
- syntyy
- tapahtua
- auttaa
- erittäin
- isännöi
- Miten
- Miten
- Kuitenkin
- HTTPS
- Hybridi
- tunnistaa
- Identiteetti
- toteuttaa
- täytäntöönpano
- mahdoton
- parantaa
- sisältää
- Infrastruktuuri
- esimerkki
- Internet
- IP
- IT
- matka
- avain
- käynnistää
- kerros
- oppiminen
- jättää
- LINK
- paikallinen
- kone
- koneoppiminen
- TEE
- kartoitus
- menetelmät
- Microsoft
- Navigoida
- tarpeet
- verkko
- seuraava
- muistikirja
- avata
- avautuu
- optimointi
- Vaihtoehto
- ulkona
- oma
- osa
- intohimoinen
- Salasana
- valokuvaus
- politiikka
- Portal
- Suositut
- lahjat
- estää
- yksityinen
- yksityinen avain
- prosessi
- Tuotteemme
- Profiili
- toimittaja
- julkinen
- RAM
- alue
- Lukeminen
- ennätys
- alue
- kaukosäädin
- pyyntö
- tulokset
- palata
- Tuotto
- Rooli
- Reitti
- säännöt
- juoksu
- sama
- skaalautuva
- Asteikko
- turvallinen
- turvallisuus
- Sarjat
- palvelu
- setti
- setup
- esitetty
- So
- vankka
- ratkaisu
- Ratkaisumme
- Strateginen
- strategista liiketoimintaa
- studio
- Tukee
- Kohde
- -
- Lähde
- Kautta
- aika
- symbolinen
- työkalut
- liikenne
- Päivitykset
- käyttää
- Käyttäjät
- validointi
- arvo
- näkyvä
- ikkunat
- sisällä
- ilman
- työvoima
- vuotta
- Sinun