คุณสามารถเข้าถึง สตูดิโอ Amazon SageMaker โน๊ตบุ๊คจาก อเมซอน SageMaker คอนโซลผ่าน AWS Identity และการจัดการการเข้าถึง (IAM) สหพันธ์ตรวจสอบสิทธิ์จากผู้ให้บริการข้อมูลประจำตัวของคุณ (IdP) เช่น Okta เมื่อผู้ใช้ Studio เปิดลิงก์สมุดบันทึก Studio จะตรวจสอบนโยบาย IAM ของผู้ใช้ที่ติดต่อกับภายนอกเพื่ออนุญาตการเข้าถึง และสร้างและแก้ไข URL ที่กำหนดไว้ล่วงหน้าสำหรับผู้ใช้ เนื่องจากคอนโซล SageMaker ทำงานบนโดเมนอินเทอร์เน็ต URL ที่สร้างไว้ล่วงหน้านี้จึงมองเห็นได้ในเซสชันของเบราว์เซอร์ สิ่งนี้แสดงเวกเตอร์ภัยคุกคามที่ไม่ต้องการสำหรับการกรองและการเข้าถึงข้อมูลลูกค้าเมื่อไม่ได้บังคับใช้การควบคุมการเข้าถึงที่เหมาะสม
Studio รองรับวิธีการสองสามวิธีในการบังคับใช้การควบคุมการเข้าถึงกับการขโมยข้อมูล URL ที่กำหนดไว้ล่วงหน้า:
- การตรวจสอบ IP ของไคลเอ็นต์โดยใช้เงื่อนไขนโยบาย IAM
aws:sourceIp
- การตรวจสอบความถูกต้องของไคลเอ็นต์ VPC โดยใช้เงื่อนไข IAM
aws:sourceVpc
- การตรวจสอบปลายทาง VPC ของไคลเอ็นต์โดยใช้เงื่อนไขนโยบาย IAM
aws:sourceVpce
เมื่อคุณเข้าถึงโน้ตบุ๊ก Studio จากคอนโซล SageMaker ตัวเลือกเดียวที่มีคือใช้การตรวจสอบ IP ของไคลเอ็นต์ด้วยเงื่อนไขนโยบาย IAM aws:sourceIp
. อย่างไรก็ตาม คุณสามารถใช้ผลิตภัณฑ์กำหนดเส้นทางการรับส่งข้อมูลของเบราว์เซอร์ เช่น Zscaler เพื่อให้แน่ใจว่าขนาดและการปฏิบัติตามข้อกำหนดสำหรับการเข้าถึงอินเทอร์เน็ตของพนักงานของคุณ ผลิตภัณฑ์การกำหนดเส้นทางการรับส่งข้อมูลเหล่านี้สร้าง IP ต้นทางของตนเอง ซึ่งช่วง IP ไม่ได้ถูกควบคุมโดยลูกค้าองค์กร ซึ่งทำให้ลูกค้าองค์กรเหล่านี้ไม่สามารถใช้ aws:sourceIp
สภาพ
ในการใช้การตรวจสอบปลายทาง VPC ของไคลเอ็นต์โดยใช้เงื่อนไขนโยบาย IAM aws:sourceVpce
การสร้าง URL ที่กำหนดไว้ล่วงหน้าจำเป็นต้องเริ่มต้นใน VPC ของลูกค้ารายเดียวกันกับที่มีการปรับใช้ Studio และการแก้ปัญหาของ URL ที่กำหนดไว้ล่วงหน้าจะต้องเกิดขึ้นผ่านปลายทาง VPC ของ Studio บน VPC ของลูกค้า การแก้ไข URL ที่กำหนดไว้ล่วงหน้าระหว่างเวลาเข้าถึงสำหรับผู้ใช้เครือข่ายองค์กรสามารถทำได้โดยใช้กฎการส่งต่อ DNS (ทั้งใน Zscaler และ DNS ขององค์กร) จากนั้นไปยังปลายทาง VPC ของลูกค้าโดยใช้ Amazon เส้นทาง 53 ตัวแก้ไขขาเข้า
ในส่วนนี้ เราจะพูดถึงสถาปัตยกรรมที่ครอบคลุมสำหรับการรักษาความปลอดภัย URL ที่ลงนามล่วงหน้าของ Studio และสาธิตวิธีการตั้งค่าโครงสร้างพื้นฐานเพื่อสร้างและเปิดใช้ URL ที่กำหนดไว้ล่วงหน้าของ Studio ผ่านปลายทาง VPC ของคุณผ่านเครือข่ายส่วนตัวโดยไม่ต้องข้ามอินเทอร์เน็ต ซึ่งทำหน้าที่เป็นชั้นพื้นฐานในการป้องกันการขโมยข้อมูลโดยผู้ไม่หวังดีภายนอกที่เข้าถึง URL ที่ลงนามล่วงหน้าของ Studio และการเข้าถึงของผู้ใช้ในองค์กรที่ไม่ได้รับอนุญาตหรือปลอมแปลงภายในสภาพแวดล้อมขององค์กร
ภาพรวมโซลูชัน
ไดอะแกรมต่อไปนี้แสดงสถาปัตยกรรมโซลูชันแบบ over-arching
กระบวนการประกอบด้วยขั้นตอนต่อไปนี้:
- ผู้ใช้ในองค์กรตรวจสอบสิทธิ์ผ่าน IdP เชื่อมต่อกับพอร์ทัลองค์กร และเปิดลิงก์ Studio จากพอร์ทัลขององค์กร
- แอปพลิเคชันพอร์ทัลขององค์กรทำการเรียก API ส่วนตัวโดยใช้ปลายทาง API Gateway VPC เพื่อสร้าง URL ที่กำหนดไว้ล่วงหน้า
- ปลายทาง API Gateway VPC "สร้าง URL ที่กำหนดไว้ล่วงหน้า" จะถูกส่งต่อไปยังตัวแก้ไขปลายทางของเส้นทาง 53 บน VPC ของลูกค้าตามที่กำหนดค่าไว้ใน DNS ขององค์กร
- ตัวแก้ไข DNS ของ VPC แก้ไขเป็น IP ปลายทางของ API เกตเวย์ VPC หรือจะค้นหาเรกคอร์ดโซนโฮสต์ส่วนตัวถ้ามีอยู่
- ตำแหน่งข้อมูล API Gateway VPC จะกำหนดเส้นทางคำขอผ่านเครือข่ายส่วนตัวของ Amazon ไปที่ "สร้าง URL ที่กำหนดไว้ล่วงหน้า" ที่ทำงานอยู่ในบัญชีบริการ API Gateway
- API Gateway เรียกใช้
create-pre-signedURL
API ส่วนตัวและพร็อกซี่คำขอไปยังcreate-pre-signedURL
AWS แลมบ์ดา ฟังก์ชัน - พื้นที่
create-pre-signedURL
การโทรแลมบ์ดาถูกเรียกใช้ผ่านตำแหน่งข้อมูล VPC ของแลมบ์ดา - พื้นที่
create-pre-signedURL
ฟังก์ชันทำงานในบัญชีบริการ เรียกบริบทผู้ใช้ที่รับรองความถูกต้อง (ID ผู้ใช้ ภูมิภาค และอื่นๆ) ค้นหาตารางการแมปเพื่อระบุโดเมน SageMaker และตัวระบุโปรไฟล์ผู้ใช้ ทำให้sagemaker createpre-signedDomainURL
เรียก API และสร้าง URL ที่กำหนดไว้ล่วงหน้า บทบาทบริการของ Lambda มีเงื่อนไขปลายทาง VPC ต้นทางที่กำหนดไว้สำหรับ SageMaker API และ Studio - URL ที่กำหนดไว้ล่วงหน้าที่สร้างขึ้นจะได้รับการแก้ไขผ่านปลายทาง VPC ของ Studio
- Studio ตรวจสอบว่ามีการเข้าถึง URL ที่กำหนดไว้ล่วงหน้าผ่านทางปลายทาง VPC ของลูกค้าที่กำหนดไว้ในนโยบาย และส่งคืนผลลัพธ์
- สมุดบันทึก Studio จะกลับไปที่เซสชันเบราว์เซอร์ของผู้ใช้ผ่านเครือข่ายองค์กรโดยไม่ต้องข้ามอินเทอร์เน็ต
ส่วนต่อไปนี้จะอธิบายวิธีการใช้สถาปัตยกรรมนี้เพื่อแก้ไข URL ที่กำหนดไว้ล่วงหน้าของ Studio จากเครือข่ายองค์กรโดยใช้ปลายทาง VPC เราสาธิตการใช้งานที่สมบูรณ์โดยแสดงขั้นตอนต่อไปนี้:
- ตั้งค่าสถาปัตยกรรมพื้นฐาน
- กำหนดค่าเซิร์ฟเวอร์แอปขององค์กรเพื่อเข้าถึง URL ที่กำหนดไว้ล่วงหน้าของ SageMaker ผ่านตำแหน่งข้อมูล VPC
- ตั้งค่าและเปิดใช้ Studio จากเครือข่ายองค์กร
วางรากฐานสถาปัตยกรรม
ในการโพสต์ เข้าถึงโน้ตบุ๊ก Amazon SageMaker Studio จากเครือข่ายองค์กรเราได้สาธิตวิธีแก้ไขชื่อโดเมน URL ที่กำหนดไว้ล่วงหน้าสำหรับโน้ตบุ๊ก Studio จากเครือข่ายองค์กรโดยไม่ต้องผ่านอินเทอร์เน็ต คุณสามารถทำตามคำแนะนำในโพสต์นั้นเพื่อตั้งค่าสถาปัตยกรรมพื้นฐาน จากนั้นกลับมาที่โพสต์นี้และดำเนินการในขั้นตอนต่อไป
กำหนดค่าเซิร์ฟเวอร์แอปขององค์กรเพื่อเข้าถึง URL ที่กำหนดไว้ล่วงหน้าของ SageMaker ผ่านจุดปลาย VPC
ในการเปิดใช้งานการเข้าถึง Studio จากอินเทอร์เน็ตเบราว์เซอร์ของคุณ เราได้ตั้งค่าเซิร์ฟเวอร์แอปภายในองค์กรบน Windows Server บนเครือข่ายย่อยสาธารณะ VPC ในสถานที่ อย่างไรก็ตาม การสอบถาม DNS สำหรับการเข้าถึง Studio นั้นกำหนดเส้นทางผ่านเครือข่ายองค์กร (ส่วนตัว) ทำตามขั้นตอนต่อไปนี้เพื่อกำหนดค่าการกำหนดเส้นทางการรับส่งข้อมูล Studio ผ่านเครือข่ายองค์กร:
- เชื่อมต่อกับเซิร์ฟเวอร์แอป Windows ภายในองค์กรของคุณ
- Choose ได้รับรหัสผ่าน จากนั้นเรียกดูและอัปโหลดคีย์ส่วนตัวของคุณเพื่อถอดรหัสรหัสผ่านของคุณ
- ใช้ไคลเอ็นต์ RDP และเชื่อมต่อกับ Windows Server โดยใช้ข้อมูลประจำตัวของคุณ
การแก้ไข Studio DNS จากพรอมต์คำสั่ง Windows Server ส่งผลให้ใช้เซิร์ฟเวอร์ DNS สาธารณะ ดังที่แสดงในภาพหน้าจอต่อไปนี้
ตอนนี้เราอัปเดต Windows Server เพื่อใช้เซิร์ฟเวอร์ DNS ในองค์กรที่เราตั้งค่าไว้ก่อนหน้านี้ - นำทางไปยัง แผงควบคุม, เครือข่ายและอินเทอร์เน็ตและเลือก เชื่อมต่อเครือข่าย.
- คลิกขวาที่ อีเธอร์เน็ต และเลือก อสังหาริมทรัพย์ แถบ
- อัปเดต Windows Server เพื่อใช้เซิร์ฟเวอร์ DNS ภายในองค์กร
- ตอนนี้คุณอัปเดตเซิร์ฟเวอร์ DNS ที่คุณต้องการด้วย IP เซิร์ฟเวอร์ DNS ของคุณ
- นำทางไปยัง วี.พี.ซี และ ตารางเส้นทาง และเลือกของคุณ STUDIO-ONPREM-มหาชน-RT ตารางเส้นทาง
- เพิ่มเส้นทางไปที่ 10.16.0.0/16 โดยมีเป้าหมายเป็นการเชื่อมต่อแบบเพียร์ที่เราสร้างขึ้นระหว่างการตั้งค่าสถาปัตยกรรมพื้นฐาน
ตั้งค่าและเปิดใช้ Studio จากเครือข่ายองค์กรของคุณ
ในการตั้งค่าและเปิดใช้ Studio ให้ทำตามขั้นตอนต่อไปนี้:
- ดาวน์โหลด Chrome และเปิดเบราว์เซอร์บนอินสแตนซ์ Windows นี้
คุณอาจต้อง ปิดการกำหนดค่าความปลอดภัยขั้นสูงของ Internet Explorer เพื่ออนุญาตให้ดาวน์โหลดไฟล์แล้ว เปิดใช้งานการดาวน์โหลดไฟล์. - ในเบราว์เซอร์ Chrome ในอุปกรณ์ในพื้นที่ของคุณ ให้ไปที่คอนโซล SageMaker และเปิดเครื่องมือสำหรับนักพัฒนา Chrome เครือข่าย แถบ
- เปิดแอพ Studio และสังเกต เครือข่าย แท็บสำหรับ
authtoken
ค่าพารามิเตอร์ ซึ่งรวมถึง URL ที่กำหนดไว้ล่วงหน้าที่สร้างขึ้นพร้อมกับที่อยู่เซิร์ฟเวอร์ระยะไกลที่ URL ถูกกำหนดเส้นทางไปเพื่อการแก้ปัญหา ในตัวอย่างนี้ ที่อยู่ระยะไกล 100.21.12.108 เป็นหนึ่งในที่อยู่เซิร์ฟเวอร์ DNS สาธารณะเพื่อแก้ไขโดเมน SageMaker DNSname d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - ทำซ้ำขั้นตอนเหล่านี้จาก อเมซอน อีลาสติก คอมพิวท์ คลาวด์ (Amazon EC2) อินสแตนซ์ Windows ที่คุณกำหนดค่าให้เป็นส่วนหนึ่งของสถาปัตยกรรมพื้นฐาน
เราสามารถสังเกตได้ว่าที่อยู่ระยะไกลไม่ใช่ DNS IP สาธารณะ แต่เป็นปลายทาง Studio VPC 10.16.42.74
สรุป
ในโพสต์นี้ เราสาธิตวิธีแก้ไข URL ที่กำหนดไว้ล่วงหน้าของ Studio จากเครือข่ายองค์กรโดยใช้ปลายทาง VPC ส่วนตัวของ Amazon โดยไม่เปิดเผยความละเอียด URL ที่กำหนดไว้ล่วงหน้าบนอินเทอร์เน็ต การทำเช่นนี้จะช่วยรักษาความปลอดภัยระดับองค์กรของคุณสำหรับการเข้าถึง Studio จากเครือข่ายองค์กรเพื่อสร้างปริมาณงานการเรียนรู้ของเครื่องที่มีความปลอดภัยสูงบน SageMaker ใน 2 ส่วนหนึ่ง ของชุดนี้ เราได้ขยายโซลูชันนี้เพิ่มเติมเพื่อสาธิตวิธีสร้าง API ส่วนตัวสำหรับการเข้าถึง Studio ด้วย aws:sourceVPCE
การตรวจสอบนโยบาย IAM และการตรวจสอบโทเค็น ลองใช้วิธีแก้ปัญหานี้และแสดงความคิดเห็นของคุณในความคิดเห็น!
เกี่ยวกับผู้เขียน
ราม วิตตาล เป็นสถาปนิกโซลูชันแมชชีนเลิร์นนิ่งที่ AWS เขามีประสบการณ์มากกว่า 20 ปีในด้านสถาปัตยกรรมและการสร้างแอปพลิเคชันแบบกระจาย ไฮบริดและคลาวด์ เขาหลงใหลในการสร้างโซลูชัน AI/ML และ Big Data ที่ปลอดภัยและปรับขนาดได้ เพื่อช่วยลูกค้าองค์กรในการปรับใช้ระบบคลาวด์และเส้นทางการเพิ่มประสิทธิภาพเพื่อปรับปรุงผลลัพธ์ทางธุรกิจ ในเวลาว่าง เขาชอบเล่นเทนนิสและการถ่ายภาพ
นีลัม โคชิยะ เป็นสถาปนิกโซลูชันระดับองค์กรที่ AWS จุดสนใจในปัจจุบันของเธอคือการช่วยลูกค้าองค์กรด้วยเส้นทางการนำระบบคลาวด์ไปใช้เพื่อผลลัพธ์ทางธุรกิจเชิงกลยุทธ์ ในเวลาว่าง เธอชอบอ่านหนังสือและอยู่กลางแจ้ง
- "
- 10
- 100
- a
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ลงชื่อเข้าใช้
- ที่อยู่
- ที่อยู่
- การนำมาใช้
- กับ
- อเมซอน
- API
- app
- การใช้งาน
- การใช้งาน
- สถาปัตยกรรม
- รับรองความถูกต้อง
- ตรวจสอบสิทธิ์
- การยืนยันตัวตน
- ใช้ได้
- AWS
- เพราะ
- กำลัง
- ข้อมูลขนาดใหญ่
- ชายแดน
- เบราว์เซอร์
- สร้าง
- การก่อสร้าง
- ธุรกิจ
- โทรศัพท์
- Choose
- Chrome
- เบราว์เซอร์ Chrome
- เมฆ
- สมบูรณ์
- การปฏิบัติตาม
- คำนวณ
- สภาพ
- เงื่อนไข
- เชื่อมต่อ
- การเชื่อมต่อ
- ปลอบใจ
- การควบคุม
- ไทม์ไลน์การ
- สร้าง
- ที่สร้างขึ้น
- การสร้าง
- หนังสือรับรอง
- ปัจจุบัน
- ลูกค้า
- ลูกค้า
- ข้อมูล
- สาธิต
- แสดงให้เห็นถึง
- นำไปใช้
- ผู้พัฒนา
- เครื่อง
- สนทนา
- กระจาย
- DNS
- โดเมน
- ชื่อโดเมน
- ดาวน์โหลด
- ในระหว่าง
- ทำให้สามารถ
- ปลายทาง
- Enterprise
- ความปลอดภัยขององค์กร
- สิ่งแวดล้อม
- ตัวอย่าง
- ประสบการณ์
- ขยายออก
- ข้อเสนอแนะ
- โฟกัส
- ปฏิบัติตาม
- ดังต่อไปนี้
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- ต่อไป
- ดึงดูด
- เกตเวย์
- สร้าง
- สร้าง
- เกิดขึ้น
- ช่วย
- อย่างสูง
- เป็นเจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- HTTPS
- เป็นลูกผสม
- แยกแยะ
- เอกลักษณ์
- การดำเนินการ
- การดำเนินงาน
- เป็นไปไม่ได้
- ปรับปรุง
- รวมถึง
- โครงสร้างพื้นฐาน
- ตัวอย่าง
- อินเทอร์เน็ต
- IP
- IT
- การเดินทาง
- คีย์
- เปิดตัว
- ชั้น
- การเรียนรู้
- ทิ้ง
- LINK
- ในประเทศ
- เครื่อง
- เรียนรู้เครื่อง
- ทำให้
- การทำแผนที่
- วิธีการ
- ไมโครซอฟท์
- นำทาง
- ความต้องการ
- เครือข่าย
- ถัดไป
- สมุดบันทึก
- เปิด
- เปิด
- การเพิ่มประสิทธิภาพ
- ตัวเลือกเสริม (Option)
- กลางแจ้ง
- ของตนเอง
- ส่วนหนึ่ง
- หลงใหล
- รหัสผ่าน
- การถ่ายภาพ
- นโยบาย
- พอร์ทัล
- ที่ต้องการ
- นำเสนอ
- การป้องกัน
- ส่วนตัว
- คีย์ส่วนตัว
- กระบวนการ
- ผลิตภัณฑ์
- โปรไฟล์
- ผู้จัดหา
- สาธารณะ
- แรม
- พิสัย
- การอ่าน
- ระเบียน
- ภูมิภาค
- รีโมท
- ขอ
- ผลสอบ
- กลับ
- รับคืน
- บทบาท
- เส้นทาง
- กฎระเบียบ
- วิ่ง
- เดียวกัน
- ที่ปรับขนาดได้
- ขนาด
- ปลอดภัย
- ความปลอดภัย
- ชุด
- บริการ
- ชุด
- การติดตั้ง
- แสดง
- So
- ของแข็ง
- ทางออก
- โซลูชัน
- ยุทธศาสตร์
- ธุรกิจเชิงกลยุทธ์
- สตูดิโอ
- รองรับ
- เป้า
- พื้นที่
- ที่มา
- ตลอด
- เวลา
- โทเค็น
- เครื่องมือ
- การจราจร
- บันทึก
- ใช้
- ผู้ใช้
- การตรวจสอบ
- ความคุ้มค่า
- มองเห็นได้
- หน้าต่าง
- ภายใน
- ไม่มี
- กำลังแรงงาน
- ปี
- ของคุณ