I progressi nell’intelligenza artificiale (AI) e nell’apprendimento automatico (ML) stanno rivoluzionando il settore finanziario per casi d’uso come il rilevamento di frodi, la valutazione del merito creditizio e l’ottimizzazione delle strategie di trading. Per sviluppare modelli per tali casi d’uso, i data scientist devono accedere a vari set di dati come motori decisionali sul credito, transazioni dei clienti, propensione al rischio e stress test. Gestire un adeguato controllo degli accessi per questi set di dati da parte dei data scientist che vi lavorano è fondamentale per soddisfare i rigorosi requisiti normativi e di conformità. In genere, questi set di dati vengono aggregati in modo centralizzato Servizio di archiviazione semplice Amazon (Amazon S3) da varie applicazioni aziendali e sistemi aziendali. Data scientist di diverse unità aziendali che lavorano sullo sviluppo di modelli utilizzando Amazon Sage Maker viene concesso l'accesso ai dati rilevanti, il che può comportare l'obbligo di gestione prefissocontrolli di accesso a livello. Con un aumento dei casi d'uso e dell'utilizzo di set di dati politica del bucket dichiarazioni, la gestione dell'accesso tra account per applicazione è troppo complessa e lunga per essere gestita da una policy di bucket.
Punti di accesso Amazon S3 semplificare la gestione e la protezione dell'accesso ai dati su larga scala per le applicazioni utilizzando set di dati condivisi su Amazon S3. Puoi creare nomi host univoci utilizzando i punti di accesso per applicare autorizzazioni e controlli di rete distinti e sicuri per qualsiasi richiesta effettuata tramite il punto di accesso.
S3 Access Points semplifica la gestione delle autorizzazioni di accesso specifiche per ciascuna applicazione che accede a un set di dati condiviso. Consente la copia sicura e ad alta velocità dei dati tra punti di accesso della stessa regione utilizzando le reti interne AWS e VPC. Gli access point S3 possono limitare l'accesso ai VPC, consentendoti di proteggere i dati all'interno di reti private, testare nuove policy di controllo degli accessi senza influire sugli access point esistenti e configurare policy endpoint VPC per limitare l'accesso a specifici bucket S3 di proprietà di ID account.
Questo post illustra i passaggi necessari per configurare gli access point S3 per abilitare l'accesso tra account da un'istanza notebook SageMaker.
Panoramica della soluzione
Per il nostro caso d'uso, abbiamo due account in un'organizzazione: Account A (111111111111), utilizzato dai data scientist per sviluppare modelli utilizzando un'istanza notebook SageMaker, e Account B (222222222222), che ha richiesto set di dati nel bucket S3 test-bucket-1
. Il diagramma seguente illustra l'architettura della soluzione.
Per implementare la soluzione, completare i seguenti passaggi di alto livello:
- Configura l'account A, inclusi VPC, gruppo di sicurezza della sottorete, endpoint gateway VPC e notebook SageMaker.
- Configura l'account B, inclusi il bucket S3, il punto di accesso e la policy del bucket.
- Configurazione Gestione dell'identità e dell'accesso di AWS (IAM) autorizzazioni e policy nell'Account A.
Dovresti ripetere questi passaggi per ciascun account SageMaker che necessita dell'accesso al set di dati condiviso dall'account B.
I nomi di ciascuna risorsa menzionata in questo post sono esempi; puoi sostituirli con altri nomi secondo il tuo caso d'uso.
Configura l'account A
Completa i seguenti passaggi per configurare l'Account A:
- Crea un VPC detto
DemoVPC
. - Crea una sottorete detto
DemoSubnet
nel VPCDemoVPC
. - Crea un gruppo di sicurezza detto
DemoSG
. - Creare un Endpoint gateway VPC S3 detto
DemoS3GatewayEndpoint
. - creare il Ruolo di esecuzione di SageMaker.
- Creare un'istanza di blocco note detto
DemoNotebookInstance
e le linee guida di sicurezza come delineato in Come configurare la sicurezza in Amazon SageMaker.- Specifica il ruolo di esecuzione Sagemaker che hai creato.
- Per le impostazioni di rete del notebook, specifica il VPC, la sottorete e il gruppo di sicurezza che hai creato.
- Assicurarsi che Accesso diretto a Internet è disabilitato.
Le autorizzazioni al ruolo verranno assegnate nei passaggi successivi dopo aver creato le dipendenze richieste.
Configura l'account B
Per configurare l'Account B, completare i seguenti passaggi:
- Nel conto B, crea un bucket S3 detto
test-bucket-1
i seguenti Guida alla sicurezza di Amazon S3. - Carica il tuo file al secchio S3.
- Crea un punto di accesso detto
test-ap-1
nel conto B.- Non cambiare o modificare nessuno Blocca le impostazioni di accesso pubblico per questo punto di accesso (tutti gli accessi pubblici devono essere bloccati).
- Allega la seguente policy al tuo punto di accesso:
Le azioni definite nel codice precedente sono azioni di esempio a scopo dimostrativo. Puoi definire le azioni secondo le vostre esigenze o caso d'uso.
- Aggiungi le seguenti autorizzazioni di policy del bucket per accedere al punto di accesso:
Le azioni precedenti sono esempi. È possibile definire le azioni in base alle proprie esigenze.
Configura autorizzazioni e policy IAM
Completa i seguenti passaggi nell'Account A:
- Confermare che il ruolo di esecuzione di SageMaker abbia l'estensione AmazonSagemakerAccesso completo policy in linea IAM personalizzata, che assomiglia al seguente codice:
Le azioni nel codice della policy sono azioni di esempio a scopo dimostrativo.
- Vai
DemoS3GatewayEndpoint
endpoint che hai creato e aggiungi le seguenti autorizzazioni:
- Per ottenere un elenco di prefissi, eseguire il file Interfaccia della riga di comando di AWS (interfaccia a riga di comando dell'AWS) descrivere-elenchi-di-prefissi comando:
- Nell'Account A, vai al gruppo di sicurezza
DemoSG
per l'istanza notebook SageMaker di destinazione - Sotto Regole in uscita, crea una regola in uscita con Tutto il traffico or Tutto TCP, quindi specificare la destinazione come ID dell'elenco di prefissi recuperato.
Ciò completa la configurazione in entrambi gli account.
Prova la soluzione
Per convalidare la soluzione, vai al terminale dell'istanza notebook SageMaker e inserisci i seguenti comandi per elencare gli oggetti tramite il punto di accesso:
- Per elencare gli oggetti correttamente tramite il punto di accesso S3
test-ap-1
:
- Per ottenere gli oggetti con successo tramite il punto di accesso S3
test-ap-1
:
ripulire
Una volta terminato il test, eliminane uno qualsiasi Punti di accesso S3 ed Benne S3. Inoltre, elimina qualsiasi Istanze di notebook Sagemaker per smettere di incorrere in addebiti.
Conclusione
In questo post, abbiamo mostrato come gli access point S3 consentano l'accesso multiaccount a set di dati condivisi di grandi dimensioni da istanze notebook SageMaker, aggirando i vincoli di dimensione imposti dalle policy di bucket e configurando al tempo stesso la gestione degli accessi su larga scala sui set di dati condivisi.
Per saperne di più, fare riferimento a Gestisci facilmente set di dati condivisi con gli access point Amazon S3.
Circa gli autori
Kiran Khambete lavora come Senior Technical Account Manager presso Amazon Web Services (AWS). In qualità di TAM, Kiran svolge il ruolo di esperto tecnico e guida strategica per aiutare i clienti aziendali a raggiungere i propri obiettivi aziendali.
Ankit Soni con un'esperienza totale di 14 anni ricopre la posizione di Principal Engineer presso NatWest Group, dove ha lavorato come Cloud Infrastructure Architect negli ultimi sei anni.
Kesaraju Sai Sandeep è un ingegnere cloud specializzato in servizi Big Data presso AWS.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://aws.amazon.com/blogs/machine-learning/set-up-cross-account-amazon-s3-access-for-amazon-sagemaker-notebooks-in-vpc-only-mode-using-amazon-s3-access-points/
- :ha
- :È
- :Dove
- $ SU
- 100
- 14
- 16
- 17
- 20
- 7
- 8
- a
- accesso
- Accedendo
- ospitare
- Il mio account
- conti
- il raggiungimento
- operanti in
- Action
- azioni
- aggiungere
- Dopo shavasana, sedersi in silenzio; saluti;
- aggregato
- AI
- Tutti
- consentire
- anche
- Amazon
- Amazon Sage Maker
- Amazon Web Services
- Amazon Web Services (AWS)
- tra
- an
- ed
- in qualsiasi
- appetito
- Applicazioni
- applicazioni
- opportuno
- architettura
- SONO
- artificiale
- intelligenza artificiale
- Intelligenza artificiale (AI)
- AS
- valutazione
- At
- AWS
- BE
- fra
- Big
- Big Data
- bloccato
- entrambi
- affari
- Applicazioni aziendali
- by
- detto
- Materiale
- Custodie
- casi
- centralizzata
- il cambiamento
- oneri
- cli
- Cloud
- infrastruttura cloud
- codice
- completamento di una
- Completa
- complesso
- conformità
- condizione
- configurazione
- vincoli
- di controllo
- controlli
- copia
- creare
- creato
- credito
- cruciale
- cliente
- Clienti
- dati
- l'accesso ai dati
- set di dati
- dataset
- decisione
- definire
- definito
- dimostrazione
- dipendenze
- destinazione
- rivelazione
- sviluppare
- Mercato
- diagramma
- disabile
- distinto
- fatto
- ogni
- effetto
- enable
- Abilita
- consentendo
- endpoint
- imporre
- ingegnere
- Motori
- entrare
- Impresa
- Esempi
- esecuzione
- esistente
- esperienza
- esperto
- finanziario
- firewall
- i seguenti
- Nel
- frode
- rilevazione di frodi
- da
- porta
- ottenere
- Go
- Obiettivi
- concesso
- Gruppo
- guida
- linee guida
- Avere
- he
- aiutare
- alto livello
- detiene
- Come
- HTML
- http
- HTTPS
- ID
- Identità
- illustra
- impatto
- realizzare
- imposto
- in
- Compreso
- Aumento
- industria
- Infrastruttura
- esempio
- Intelligence
- interno
- Internet
- coinvolto
- IT
- jpg
- grandi
- portare
- IMPARARE
- apprendimento
- piace
- linea
- Lista
- località
- Lunghi
- SEMBRA
- macchina
- machine learning
- fatto
- gestire
- gestione
- direttore
- gestione
- Soddisfare
- menzionato
- ML
- Moda
- modello
- modelli
- Scopri di più
- nomi
- NatWest
- Bisogno
- esigenze
- Rete
- Impostazioni di rete
- reti
- New
- Nuovo accesso
- taccuino
- oggetti
- of
- on
- ottimizzazione
- or
- organizzazione
- Altro
- nostro
- delineato
- passato
- per
- permessi
- Platone
- Platone Data Intelligence
- PlatoneDati
- gioca
- punto
- punti
- Termini e Condizioni
- politica
- posizione
- Post
- precedente
- Direttore
- un bagno
- la percezione
- fini
- riferimento
- normativo
- pertinente
- ripetere
- sostituire
- richiesta
- necessario
- requisito
- Requisiti
- risorsa
- limitare
- rivoluzionando
- Rischio
- propensione al rischio
- Ruolo
- Regola
- Correre
- sagemaker
- campione
- Scala
- scienziati
- sicuro
- fissaggio
- problemi di
- anziano
- servito
- Servizi
- set
- Set
- impostazioni
- flessibile.
- condiviso
- dovrebbero
- ha mostrato
- Un'espansione
- semplifica
- semplificare
- SIX
- Taglia
- soluzione
- specializzata
- specifico
- dichiarazione
- dichiarazioni
- Passi
- Fermare
- conservazione
- Strategico
- Strategia
- stress
- rigoroso
- sottorete
- successivo
- Con successo
- tale
- sicuro
- SISTEMI DI TRATTAMENTO
- Target
- Consulenza
- terminal
- test
- Testing
- che
- Il
- loro
- Li
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- questo
- Attraverso
- a
- pure
- Totale
- Trading
- strategia di trading
- Le transazioni
- seconda
- tipicamente
- unico
- unità
- uso
- caso d'uso
- utilizzato
- utilizzando
- CONVALIDARE
- vario
- versione
- passeggiate
- we
- sito web
- servizi web
- quale
- while
- con
- entro
- senza
- lavoro
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro