Du kan komma åt Amazon SageMaker Studio anteckningsböcker från Amazon SageMaker konsol via AWS identitets- och åtkomsthantering (IAM) autentiserad federation från din identitetsleverantör (IdP), som Okta. När en Studio-användare öppnar länken till anteckningsboken, validerar Studio den förenade användarens IAM-policy för att auktorisera åtkomst, och genererar och löser den fördefinierade URL:en för användaren. Eftersom SageMaker-konsolen körs på en internetdomän, är denna genererade fördefinierade URL synlig i webbläsarsessionen. Detta utgör en oönskad hotvektor för exfiltrering och åtkomst till kunddata när korrekta åtkomstkontroller inte tillämpas.
Studio stöder några metoder för att genomdriva åtkomstkontroller mot fördefinierad URL-dataexfiltrering:
- Klient-IP-validering med IAM-policyvillkoret
aws:sourceIp
- Klient VPC-validering med IAM-villkoret
aws:sourceVpc
- Klient VPC-slutpunktsvalidering med IAM-policyvillkoret
aws:sourceVpce
När du kommer åt Studio-anteckningsböcker från SageMaker-konsolen är det enda tillgängliga alternativet att använda klientens IP-validering med IAM-policyvillkoret aws:sourceIp
. Du kan dock använda webbläsartrafikdirigeringsprodukter som Zscaler för att säkerställa skala och efterlevnad för din arbetskrafts internetåtkomst. Dessa trafikdirigeringsprodukter genererar sin egen käll-IP, vars IP-intervall inte kontrolleras av företagskunden. Detta gör det omöjligt för dessa företagskunder att använda aws:sourceIp
skick.
För att använda klientens VPC-slutpunktsvalidering med IAM-policyvillkoret aws:sourceVpce
, skapandet av en fördefinierad URL måste ha sitt ursprung i samma kund-VPC där Studio är utplacerad, och upplösning av den fördefinierade URL-adressen måste ske via en Studio VPC-slutpunkt på kundens VPC. Denna upplösning av den fördefinierade URL:en under åtkomsttiden för företagsnätverksanvändare kan åstadkommas med hjälp av regler för vidarebefordran av DNS (både i Zscaler och företags-DNS) och sedan till kundens VPC-slutpunkt med hjälp av en Amazon väg 53 inkommande resolver.
I den här delen diskuterar vi den övergripande arkitekturen för att säkra studion försignerad url och demonstrerar hur man ställer in den grundläggande infrastrukturen för att skapa och starta en Studio förinställd URL via din VPC-slutpunkt över ett privat nätverk utan att gå över internet. Detta fungerar som det grundläggande lagret för att förhindra dataexfiltrering av externa dåliga aktörer som får åtkomst till Studio försignerad URL och obehörig eller falsk företagsanvändaråtkomst inom en företagsmiljö.
Lösningsöversikt
Följande diagram illustrerar övergripande lösningsarkitektur.
Processen inkluderar följande steg:
- En företagsanvändare autentiserar via sin IdP, ansluter till sin företagsportal och öppnar Studio-länken från företagsportalen.
- Företagsportalapplikationen gör ett privat API-anrop med hjälp av en API Gateway VPC-slutpunkt för att skapa en fördefinierad URL.
- API Gateway VPC-slutpunkten "skapa förinställd URL"-anrop vidarebefordras till Route 53 inbound resolver på kundens VPC som konfigurerats i företagets DNS.
- VPC DNS-resolver löser det till API Gateway VPC-slutpunkts-IP. Alternativt söker den upp en privat värdzonpost om den finns.
- API Gateway VPC-slutpunkten dirigerar begäran via Amazons privata nätverk till "skapa förinställd URL API" som körs i API Gateway-tjänstkontot.
- API Gateway anropar
create-pre-signedURL
privat API och fullmakt begäran tillcreate-pre-signedURL
AWS Lambda funktion. - Smakämnen
create-pre-signedURL
Lambda-anrop anropas via Lambda VPC-slutpunkten. - Smakämnen
create-pre-signedURL
funktionen körs i tjänstekontot, hämtar autentiserad användarkontext (användar-ID, region och så vidare), slår upp en mappningstabell för att identifiera SageMaker-domänen och användarprofilidentifieraren, gör ensagemaker createpre-signedDomainURL
API-anrop och genererar en fördefinierad URL. Lambda-tjänstrollen har käll-VPC-slutpunktsvillkoren definierade för SageMaker API och Studio. - Den genererade fördefinierade URL:en löses över Studio VPC-slutpunkten.
- Studio validerar att den fördefinierade URL-adressen nås via kundens VPC-slutpunkt som definieras i policyn, och returnerar resultatet.
- Studio-anteckningsboken återgår till användarens webbläsarsession över företagsnätverket utan att gå över internet.
Följande avsnitt går igenom hur du implementerar den här arkitekturen för att lösa Studio-fördefinierade URL:er från ett företagsnätverk med hjälp av VPC-slutpunkter. Vi visar en fullständig implementering genom att visa följande steg:
- Sätt upp den grundläggande arkitekturen.
- Konfigurera företagsappservern för att komma åt en SageMaker förinställd URL via en VPC-slutpunkt.
- Konfigurera och starta Studio från företagets nätverk.
Sätt upp den grundläggande arkitekturen
I posten Få tillgång till en Amazon SageMaker Studio-anteckningsbok från ett företagsnätverk, visade vi hur man löser ett förutbestämt URL-domännamn för en Studio-anteckningsbok från ett företagsnätverk utan att gå över internet. Du kan följa instruktionerna i det inlägget för att ställa in den grundläggande arkitekturen och sedan återgå till det här inlägget och fortsätta till nästa steg.
Konfigurera företagsappservern för att komma åt en SageMaker förinställd URL via en VPC-slutpunkt
För att möjliggöra åtkomst till Studio från din webbläsare konfigurerar vi en lokal appserver på Windows Server på det lokala VPC-undernätet. DNS-frågorna för åtkomst till Studio dirigeras dock via företagets (privata) nätverk. Slutför följande steg för att konfigurera dirigering av Studio-trafik genom företagsnätverket:
- Anslut till din lokala Windows-appserver.
- Välja Skaffa lösenord bläddra och ladda upp din privata nyckel för att dekryptera ditt lösenord.
- Använd en RDP-klient och anslut till Windows Server med dina referenser.
Att lösa Studio DNS från Windows Server-kommandotolken resulterar i att offentliga DNS-servrar används, som visas i följande skärmdump.
Nu uppdaterar vi Windows Server för att använda den lokala DNS-servern som vi konfigurerade tidigare. - Navigera till kontrollpanelen, Nätverk och Internet, och välj Nätverksanslutningar.
- Högerklicka ethernet och välj Våra Bostäder fliken.
- Uppdatera Windows Server för att använda den lokala DNS-servern.
- Nu uppdaterar du din föredragna DNS-server med din DNS-server-IP.
- Navigera till VPC och Rutttabeller och välj din STUDIO-ONPREM-PUBLIC-RT rutttabell.
- Lägg till en rutt till 10.16.0.0/16 med målet som peering-anslutningen som vi skapade under den grundläggande arkitekturinställningen.
Konfigurera och starta Studio från ditt företagsnätverk
Utför följande steg för att konfigurera och starta Studio:
- Ladda ner Chrome och starta webbläsaren på den här Windows-instansen.
Du kan behöva stäng av Internet Explorer Enhanced Security Configuration för att tillåta nedladdning av filer och sedan aktivera filnedladdningar. - I Chrome-webbläsaren på din lokala enhet navigerar du till SageMaker-konsolen och öppnar Chromes utvecklarverktyg nätverks fliken.
- Starta Studio-appen och observera nätverks flik för
authtoken
parametervärde, som inkluderar den genererade fördefinierade URL:en tillsammans med fjärrserveradressen som URL:en dirigeras till för upplösning. I det här exemplet är fjärradressen 100.21.12.108 en av de offentliga DNS-serveradresserna för att lösa SageMaker DNS-domänenname d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Upprepa dessa steg från Amazon Elastic Compute Cloud (Amazon EC2) Windows-instans som du konfigurerade som en del av grundarkitekturen.
Vi kan observera att fjärradressen inte är den offentliga DNS IP-adressen, utan det är Studio VPC-slutpunkten 10.16.42.74.
Slutsats
I det här inlägget demonstrerade vi hur man löser en Studio förinställd URL från ett företagsnätverk med hjälp av Amazons privata VPC-slutpunkter utan att exponera den fördefinierade URL-upplösningen för internet. Detta säkrar din företagssäkerhet ytterligare för åtkomst till Studio från ett företagsnätverk för att bygga mycket säkra arbetsbelastningar för maskininlärning på SageMaker. I del 2 av denna serie utökar vi denna lösning ytterligare för att demonstrera hur man bygger ett privat API för åtkomst till Studio med aws:sourceVPCE
IAM-policyvalidering och tokenautentisering. Prova den här lösningen och lämna din feedback i kommentarerna!
Om författarna
Ram Vittal är en maskininlärningslösningsarkitekt på AWS. Han har över 20 års erfarenhet av att bygga och bygga distribuerade, hybrid- och molnapplikationer. Han brinner för att bygga säkra och skalbara AI/ML- och Big Data-lösningar för att hjälpa företagskunder med deras molnintroduktion och optimeringsresa för att förbättra deras affärsresultat. På fritiden tycker han om tennis och fotografering.
Neelam Koshiya är företagslösningsarkitekt på AWS. Hennes nuvarande fokus är att hjälpa företagskunder med deras molnadoptionsresa för strategiska affärsresultat. På fritiden tycker hon om att läsa och vara utomhus.
- Myntsmart. Europas bästa bitcoin- och kryptobörs.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. FRI TILLGÅNG.
- CryptoHawk. Altcoin radar. Gratis provperiod.
- Källa: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Om oss
- tillgång
- åtkomst
- Konto
- adress
- adresser
- Antagande
- mot
- amason
- api
- app
- Ansökan
- tillämpningar
- arkitektur
- authenticated
- verifierar
- Autentisering
- tillgänglig
- AWS
- därför att
- Där vi får lov att vara utan att konstant prestera,
- Stora data
- gränsen
- webbläsare
- SLUTRESULTAT
- Byggnad
- företag
- Ring
- Välja
- krom
- krom webbläsare
- cloud
- fullborda
- Efterlevnad
- Compute
- tillstånd
- villkor
- Kontakta
- anslutning
- Konsol
- kontroller
- Företag
- skapa
- skapas
- skapande
- referenser
- Aktuella
- kund
- Kunder
- datum
- demonstrera
- demonstreras
- utplacerade
- Utvecklare
- anordning
- diskutera
- distribueras
- dns
- domän
- Domain Name
- Nedladdningar
- under
- möjliggöra
- Slutpunkt
- Företag
- företagets säkerhet
- Miljö
- exempel
- erfarenhet
- förlänga
- återkoppling
- Fokus
- följer
- efter
- från
- fungera
- ytterligare
- få
- nätbryggan
- generera
- genereras
- hända
- hjälpa
- höggradigt
- värd
- Hur ser din drömresa ut
- How To
- Men
- HTTPS
- Hybrid
- identifiera
- Identitet
- genomföra
- genomförande
- omöjligt
- förbättra
- innefattar
- Infrastruktur
- exempel
- Internet
- IP
- IT
- resa
- Nyckel
- lansera
- lager
- inlärning
- Lämna
- LINK
- lokal
- Maskinen
- maskininlärning
- GÖR
- kartläggning
- metoder
- Microsoft
- Navigera
- behov
- nät
- Nästa
- anteckningsbok
- öppet
- öppnas
- optimering
- Alternativet
- utomhus
- egen
- del
- brinner
- Lösenord
- fotografi
- policy
- Portal
- föredragen
- presenterar
- förebyggande
- privat
- privat nyckel
- process
- Produkter
- Profil
- leverantör
- allmän
- RAM
- område
- Läsning
- post
- region
- avlägsen
- begära
- Resultat
- avkastning
- återgår
- Roll
- Rutt
- regler
- rinnande
- Samma
- skalbar
- Skala
- säkra
- säkerhet
- Serier
- service
- in
- inställning
- visas
- So
- fast
- lösning
- Lösningar
- Strategisk
- strategisk verksamhet
- studio
- Stöder
- Målet
- Smakämnen
- källan
- Genom
- tid
- token
- verktyg
- trafik
- Uppdatering
- användning
- användare
- godkännande
- värde
- synlig
- fönster
- inom
- utan
- arbetskraft
- år
- Din