Puteți accesa Amazon SageMaker Studio caiete din Amazon SageMaker consola prin Gestionarea identității și accesului AWS federație autentificată (IAM) de la furnizorul dvs. de identitate (IdP), cum ar fi Okta. Când un utilizator Studio deschide linkul pentru notebook, Studio validează politica IAM a utilizatorului federat pentru a autoriza accesul și generează și rezolvă adresa URL presemnată pentru utilizator. Deoarece consola SageMaker rulează pe un domeniu de internet, această adresă URL semnată generată este vizibilă în sesiunea de browser. Acest lucru prezintă un vector de amenințare nedorit pentru exfiltrare și obținerea accesului la datele clienților atunci când controalele de acces adecvate nu sunt aplicate.
Studio acceptă câteva metode pentru aplicarea controalelor de acces împotriva exfiltrării datelor URL presemnate:
- Validarea IP client folosind condiția de politică IAM
aws:sourceIp
- Validarea VPC client folosind condiția IAM
aws:sourceVpc
- Validarea punctului final VPC client folosind condiția de politică IAM
aws:sourceVpce
Când accesați blocnotesurile Studio din consola SageMaker, singura opțiune disponibilă este să utilizați validarea IP a clientului cu condiția de politică IAM aws:sourceIp
. Cu toate acestea, puteți utiliza produse de rutare a traficului din browser, cum ar fi Zscaler, pentru a asigura amploarea și conformitatea pentru accesul la internet al forței de muncă. Aceste produse de rutare a traficului își generează propriul IP sursă, a cărui gamă IP nu este controlată de clientul companiei. Acest lucru face imposibil pentru acești clienți întreprinderi să folosească aws:sourceIp
starea.
Pentru a utiliza validarea punctului final VPC client folosind condiția de politică IAM aws:sourceVpce
, crearea unei adrese URL presemnate trebuie să provină din același VPC client în care este implementat Studio, iar soluționarea adresei URL presemnate trebuie să aibă loc printr-un punct final VPC Studio pe VPC-ul clientului. Această rezoluție a adresei URL presemnate în timpul timpului de acces pentru utilizatorii rețelei corporative poate fi realizată utilizând regulile de redirecționare DNS (atât în Zscaler, cât și în DNS corporativ) și apoi în punctul final VPC al clientului folosind un Ruta Amazonului 53 rezolutor de intrare.
În această parte, discutăm arhitectura generală pentru securizarea adresei URL presemnate studio și demonstrăm cum să configurați infrastructura de bază pentru a crea și a lansa o adresă URL presemnată Studio prin punctul final VPC printr-o rețea privată fără a traversa internetul. Acesta servește drept strat de bază pentru prevenirea exfiltrării datelor de către actori negativi externi care obțin acces la adresa URL presemnată Studio și accesul utilizatorului corporativ neautorizat sau falsificat într-un mediu corporativ.
Prezentare generală a soluțiilor
Următoarea diagramă ilustrează arhitectura globală a soluției.
Procesul include următorii pași:
- Un utilizator corporativ se autentifică prin intermediul lui IdP, se conectează la portalul corporativ și deschide linkul Studio de pe portalul corporativ.
- Aplicația portalului corporativ efectuează un apel API privat folosind un punct final VPC API Gateway pentru a crea o adresă URL presemnată.
- Apelul „creare URL presemnat” la punctul final VPC Gateway API este redirecționat către soluția de intrare Route 53 pe VPC-ul clientului, așa cum este configurat în DNS-ul corporativ.
- Rezolvatorul DNS VPC îl rezolvă la IP-ul punctului final VPC Gateway API. Opțional, caută o înregistrare privată de zonă găzduită, dacă există.
- Punctul final VPC API Gateway direcționează solicitarea prin rețeaua privată Amazon către „API-ul de creare a adresei URL presemnate” care rulează în contul de serviciu API Gateway.
- API Gateway invocă
create-pre-signedURL
API-ul privat și trimite cererea prin proxy cătrecreate-pre-signedURL
AWS Lambdas Funcția. -
create-pre-signedURL
Apelul Lambda este invocat prin punctul final al VPC Lambda. -
create-pre-signedURL
funcția rulează în contul de serviciu, preia contextul utilizatorului autentificat (ID utilizator, Regiune și așa mai departe), caută un tabel de mapare pentru a identifica domeniul SageMaker și identificatorul profilului utilizatorului, face osagemaker createpre-signedDomainURL
apel API și generează o adresă URL presemnată. Rolul serviciului Lambda are condițiile punctului final VPC sursă definite pentru API-ul și Studio SageMaker. - Adresa URL presemnată generată este rezolvată prin punctul final Studio VPC.
- Studio validează că adresa URL presemnată este accesată prin punctul final VPC al clientului definit în politică și returnează rezultatul.
- Notebook-ul Studio este returnat la sesiunea de browser a utilizatorului prin intermediul rețelei corporative fără a traversa internetul.
Următoarele secțiuni vă prezintă cum să implementați această arhitectură pentru a rezolva adresele URL presemnate de Studio dintr-o rețea corporativă folosind punctele finale VPC. Demonstrăm o implementare completă, prezentând următorii pași:
- Configurați arhitectura de bază.
- Configurați serverul de aplicații corporative pentru a accesa o adresă URL presemnată de SageMaker printr-un punct final VPC.
- Configurați și lansați Studio din rețeaua corporativă.
Configurați arhitectura de bază
În postare Accesați un notebook Amazon SageMaker Studio dintr-o rețea corporativă, am demonstrat cum să rezolvăm un nume de domeniu URL presemnat pentru un notebook Studio dintr-o rețea corporativă fără a traversa internetul. Puteți urma instrucțiunile din acea postare pentru a configura arhitectura de bază, apoi reveniți la această postare și treceți la pasul următor.
Configurați serverul de aplicații corporative pentru a accesa o adresă URL presemnată de SageMaker printr-un punct final VPC
Pentru a permite accesarea Studio din browserul dvs. de internet, am configurat un server de aplicații local pe Windows Server pe subrețeaua publică VPC locală. Cu toate acestea, interogările DNS pentru accesarea Studio sunt direcționate prin rețeaua corporativă (privată). Parcurgeți următorii pași pentru a configura rutarea traficului Studio prin rețeaua corporativă:
- Conectați-vă la serverul de aplicații Windows local.
- Alege Ia parola apoi răsfoiți și încărcați cheia privată pentru a vă decripta parola.
- Utilizați un client RDP și conectați-vă la Windows Server folosind acreditările dvs.
Rezolvarea DNS Studio din promptul de comandă Windows Server are ca rezultat utilizarea serverelor DNS publice, așa cum se arată în următoarea captură de ecran.
Acum actualizăm Windows Server pentru a utiliza serverul DNS local pe care l-am configurat mai devreme. - Navigheaza catre Panou de control, Rețea și Internetși alegeți Conexiuni de retea.
- Faceți clic dreapta Ethernet și alegeți Proprietăţi tab.
- Actualizați Windows Server pentru a utiliza serverul DNS local.
- Acum actualizați serverul DNS preferat cu IP-ul serverului DNS.
- Navigheaza catre VPC și Tabelele de rute si alege-ti STUDIO-ONPREM-PUBLIC-RT tabel de rute.
- Adăugați o rută la 10.16.0.0/16 cu ținta ca conexiune de peering pe care am creat-o în timpul configurării arhitecturii de bază.
Configurați și lansați Studio din rețeaua dvs. corporativă
Pentru a configura și a lansa Studio, parcurgeți următorii pași:
- Descărcați Chrome și lansați browserul pe această instanță Windows.
Este posibil să trebuiască să dezactivați Internet Explorer Enhanced Security Configuration pentru a permite descărcarea fișierelor și apoi activați descărcări de fișiere. - În browserul Chrome al dispozitivului local, navigați la consola SageMaker și deschideți instrumentele pentru dezvoltatori Chrome Reţea tab.
- Lansați aplicația Studio și observați Reţea fila pentru
authtoken
valoarea parametrului, care include adresa URL presemnată generată împreună cu adresa serverului de la distanță către care URL-ul este direcționat pentru rezoluție. În acest exemplu, adresa de la distanță 100.21.12.108 este una dintre adresele serverului DNS public pentru a rezolva domeniul DNS SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Repetați acești pași de la Cloud Elastic de calcul Amazon (Amazon EC2) Instanță Windows pe care ați configurat-o ca parte a arhitecturii de bază.
Putem observa că adresa de la distanță nu este IP-ul DNS public, ci este punctul final Studio VPC 10.16.42.74.
Concluzie
În această postare, am demonstrat cum să rezolvăm o adresă URL presemnată de Studio dintr-o rețea corporativă folosind punctele finale VPC private Amazon fără a expune rezoluția URL presemnată la internet. Acest lucru vă asigură și mai mult postura de securitate a întreprinderii pentru accesarea Studio dintr-o rețea corporativă pentru a construi sarcini de lucru de învățare automată foarte sigure pe SageMaker. În parte 2 din această serie, extindem și mai mult această soluție pentru a demonstra cum să construim un API privat pentru a accesa Studio cu aws:sourceVPCE
Validarea politicii IAM și autentificarea cu simboluri. Încercați această soluție și lăsați-vă feedback în comentarii!
Despre Autori
Ram Vittal este un arhitect de soluții de învățare automată la AWS. Are peste 20 de ani de experiență în arhitectura și construirea de aplicații distribuite, hibride și cloud. Este pasionat de construirea de soluții AI/ML și Big Data sigure și scalabile pentru a ajuta clienții întreprinderilor cu adoptarea și optimizarea cloud-ului pentru a-și îmbunătăți rezultatele în afaceri. În timpul liber, îi place tenisul și fotografia.
Neelam Koshiya este un arhitect de soluții pentru întreprinderi la AWS. Obiectivul ei actual este de a ajuta clienții întreprinderilor în călătoria lor de adoptare a cloud-ului pentru rezultate strategice de afaceri. În timpul liber, îi place să citească și să fie în aer liber.
- Coinsmart. Cel mai bun schimb de Bitcoin și Crypto din Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. ACCES LIBER.
- CryptoHawk. Radar Altcoin. Încercare gratuită.
- Sursa: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Despre Noi
- acces
- accesarea
- Cont
- adresa
- adrese
- Adoptare
- împotriva
- Amazon
- api
- aplicaţia
- aplicație
- aplicatii
- arhitectură
- autentificata
- autentifică
- Autentificare
- disponibil
- AWS
- deoarece
- fiind
- Datele mari
- frontieră
- browser-ul
- construi
- Clădire
- afaceri
- apel
- Alege
- Chrome
- browserul Chrome
- Cloud
- Completă
- conformitate
- Calcula
- condiție
- Condiții
- Conectați
- conexiune
- Consoleze
- controale
- Istoria
- crea
- a creat
- creaţie
- scrisori de acreditare
- Curent
- client
- clienţii care
- de date
- demonstra
- demonstrat
- dislocate
- Dezvoltator
- dispozitiv
- discuta
- distribuite
- dns
- domeniu
- Domain Name
- download-uri
- în timpul
- permite
- Punct final
- Afacere
- securitatea întreprinderii
- Mediu inconjurator
- exemplu
- experienţă
- extinde
- feedback-ul
- Concentra
- urma
- următor
- din
- funcţie
- mai mult
- câștigă
- poartă
- genera
- generată
- întâmpla
- ajutor
- extrem de
- găzduit
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- Hibrid
- identifica
- Identitate
- punerea în aplicare a
- implementarea
- imposibil
- îmbunătăţi
- include
- Infrastructură
- instanță
- Internet
- IP
- IT
- călătorie
- Cheie
- lansa
- strat
- învăţare
- Părăsi
- LINK
- local
- maşină
- masina de învățare
- FACE
- cartografiere
- Metode
- Microsoft
- Navigaţi
- nevoilor
- reţea
- următor
- caiet
- deschide
- deschide
- optimizare
- Opțiune
- în aer liber
- propriu
- parte
- pasionat
- Parolă
- fotografie
- Politica
- Portal
- preferat
- cadouri
- prevenirea
- privat
- cheie privată
- proces
- Produse
- Profil
- furnizorul
- public
- RAM
- gamă
- Citind
- record
- regiune
- la distanta
- solicita
- REZULTATE
- reveni
- Returnează
- Rol
- Traseul
- norme
- funcţionare
- acelaşi
- scalabil
- Scară
- sigur
- securitate
- serie
- serviciu
- set
- configurarea
- indicat
- So
- solid
- soluţie
- soluţii
- Strategic
- afaceri strategice
- studio
- Sprijină
- Ţintă
- Sursa
- Prin
- timp
- semn
- Unelte
- trafic
- Actualizează
- utilizare
- utilizatorii
- validare
- valoare
- vizibil
- ferestre
- în
- fără
- Forta de munca
- ani
- Ta