Dostopate lahko Amazon SageMaker Studio zvezki iz Amazon SageMaker konzola prek AWS upravljanje identitete in dostopa (IAM) overjena federacija vašega ponudnika identitete (IdP), kot je Okta. Ko uporabnik Studia odpre povezavo do zvezka, Studio potrdi pravilnik IAM zveznega uporabnika za avtorizacijo dostopa ter ustvari in razreši vnaprej podpisan URL za uporabnika. Ker se konzola SageMaker izvaja v internetni domeni, je ta ustvarjeni vnaprej podpisani URL viden v seji brskalnika. To predstavlja neželen vektor grožnje za izločanje in pridobivanje dostopa do podatkov o strankah, kadar ni uveljavljen ustrezen nadzor dostopa.
Studio podpira nekaj metod za uveljavljanje nadzora dostopa proti vnaprej podpisanim izruvanjem podatkov URL:
- Preverjanje IP-ja odjemalca z uporabo pogoja pravilnika IAM
aws:sourceIp
- Validacija odjemalca VPC z uporabo pogoja IAM
aws:sourceVpc
- Preverjanje končne točke odjemalca VPC z uporabo pogoja pravilnika IAM
aws:sourceVpce
Ko dostopate do prenosnih računalnikov Studio s konzole SageMaker, je edina razpoložljiva možnost uporaba preverjanja IP-ja odjemalca s pogojem pravilnika IAM aws:sourceIp
. Vendar pa lahko uporabite izdelke za usmerjanje prometa v brskalniku, kot je Zscaler, da zagotovite obseg in skladnost za dostop vaše delovne sile do interneta. Ti izdelki za usmerjanje prometa ustvarjajo svoj izvorni IP, katerega obsega IP ne nadzoruje poslovna stranka. To tem poslovnim strankam onemogoča uporabo aws:sourceIp
stanje.
Če želite uporabiti preverjanje končne točke VPC odjemalca z uporabo pogoja pravilnika IAM aws:sourceVpce
, mora ustvarjanje vnaprej podpisanega URL-ja izvirati iz iste stranke VPC, kjer je nameščen Studio, razrešitev vnaprej podpisanega URL-ja pa mora potekati prek končne točke Studio VPC na stranki VPC. To razrešitev vnaprej podpisanega URL-ja med časom dostopa za uporabnike omrežja podjetja je mogoče doseči z uporabo pravil za posredovanje DNS (v Zscalerju in DNS podjetja) in nato v končno točko VPC stranke z uporabo Amazonska pot 53 vhodni razreševalec.
V tem delu razpravljamo o vseobsegajoči arhitekturi za zaščito vnaprej podpisanega URL-ja Studio in prikazujemo, kako nastaviti temeljno infrastrukturo za ustvarjanje in zagon vnaprej podpisanega URL-ja Studio prek vaše končne točke VPC prek zasebnega omrežja brez prečkanja interneta. To služi kot temeljna plast za preprečevanje izruvanja podatkov s strani zunanjih slabih akterjev, ki pridobijo dostop do vnaprej podpisanega URL-ja Studio, in nepooblaščenega ali ponarejenega dostopa korporativnih uporabnikov v korporativnem okolju.
Pregled rešitev
Naslednji diagram ponazarja vseobsegajočo arhitekturo rešitve.
Postopek vključuje naslednje korake:
- Korporacijski uporabnik se overi prek svojega IdP, se poveže s svojim korporativnim portalom in odpre povezavo Studio s korporativnega portala.
- Aplikacija portala podjetja izvede zasebni klic API z uporabo končne točke API Gateway VPC za ustvarjanje vnaprej podpisanega URL-ja.
- Klic končne točke API Gateway VPC »create vnaprej podpisan URL« je posredovan vhodnemu razreševalniku Route 53 na VPC stranke, kot je konfigurirano v DNS podjetja.
- Reševalec DNS VPC ga razreši na IP končne točke VPC prehoda API. Po želji poišče zapis zasebnega gostujočega območja, če obstaja.
- Končna točka API Gateway VPC usmeri zahtevo prek zasebnega omrežja Amazon do »create vnaprej podpisanega URL API-ja«, ki se izvaja v računu storitve API Gateway.
- API Gateway prikliče
create-pre-signedURL
zasebni API in posreduje zahtevo vcreate-pre-signedURL
AWS Lambda Funkcija. - O
create-pre-signedURL
Klic Lambda se prikliče prek končne točke Lambda VPC. - O
create-pre-signedURL
funkcija se izvaja v računu storitve, pridobi kontekst overjenega uporabnika (ID uporabnika, regijo itd.), poišče tabelo preslikav za identifikacijo domene SageMaker in identifikator uporabniškega profila, naredisagemaker createpre-signedDomainURL
API kliče in ustvari vnaprej podpisan URL. Vloga storitve Lambda ima izvorne pogoje končne točke VPC, definirane za SageMaker API in Studio. - Ustvarjeni vnaprej podpisani URL se razreši prek končne točke Studio VPC.
- Studio preveri, ali se do vnaprej podpisanega URL-ja dostopa prek strankine končne točke VPC, določene v pravilniku, in vrne rezultat.
- Prenosni računalnik Studio se vrne v uporabnikovo sejo brskalnika prek omrežja podjetja brez prečkanja interneta.
V naslednjih razdelkih je opisano, kako implementirati to arhitekturo za razrešitev predhodno podpisanih URL-jev Studio iz omrežja podjetja z uporabo končnih točk VPC. Popolno izvedbo prikazujemo s prikazom naslednjih korakov:
- Postavite temeljno arhitekturo.
- Konfigurirajte strežnik aplikacij podjetja za dostop do vnaprej podpisanega URL-ja SageMaker prek končne točke VPC.
- Nastavite in zaženite Studio iz omrežja podjetja.
Postavite temeljno arhitekturo
V postu Dostopajte do prenosnega računalnika Amazon SageMaker Studio iz omrežja podjetja, smo pokazali, kako razrešiti vnaprej podpisano ime domene URL za prenosni računalnik Studio iz omrežja podjetja, ne da bi prečkali internet. Lahko sledite navodilom v tej objavi, da nastavite temeljno arhitekturo, nato pa se vrnete na to objavo in nadaljujete z naslednjim korakom.
Konfigurirajte strežnik aplikacij podjetja za dostop do vnaprej podpisanega URL-ja SageMaker prek končne točke VPC
Da bi omogočili dostop do Studia iz vašega internetnega brskalnika, smo namestili strežnik aplikacij na mestu uporabe v strežniku Windows Server v javnem podomrežju VPC na mestu uporabe. Vendar so poizvedbe DNS za dostop do Studia usmerjene prek korporativnega (zasebnega) omrežja. Izvedite naslednje korake za konfiguracijo usmerjanja prometa Studio prek omrežja podjetja:
- Povežite se z lokalnim strežnikom aplikacij Windows.
- Izberite Pridobite geslo nato prebrskajte in naložite svoj zasebni ključ za dešifriranje gesla.
- Uporabite odjemalca RDP in se povežite s strežnikom Windows Server s svojimi poverilnicami.
Razreševanje Studio DNS iz ukaznega poziva Windows Server povzroči uporabo javnih strežnikov DNS, kot je prikazano na naslednjem posnetku zaslona.
Zdaj posodobimo Windows Server za uporabo lokalnega strežnika DNS, ki smo ga nastavili prej. - Pomaknite se na nadzorno ploščo, Omrežje in internet, in izberite omrežne povezave.
- Z desno tipko miške kliknite Ethernet In izberite Nepremičnine tab.
- Posodobite Windows Server za uporabo lokalnega strežnika DNS.
- Zdaj posodobite želeni strežnik DNS z naslovom IP strežnika DNS.
- Pomaknite se na VPC in Tabele poti in izberite svojega GARSONJERA-ONPREM-JAVNO-RT tabela poti.
- Dodajte pot do 10.16.0.0/16 s ciljem kot enakovredno povezavo, ki smo jo ustvarili med nastavitvijo temeljne arhitekture.
Nastavite in zaženite Studio iz omrežja podjetja
Če želite nastaviti in zagnati Studio, izvedite naslednje korake:
- Prenesite Chrome in zaženite brskalnik v tem primerku sistema Windows.
Morda boste morali izklopite konfiguracijo izboljšane varnosti Internet Explorerja da omogočite prenos datotek in nato omogočite prenos datotek. - V brskalniku Chrome lokalne naprave se pomaknite do konzole SageMaker in odprite orodja za razvijalce Chrome mreža tab.
- Zaženite aplikacijo Studio in opazujte mreža zavihek za
authtoken
vrednost parametra, ki vključuje ustvarjeni vnaprej podpisani URL skupaj z naslovom oddaljenega strežnika, na katerega je URL usmerjen za razrešitev. V tem primeru je oddaljeni naslov 100.21.12.108 eden od javnih naslovov strežnika DNS za razrešitev domene DNS SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Ponovite te korake od Amazonski elastični računalniški oblak (Amazon EC2) Primerek sistema Windows, ki ste ga konfigurirali kot del temeljne arhitekture.
Opazimo lahko, da oddaljeni naslov ni javni DNS IP, temveč končna točka Studio VPC 10.16.42.74.
zaključek
V tej objavi smo pokazali, kako razrešiti predhodno podpisan URL Studio iz omrežja podjetja z uporabo Amazonovih zasebnih končnih točk VPC, ne da bi vnaprej podpisano razrešitev URL-ja izpostavili internetu. To dodatno ščiti varnostno držo vašega podjetja za dostop do Studia iz omrežja podjetja za gradnjo zelo varnih delovnih obremenitev strojnega učenja na SageMakerju. notri del 2 te serije nadalje razširjamo to rešitev, da pokažemo, kako zgraditi zasebni API za dostop do Studia z aws:sourceVPCE
Preverjanje pravil IAM in preverjanje pristnosti žetonov. Preizkusite to rešitev in pustite svoje povratne informacije v komentarjih!
O avtorjih
Ram Vittal je arhitekt rešitev za strojno učenje pri AWS. Ima več kot 20 let izkušenj z arhitekturo in gradnjo porazdeljenih, hibridnih in oblačnih aplikacij. Navdušen je nad gradnjo varnih in razširljivih rešitev AI/ML in Big Data, da bi podjetniškim strankam pomagal pri sprejemanju oblaka in optimizaciji za izboljšanje njihovih poslovnih rezultatov. V prostem času se ukvarja s tenisom in fotografijo.
Neelam Koshiya je arhitekt za poslovne rešitve pri AWS. Trenutno se osredotoča na pomoč podjetniškim strankam na njihovi poti sprejemanja oblaka za strateške poslovne rezultate. V prostem času rada bere in je na prostem.
- Coinsmart. Najboljša evropska borza bitcoinov in kriptovalut.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. PROST DOSTOP.
- CryptoHawk. Altcoin radar. Brezplačen preizkus.
- Vir: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- O meni
- dostop
- Dostop
- Račun
- Naslov
- naslovi
- Sprejetje
- proti
- Amazon
- API
- aplikacija
- uporaba
- aplikacije
- Arhitektura
- overjena
- preverja pristnost
- Preverjanje pristnosti
- Na voljo
- AWS
- ker
- počutje
- Big Podatki
- meja
- brskalnik
- izgradnjo
- Building
- poslovni
- klic
- Izberite
- Krom
- krom brskalnik
- Cloud
- dokončanje
- skladnost
- Izračunajte
- stanje
- Pogoji
- Connect
- povezava
- Konzole
- Nadzor
- Corporate
- ustvarjajo
- ustvaril
- Oblikovanje
- Mandatno
- Trenutna
- stranka
- Stranke, ki so
- datum
- izkazati
- Dokazano
- razporejeni
- Razvojni
- naprava
- razpravlja
- porazdeljena
- dns
- domena
- Ime domene
- prenosov
- med
- omogočajo
- Končna točka
- Podjetje
- varnost podjetja
- okolje
- Primer
- izkušnje
- razširiti
- povratne informacije
- Osredotočite
- sledi
- po
- iz
- funkcija
- nadalje
- pridobivanje
- Prehod
- ustvarjajo
- ustvarila
- se zgodi
- pomoč
- zelo
- gostila
- Kako
- Kako
- Vendar
- HTTPS
- Hybrid
- identificirati
- identiteta
- izvajati
- Izvajanje
- nemogoče
- izboljšanje
- vključuje
- Infrastruktura
- primer
- Internet
- IP
- IT
- Potovanje
- Ključne
- kosilo
- plast
- učenje
- pustite
- LINK
- lokalna
- stroj
- strojno učenje
- IZDELA
- kartiranje
- Metode
- Microsoft
- Krmarjenje
- potrebe
- mreža
- Naslednja
- prenosnik
- odprite
- Odpre
- optimizacija
- Možnost
- na prostem
- lastne
- del
- strastno
- Geslo
- fotografija
- politika
- Portal
- prednostno
- darila
- preprečevanje
- zasebna
- zasebni ključ
- Postopek
- Izdelki
- profil
- Ponudnik
- javnega
- RAM
- območje
- reading
- zapis
- okolica
- daljinsko
- zahteva
- Rezultati
- vrnitev
- vrne
- vloga
- Pot
- pravila
- tek
- Enako
- razširljive
- Lestvica
- zavarovanje
- varnost
- Serija
- Storitev
- nastavite
- nastavitev
- pokazale
- So
- trdna
- Rešitev
- rešitve
- Strateško
- strateško poslovanje
- studio
- Podpira
- ciljna
- O
- Vir
- skozi
- čas
- žeton
- orodja
- Prometa
- Nadgradnja
- uporaba
- Uporabniki
- potrjevanje
- vrednost
- vidna
- okna
- v
- brez
- Delovna sila
- let
- Vaša rutina za