ניתן לגשת סטודיו SageMaker של אמזון מחברות מה אמזון SageMaker קונסולה באמצעות AWS זהות וניהול גישה (IAM) פדרציה מאומתת מספק הזהות שלך (IdP), כגון Okta. כאשר משתמש Studio פותח את הקישור למחברת, Studio מאמת את מדיניות IAM של המשתמש המאוחד כדי לאשר גישה, ומייצר ופותר את כתובת האתר שנקבעה מראש עבור המשתמש. מכיוון שמסוף SageMaker פועל על דומיין אינטרנט, כתובת האתר שנוצרה מראש גלויה בהפעלת הדפדפן. זה מציג וקטור איום לא רצוי לגלישה וקבלת גישה לנתוני לקוחות כאשר בקרות גישה נאותות אינן נאכפות.
Studio תומך בכמה שיטות לאכיפת בקרות גישה נגד חילוץ נתוני כתובת URL מוגדרים מראש:
- אימות IP של הלקוח באמצעות תנאי מדיניות IAM
aws:sourceIp
- אימות VPC של לקוח באמצעות תנאי IAM
aws:sourceVpc
- אימות נקודת קצה VPC של לקוח באמצעות תנאי מדיניות IAM
aws:sourceVpce
כאשר אתה ניגש למחברות Studio ממסוף SageMaker, האפשרות הזמינה היחידה היא להשתמש באימות IP של הלקוח עם תנאי המדיניות של IAM aws:sourceIp
. עם זאת, אתה יכול להשתמש במוצרי ניתוב תעבורת דפדפן כגון Zscaler כדי להבטיח קנה מידה ותאימות לגישה לאינטרנט של כוח העבודה שלך. מוצרי ניתוב תנועה אלו מייצרים IP מקור משלהם, שטווח ה-IP שלו אינו נשלט על ידי הלקוח הארגוני. זה לא מאפשר ללקוחות ארגוניים אלה להשתמש ב aws:sourceIp
מצב.
כדי להשתמש באימות נקודת קצה של לקוח VPC באמצעות תנאי המדיניות של IAM aws:sourceVpce
, היצירה של כתובת URL מוגדרת מראש צריכה להיות מקורה באותו VPC של לקוח שבו פרוס Studio, והפתרון של כתובת ה-URL שנקבע מראש צריך להתרחש באמצעות נקודת קצה Studio VPC ב-VPC של הלקוח. ניתן להשיג רזולוציה זו של כתובת האתר שנקבעה מראש במהלך זמן הגישה למשתמשי רשת ארגונית באמצעות כללי העברת DNS (הן ב-Zscaler והן ב-DNS הארגוני) ולאחר מכן לתוך נקודת הקצה של ה-VPC של הלקוח באמצעות כביש אמזון 53 פותר נכנס.
בחלק זה, אנו דנים בארכיטקטורה הכוללת לאבטחת כתובת אתר חתומה מראש בסטודיו ומדגים כיצד להגדיר את התשתית הבסיסית ליצירה ולהשקה של כתובת URL מוגדרת מראש של Studio דרך נקודת הקצה של ה-VPC שלך ברשת פרטית מבלי לחצות את האינטרנט. זה משמש כשכבת היסוד למניעת חילוץ נתונים על ידי שחקנים רעים חיצוניים המקבלים גישה לכתובת URL חתומה מראש של Studio וגישה לא מורשית או מזויפת של משתמשים ארגוניים בתוך סביבה ארגונית.
סקירת פתרונות
התרשים הבא ממחיש ארכיטקטורת פתרונות מקיפה.
התהליך כולל את הצעדים הבאים:
- משתמש ארגוני מאמת באמצעות IdP שלו, מתחבר לפורטל הארגוני שלו ופותח את הקישור Studio מהפורטל הארגוני.
- יישום הפורטל הארגוני מבצע קריאת API פרטית באמצעות נקודת קצה API Gateway VPC כדי ליצור כתובת URL מוגדרת מראש.
- קריאת ה-API Gateway VPC "Create presigned URL" מועברת לפותר הנכנס של Route 53 ב-VPC של הלקוח כפי שהוגדר ב-DNS הארגוני.
- פותר ה-DNS של VPC פותר אותו ל-API Gateway VPC IPpoint. לחלופין, הוא מחפש רשומת אזור מתארח פרטי אם היא קיימת.
- נקודת הקצה API Gateway VPC מנתבת את הבקשה דרך הרשת הפרטית של אמזון ל-"Create presigned URL API" הפועל בחשבון שירות API Gateway.
- API Gateway מפעיל את
create-pre-signedURL
ממשק API פרטי ומעביר את הבקשה ל-create-pre-signedURL
AWS למבדה פונקציה. - השמיים
create-pre-signedURL
קריאת Lambda מופעלת דרך נקודת הקצה של Lambda VPC. - השמיים
create-pre-signedURL
הפונקציה פועלת בחשבון השירות, מאחזרת הקשר משתמש מאומת (מזהה משתמש, אזור וכן הלאה), מחפשת טבלת מיפוי כדי לזהות את הדומיין של SageMaker ומזהה פרופיל המשתמש, עושהsagemaker createpre-signedDomainURL
קריאת API, ויוצרת כתובת URL מוגדרת מראש. לתפקיד שירות Lambda יש את תנאי נקודת הקצה של המקור VPC שהוגדרו עבור SageMaker API ו-Studio. - כתובת האתר המיועדת מראש שנוצרת נפתרת דרך נקודת הקצה של Studio VPC.
- Studio מאמת שהגישה לכתובת ה-URL שנקבעה מראש דרך נקודת הקצה VPC של הלקוח המוגדרת במדיניות, ומחזירה את התוצאה.
- מחברת הסטודיו מוחזרת להפעלת הדפדפן של המשתמש דרך הרשת הארגונית מבלי לחצות את האינטרנט.
הסעיפים הבאים ידריכו אותך כיצד ליישם ארכיטקטורה זו כדי לפתור כתובות URL מוגדרות מראש של Studio מרשת ארגונית באמצעות נקודות קצה VPC. אנו מדגימים יישום מלא על ידי הצגת השלבים הבאים:
- הגדר את הארכיטקטורה הבסיסית.
- הגדר את שרת האפליקציות הארגוני כדי לגשת לכתובת URL מוגדרת מראש של SageMaker דרך נקודת קצה VPC.
- הגדר והפעל את Studio מהרשת הארגונית.
הגדר את הארכיטקטורה הבסיסית
בפוסט גש למחברת אמזון SageMaker Studio מרשת ארגונית, הדגמנו כיצד לפתור שם תחום כתובת URL מוגדר מראש עבור מחברת Studio מרשת ארגונית מבלי לחצות את האינטרנט. אתה יכול לעקוב אחר ההוראות בפוסט זה כדי להגדיר את הארכיטקטורה הבסיסית, ולאחר מכן לחזור לפוסט זה ולהמשיך לשלב הבא.
הגדר את שרת האפליקציות הארגוני כדי לגשת לכתובת URL מוגדרת מראש של SageMaker דרך נקודת קצה VPC
כדי לאפשר גישה לסטודיו מדפדפן האינטרנט שלך, הגדרנו שרת אפליקציות מקומי ב-Windows Server ברשת המשנה הציבורית המקומית VPC. עם זאת, שאילתות ה-DNS לגישה לסטודיו מנותבות דרך הרשת הארגונית (פרטית). השלם את השלבים הבאים כדי להגדיר ניתוב תעבורת Studio דרך הרשת הארגונית:
- התחבר לשרת האפליקציות של Windows המקומי שלך.
- בחרו קבל סיסמא לאחר מכן דפדף והעלה את המפתח הפרטי שלך כדי לפענח את הסיסמה שלך.
- השתמש בלקוח RDP והתחבר לשרת Windows באמצעות האישורים שלך.
פתרון Studio DNS משורת הפקודה של Windows Server גורם לשימוש בשרתי DNS ציבוריים, כפי שמוצג בצילום המסך הבא.
כעת אנו מעדכנים את Windows Server לשימוש בשרת ה-DNS המקומי שהגדרנו קודם לכן. - נווט אל לוח בקרה, רשת ואינטרנט, ולבחור חיבורי רשת.
- לחץ לחיצה ימנית על Ethernet ולבחור את מאפיין TAB.
- עדכן את שרת Windows לשימוש בשרת ה-DNS המקומי.
- כעת אתה מעדכן את שרת ה-DNS המועדף עליך ב-IP של שרת ה-DNS שלך.
- נווט אל VPC ו טבלאות מסלולים ולבחור את שלך STUDIO-ONPREM-PUBLIC-RT טבלת מסלולים.
- הוסף מסלול ל-10.16.0.0/16 עם היעד כחיבור ההצצה שיצרנו במהלך הגדרת הארכיטקטורה הבסיסית.
הגדר והפעל את Studio מהרשת הארגונית שלך
כדי להגדיר ולהפעיל את Studio, בצע את השלבים הבאים:
- הורד את Chrome והפעל את הדפדפן במופע של Windows זה.
ייתכן שיהיה עליך כבה את תצורת האבטחה המשופרת של Internet Explorer כדי לאפשר הורדות קבצים ולאחר מכן לאפשר הורדות קבצים. - בדפדפן Chrome במכשיר המקומי שלך, נווט אל מסוף SageMaker ופתח את כלי המפתחים של Chrome רשת TAB.
- הפעל את אפליקציית Studio וצפה ב רשת הכרטיסייה עבור
authtoken
ערך הפרמטר, הכולל את כתובת ה-URL המוגדרת מראש שנוצרה יחד עם כתובת השרת המרוחק שאליה כתובת ה-URL מנותבת לצורך פתרון. בדוגמה זו, הכתובת המרוחקת 100.21.12.108 היא אחת מכתובות שרת ה-DNS הציבוריות לפתרון תחום ה-DNS של SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - חזור על שלבים אלה מה- ענן מחשוב אלסטי של אמזון (Amazon EC2) מופע של Windows שהגדרת כחלק מהארכיטקטורה הבסיסית.
אנו יכולים לראות שהכתובת המרוחקת היא לא ה-DNS IP הציבורי, אלא היא נקודת הקצה של Studio VPC 10.16.42.74.
סיכום
בפוסט זה, הדגמנו כיצד לפתור כתובת URL מוגדרת מראש של Studio מרשת ארגונית באמצעות נקודות קצה פרטיות של Amazon VPC מבלי לחשוף את רזולוציית כתובת האתר שנקבעה מראש לאינטרנט. זה מבטיח עוד יותר את עמדת האבטחה הארגונית שלך לגישה לסטודיו מרשת ארגונית לבניית עומסי עבודה של למידת מכונה מאובטחת ביותר ב- SageMaker. ב חלק 2 מסדרה זו, אנו מרחיבים עוד יותר את הפתרון הזה כדי להדגים כיצד לבנות ממשק API פרטי לגישה ל-Studio aws:sourceVPCE
אימות מדיניות IAM ואימות אסימון. נסה את הפתרון הזה והשאיר את המשוב שלך בתגובות!
על הכותבים
רם ויטל הוא ארכיטקט פתרונות למידת מכונה ב-AWS. יש לו למעלה מ-20 שנות ניסיון באדריכלות ובניית יישומים מבוזרים, היברידיים וענן. הוא נלהב מבניית פתרונות AI/ML ו-Big Data מאובטחים וניתנים להרחבה כדי לעזור ללקוחות ארגוניים באימוץ הענן ובמסע האופטימיזציה שלהם כדי לשפר את התוצאות העסקיות שלהם. בזמנו הפנוי הוא אוהב טניס וצילום.
ניאלם קושיה הוא אדריכל לפתרונות ארגוניים ב- AWS. המוקד הנוכחי שלה הוא לעזור ללקוחות ארגוניים במסע אימוץ הענן שלהם לתוצאות עסקיות אסטרטגיות. בזמנה הפנוי היא נהנית לקרוא ולהיות בחוץ.
- "
- 10
- 100
- a
- אודות
- גישה
- גישה
- חֶשְׁבּוֹן
- כתובת
- כתובות
- אימוץ
- נגד
- אמזון בעברית
- API
- האפליקציה
- בקשה
- יישומים
- ארכיטקטורה
- מאומת
- מאמת
- אימות
- זמין
- AWS
- כי
- להיות
- נתונים גדולים
- גבול
- דפדפן
- לִבנוֹת
- בִּניָן
- עסקים
- שיחה
- בחרו
- Chrome
- דפדפן כרום
- ענן
- להשלים
- הענות
- לחשב
- מצב
- תנאים
- לְחַבֵּר
- הקשר
- קונסול
- בקרות
- משותף
- לִיצוֹר
- נוצר
- יצירה
- אישורים
- נוֹכְחִי
- לקוח
- לקוחות
- נתונים
- להפגין
- מופגן
- פרס
- מפתח
- מכשיר
- לדון
- מופץ
- DNS
- תחום
- שם תחום
- הורדות
- בְּמַהֲלָך
- לאפשר
- נקודת קצה
- מִפְעָל
- אבטחה ארגונית
- סביבה
- דוגמה
- ניסיון
- להאריך
- מָשׁוֹב
- להתמקד
- לעקוב
- הבא
- החל מ-
- פונקציה
- נוסף
- זכייה
- שער כניסה
- ליצור
- נוצר
- לקרות
- לעזור
- מאוד
- אירח
- איך
- איך
- אולם
- HTTPS
- היברידי
- לזהות
- זהות
- ליישם
- הפעלה
- בלתי אפשרי
- לשפר
- כולל
- תשתית
- למשל
- אינטרנט
- IP
- IT
- מסע
- מפתח
- לשגר
- שכבה
- למידה
- יציאה
- קשר
- מקומי
- מכונה
- למידת מכונה
- עושה
- מיפוי
- שיטות
- מיקרוסופט
- נווט
- צרכי
- רשת
- הבא
- מחברה
- לפתוח
- נפתח
- אופטימיזציה
- אפשרות
- בחוץ
- שֶׁלוֹ
- חלק
- לוהט
- סיסמה
- צילום
- מדיניות
- כניסה
- מועדף
- מתנות
- מניעה
- פְּרָטִי
- מפתח פרטי
- תהליך
- מוצרים
- פּרוֹפִיל
- ספק
- ציבורי
- RAM
- רכס
- קריאה
- שיא
- באזור
- מרחוק
- לבקש
- תוצאות
- לַחֲזוֹר
- החזרות
- תפקיד
- מסלול
- כללי
- ריצה
- אותו
- להרחבה
- סולם
- לבטח
- אבטחה
- סדרה
- שרות
- סט
- התקנה
- הראה
- So
- מוצק
- פִּתָרוֹן
- פתרונות
- אסטרטגי
- עסק אסטרטגי
- סטודיו
- תומך
- יעד
- השמיים
- המקור
- דרך
- זמן
- אסימון
- כלים
- תְנוּעָה
- עדכון
- להשתמש
- משתמשים
- אימות
- ערך
- נראה
- חלונות
- בתוך
- לְלֹא
- כוח עבודה
- שנים