Anda dapat mengakses Studio Amazon SageMaker buku catatan dari Amazon SageMaker konsol melalui Identitas AWS dan Manajemen Akses (IAM) federasi yang diautentikasi dari penyedia identitas (IdP) Anda, seperti Okta. Saat pengguna Studio membuka tautan buku catatan, Studio memvalidasi kebijakan IAM pengguna gabungan untuk mengotorisasi akses, serta membuat dan menyelesaikan URL yang telah ditetapkan sebelumnya untuk pengguna. Karena konsol SageMaker berjalan di domain internet, URL yang dibuat sebelumnya ini terlihat di sesi browser. Ini menghadirkan vektor ancaman yang tidak diinginkan untuk eksfiltrasi dan mendapatkan akses ke data pelanggan ketika kontrol akses yang tepat tidak ditegakkan.
Studio mendukung beberapa metode untuk menerapkan kontrol akses terhadap eksfiltrasi data URL yang telah ditentukan sebelumnya:
- Validasi IP klien menggunakan kondisi kebijakan IAM
aws:sourceIp
- Validasi VPC klien menggunakan kondisi IAM
aws:sourceVpc
- Validasi titik akhir VPC klien menggunakan ketentuan kebijakan IAM
aws:sourceVpce
Saat Anda mengakses buku catatan Studio dari konsol SageMaker, satu-satunya opsi yang tersedia adalah menggunakan validasi IP klien dengan kondisi kebijakan IAM aws:sourceIp
. Namun, Anda dapat menggunakan produk perutean lalu lintas browser seperti Zscaler untuk memastikan skala dan kepatuhan untuk akses internet tenaga kerja Anda. Produk perutean lalu lintas ini menghasilkan IP sumbernya sendiri, yang rentang IP-nya tidak dikendalikan oleh pelanggan perusahaan. Hal ini membuat pelanggan perusahaan ini tidak dapat menggunakan aws:sourceIp
kondisi.
Untuk menggunakan validasi titik akhir VPC klien menggunakan ketentuan kebijakan IAM aws:sourceVpce
, pembuatan URL yang telah ditentukan harus berasal dari VPC pelanggan yang sama tempat Studio diterapkan, dan resolusi URL yang telah ditentukan harus dilakukan melalui titik akhir VPC Studio di VPC pelanggan. Resolusi dari URL yang telah ditentukan selama waktu akses untuk pengguna jaringan perusahaan ini dapat dilakukan dengan menggunakan aturan penerusan DNS (baik di Zscaler dan DNS perusahaan) dan kemudian ke titik akhir VPC pelanggan menggunakan Amazon Route 53 penyelesai masuk.
Di bagian ini, kita membahas arsitektur menyeluruh untuk mengamankan url yang telah ditandatangani studio dan mendemonstrasikan cara menyiapkan infrastruktur dasar untuk membuat dan meluncurkan URL yang telah ditetapkan Studio melalui titik akhir VPC Anda melalui jaringan pribadi tanpa melintasi internet. Ini berfungsi sebagai lapisan dasar untuk mencegah eksfiltrasi data oleh aktor jahat eksternal yang mendapatkan akses ke URL yang telah ditandatangani sebelumnya Studio dan akses pengguna perusahaan yang tidak sah atau palsu dalam lingkungan perusahaan.
Ikhtisar solusi
Diagram berikut menggambarkan arsitektur solusi over-arching.
Prosesnya meliputi langkah-langkah berikut:
- Pengguna korporat mengautentikasi melalui IdP mereka, menghubungkan ke portal korporat mereka, dan membuka tautan Studio dari portal korporat.
- Aplikasi portal perusahaan membuat panggilan API pribadi menggunakan titik akhir VPC API Gateway untuk membuat URL yang telah ditentukan sebelumnya.
- Panggilan endpoint VPC API Gateway "buat URL yang telah ditentukan sebelumnya" diteruskan ke resolver masuk Route 53 di VPC pelanggan sebagaimana dikonfigurasi di DNS perusahaan.
- Penyelesai DNS VPC menyelesaikannya ke IP titik akhir VPC API Gateway. Opsional, itu mencari catatan zona pribadi yang dihosting jika ada.
- Titik akhir VPC API Gateway merutekan permintaan melalui jaringan pribadi Amazon ke "buat API URL yang telah ditentukan sebelumnya" yang berjalan di akun layanan API Gateway.
- API Gateway memanggil
create-pre-signedURL
API pribadi dan mem-proxy permintaan kecreate-pre-signedURL
AWS Lambda fungsi. - Grafik
create-pre-signedURL
Panggilan Lambda dipanggil melalui titik akhir VPC Lambda. - Grafik
create-pre-signedURL
fungsi berjalan di akun layanan, mengambil konteks pengguna yang diautentikasi (ID pengguna, Wilayah, dan sebagainya), mencari tabel pemetaan untuk mengidentifikasi domain SageMaker dan pengidentifikasi profil pengguna, membuatsagemaker createpre-signedDomainURL
panggilan API, dan menghasilkan URL yang telah ditentukan sebelumnya. Peran layanan Lambda memiliki kondisi titik akhir VPC sumber yang ditentukan untuk SageMaker API dan Studio. - URL yang ditentukan sebelumnya yang dihasilkan diselesaikan melalui titik akhir VPC Studio.
- Studio memvalidasi bahwa URL yang ditentukan sebelumnya sedang diakses melalui titik akhir VPC pelanggan yang ditentukan dalam kebijakan, dan mengembalikan hasilnya.
- Notebook Studio dikembalikan ke sesi browser pengguna melalui jaringan perusahaan tanpa melintasi internet.
Bagian berikut memandu Anda tentang cara menerapkan arsitektur ini untuk menyelesaikan URL yang telah ditetapkan Studio dari jaringan perusahaan menggunakan titik akhir VPC. Kami mendemonstrasikan implementasi lengkap dengan menunjukkan langkah-langkah berikut:
- Mengatur arsitektur dasar.
- Konfigurasikan server aplikasi perusahaan untuk mengakses URL yang ditentukan SageMaker melalui titik akhir VPC.
- Siapkan dan luncurkan Studio dari jaringan perusahaan.
Siapkan arsitektur dasar
Di pos Akses notebook Amazon SageMaker Studio dari jaringan perusahaan, kami mendemonstrasikan cara menyelesaikan nama domain URL yang telah ditentukan sebelumnya untuk notebook Studio dari jaringan perusahaan tanpa melintasi internet. Anda dapat mengikuti petunjuk di pos tersebut untuk menyiapkan arsitektur dasar, lalu kembali ke pos ini dan melanjutkan ke langkah berikutnya.
Konfigurasikan server aplikasi perusahaan untuk mengakses URL yang ditentukan SageMaker melalui titik akhir VPC
Untuk mengaktifkan mengakses Studio dari browser internet Anda, kami menyiapkan server aplikasi lokal di Windows Server pada subnet publik VPC lokal. Namun, kueri DNS untuk mengakses Studio dirutekan melalui jaringan perusahaan (pribadi). Selesaikan langkah-langkah berikut untuk mengonfigurasi perutean lalu lintas Studio melalui jaringan perusahaan:
- Sambungkan ke server aplikasi Windows lokal Anda.
- Pilih Mendapatkan password kemudian telusuri dan unggah kunci pribadi Anda untuk mendekripsi kata sandi Anda.
- Gunakan klien RDP dan sambungkan ke Windows Server menggunakan kredensial Anda.
Menyelesaikan Studio DNS dari prompt perintah Windows Server menghasilkan penggunaan server DNS publik, seperti yang ditunjukkan pada tangkapan layar berikut.
Sekarang kami memperbarui Windows Server untuk menggunakan server DNS lokal yang kami siapkan sebelumnya. - Navigasi ke Control Panel, Network and Internet, dan pilih Jaringan Koneksi.
- Klik kanan Ethernet Dan pilih Properties Tab.
- Perbarui Windows Server untuk menggunakan server DNS lokal.
- Sekarang Anda memperbarui server DNS pilihan Anda dengan IP server DNS Anda.
- Navigasi ke VPC dan Tabel Rute dan pilih STUDIO-ONPREM-PUBLIK-RT tabel rute.
- Tambahkan rute ke 10.16.0.0/16 dengan target sebagai koneksi peering yang kita buat selama pengaturan arsitektur dasar.
Siapkan dan luncurkan Studio dari jaringan perusahaan Anda
Untuk menyiapkan dan meluncurkan Studio, selesaikan langkah-langkah berikut:
- Unduh Chrome dan luncurkan browser pada instance Windows ini.
Anda mungkin perlu matikan Internet Explorer Enhanced Security Configuration untuk mengizinkan unduhan file dan kemudian aktifkan unduhan file. - Di browser Chrome perangkat lokal Anda, navigasikan ke konsol SageMaker dan buka alat pengembang Chrome jaringan Tab.
- Luncurkan aplikasi Studio dan amati jaringan tab untuk
authtoken
nilai parameter, yang menyertakan URL pratanda yang dihasilkan bersama dengan alamat server jarak jauh tempat URL dirutekan untuk resolusi. Dalam contoh ini, alamat jarak jauh 100.21.12.108 adalah salah satu alamat server DNS publik untuk menyelesaikan domain DNS SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Ulangi langkah-langkah ini dari Cloud komputasi elastis Amazon (Amazon EC2) Instans Windows yang Anda konfigurasikan sebagai bagian dari arsitektur dasar.
Kita dapat mengamati bahwa alamat jarak jauh bukanlah IP DNS publik, melainkan titik akhir VPC Studio 10.16.42.74.
Kesimpulan
Dalam posting ini, kami mendemonstrasikan cara menyelesaikan URL yang ditentukan Studio dari jaringan perusahaan menggunakan titik akhir VPC pribadi Amazon tanpa memaparkan resolusi URL yang telah ditentukan ke internet. Ini semakin mengamankan postur keamanan perusahaan Anda untuk mengakses Studio dari jaringan perusahaan untuk membangun beban kerja pembelajaran mesin yang sangat aman di SageMaker. Di bagian 2 dari seri ini, kami memperluas solusi ini lebih lanjut untuk mendemonstrasikan cara membangun API pribadi untuk mengakses Studio dengan aws:sourceVPCE
Validasi kebijakan IAM dan autentikasi token. Cobalah solusi ini dan tinggalkan tanggapan Anda di komentar!
Tentang Penulis
Ram Vital adalah arsitek solusi pembelajaran mesin di AWS. Dia memiliki lebih dari 20 tahun pengalaman dalam merancang dan membangun aplikasi terdistribusi, hybrid, dan cloud. Dia bersemangat membangun solusi AI/ML dan Big Data yang aman dan skalabel untuk membantu pelanggan perusahaan dengan adopsi cloud dan perjalanan pengoptimalan mereka untuk meningkatkan hasil bisnis mereka. Di waktu luangnya, ia menikmati tenis dan fotografi.
Neelam Koshiya adalah arsitek solusi perusahaan di AWS. Fokusnya saat ini adalah membantu pelanggan perusahaan dengan perjalanan adopsi cloud mereka untuk hasil bisnis strategis. Di waktu luangnya, ia menikmati membaca dan berada di luar.
- Coinsmart. Pertukaran Bitcoin dan Crypto Terbaik Eropa.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. AKSES GRATIS.
- CryptoHawk. Radar Altcoin. Uji Coba Gratis.
- Sumber: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Tentang Kami
- mengakses
- mengakses
- Akun
- alamat
- alamat
- Adopsi
- terhadap
- Amazon
- api
- aplikasi
- Aplikasi
- aplikasi
- arsitektur
- dikonfirmasi
- mengotentikasi
- Otentikasi
- tersedia
- AWS
- karena
- makhluk
- Big data
- batas
- Browser
- membangun
- Bangunan
- bisnis
- panggilan
- Pilih
- Chrome
- browser chrome
- awan
- lengkap
- pemenuhan
- menghitung
- kondisi
- Kondisi
- Terhubung
- koneksi
- konsul
- kontrol
- Timeline
- membuat
- dibuat
- penciptaan
- Surat kepercayaan
- terbaru
- pelanggan
- pelanggan
- data
- mendemonstrasikan
- menunjukkan
- dikerahkan
- Pengembang
- alat
- membahas
- didistribusikan
- dns
- domain
- Nama domain
- download
- selama
- aktif
- Titik akhir
- Enterprise
- keamanan perusahaan
- Lingkungan Hidup
- contoh
- pengalaman
- memperpanjang
- umpan balik
- Fokus
- mengikuti
- berikut
- dari
- fungsi
- lebih lanjut
- mendapatkan
- pintu gerbang
- menghasilkan
- dihasilkan
- terjadi
- membantu
- sangat
- host
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTTPS
- Hibrida
- mengenali
- identitas
- melaksanakan
- implementasi
- mustahil
- memperbaiki
- termasuk
- Infrastruktur
- contoh
- Internet
- IP
- IT
- perjalanan
- kunci
- jalankan
- lapisan
- pengetahuan
- Meninggalkan
- LINK
- lokal
- mesin
- Mesin belajar
- MEMBUAT
- pemetaan
- metode
- Microsoft
- Arahkan
- kebutuhan
- jaringan
- berikutnya
- buku catatan
- Buka
- membuka
- optimasi
- pilihan
- di luar rumah
- sendiri
- bagian
- bergairah
- Kata Sandi
- fotografi
- kebijaksanaan
- Portal
- disukai
- hadiah
- mencegah
- swasta
- Key pribadi
- proses
- Produk
- Profil
- pemberi
- publik
- RAM
- jarak
- Bacaan
- catatan
- wilayah
- terpencil
- permintaan
- Hasil
- kembali
- Pengembalian
- Peran
- Rute
- aturan
- berjalan
- sama
- terukur
- Skala
- aman
- keamanan
- Seri
- layanan
- set
- penyiapan
- ditunjukkan
- So
- padat
- larutan
- Solusi
- Strategis
- bisnis strategis
- studio
- Mendukung
- target
- Grafik
- Sumber
- Melalui
- waktu
- token
- alat
- lalu lintas
- Memperbarui
- menggunakan
- Pengguna
- pengesahan
- nilai
- terlihat
- Windows
- dalam
- tanpa
- Tenaga kerja
- tahun
- Anda