Du kan få tilgang Amazon SageMaker Studio notatbøker fra Amazon SageMaker konsoll via AWS identitets- og tilgangsadministrasjon (IAM) autentisert føderasjon fra din identitetsleverandør (IdP), for eksempel Okta. Når en Studio-bruker åpner notatbokkoblingen, validerer Studio den forente brukerens IAM-policy for å autorisere tilgang, og genererer og løser den forhåndsinnstilte URL-en for brukeren. Fordi SageMaker-konsollen kjører på et internettdomene, er denne genererte forhåndsdefinerte URL-adressen synlig i nettleserøkten. Dette utgjør en uønsket trusselvektor for eksfiltrering og tilgang til kundedata når riktige tilgangskontroller ikke håndheves.
Studio støtter noen få metoder for å håndheve tilgangskontroller mot forhåndsdefinert URL-dataeksfiltrering:
- Klient-IP-validering ved å bruke IAM-policybetingelsen
aws:sourceIp
- Klient VPC-validering ved bruk av IAM-betingelsen
aws:sourceVpc
- Klient VPC-endepunktvalidering ved å bruke IAM-policybetingelsen
aws:sourceVpce
Når du får tilgang til Studio-notatbøker fra SageMaker-konsollen, er det eneste tilgjengelige alternativet å bruke klient-IP-validering med IAM-policybetingelsen aws:sourceIp
. Du kan imidlertid bruke nettlesertrafikkrutingsprodukter som Zscaler for å sikre skala og samsvar for arbeidsstyrkens internettilgang. Disse trafikkrutingsproduktene genererer sin egen kilde-IP, hvis IP-område ikke kontrolleres av bedriftskunden. Dette gjør det umulig for disse bedriftskunder å bruke aws:sourceIp
tilstand.
For å bruke klient VPC-endepunktvalidering ved å bruke IAM-policybetingelsen aws:sourceVpce
, må opprettelsen av en forhåndsdefinert URL komme fra samme kunde-VPC der Studio er distribuert, og oppløsning av den forhåndsdefinerte URL-en må skje via et Studio VPC-endepunkt på kundens VPC. Denne oppløsningen av den forhåndsinnstilte URL-adressen under tilgangstiden for bedriftsnettverksbrukere kan oppnås ved hjelp av DNS-videresendingsregler (både i Zscaler og bedrifts-DNS) og deretter inn i kundens VPC-endepunkt ved hjelp av en Amazon Route 53 innkommende løser.
I denne delen diskuterer vi den overordnede arkitekturen for å sikre studio forhåndssignert url og demonstrerer hvordan du setter opp den grunnleggende infrastrukturen for å opprette og lansere en Studio forhåndsdefinert URL gjennom VPC-endepunktet ditt over et privat nettverk uten å krysse internett. Dette fungerer som det grunnleggende laget for å forhindre dataeksfiltrering av eksterne dårlige aktører som får tilgang til Studio forhåndssignert URL og uautorisert eller forfalsket bedriftsbrukertilgang i et bedriftsmiljø.
Løsningsoversikt
Følgende diagram illustrerer overordnet løsningsarkitektur.
Prosessen inkluderer følgende trinn:
- En bedriftsbruker autentiserer via sin IdP, kobler seg til sin bedriftsportal og åpner Studio-lenken fra bedriftsportalen.
- Bedriftsportalapplikasjonen foretar et privat API-anrop ved å bruke et API Gateway VPC-endepunkt for å lage en forhåndsdefinert URL.
- API Gateway VPC-endepunktet "opprett forhåndsdefinert URL"-kallet videresendes til Route 53-innkommende resolver på kundens VPC som konfigurert i bedriftens DNS.
- VPC DNS-resolveren løser det til API Gateway VPC-endepunkt-IP. Eventuelt slår den opp en privat vertsbasert sonepost hvis den finnes.
- API Gateway VPC-endepunktet ruter forespørselen via Amazons private nettverk til "opprett forhåndsdefinert URL API" som kjører i API Gateway-tjenestekontoen.
- API-gateway påkaller
create-pre-signedURL
private API og fullmakter forespørselen tilcreate-pre-signedURL
AWS Lambda funksjon. - De
create-pre-signedURL
Lambda-anrop påkalles via Lambda VPC-endepunktet. - De
create-pre-signedURL
funksjonen kjører i tjenestekontoen, henter autentisert brukerkontekst (bruker-ID, region og så videre), slår opp en kartleggingstabell for å identifisere SageMaker-domenet og brukerprofilidentifikatoren, lager ensagemaker createpre-signedDomainURL
API-kall, og genererer en forhåndsdefinert URL. Lambda-tjenesterollen har kilde-VPC-endepunktbetingelsene definert for SageMaker API og Studio. - Den genererte forhåndsdefinerte URL-adressen løses over Studio VPC-endepunktet.
- Studio validerer at den forhåndsdefinerte URL-en blir aksessert via kundens VPC-endepunkt definert i policyen, og returnerer resultatet.
- Studio-notisboken returneres til brukerens nettleserøkt over bedriftsnettverket uten å gå gjennom internett.
De følgende delene leder deg gjennom hvordan du implementerer denne arkitekturen for å løse Studio forhåndsdefinerte URL-er fra et bedriftsnettverk ved hjelp av VPC-endepunkter. Vi demonstrerer en fullstendig implementering ved å vise følgende trinn:
- Sett opp den grunnleggende arkitekturen.
- Konfigurer bedriftens appserver for å få tilgang til en SageMaker forhåndsdefinert URL via et VPC-endepunkt.
- Konfigurer og start Studio fra bedriftsnettverket.
Sett opp den grunnleggende arkitekturen
I posten Få tilgang til en Amazon SageMaker Studio-notisbok fra et bedriftsnettverk, demonstrerte vi hvordan du løser et forhåndsdefinert URL-domenenavn for en Studio-notatbok fra et bedriftsnettverk uten å krysse internett. Du kan følge instruksjonene i det innlegget for å sette opp den grunnleggende arkitekturen, og deretter gå tilbake til dette innlegget og gå videre til neste trinn.
Konfigurer bedriftens appserver for å få tilgang til en SageMaker forhåndsdefinert URL via et VPC-endepunkt
For å aktivere tilgang til Studio fra nettleseren din, setter vi opp en lokal appserver på Windows Server på det lokale VPC-undernettet. Imidlertid rutes DNS-spørringene for tilgang til Studio gjennom bedriftens (private) nettverk. Fullfør følgende trinn for å konfigurere ruting av Studio-trafikk gjennom bedriftsnettverket:
- Koble til din lokale Windows-appserver.
- Velg Motta passord bla gjennom og last opp din private nøkkel for å dekryptere passordet ditt.
- Bruk en RDP-klient og koble til Windows Server ved å bruke legitimasjonen din.
Å løse Studio DNS fra Windows Server-kommandoprompten resulterer i bruk av offentlige DNS-servere, som vist i følgende skjermbilde.
Nå oppdaterer vi Windows Server til å bruke den lokale DNS-serveren som vi satte opp tidligere. - naviger til kontroll Panel, Nettverk og Internett, og velg Nettverkstilkoblinger.
- Høyreklikk Ethernet og velg Eiendommer fanen.
- Oppdater Windows Server for å bruke den lokale DNS-serveren.
- Nå oppdaterer du din foretrukne DNS-server med din DNS-server-IP.
- naviger til VPC og Rutetabeller og velg din STUDIO-ONPREM-PUBLIC-RT rutetabell.
- Legg til en rute til 10.16.0.0/16 med målet som peering-forbindelsen som vi opprettet under det grunnleggende arkitekturoppsettet.
Konfigurer og start Studio fra bedriftens nettverk
For å konfigurere og starte Studio, fullfør følgende trinn:
- Last ned Chrome og start nettleseren på denne Windows-forekomsten.
Du må kanskje slå av Internet Explorer Enhanced Security Configuration for å tillate filnedlasting og deretter aktivere filnedlastinger. - I Chrome-nettleseren din på den lokale enheten, naviger til SageMaker-konsollen og åpne Chrome-utviklerverktøyene Network fanen.
- Start Studio-appen og observer Network fanen for
authtoken
parameterverdi, som inkluderer den genererte forhåndsdefinerte URL-adressen sammen med den eksterne serveradressen som URL-en rutes til for oppløsning. I dette eksemplet er den eksterne adressen 100.21.12.108 en av de offentlige DNS-serveradressene for å løse SageMaker DNS-domenetname d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Gjenta disse trinnene fra Amazon Elastic Compute Cloud (Amazon EC2) Windows-forekomst som du konfigurerte som en del av den grunnleggende arkitekturen.
Vi kan observere at den eksterne adressen ikke er den offentlige DNS-IP-en, i stedet er det Studio VPC-endepunktet 10.16.42.74.
konklusjonen
I dette innlegget demonstrerte vi hvordan du løser en Studio-forhåndsdefinert URL fra et bedriftsnettverk ved å bruke Amazon private VPC-endepunkter uten å eksponere den forhåndsinnstilte URL-oppløsningen for internett. Dette sikrer din bedriftssikkerhet ytterligere for tilgang til Studio fra et bedriftsnettverk for å bygge svært sikre maskinlæringsarbeidsbelastninger på SageMaker. I del 2 av denne serien utvider vi denne løsningen ytterligere for å demonstrere hvordan man bygger en privat API for tilgang til Studio med aws:sourceVPCE
IAM-policyvalidering og token-autentisering. Prøv denne løsningen og gi tilbakemelding i kommentarfeltet!
Om forfatterne
Ram Vittal er en maskinlæringsløsningsarkitekt hos AWS. Han har over 20 års erfaring med å bygge og bygge distribuerte, hybride og skyapplikasjoner. Han brenner for å bygge sikre og skalerbare AI/ML- og Big Data-løsninger for å hjelpe bedriftskunder med deres skyadopsjon og optimaliseringsreise for å forbedre forretningsresultatene deres. På fritiden liker han tennis og fotografering.
Neelam Koshiya er en bedriftsløsningsarkitekt hos AWS. Hennes nåværende fokus er å hjelpe bedriftskunder med deres sky-adopsjon for strategiske forretningsresultater. På fritiden liker hun å lese og være utendørs.
- Myntsmart. Europas beste Bitcoin og Crypto Exchange.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
- CryptoHawk. Altcoin Radar. Gratis prøveperiode.
- Kilde: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Om oss
- adgang
- Tilgang
- Logg inn
- adresse
- adresser
- Adopsjon
- mot
- Amazon
- api
- app
- Søknad
- søknader
- arkitektur
- autentisert
- autentiserer
- Autentisering
- tilgjengelig
- AWS
- fordi
- være
- Store data
- grensen
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- bygge
- Bygning
- virksomhet
- ring
- Velg
- Chrome
- kromleser
- Cloud
- fullføre
- samsvar
- Beregn
- tilstand
- forhold
- Koble
- tilkobling
- Konsoll
- kontroller
- Bedriftens
- skape
- opprettet
- skaperverket
- Credentials
- Gjeldende
- kunde
- Kunder
- dato
- demonstrere
- demonstrert
- utplassert
- Utvikler
- enhet
- diskutere
- distribueres
- dns
- domene
- Domain Name
- nedlastinger
- under
- muliggjøre
- Endpoint
- Enterprise
- virksomhetssikkerhet
- Miljø
- eksempel
- erfaring
- utvide
- tilbakemelding
- Fokus
- følge
- etter
- fra
- funksjon
- videre
- få
- gateway
- generere
- generert
- skje
- hjelpe
- svært
- vert
- Hvordan
- Hvordan
- Men
- HTTPS
- Hybrid
- identifisere
- Identitet
- iverksette
- gjennomføring
- umulig
- forbedre
- inkluderer
- Infrastruktur
- f.eks
- Internet
- IP
- IT
- reise
- nøkkel
- lansere
- lag
- læring
- Permisjon
- LINK
- lokal
- maskin
- maskinlæring
- GJØR AT
- kartlegging
- metoder
- Microsoft
- Naviger
- behov
- nettverk
- neste
- bærbare
- åpen
- åpner
- optimalisering
- Alternativ
- utendørs
- egen
- del
- lidenskapelig
- Passord
- fotografering
- politikk
- Portal
- trekkes
- gaver
- hindre
- privat
- private Key
- prosess
- Produkter
- Profil
- leverandør
- offentlig
- RAM
- område
- Lesning
- rekord
- region
- fjernkontroll
- anmode
- Resultater
- retur
- avkastning
- Rolle
- Rute
- regler
- rennende
- samme
- skalerbar
- Skala
- sikre
- sikkerhet
- Serien
- tjeneste
- sett
- oppsett
- vist
- So
- solid
- løsning
- Solutions
- Strategisk
- strategisk virksomhet
- studio
- Støtter
- Target
- De
- Kilden
- Gjennom
- tid
- token
- verktøy
- trafikk
- Oppdater
- bruke
- Brukere
- validering
- verdi
- synlig
- vinduer
- innenfor
- uten
- arbeidsstyrke
- år
- Din