आप उपयोग कर सकते हैं अमेज़ॅन सैजमेकर स्टूडियो से नोटबुक अमेज़न SageMaker के माध्यम से कंसोल AWS पहचान और अभिगम प्रबंधन (IAM) आपके पहचान प्रदाता (IdP) से प्रमाणित संघ, जैसे कि Okta। जब कोई स्टूडियो उपयोगकर्ता नोटबुक लिंक खोलता है, तो स्टूडियो एक्सेस को अधिकृत करने के लिए फ़ेडरेटेड उपयोगकर्ता की IAM नीति को मान्य करता है, और उपयोगकर्ता के लिए निर्धारित URL को उत्पन्न और हल करता है। क्योंकि सेजमेकर कंसोल एक इंटरनेट डोमेन पर चलता है, यह जेनरेट किया गया निर्धारित यूआरएल ब्राउज़र सत्र में दिखाई देता है। जब उचित अभिगम नियंत्रण लागू नहीं किया जाता है तो यह बहिष्करण और ग्राहक डेटा तक पहुंच प्राप्त करने के लिए एक अवांछित खतरा वेक्टर प्रस्तुत करता है।
स्टूडियो निर्दिष्ट URL डेटा एक्सफ़िल्टरेशन के विरुद्ध एक्सेस नियंत्रण लागू करने के लिए कुछ विधियों का समर्थन करता है:
- IAM नीति शर्त का उपयोग करके क्लाइंट IP सत्यापन
aws:sourceIp
- IAM शर्त का उपयोग करते हुए क्लाइंट VPC सत्यापन
aws:sourceVpc
- IAM नीति शर्त का उपयोग करते हुए क्लाइंट VPC समापन बिंदु सत्यापन
aws:sourceVpce
जब आप SageMaker कंसोल से स्टूडियो नोटबुक्स तक पहुँचते हैं, तो IAM नीति शर्त के साथ क्लाइंट IP सत्यापन का उपयोग करने का एकमात्र उपलब्ध विकल्प है aws:sourceIp
. हालाँकि, आप अपने कार्यबल इंटरनेट एक्सेस के पैमाने और अनुपालन को सुनिश्चित करने के लिए ब्राउज़र ट्रैफ़िक रूटिंग उत्पादों जैसे Zscaler का उपयोग कर सकते हैं। ये ट्रैफ़िक रूटिंग उत्पाद अपना स्वयं का स्रोत IP उत्पन्न करते हैं, जिसकी IP श्रेणी एंटरप्राइज़ ग्राहक द्वारा नियंत्रित नहीं होती है। इससे इन एंटरप्राइज़ ग्राहकों के लिए इसका उपयोग करना असंभव हो जाता है aws:sourceIp
शर्त।
IAM नीति शर्त का उपयोग करके क्लाइंट VPC समापन बिंदु सत्यापन का उपयोग करने के लिए aws:sourceVpce
, एक निर्धारित यूआरएल का निर्माण उसी ग्राहक वीपीसी में शुरू होना चाहिए जहां स्टूडियो तैनात है, और निर्धारित यूआरएल का संकल्प ग्राहक वीपीसी पर स्टूडियो वीपीसी एंडपॉइंट के माध्यम से होना चाहिए। कॉर्पोरेट नेटवर्क उपयोगकर्ताओं के लिए एक्सेस समय के दौरान निर्धारित URL का यह रिज़ॉल्यूशन DNS फ़ॉरवर्डिंग नियमों (Zscaler और कॉर्पोरेट DNS दोनों में) का उपयोग करके और फिर ग्राहक VPC एंडपॉइंट में एक का उपयोग करके पूरा किया जा सकता है। अमेज़ॅन रूट 53 इनबाउंड रिज़ॉल्वर।
इस भाग में, हम स्टूडियो पूर्व-हस्ताक्षरित url को सुरक्षित करने के लिए व्यापक वास्तुकला पर चर्चा करते हैं और यह प्रदर्शित करते हैं कि इंटरनेट को पार किए बिना एक निजी नेटवर्क पर अपने VPC समापन बिंदु के माध्यम से एक स्टूडियो द्वारा निर्धारित URL बनाने और लॉन्च करने के लिए मूलभूत बुनियादी ढाँचा कैसे स्थापित किया जाए। यह बाहरी बुरे अभिनेताओं द्वारा स्टूडियो पूर्व-हस्ताक्षरित URL तक पहुंच प्राप्त करने और कॉर्पोरेट वातावरण में अनधिकृत या नकली कॉर्पोरेट उपयोगकर्ता पहुंच को रोकने के लिए आधारभूत परत के रूप में कार्य करता है।
समाधान अवलोकन
निम्नलिखित आरेख अति-संग्रह समाधान वास्तुकला को दर्शाता है।
प्रक्रिया में निम्नलिखित चरण शामिल हैं:
- एक कॉर्पोरेट उपयोगकर्ता अपने IdP के माध्यम से प्रमाणित करता है, अपने कॉर्पोरेट पोर्टल से जुड़ता है, और कॉर्पोरेट पोर्टल से स्टूडियो लिंक खोलता है।
- कॉर्पोरेट पोर्टल एप्लिकेशन एक निर्धारित यूआरएल बनाने के लिए एपीआई गेटवे वीपीसी एंडपॉइंट का उपयोग करके एक निजी एपीआई कॉल करता है।
- एपीआई गेटवे वीपीसी एंडपॉइंट "निर्धारित यूआरएल बनाएं" कॉल को कॉर्पोरेट डीएनएस में कॉन्फ़िगर किए गए ग्राहक वीपीसी पर रूट 53 इनबाउंड रिज़ॉल्वर को अग्रेषित किया जाता है।
- वीपीसी डीएनएस रिज़ॉल्वर इसे एपीआई गेटवे वीपीसी एंडपॉइंट आईपी में हल करता है। वैकल्पिक रूप से, यह मौजूद होने पर एक निजी होस्टेड ज़ोन रिकॉर्ड देखता है।
- एपीआई गेटवे वीपीसी एंडपॉइंट अमेज़ॅन निजी नेटवर्क के माध्यम से एपीआई गेटवे सेवा खाते में चल रहे "निर्धारित यूआरएल एपीआई बनाएं" के लिए अनुरोध को रूट करता है।
- एपीआई गेटवे को आमंत्रित करता है
create-pre-signedURL
निजी एपीआई और अनुरोध को प्रॉक्सी करता हैcreate-pre-signedURL
AWS लाम्बा समारोह. - RSI
create-pre-signedURL
लैम्ब्डा कॉल को लैम्ब्डा वीपीसी एंडपॉइंट के माध्यम से लागू किया जाता है। - RSI
create-pre-signedURL
फ़ंक्शन सेवा खाते में चलता है, प्रमाणित उपयोगकर्ता संदर्भ (उपयोगकर्ता आईडी, क्षेत्र, और इसी तरह) को पुनः प्राप्त करता है, सेजमेकर डोमेन और उपयोगकर्ता प्रोफ़ाइल पहचानकर्ता की पहचान करने के लिए एक मानचित्रण तालिका देखता है, एक बनाता हैsagemaker createpre-signedDomainURL
एपीआई कॉल, और एक निर्धारित यूआरएल उत्पन्न करता है। लैम्ब्डा सेवा भूमिका में सेजमेकर एपीआई और स्टूडियो के लिए परिभाषित स्रोत वीपीसी समापन बिंदु शर्तें हैं। - जेनरेट किया गया निर्दिष्ट यूआरएल स्टूडियो वीपीसी एंडपॉइंट पर हल किया गया है।
- स्टूडियो पुष्टि करता है कि नीति में परिभाषित ग्राहक के वीपीसी एंडपॉइंट के माध्यम से निर्धारित यूआरएल तक पहुंचा जा रहा है, और परिणाम देता है।
- स्टूडियो नोटबुक को उपयोगकर्ता के ब्राउज़र सत्र में कॉर्पोरेट नेटवर्क पर बिना इंटरनेट ट्रैवर्स किए लौटा दिया जाता है।
निम्नलिखित अनुभाग आपको वीपीसी एंडपॉइंट का उपयोग करके कॉर्पोरेट नेटवर्क से स्टूडियो द्वारा निर्धारित URL को हल करने के लिए इस आर्किटेक्चर को लागू करने के तरीके के बारे में बताते हैं। हम निम्नलिखित चरणों को दिखा कर एक पूर्ण कार्यान्वयन प्रदर्शित करते हैं:
- आधारभूत संरचना स्थापित करें।
- एक VPC समापन बिंदु के माध्यम से SageMaker द्वारा निर्धारित URL तक पहुँचने के लिए कॉर्पोरेट ऐप सर्वर को कॉन्फ़िगर करें।
- कॉर्पोरेट नेटवर्क से स्टूडियो सेट अप और लॉन्च करें।
आधारभूत संरचना स्थापित करें
पोस्ट में कॉर्पोरेट नेटवर्क से Amazon SageMaker Studio नोटबुक एक्सेस करें, हमने दिखाया कि कैसे एक कॉर्पोरेट नेटवर्क से एक स्टूडियो नोटबुक के लिए एक निर्धारित URL डोमेन नाम को इंटरनेट पर ट्रेस किए बिना हल किया जाए। आप मूलभूत संरचना को स्थापित करने के लिए उस पोस्ट में दिए गए निर्देशों का पालन कर सकते हैं, और फिर इस पद पर वापस आ सकते हैं और अगले चरण पर आगे बढ़ सकते हैं।
एक VPC समापन बिंदु के माध्यम से SageMaker द्वारा निर्धारित URL तक पहुँचने के लिए कॉर्पोरेट ऐप सर्वर को कॉन्फ़िगर करें
आपके इंटरनेट ब्राउज़र से स्टूडियो तक पहुँचने को सक्षम करने के लिए, हमने ऑन-प्रिमाइसेस VPC पब्लिक सबनेट पर Windows सर्वर पर एक ऑन-प्रिमाइसेस ऐप सर्वर सेट किया है। हालाँकि, स्टूडियो तक पहुँचने के लिए DNS प्रश्नों को कॉर्पोरेट (निजी) नेटवर्क के माध्यम से रूट किया जाता है। कॉर्पोरेट नेटवर्क के माध्यम से रूटिंग स्टूडियो ट्रैफ़िक को कॉन्फ़िगर करने के लिए निम्नलिखित चरणों को पूरा करें:
- अपने ऑन-प्रिमाइसेस विंडोज ऐप सर्वर से कनेक्ट करें।
- चुनें पासवर्ड प्राप्त करें फिर अपना पासवर्ड डिक्रिप्ट करने के लिए अपनी निजी कुंजी ब्राउज़ करें और अपलोड करें।
- RDP क्लाइंट का उपयोग करें और अपने क्रेडेंशियल्स का उपयोग करके Windows सर्वर से कनेक्ट करें।
विंडोज सर्वर कमांड प्रॉम्प्ट से स्टूडियो डीएनएस को हल करने से सार्वजनिक डीएनएस सर्वर का उपयोग होता है, जैसा कि निम्नलिखित स्क्रीनशॉट में दिखाया गया है।
अब हम उस ऑन-प्रिमाइसेस DNS सर्वर का उपयोग करने के लिए विंडोज सर्वर को अपडेट करते हैं जिसे हमने पहले सेट किया था। - पर जाए नियंत्रण कक्ष, नेटवर्क और इंटरनेट, और चुनें नेटवर्क कनेक्शन.
- राइट क्लिक करें ईथरनेट और चुनिए गुण टैब.
- ऑन-प्रिमाइसेस DNS सर्वर का उपयोग करने के लिए Windows सर्वर का अद्यतन करें।
- अब आप अपने पसंदीदा DNS सर्वर को अपने DNS सर्वर IP से अपडेट करें।
- पर जाए VPC और रूट टेबल और अपना चुनें स्टूडियो-ऑनप्रेम-सार्वजनिक-आरटी मार्ग तालिका।
- 10.16.0.0/16 के लिए एक मार्ग जोड़ें, लक्ष्य के साथ पियरिंग कनेक्शन के रूप में जिसे हमने फाउंडेशनल आर्किटेक्चर सेटअप के दौरान बनाया था।
अपने कॉर्पोरेट नेटवर्क से स्टूडियो सेट अप और लॉन्च करें
स्टूडियो सेट अप और लॉन्च करने के लिए, निम्न चरणों को पूरा करें:
- क्रोम डाउनलोड करें और इस विंडोज इंस्टेंस पर ब्राउज़र लॉन्च करें।
आपको इसकी आवश्यकता हो सकती है Internet Explorer एन्हांस्ड सुरक्षा कॉन्फ़िगरेशन बंद करें फ़ाइल डाउनलोड की अनुमति देने के लिए और फिर फ़ाइल डाउनलोड सक्षम करें. - अपने स्थानीय डिवाइस क्रोम ब्राउज़र में, सेजमेकर कंसोल पर नेविगेट करें और क्रोम डेवलपर टूल खोलें नेटवर्क टैब.
- स्टूडियो ऐप लॉन्च करें और देखें नेटवर्क के लिए टैब
authtoken
पैरामीटर मान, जिसमें रिमोट सर्वर पते के साथ जेनरेट किया गया निर्धारित यूआरएल शामिल है जिसे यूआरएल को रिज़ॉल्यूशन के लिए रूट किया गया है। इस उदाहरण में, रिमोट एड्रेस 100.21.12.108 सेजमेकर डीएनएस डोमेन को हल करने के लिए सार्वजनिक डीएनएस सर्वर एड्रेस में से एक है।name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - से इन चरणों को दोहराएं अमेज़ॅन इलास्टिक कम्प्यूट क्लाउड (अमेज़ॅन ईसी 2) विंडोज़ इंस्टेंस जिसे आपने मूलभूत आर्किटेक्चर के हिस्से के रूप में कॉन्फ़िगर किया है।
हम देख सकते हैं कि दूरस्थ पता सार्वजनिक DNS IP नहीं है, बल्कि यह स्टूडियो VPC समापन बिंदु 10.16.42.74 है।
निष्कर्ष
इस पोस्ट में, हमने दिखाया कि कैसे एक कॉर्पोरेट नेटवर्क से एक स्टूडियो द्वारा निर्धारित यूआरएल को अमेज़ॅन निजी वीपीसी एंडपॉइंट्स का उपयोग करके इंटरनेट पर निर्धारित यूआरएल रिज़ॉल्यूशन को उजागर किए बिना हल किया जाए। यह सेजमेकर पर अत्यधिक सुरक्षित मशीन लर्निंग वर्कलोड के निर्माण के लिए कॉर्पोरेट नेटवर्क से स्टूडियो तक पहुंचने के लिए आपके उद्यम सुरक्षा आसन को और सुरक्षित करता है। में भाग 2 इस श्रृंखला में, हम इस समाधान का विस्तार यह प्रदर्शित करने के लिए करते हैं कि स्टूडियो तक पहुँचने के लिए एक निजी एपीआई कैसे बनाया जाए aws:sourceVPCE
IAM नीति सत्यापन और टोकन प्रमाणीकरण। इस समाधान को आजमाएं और टिप्पणियों में अपनी प्रतिक्रिया दें!
लेखक के बारे में
राम विट्ठल AWS में मशीन लर्निंग सॉल्यूशंस आर्किटेक्ट है। उनके पास वितरित, हाइब्रिड और क्लाउड अनुप्रयोगों के निर्माण और निर्माण का 20+ से अधिक वर्षों का अनुभव है। वह सुरक्षित और स्केलेबल एआई/एमएल और बिग डेटा सॉल्यूशंस के निर्माण के बारे में भावुक हैं, ताकि उद्यम ग्राहकों को उनके व्यावसायिक परिणामों को बेहतर बनाने के लिए क्लाउड एडॉप्शन और ऑप्टिमाइज़ेशन यात्रा में मदद मिल सके। अपने खाली समय में, वह टेनिस और फोटोग्राफी का आनंद लेते हैं।
नीलम कोशिया AWS में एक उद्यम समाधान वास्तुकार है। उनका वर्तमान ध्यान रणनीतिक व्यवसाय के परिणामों के लिए अपने क्लाउड अपनाने की यात्रा के साथ उद्यम ग्राहकों की मदद करना है। अपने खाली समय में, उसे पढ़ने और बाहर रहने में मज़ा आता है।
- कॉइनस्मार्ट। यूरोप का सर्वश्रेष्ठ बिटकॉइन और क्रिप्टो एक्सचेंज।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। नि: शुल्क प्रवेश।
- क्रिप्टोहॉक। Altcoin रडार। मुफ्त परीक्षण।
- स्रोत: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- About
- पहुँच
- तक पहुँचने
- लेखा
- पता
- पतों
- दत्तक ग्रहण
- के खिलाफ
- वीरांगना
- एपीआई
- अनुप्रयोग
- आवेदन
- अनुप्रयोगों
- स्थापत्य
- प्रमाणीकृत
- प्रमाणित करता है
- प्रमाणीकरण
- उपलब्ध
- एडब्ल्यूएस
- क्योंकि
- जा रहा है
- बड़ा डेटा
- सीमा
- ब्राउज़र
- निर्माण
- इमारत
- व्यापार
- कॉल
- चुनें
- Chrome
- क्रोम ब्राउज़र
- बादल
- पूरा
- अनुपालन
- गणना करना
- शर्त
- स्थितियां
- जुडिये
- संबंध
- कंसोल
- नियंत्रण
- कॉर्पोरेट
- बनाना
- बनाया
- निर्माण
- साख
- वर्तमान
- ग्राहक
- ग्राहक
- तिथि
- दिखाना
- साबित
- तैनात
- डेवलपर
- युक्ति
- चर्चा करना
- वितरित
- DNS
- डोमेन
- डोमेन नाम
- डाउनलोड
- दौरान
- सक्षम
- endpoint
- उद्यम
- उद्यम सुरक्षा
- वातावरण
- उदाहरण
- अनुभव
- विस्तार
- प्रतिक्रिया
- फोकस
- का पालन करें
- निम्नलिखित
- से
- समारोह
- आगे
- पाने
- प्रवेश द्वार
- उत्पन्न
- उत्पन्न
- होना
- मदद
- अत्यधिक
- मेजबानी
- कैसे
- How To
- तथापि
- HTTPS
- संकर
- पहचान करना
- पहचान
- लागू करने के
- कार्यान्वयन
- असंभव
- में सुधार
- शामिल
- इंफ्रास्ट्रक्चर
- उदाहरण
- इंटरनेट
- IP
- IT
- यात्रा
- कुंजी
- लांच
- परत
- सीख रहा हूँ
- छोड़ना
- LINK
- स्थानीय
- मशीन
- यंत्र अधिगम
- बनाता है
- मानचित्रण
- तरीकों
- माइक्रोसॉफ्ट
- नेविगेट करें
- की जरूरत है
- नेटवर्क
- अगला
- नोटबुक
- खुला
- खोलता है
- इष्टतमीकरण
- विकल्प
- सड़क पर
- अपना
- भाग
- आवेशपूर्ण
- पासवर्ड
- फ़ोटोग्राफ़ी
- नीति
- द्वार
- वरीय
- प्रस्तुत
- रोकने
- निजी
- निजी कुंजी
- प्रक्रिया
- उत्पाद
- प्रोफाइल
- प्रदाता
- सार्वजनिक
- रैम
- रेंज
- पढ़ना
- रिकॉर्ड
- क्षेत्र
- दूरस्थ
- का अनुरोध
- परिणाम
- वापसी
- रिटर्न
- भूमिका
- मार्ग
- नियम
- दौड़ना
- वही
- स्केलेबल
- स्केल
- सुरक्षित
- सुरक्षा
- कई
- सेवा
- सेट
- व्यवस्था
- दिखाया
- So
- ठोस
- समाधान
- समाधान ढूंढे
- सामरिक
- रणनीतिक व्यापार
- स्टूडियो
- समर्थन करता है
- लक्ष्य
- RSI
- स्रोत
- यहाँ
- पहर
- टोकन
- उपकरण
- यातायात
- अपडेट
- उपयोग
- उपयोगकर्ताओं
- सत्यापन
- मूल्य
- दिखाई
- खिड़कियां
- अंदर
- बिना
- कार्यबल
- साल
- आपका