Hozzáférhet Amazon SageMaker Studio jegyzetfüzetek a Amazon SageMaker konzolon keresztül AWS Identity and Access Management (IAM) hitelesített összevonás az identitásszolgáltatótól (IdP), például az Oktától. Amikor egy Studio-felhasználó megnyitja a jegyzetfüzet hivatkozását, a Studio ellenőrzi az egyesített felhasználó IAM-házirendjét a hozzáférés engedélyezéséhez, valamint létrehozza és feloldja a felhasználó számára az előre aláírt URL-t. Mivel a SageMaker konzol internetes tartományon fut, ez a generált előre aláírt URL látható a böngésző munkamenetben. Ez nemkívánatos fenyegetési vektort jelent a kiszűréshez és az ügyféladatokhoz való hozzáféréshez, ha nem érvényesítik a megfelelő hozzáférés-szabályozást.
A Studio néhány módszert támogat a hozzáférés-szabályozás kikényszerítésére az előre meghatározott URL-adatok kiszűrésével szemben:
- Ügyfél IP-ellenőrzése az IAM-házirend feltétel használatával
aws:sourceIp
- Ügyfél VPC-ellenőrzése az IAM-feltétel használatával
aws:sourceVpc
- Ügyfél VPC-végpont-ellenőrzése az IAM házirend-feltétel használatával
aws:sourceVpce
Amikor a Studio jegyzetfüzeteket a SageMaker konzolról éri el, az egyetlen elérhető lehetőség az ügyfél IP-ellenőrzése az IAM-házirend feltétellel. aws:sourceIp
. Használhat azonban böngészőforgalom-átirányítási termékeket, például a Zscaler-t, hogy biztosítsa a munkaerő internet-hozzáférésének terjedelmét és megfelelőségét. Ezek a forgalomirányítási termékek saját forrás-IP-t generálnak, amelynek IP-tartományát nem a vállalati ügyfél szabályozza. Ez lehetetlenné teszi ezeknek a vállalati ügyfeleknek a használatát aws:sourceIp
feltételt.
Az ügyfél VPC-végpont-érvényesítésének használata az IAM-házirend feltétel használatával aws:sourceVpce
, az előre aláírt URL létrehozásának ugyanabból az ügyfél VPC-ből kell származnia, ahol a Studio telepítve van, és az előre aláírt URL feloldásának az ügyfél VPC-jén lévő Studio VPC-végponton keresztül kell megtörténnie. Az előre aláírt URL feloldása a vállalati hálózati felhasználók hozzáférési ideje alatt DNS továbbítási szabályokkal (mind a Zscalerben, mind a vállalati DNS-ben), majd az ügyfél VPC végpontjába egy Amazon út 53 bejövő megoldó.
Ebben a részben megvitatjuk a stúdió előre aláírt URL-címének biztosításának átfogó architektúráját, és bemutatjuk, hogyan lehet beállítani az alapvető infrastruktúrát egy Studio által előre aláírt URL létrehozásához és elindításához a VPC-végponton keresztül magánhálózaton keresztül anélkül, hogy áthaladna az interneten. Ez szolgálja az alapréteget annak megakadályozására, hogy a külső rossz szereplők hozzáférjenek a Studio előre aláírt URL-címéhez, és hogy a vállalati környezetben jogosulatlan vagy hamisított vállalati felhasználók hozzáférjenek az adatokhoz.
Megoldás áttekintése
Az alábbi ábra átfogó megoldás-architektúrát mutat be.
A folyamat a következő lépéseket tartalmazza:
- A vállalati felhasználó az IdP-n keresztül hitelesít, csatlakozik a vállalati portáljához, és megnyitja a Studio hivatkozást a vállalati portálon.
- A vállalati portálalkalmazás privát API-hívást kezdeményez egy API-átjáró VPC-végpont használatával, hogy létrehozzon egy előre aláírt URL-t.
- Az API-átjáró VPC végpontjának „előre jelzett URL-cím létrehozása” hívása a vállalati DNS-ben konfigurált módon az ügyfél VPC-jén található Route 53 bejövő feloldóhoz kerül továbbításra.
- A VPC DNS-feloldó az API-átjáró VPC-végpontjának IP-címére oldja fel. Opcionálisan megkeres egy privát hosztolt zónarekordot, ha létezik.
- Az API-átjáró VPC-végpontja a kérést az Amazon privát hálózatán keresztül az API-átjáró szolgáltatásfiókjában futó „előresigntált URL API létrehozása”-hoz irányítja.
- Az API Gateway meghívja a
create-pre-signedURL
privát API, és a kérést acreate-pre-signedURL
AWS Lambda funkciót. - A
create-pre-signedURL
A Lambda hívást a Lambda VPC végponton keresztül hívják meg. - A
create-pre-signedURL
A funkció a szolgáltatásfiókban fut, lekéri a hitelesített felhasználói kontextust (felhasználói azonosító, régió stb.), leképezési táblázatot keres a SageMaker tartomány és felhasználói profil azonosítójának azonosításához,sagemaker createpre-signedDomainURL
API-hívást, és létrehoz egy előre aláírt URL-t. A Lambda szolgáltatási szerepkör rendelkezik a SageMaker API-hoz és a Studio-hoz definiált VPC-végpont-feltételekkel. - A generált előre aláírt URL feloldása a Studio VPC-végponton keresztül történik.
- A Studio ellenőrzi, hogy az előre aláírt URL-hez hozzáférnek-e az ügyfél házirendben meghatározott VPC-végpontján keresztül, és visszaküldi az eredményt.
- A Studio notebook visszakerül a felhasználó böngésző munkamenetébe a vállalati hálózaton keresztül anélkül, hogy áthaladna az interneten.
A következő szakaszok végigvezetik, hogyan valósíthatja meg ezt az architektúrát a Studio által előre jelzett URL-ek feloldásához egy vállalati hálózatból VPC-végpontok használatával. A teljes megvalósítást a következő lépések bemutatásával mutatjuk be:
- Állítsa be az alap architektúrát.
- Konfigurálja a vállalati alkalmazáskiszolgálót, hogy egy VPC-végponton keresztül hozzáférjen a SageMaker által előre meghatározott URL-hez.
- A Studio beállítása és elindítása a vállalati hálózatról.
Állítsa be az alap architektúrát
A posztban Hozzáférés az Amazon SageMaker Studio notebookhoz egy vállalati hálózatból, bemutattuk, hogyan lehet feloldani egy előre megjelölt URL-tartománynevet egy Studio notebookhoz vállalati hálózatról anélkül, hogy áthaladnánk az interneten. Kövesse az abban a bejegyzésben található utasításokat az alaparchitektúra beállításához, majd visszatérjen ehhez a bejegyzéshez, és folytassa a következő lépéssel.
Konfigurálja a vállalati alkalmazáskiszolgálót, hogy egy VPC-végponton keresztül hozzáférjen a SageMaker által előre meghatározott URL-hez
A Studio internetböngészőjéből való eléréséhez beállítunk egy helyszíni alkalmazáskiszolgálót a Windows Server rendszeren a helyszíni VPC nyilvános alhálózaton. A Studio eléréséhez szükséges DNS-lekérdezések azonban a vállalati (magán) hálózaton keresztül kerülnek továbbításra. Hajtsa végre a következő lépéseket a Studio-forgalom vállalati hálózaton keresztüli irányításának konfigurálásához:
- Csatlakozzon a helyszíni Windows-alkalmazáskiszolgálóhoz.
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a Jelszó lekérése majd böngésszen és töltse fel privát kulcsát a jelszó visszafejtéséhez.
- Használjon RDP-klienst, és hitelesítő adataival csatlakozzon a Windows Serverhez.
A Studio DNS feloldása a Windows Server parancssorból nyilvános DNS-kiszolgálók használatát eredményezi, amint az a következő képernyőképen látható.
Most frissítjük a Windows Servert a korábban beállított helyszíni DNS-kiszolgáló használatára. - navigáljon Control Panel, Hálózat és internet, és válasszon hálózati kapcsolatok.
- Kattintson a jobb gombbal Ethernet és válassza a Ingatlanok Tab.
- Frissítse a Windows Servert a helyszíni DNS-kiszolgáló használatához.
- Most frissíti a preferált DNS-kiszolgálót a DNS-kiszolgáló IP-címével.
- navigáljon VPC és a Útvonaltáblázatok és válassza ki a sajátját STUDIO-ONPREM-PUBLIC-RT útvonal táblázat.
- Adjon hozzá egy útvonalat a 10.16.0.0/16-hoz a céllal, mint a társviszony-létesítési kapcsolattal, amelyet az alapvető architektúra beállítása során hoztunk létre.
Állítsa be és indítsa el a Studio Stúdiót vállalati hálózatáról
A Studio beállításához és elindításához hajtsa végre a következő lépéseket:
- Töltse le a Chrome-ot, és indítsa el a böngészőt ezen a Windows-példányon.
Lehet, hogy kapcsolja ki az Internet Explorer fokozott biztonsági konfigurációját hogy engedélyezze a fájlok letöltését, majd fájlletöltés engedélyezése. - A helyi eszköz Chrome böngészőjében lépjen a SageMaker konzolra, és nyissa meg a Chrome fejlesztői eszközeit Hálózat Tab.
- Indítsa el a Studio alkalmazást, és figyelje meg a Hálózat fül a
authtoken
paraméter értéke, amely tartalmazza a generált előre aláírt URL-t és azt a távoli kiszolgáló címét, amelyre az URL a feloldáshoz irányítva van. Ebben a példában a 100.21.12.108 távoli cím a SageMaker DNS-tartomány feloldásához szükséges nyilvános DNS-kiszolgálók egyike.name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Ismételje meg ezeket a lépéseket a Amazon rugalmas számítási felhő (Amazon EC2) Windows-példány, amelyet az alaparchitektúra részeként konfigurált.
Megfigyelhetjük, hogy a távoli cím nem a nyilvános DNS IP, hanem a Studio VPC 10.16.42.74 végpontja.
Következtetés
Ebben a bejegyzésben bemutattuk, hogyan lehet feloldani a Studio által előre aláírt URL-t egy vállalati hálózatról Amazon privát VPC-végpontok használatával anélkül, hogy az előre aláírt URL-feloldást feltennénk az internetre. Ez még jobban megőrzi a vállalati biztonsági helyzetet a Studio eléréséhez vállalati hálózatról a rendkívül biztonságos gépi tanulási munkaterhelések felépítéséhez a SageMakeren. Ban ben rész 2 A sorozatban tovább bővítjük ezt a megoldást annak bemutatására, hogyan lehet privát API-t létrehozni a Studio eléréséhez aws:sourceVPCE
IAM-házirend érvényesítése és token hitelesítés. Próbálja ki ezt a megoldást, és írja meg véleményét a megjegyzésekben!
A szerzőkről
Ram Vittal az AWS gépi tanulási megoldások építésze. Több mint 20 éves tapasztalattal rendelkezik elosztott, hibrid és felhőalkalmazások tervezésében és építésében. Szenvedélyesen dolgozik a biztonságos és méretezhető AI/ML és Big Data megoldások kidolgozásában, hogy segítse a vállalati ügyfeleket felhőalapú bevezetésükben és optimalizálási útjukban, hogy javítsák üzleti eredményeiket. Szabadidejében szereti a teniszt és a fotózást.
Neelam Koshiya az AWS vállalati megoldások tervezője. Jelenleg arra törekszik, hogy segítse a vállalati ügyfeleket a felhőbe való áttérésük során a stratégiai üzleti eredmények érdekében. Szabadidejében szeret olvasni és a szabadban lenni.
- Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
- CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
- Source: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Rólunk
- hozzáférés
- Hozzáférés
- Fiók
- cím
- címek
- Örökbefogadás
- ellen
- amazon
- api
- app
- Alkalmazás
- alkalmazások
- építészet
- hitelesített
- hitelesíti
- Hitelesítés
- elérhető
- AWS
- mert
- hogy
- Big adatok
- határ
- böngésző
- épít
- Épület
- üzleti
- hívás
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- króm
- króm böngésző
- felhő
- teljes
- teljesítés
- Kiszámít
- feltétel
- Körülmények
- Csatlakozás
- kapcsolat
- Konzol
- ellenőrzések
- Társasági
- teremt
- készítette
- teremtés
- Hitelesítő adatok
- Jelenlegi
- vevő
- Ügyfelek
- dátum
- bizonyítani
- igazolták
- telepített
- Fejlesztő
- eszköz
- megvitatni
- megosztott
- dns
- domain
- Domain név
- letöltések
- alatt
- lehetővé
- Endpoint
- Vállalkozás
- vállalati biztonság
- Környezet
- példa
- tapasztalat
- terjed
- Visszacsatolás
- Összpontosít
- következik
- következő
- ból ből
- funkció
- további
- egyre
- gateway
- generál
- generált
- történik
- segít
- nagyon
- házigazdája
- Hogyan
- How To
- azonban
- HTTPS
- hibrid
- azonosítani
- Identitás
- végre
- végrehajtás
- lehetetlen
- javul
- magában foglalja a
- Infrastruktúra
- példa
- Internet
- IP
- IT
- utazás
- Kulcs
- indít
- réteg
- tanulás
- Szabadság
- LINK
- helyi
- gép
- gépi tanulás
- KÉSZÍT
- térképészet
- mód
- microsoft
- Keresse
- igények
- hálózat
- következő
- jegyzetfüzet
- nyitva
- nyit
- optimalizálás
- opció
- szabadban
- saját
- rész
- szenvedélyes
- Jelszó
- fényképezés
- politika
- Portál
- előnyben részesített
- ajándékot
- megakadályozása
- magán
- magánkulcs
- folyamat
- Termékek
- profil
- ellátó
- nyilvános
- RAM
- hatótávolság
- Olvasás
- rekord
- vidék
- távoli
- kérni
- Eredmények
- visszatérés
- Visszatér
- Szerep
- Útvonal
- szabályok
- futás
- azonos
- skálázható
- Skála
- biztonság
- biztonság
- Series of
- szolgáltatás
- készlet
- felépítés
- mutatott
- So
- szilárd
- megoldások
- Megoldások
- Stratégiai
- stratégiai üzlet
- stúdió
- Támogatja
- cél
- A
- The Source
- Keresztül
- idő
- jelképes
- szerszámok
- forgalom
- Frissítések
- használ
- Felhasználók
- érvényesítés
- érték
- látható
- ablakok
- belül
- nélkül
- munkaerő
- év
- A te