Fremskritt innen kunstig intelligens (AI) og maskinlæring (ML) revolusjonerer finansindustrien for brukstilfeller som svindeloppdagelse, kredittverdighetsvurdering og optimalisering av handelsstrategi. For å utvikle modeller for slike brukstilfeller trenger dataforskere tilgang til ulike datasett som kredittbeslutningsmotorer, kundetransaksjoner, risikoappetitt og stresstesting. Å administrere passende tilgangskontroll for disse datasettene blant dataforskerne som jobber med dem er avgjørende for å oppfylle strenge krav til overholdelse og regulatoriske krav. Vanligvis er disse datasettene samlet i en sentralisert Amazon enkel lagringstjeneste (Amazon S3) plassering fra ulike forretningsapplikasjoner og bedriftssystemer. Datavitere på tvers av forretningsenheter som jobber med modellutvikling ved hjelp av Amazon SageMaker gis tilgang til relevante data, noe som kan føre til krav om å administrere prefiks-nivå tilgangskontroller. Med en økning i brukstilfeller og datasett ved hjelp av bøttepolitikk utsagn, er administrasjon av tilgang på tvers av kontoer per applikasjon for kompleks og lang til at en bøttepolicy kan tilpasses.
Amazon S3 tilgangspunkter forenkle administrasjon og sikring av datatilgang i stor skala for applikasjoner som bruker delte datasett på Amazon S3. Du kan opprette unike vertsnavn ved å bruke tilgangspunkter for å håndheve distinkte og sikre tillatelser og nettverkskontroller for enhver forespørsel som gjøres via tilgangspunktet.
S3 Access Points forenkler administrasjonen av tilgangstillatelser som er spesifikke for hver applikasjon som har tilgang til et delt datasett. Den muliggjør sikker, høyhastighets datakopiering mellom tilgangspunkter i samme region ved hjelp av interne AWS-nettverk og VPC-er. S3-tilgangspunkter kan begrense tilgangen til VPC-er, slik at du kan brannmurdata i private nettverk, teste nye tilgangskontrollpolicyer uten å påvirke eksisterende tilgangspunkter, og konfigurere VPC-endepunktspolicyer for å begrense tilgangen til spesifikke konto-ID-eide S3-bøtter.
Dette innlegget går gjennom trinnene som er involvert i å konfigurere S3-tilgangspunkter for å aktivere tilgang på tvers av kontoer fra en SageMaker-notebook-forekomst.
Løsningsoversikt
For vår brukstilfelle har vi to kontoer i en organisasjon: Konto A (111111111111), som brukes av dataforskere til å utvikle modeller ved hjelp av en SageMaker-notebook-forekomst, og konto B (222222222222), som har nødvendige datasett i S3-bøtten test-bucket-1
. Følgende diagram illustrerer løsningsarkitekturen.
For å implementere løsningen, fullfør følgende trinn på høyt nivå:
- Konfigurer konto A, inkludert VPC, delnettsikkerhetsgruppe, VPC-gateway-endepunkt og SageMaker-notisbok.
- Konfigurer konto B, inkludert S3-bøtte, tilgangspunkt og bøttepolicy.
- Konfigurer AWS identitets- og tilgangsadministrasjon (IAM) tillatelser og retningslinjer i konto A.
Du bør gjenta disse trinnene for hver SageMaker-konto som trenger tilgang til det delte datasettet fra konto B.
Navnene på hver ressurs nevnt i dette innlegget er eksempler; du kan erstatte dem med andre navn i henhold til ditt bruksområde.
Konfigurer konto A
Fullfør følgende trinn for å konfigurere konto A:
- Opprett en VPC som heter
DemoVPC
. - Opprett et undernett som heter
DemoSubnet
i VPCDemoVPC
. - Opprett en sikkerhetsgruppe som heter
DemoSG
. - Lag en VPC S3 gateway-endepunkt som heter
DemoS3GatewayEndpoint
. - Opprett SageMaker utførelsesrolle.
- Opprett en notisbokforekomst som heter
DemoNotebookInstance
og sikkerhetsretningslinjene som skissert i Hvordan konfigurere sikkerhet i Amazon SageMaker.- Spesifiser Sagemaker-utførelsesrollen du opprettet.
- For nettverksinnstillingene for den bærbare datamaskinen, spesifiser VPC-, subnett- og sikkerhetsgruppen du opprettet.
- Sørg for at Direkte Internett-tilgang er funksjonshemmet.
Du tildeler tillatelser til rollen i påfølgende trinn etter at du har opprettet de nødvendige avhengighetene.
Konfigurer konto B
For å konfigurere konto B, fullfør følgende trinn:
- På konto B, lage en S3 bøtte som heter
test-bucket-1
etter Amazon S3 sikkerhetsveiledning. - Last opp filen til S3-bøtta.
- Opprett et tilgangspunkt som heter
test-ap-1
på konto B.- Ikke endre eller rediger noen Blokker innstillinger for offentlig tilgang for dette tilgangspunktet (all offentlig tilgang skal blokkeres).
- Legg ved følgende retningslinjer til tilgangspunktet:
Handlingene definert i den foregående koden er eksempelhandlinger for demonstrasjonsformål. Du kan definere handlingene i henhold til dine krav eller brukstilfelle.
- Legg til følgende tillatelser for bøttepolicy for å få tilgang til tilgangspunktet:
De foregående handlingene er eksempler. Du kan definere handlingene i henhold til dine krav.
Konfigurer IAM-tillatelser og -policyer
Fullfør følgende trinn i konto A:
- Bekreft at SageMaker-utførelsesrollen har AmazonSagemakerFullAccess tilpasset IAM innebygd policy, som ser ut som følgende kode:
Handlingene i retningslinjene er eksempler på handlinger for demonstrasjonsformål.
- Gå til
DemoS3GatewayEndpoint
endepunktet du opprettet og legg til følgende tillatelser:
- For å få en prefiksliste, kjør AWS kommandolinjegrensesnitt (AWS CLI) beskriv-prefiks-lister kommando:
- I konto A, gå til sikkerhetsgruppen
DemoSG
for målet SageMaker-notebook-forekomsten - Under Utgående regler, opprett en utgående regel med All trafikk or Alle TCP, og spesifiser deretter destinasjonen som prefiksliste-IDen du hentet.
Dette fullfører oppsettet i begge kontoene.
Test løsningen
For å validere løsningen, gå til SageMaker bærbare instansterminal og skriv inn følgende kommandoer for å liste objektene gjennom tilgangspunktet:
- For å liste objektene vellykket gjennom S3-tilgangspunktet
test-ap-1
:
- For å få objektene vellykket gjennom S3-tilgangspunktet
test-ap-1
:
Rydd opp
Når du er ferdig med å teste, sletter du evt S3 tilgangspunkter og S3 skuffer. Slett også evt Sagemaker notatbokforekomster å slutte å påløpe kostnader.
konklusjonen
I dette innlegget viste vi hvordan S3 Access Points muliggjør tilgang på tvers av kontoer til store, delte datasett fra SageMaker notebook-forekomster, og omgår størrelsesbegrensninger pålagt av bøttepolicyer mens vi konfigurerer tilgangsadministrasjon i stor skala på delte datasett.
For å lære mer, se Administrer enkelt delte datasett med Amazon S3-tilgangspunkter.
Om forfatterne
Kiran Khambete jobber som Senior Technical Account Manager hos Amazon Web Services (AWS). Som en TAM spiller Kiran en rolle som teknisk ekspert og strategisk guide for å hjelpe Enterprise-kunder med å nå sine forretningsmål.
Ankit Soni med totalt 14 års erfaring innehar stillingen som hovedingeniør i NatWest Group, hvor han har fungert som Cloud Infrastructure Architect de siste seks årene.
Kesaraju Sai Sandeep er en skyingeniør som spesialiserer seg på Big Data Services hos AWS.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://aws.amazon.com/blogs/machine-learning/set-up-cross-account-amazon-s3-access-for-amazon-sagemaker-notebooks-in-vpc-only-mode-using-amazon-s3-access-points/
- : har
- :er
- :hvor
- $OPP
- 100
- 14
- 16
- 17
- 20
- 7
- 8
- a
- adgang
- Tilgang
- imøtekomme
- Logg inn
- kontoer
- oppnå
- tvers
- Handling
- handlinger
- legge til
- Etter
- samlet
- AI
- Alle
- tillate
- også
- Amazon
- Amazon SageMaker
- Amazon Web Services
- Amazon Web Services (AWS)
- blant
- an
- og
- noen
- appetitt
- Søknad
- søknader
- hensiktsmessig
- arkitektur
- ER
- kunstig
- kunstig intelligens
- Kunstig intelligens (AI)
- AS
- evaluering
- At
- AWS
- BE
- mellom
- Stor
- Store data
- blokkert
- både
- virksomhet
- Business Applications
- by
- som heter
- CAN
- saken
- saker
- sentralisert
- endring
- avgifter
- cli
- Cloud
- sky infrastruktur
- kode
- fullføre
- Fullfører
- komplekse
- samsvar
- tilstand
- konfigurering
- begrensninger
- kontroll
- kontroller
- kopiere
- skape
- opprettet
- kreditt
- avgjørende
- kunde
- Kunder
- dato
- data tilgang
- datasett
- datasett
- avgjørelse
- definere
- definert
- demonstrasjon
- avhengig
- destinasjonen
- Gjenkjenning
- utvikle
- Utvikling
- diagram
- deaktivert
- distinkt
- gjort
- hver enkelt
- effekt
- muliggjøre
- muliggjør
- muliggjør
- Endpoint
- håndheve
- ingeniør
- Motorer
- Enter
- Enterprise
- eksempler
- gjennomføring
- eksisterende
- erfaring
- Expert
- finansiell
- brannmur
- etter
- Til
- svindel
- svindeloppdagelse
- fra
- gateway
- få
- Go
- Mål
- innvilget
- Gruppe
- veilede
- retningslinjer
- Ha
- he
- hjelpe
- høyt nivå
- holder
- Hvordan
- HTML
- http
- HTTPS
- ID
- Identitet
- illustrerer
- slag
- iverksette
- pålagt
- in
- Inkludert
- Øke
- industri
- Infrastruktur
- f.eks
- Intelligens
- intern
- Internet
- involvert
- IT
- jpg
- stor
- føre
- LÆRE
- læring
- i likhet med
- linje
- Liste
- plassering
- Lang
- UTSEENDE
- maskin
- maskinlæring
- laget
- administrer
- ledelse
- leder
- administrerende
- Møt
- nevnt
- ML
- Mote
- modell
- modeller
- mer
- navn
- NatWest
- Trenger
- behov
- nettverk
- Nettverksinnstillinger
- nettverk
- Ny
- Ny tilgang
- bærbare
- gjenstander
- of
- on
- optimalisering
- or
- organisasjon
- Annen
- vår
- skissert
- Past
- for
- tillatelser
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- Point
- poeng
- Politikk
- politikk
- posisjon
- Post
- forut
- Principal
- privat
- offentlig
- formål
- referere
- regulatorer
- relevant
- gjenta
- erstatte
- anmode
- påkrevd
- behov
- Krav
- ressurs
- begrense
- revolusjonerer
- Risiko
- risikoappetitt
- Rolle
- Regel
- Kjør
- sagemaker
- sample
- Skala
- forskere
- sikre
- sikring
- sikkerhet
- senior
- servert
- Tjenester
- sett
- sett
- innstillinger
- oppsett
- delt
- bør
- viste
- Enkelt
- forenkler
- forenkle
- SIX
- Størrelse
- løsning
- spesialisert
- spesifikk
- Uttalelse
- uttalelser
- Steps
- Stopp
- lagring
- Strategisk
- Strategi
- stresset
- strengere
- subnett
- senere
- vellykket
- slik
- sikker
- Systemer
- Target
- Teknisk
- terminal
- test
- Testing
- Det
- De
- deres
- Dem
- deretter
- Disse
- denne
- Gjennom
- til
- også
- Totalt
- trading
- trading-strategi
- Transaksjoner
- to
- typisk
- unik
- lomper
- bruke
- bruk sak
- brukt
- ved hjelp av
- VALIDERE
- ulike
- versjon
- vandringer
- we
- web
- webtjenester
- hvilken
- mens
- med
- innenfor
- uten
- arbeid
- år
- Du
- Din
- zephyrnet