Vooruitgang op het gebied van kunstmatige intelligentie (AI) en machine learning (ML) zorgen voor een revolutie in de financiële sector voor gebruiksscenario's zoals fraudedetectie, kredietwaardigheidsbeoordeling en optimalisatie van handelsstrategieën. Om modellen voor dergelijke gebruiksscenario's te ontwikkelen, hebben datawetenschappers toegang nodig tot verschillende datasets, zoals kredietbeslissingsmotoren, klanttransacties, risicobereidheid en stresstests. Het beheren van de juiste toegangscontrole voor deze datasets onder de datawetenschappers die eraan werken, is van cruciaal belang om te voldoen aan strenge compliance- en regelgevingsvereisten. Normaal gesproken worden deze datasets geaggregeerd in een gecentraliseerde database Amazon eenvoudige opslagservice (Amazon S3) locatie vanuit verschillende bedrijfsapplicaties en bedrijfssystemen. Datawetenschappers van verschillende bedrijfseenheden werken aan modelontwikkeling met behulp van Amazon Sage Maker toegang krijgen tot relevante gegevens, wat kan leiden tot de eis tot beheer voorvoegseltoegangscontroles op niveau. Met een toename van gebruiksscenario's en datasets die worden gebruikt bucket-beleid Volgens de verklaringen is het beheren van toegang tot meerdere accounts per applicatie te complex en te lang voor een bucket-beleid.
Amazon S3-toegangspunten vereenvoudig het beheren en beveiligen van gegevenstoegang op schaal voor applicaties met behulp van gedeelde datasets op Amazon S3. U kunt unieke hostnamen maken met behulp van toegangspunten om afzonderlijke en veilige machtigingen en netwerkcontroles af te dwingen voor elk verzoek dat via het toegangspunt wordt gedaan.
S3 Access Points vereenvoudigt het beheer van toegangsrechten die specifiek zijn voor elke applicatie die toegang heeft tot een gedeelde dataset. Het maakt veilige, snelle gegevenskopie mogelijk tussen toegangspunten in dezelfde regio met behulp van interne AWS-netwerken en VPC's. S3-toegangspunten kunnen de toegang tot VPC's beperken, waardoor u gegevens binnen particuliere netwerken kunt firewallen, nieuw toegangscontrolebeleid kunt testen zonder bestaande toegangspunten te beïnvloeden, en VPC-eindpuntbeleid kunt configureren om de toegang tot S3-buckets met specifieke account-ID's te beperken.
In dit bericht worden de stappen doorlopen die betrokken zijn bij het configureren van S3-toegangspunten om toegang tussen accounts mogelijk te maken vanaf een SageMaker-notebookinstantie.
Overzicht oplossingen
Voor ons gebruiksscenario hebben we twee accounts in een organisatie: Account A (111111111111), dat door datawetenschappers wordt gebruikt om modellen te ontwikkelen met behulp van een SageMaker-notebookinstantie, en Account B (222222222222), waarvoor gegevenssets in de S3-bucket nodig zijn test-bucket-1
. Het volgende diagram illustreert de oplossingsarchitectuur.
Voer de volgende stappen op hoog niveau uit om de oplossing te implementeren:
- Configureer account A, inclusief VPC, subnetbeveiligingsgroep, VPC-gateway-eindpunt en SageMaker-notebook.
- Configureer account B, inclusief S3-bucket, toegangspunt en bucketbeleid.
- Configure AWS Identiteits- en toegangsbeheer (IAM) machtigingen en beleid in account A.
U moet deze stappen herhalen voor elk SageMaker-account dat toegang nodig heeft tot de gedeelde dataset van account B.
De namen voor elke bron die in dit bericht wordt genoemd, zijn voorbeelden; u kunt ze vervangen door andere namen, afhankelijk van uw gebruiksscenario.
Configureer account A
Voer de volgende stappen uit om Account A te configureren:
- Maak een VPC aan Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
DemoVPC
. - Maak een subnet Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
DemoSubnet
in de VPCDemoVPC
. - Maak een beveiligingsgroep Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
DemoSG
. - Maak een VPC S3-gateway-eindpunt Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
DemoS3GatewayEndpoint
. - Maak de SageMaker-uitvoeringsrol.
- Maak een notebookinstantie Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
DemoNotebookInstance
en de beveiligingsrichtlijnen zoals beschreven in Beveiliging configureren in Amazon SageMaker.- Geef de Sagemaker-uitvoeringsrol op die u hebt gemaakt.
- Geef voor de notebooknetwerkinstellingen het VPC, subnet en de beveiligingsgroep op die u hebt gemaakt.
- Zorg ervoor dat Directe internettoegang is uitgeschakeld.
U wijst in de volgende stappen machtigingen toe aan de rol nadat u de vereiste afhankelijkheden hebt gemaakt.
Configureer account B
Voer de volgende stappen uit om Account B te configureren:
- Op rekening B, maak een S3-bucket Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
test-bucket-1
volgend Beveiligingsrichtlijnen voor Amazon S3. - Upload je bestand naar de S3-bak.
- Maak een toegangspunt Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
test-ap-1
op rekening B.- Wijzig of bewerk niets Instellingen voor openbare toegang blokkeren voor dit toegangspunt (alle openbare toegang moet worden geblokkeerd).
- Voeg het volgende beleid toe aan uw toegangspunt:
De acties die in de voorgaande code zijn gedefinieerd, zijn voorbeeldacties voor demonstratiedoeleinden. Jij kan de acties definiëren volgens uw vereisten of gebruiksscenario.
- Voeg de volgende bucketbeleidsrechten toe om toegang te krijgen tot het toegangspunt:
De voorgaande acties zijn voorbeelden. U kunt de acties definiëren volgens uw vereisten.
Configureer IAM-machtigingen en -beleid
Voer de volgende stappen uit in Account A:
- Bevestig dat de uitvoeringsrol van SageMaker de AmazonSagemakerFullAccess aangepast IAM inline-beleid, die eruitziet als de volgende code:
De acties in de beleidscode zijn voorbeeldacties voor demonstratiedoeleinden.
- Ga naar uw
DemoS3GatewayEndpoint
eindpunt dat u hebt gemaakt en voeg de volgende machtigingen toe:
- Om een lijst met voorvoegsels te krijgen, voert u de opdracht uit AWS-opdrachtregelinterface (AWS-CLI) beschrijven-voorvoegsel-lijsten opdracht:
- Ga in account A naar de beveiligingsgroep
DemoSG
voor de doel-SageMaker-notebookinstantie - Onder Uitgaande regels, maak een uitgaande regel met Al het verkeer or Allemaal TCPen geef vervolgens de bestemming op als de prefixlijst-ID die u hebt opgehaald.
Hiermee is de configuratie in beide accounts voltooid.
Test de oplossing
Om de oplossing te valideren, gaat u naar de SageMaker-notebookinstantieterminal en voert u de volgende opdrachten in om de objecten via het toegangspunt weer te geven:
- Om de objecten succesvol weer te geven via het S3-toegangspunt
test-ap-1
:
- Om de objecten succesvol via het S3-toegangspunt te krijgen
test-ap-1
:
Opruimen
Wanneer u klaar bent met testen, verwijdert u deze S3-toegangspunten en S3 bakken. Verwijder ook eventuele Sagemaker-notebookinstanties om te stoppen met het maken van kosten.
Conclusie
In dit bericht hebben we laten zien hoe S3 Access Points toegang tussen accounts mogelijk maken tot grote, gedeelde datasets van SageMaker-notebookinstanties, waarbij de groottebeperkingen worden omzeild die worden opgelegd door bucketbeleid, terwijl toegangsbeheer op schaal op gedeelde datasets wordt geconfigureerd.
Raadpleeg voor meer informatie: Beheer eenvoudig gedeelde datasets met Amazon S3 Access Points.
Over de auteurs
Kiran Khambete werkt als Senior Technisch Accountmanager bij Amazon Web Services (AWS). Als TAM speelt Kiran een rol als technisch expert en strategische gids om Enterprise-klanten te helpen hun zakelijke doelstellingen te bereiken.
Ankit Sonic met een totale ervaring van 14 jaar bekleedt hij de functie van Principal Engineer bij NatWest Group, waar hij de afgelopen zes jaar heeft gediend als Cloud Infrastructure Architect.
Kesaraju Sai Sandeep is een Cloud Engineer gespecialiseerd in Big Data Services bij AWS.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://aws.amazon.com/blogs/machine-learning/set-up-cross-account-amazon-s3-access-for-amazon-sagemaker-notebooks-in-vpc-only-mode-using-amazon-s3-access-points/
- : heeft
- :is
- :waar
- $UP
- 100
- 14
- 16
- 17
- 20
- 7
- 8
- a
- toegang
- toegang
- accommoderen
- Account
- accounts
- het bereiken van
- over
- Actie
- acties
- toevoegen
- Na
- geaggregeerd
- AI
- Alles
- toelaten
- ook
- Amazone
- Amazon Sage Maker
- Amazon Web Services
- Amazon Web Services (AWS)
- onder
- an
- en
- elke
- eetlust
- Aanvraag
- toepassingen
- passend
- architectuur
- ZIJN
- kunstmatig
- kunstmatige intelligentie
- Kunstmatige intelligentie (AI)
- AS
- beoordeling
- At
- AWS
- BE
- tussen
- Groot
- Big data
- geblokkeerd
- zowel
- bedrijfsdeskundigen
- Business Applications
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- geval
- gevallen
- gecentraliseerde
- verandering
- lasten
- cli
- Cloud
- cloud infrastructuur
- code
- compleet
- voltooit
- complex
- nakoming
- voorwaarde
- configureren
- beperkingen
- onder controle te houden
- controles
- kopiëren
- en je merk te creëren
- aangemaakt
- Credits
- cruciaal
- klant
- Klanten
- gegevens
- toegang tot data
- gegevenssets
- datasets
- beslissing
- bepalen
- gedefinieerd
- demonstratie
- afhankelijkheden
- bestemming
- Opsporing
- ontwikkelen
- Ontwikkeling
- diagram
- invalide
- onderscheiden
- gedaan
- elk
- effect
- in staat stellen
- maakt
- waardoor
- Endpoint
- afdwingen
- ingenieur
- Motoren
- Enter
- Enterprise
- voorbeelden
- uitvoering
- bestaand
- ervaring
- expert
- financieel
- firewall
- volgend
- Voor
- bedrog
- fraude detectie
- oppompen van
- poort
- krijgen
- Go
- Doelen
- verleend
- Groep
- gids
- richtlijnen
- Hebben
- he
- het helpen van
- high-level
- houdt
- Hoe
- HTML
- http
- HTTPS
- ID
- Identiteit
- illustreert
- impact
- uitvoeren
- opgelegd
- in
- Inclusief
- Laat uw omzet
- -industrie
- Infrastructuur
- instantie
- Intelligentie
- intern
- Internet
- betrokken zijn
- IT
- jpg
- Groot
- leiden
- LEARN
- leren
- als
- Lijn
- Lijst
- plaats
- lang
- LOOKS
- machine
- machine learning
- gemaakt
- beheer
- management
- manager
- beheren
- Maak kennis met
- vermeld
- ML
- Mode
- model
- modellen
- meer
- namen
- NatWest
- Noodzaak
- behoeften
- netwerk
- Netwerkinstellingen
- netwerken
- New
- Nieuwe toegang
- notitieboekje
- objecten
- of
- on
- optimalisatie
- or
- organisatie
- Overige
- onze
- geschetst
- verleden
- voor
- permissies
- Plato
- Plato gegevensintelligentie
- PlatoData
- speelt
- punt
- punten
- beleidsmaatregelen door te lezen.
- beleidsmaatregelen
- positie
- Post
- voorafgaat
- Principal
- privaat
- publiek
- doeleinden
- verwijzen
- regelgevers
- relevante
- herhaling
- vervangen
- te vragen
- nodig
- vereiste
- Voorwaarden
- hulpbron
- beperken
- Een revolutie
- Risico
- risicobereidheid
- Rol
- Regel
- lopen
- sagemaker
- monster
- Scale
- wetenschappers
- beveiligen
- beveiligen
- veiligheid
- senior
- geserveerd
- Diensten
- reeks
- Sets
- settings
- setup
- gedeeld
- moet
- vertoonde
- Eenvoudig
- vereenvoudigt
- vereenvoudigen
- ZES
- Maat
- oplossing
- gespecialiseerd
- specifiek
- Statement
- verklaringen
- Stappen
- stop
- mediaopslag
- strategisch
- Strategie
- spanning
- streng
- subnet
- volgend
- Met goed gevolg
- dergelijk
- zeker
- Systems
- doelwit
- Technisch
- terminal
- proef
- Testen
- dat
- De
- hun
- Ze
- harte
- Deze
- dit
- Door
- naar
- ook
- Totaal
- Handel
- trading strategie
- Transacties
- twee
- typisch
- unieke
- eenheden
- .
- use case
- gebruikt
- gebruik
- BEVESTIG
- divers
- versie
- loopt
- we
- web
- webservices
- welke
- en
- Met
- binnen
- zonder
- werkzaam
- jaar
- You
- Your
- zephyrnet