Ви можете отримати доступ Студія Amazon SageMaker зошити з Amazon SageMaker консоль через Управління ідентифікацією та доступом AWS (IAM) автентифікована федерація від вашого постачальника ідентифікаційної інформації (IdP), наприклад Okta. Коли користувач Studio відкриває посилання на блокнот, Studio перевіряє політику IAM федеративного користувача для авторизації доступу, а також генерує та розпізнає попередньо підписану URL-адресу для користувача. Оскільки консоль SageMaker працює в Інтернет-домене, ця згенерована попередньо підписана URL-адреса відображається в сеансі браузера. Це являє собою небажаний вектор загрози для викрадання та отримання доступу до даних клієнтів, коли належний контроль доступу не виконується.
Studio підтримує кілька методів для забезпечення контролю доступу проти викрадання попередньо підписаних URL-даних:
- Перевірка IP-адреси клієнта за допомогою умови політики IAM
aws:sourceIp
- Перевірка VPC клієнта за допомогою умови IAM
aws:sourceVpc
- Перевірка кінцевої точки VPC клієнта за допомогою умови політики IAM
aws:sourceVpce
Коли ви отримуєте доступ до ноутбуків Studio з консолі SageMaker, єдиним доступним варіантом є використання перевірки IP-адреси клієнта з умовою політики IAM aws:sourceIp
. Однак ви можете використовувати продукти маршрутизації трафіку браузера, такі як Zscaler, щоб забезпечити масштабування та відповідність вимогам вашого робочого доступу до Інтернету. Ці продукти маршрутизації трафіку генерують власну вихідну IP-адресу, діапазон IP-адрес якої не контролюється корпоративним клієнтом. Це унеможливлює використання цими корпоративними клієнтами aws:sourceIp
стані.
Щоб використовувати перевірку кінцевої точки VPC клієнта за допомогою умови політики IAM aws:sourceVpce
, створення попередньо підписаної URL-адреси має відбуватися в тому самому клієнтському VPC, де розгорнуто Studio, а розв’язання попередньо підписаної URL-адреси має відбуватися через кінцеву точку Studio VPC на клієнтському VPC. Цю роздільну здатність попередньо підписаної URL-адреси під час доступу для користувачів корпоративної мережі можна виконати за допомогою правил переадресації DNS (як у Zscaler, так і в корпоративному DNS), а потім у кінцеву точку VPC клієнта за допомогою Амазонський маршрут 53 вхідний резолвер.
У цій частині ми обговорюємо загальну архітектуру для захисту попередньо підписаної URL-адреси студії та продемонструємо, як налаштувати базову інфраструктуру для створення та запуску попередньо підписаної URL-адреси студії через вашу кінцеву точку VPC через приватну мережу без доступу до Інтернету. Це служить базовим рівнем для запобігання викраданню даних зовнішніми зловмисниками, які отримують доступ до попередньо підписаної URL-адреси Studio, а також несанкціонованого або підробленого доступу корпоративних користувачів у корпоративному середовищі.
Огляд рішення
Наступна діаграма ілюструє загальну архітектуру рішення.
Процес включає наступні кроки:
- Корпоративний користувач проходить автентифікацію через свій IdP, підключається до свого корпоративного порталу та відкриває посилання Studio з корпоративного порталу.
- Програма корпоративного порталу здійснює приватний виклик API, використовуючи кінцеву точку API Gateway VPC, щоб створити попередньо підписану URL-адресу.
- Виклик кінцевої точки API Gateway VPC «створити попередньо підписану URL-адресу» пересилається до вхідного резолвера Route 53 на клієнтському VPC, як налаштовано в корпоративному DNS.
- Резолвер VPC DNS розв’язує його до IP кінцевої точки VPC шлюзу API. За бажанням, він шукає запис приватної розміщеної зони, якщо він існує.
- Кінцева точка API Gateway VPC направляє запит через приватну мережу Amazon до «create presigned URL API», який працює в обліковому записі служби API Gateway.
- API Gateway викликає
create-pre-signedURL
приватний API та проксі-сервери запиту доcreate-pre-signedURL
AWS Lambda функції. - Команда
create-pre-signedURL
Лямбда-виклик викликається через кінцеву точку Lambda VPC. - Команда
create-pre-signedURL
функція виконується в обліковому записі служби, отримує автентифікований контекст користувача (ідентифікатор користувача, регіон тощо), шукає таблицю зіставлення для ідентифікації домену SageMaker та ідентифікатора профілю користувача, створюєsagemaker createpre-signedDomainURL
Виклик API та генерує попередньо підписану URL-адресу. Роль служби Lambda має вихідні умови кінцевої точки VPC, визначені для SageMaker API і Studio. - Згенерована попередньо підписана URL-адреса розпізнається через кінцеву точку Studio VPC.
- Studio перевіряє, що доступ до попередньо підписаної URL-адреси здійснюється через кінцеву точку VPC клієнта, визначену в політиці, і повертає результат.
- Блокнот Studio повертається до сеансу браузера користувача через корпоративну мережу без переходу в Інтернет.
У наступних розділах описано, як реалізувати цю архітектуру для вирішення попередньо підписаних URL-адрес Studio з корпоративної мережі за допомогою кінцевих точок VPC. Ми демонструємо повну реалізацію, показуючи такі кроки:
- Створіть базову архітектуру.
- Налаштуйте корпоративний сервер додатків для доступу до попередньо підписаної URL-адреси SageMaker через кінцеву точку VPC.
- Налаштувати та запустити Studio з корпоративної мережі.
Створіть базову архітектуру
У пості Доступ до блокнота Amazon SageMaker Studio з корпоративної мережі, ми продемонстрували, як розпізнати доменне ім’я попередньо підписаної URL-адреси для ноутбука Studio з корпоративної мережі без переходу в Інтернет. Ви можете дотримуватись інструкцій у цій публікації, щоб налаштувати базову архітектуру, а потім повернутися до цієї публікації та перейти до наступного кроку.
Налаштуйте корпоративний сервер додатків для доступу до попередньо підписаної URL-адреси SageMaker через кінцеву точку VPC
Щоб увімкнути доступ до Studio з вашого інтернет-браузера, ми налаштували локальний сервер додатків на Windows Server у локальній загальнодоступній підмережі VPC. Однак запити DNS для доступу до Studio направляються через корпоративну (приватну) мережу. Виконайте наступні кроки, щоб налаштувати маршрутизацію трафіку Studio через корпоративну мережу:
- Підключіться до локального сервера програм Windows.
- Вибирати Отримати пароль потім перегляньте та завантажте свій приватний ключ, щоб розшифрувати свій пароль.
- Використовуйте RDP-клієнт і підключіться до Windows Server, використовуючи свої облікові дані.
Вирішення DNS Studio з командного рядка Windows Server призводить до використання загальнодоступних DNS-серверів, як показано на наступному знімку екрана.
Тепер ми оновлюємо Windows Server, щоб використовувати локальний DNS-сервер, який ми налаштували раніше. - перейдіть до панель управління, Мережа та Інтернет, і вибрати Мережеві підключення.
- Клацніть правою кнопкою миші Ethernet і оберіть властивості Вкладка.
- Оновіть Windows Server, щоб використовувати локальний DNS-сервер.
- Тепер ви оновлюєте свій бажаний DNS-сервер за допомогою IP-адреси вашого DNS-сервера.
- перейдіть до VPC та Таблиці маршрутів і виберіть свій СТУДІЯ-ОНПРЕМ-ПУБЛІК-РТ маршрутна таблиця.
- Додайте маршрут до 10.16.0.0/16 із метою як однорангове з’єднання, яке ми створили під час налаштування базової архітектури.
Налаштуйте та запустіть Studio з корпоративної мережі
Щоб налаштувати та запустити Studio, виконайте такі дії:
- Завантажте Chrome і запустіть браузер у цьому екземплярі Windows.
Вам може знадобитися вимкніть конфігурацію розширеної безпеки Internet Explorer щоб дозволити завантаження файлів, а потім увімкнути завантаження файлів. - У браузері Chrome на локальному пристрої перейдіть до консолі SageMaker і відкрийте інструменти розробника Chrome мережу Вкладка.
- Запустіть програму Studio та спостерігайте за мережу вкладку для
authtoken
значення параметра, яке включає згенеровану попередньо підписану URL-адресу разом із адресою віддаленого сервера, на який URL-адреса спрямована для вирішення. У цьому прикладі віддалена адреса 100.21.12.108 є однією з адрес загальнодоступного DNS-сервера для визначення домену DNS SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Повторіть ці кроки з Обчислювальна хмара Amazon Elastic (Amazon EC2) Екземпляр Windows, який ви налаштували як частину базової архітектури.
Ми бачимо, що віддалена адреса не є загальнодоступною IP-адресою DNS, натомість це кінцева точка Studio VPC 10.16.42.74.
Висновок
У цій публікації ми продемонстрували, як розпізнати попередньо підписану URL-адресу Studio з корпоративної мережі за допомогою приватних кінцевих точок VPC Amazon, не відкриваючи попередньо підписану URL-адресу в Інтернеті. Це додатково захищає рівень безпеки вашого підприємства для доступу до Studio з корпоративної мережі для створення високозахищених робочих навантажень машинного навчання на SageMaker. в частина 2 з цієї серії, ми додатково розширюємо це рішення, щоб продемонструвати, як створити приватний API для доступу до Studio за допомогою aws:sourceVPCE
Перевірка політики IAM і автентифікація маркера. Спробуйте це рішення та залиште свій відгук у коментарях!
Про авторів
Рам Віттал є архітектором рішень для машинного навчання в AWS. Він має понад 20 років досвіду розробки та створення розподілених, гібридних і хмарних програм. Він захоплений розробкою безпечних і масштабованих рішень AI/ML і Big Data, щоб допомогти корпоративним клієнтам під час впровадження хмарних технологій та оптимізації для покращення результатів бізнесу. У вільний час захоплюється тенісом і фотографією.
Нілам Кошія є архітектором корпоративних рішень в AWS. Наразі вона зосереджується на тому, щоб допомогти корпоративним клієнтам у їхньому переході на хмару для досягнення стратегічних бізнес-результатів. У вільний час вона любить читати та бувати на свіжому повітрі.
- Coinsmart. Найкраща в Європі біржа біткойн та криптовалют.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. БЕЗКОШТОВНИЙ ДОСТУП.
- CryptoHawk. Альткойн Радар. Безкоштовне випробування.
- Джерело: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- МЕНЮ
- доступ
- доступ до
- рахунки
- адреса
- адреси
- Прийняття
- проти
- Amazon
- API
- додаток
- додаток
- застосування
- архітектура
- автентифіковано
- засвідчує автентифікацію
- Authentication
- доступний
- AWS
- оскільки
- буття
- Великий даних
- border
- браузер
- будувати
- Створюємо
- бізнес
- call
- Вибирати
- Chrome
- браузер Chrome
- хмара
- повний
- дотримання
- обчислення
- стан
- Умови
- З'єднуватися
- зв'язку
- Консоль
- управління
- Корпоративний
- створювати
- створений
- створення
- Повноваження
- Поточний
- клієнт
- Клієнти
- дані
- демонструвати
- продемонстрований
- розгорнути
- Розробник
- пристрій
- обговорювати
- розподілений
- DNS
- домен
- Доменне ім'я
- завантажень
- під час
- включіть
- Кінцева точка
- підприємство
- безпека підприємства
- Навколишнє середовище
- приклад
- досвід
- продовжити
- зворотний зв'язок
- Сфокусувати
- стежити
- після
- від
- функція
- далі
- набирає
- шлюз
- породжувати
- генерується
- траплятися
- допомога
- дуже
- відбувся
- Як
- How To
- Однак
- HTTPS
- гібрид
- ідентифікувати
- Особистість
- здійснювати
- реалізація
- неможливе
- удосконалювати
- includes
- Інфраструктура
- екземпляр
- інтернет
- IP
- IT
- подорож
- ключ
- запуск
- шар
- вивчення
- Залишати
- LINK
- місцевий
- машина
- навчання за допомогою машини
- РОБОТИ
- відображення
- методика
- Microsoft
- Переміщення
- потреби
- мережу
- наступний
- ноутбук
- відкрити
- Відкриється
- оптимізація
- варіант
- на відкритому повітрі
- власний
- частина
- пристрасний
- Пароль
- малюнок
- політика
- Портал
- переважним
- подарунки
- попередження
- приватний
- Private Key
- процес
- Продукти
- профіль
- Постачальник
- громадськість
- Оперативна пам'ять
- діапазон
- читання
- запис
- регіон
- віддалений
- запросити
- результати
- повертати
- Умови повернення
- Роль
- Маршрут
- Правила
- біг
- то ж
- масштабовані
- шкала
- безпечний
- безпеку
- Серія
- обслуговування
- комплект
- установка
- показаний
- So
- solid
- рішення
- Рішення
- Стратегічний
- стратегічний бізнес
- студія
- Опори
- Мета
- Команда
- Джерело
- через
- час
- знак
- інструменти
- трафік
- Оновити
- використання
- користувачі
- перевірка достовірності
- значення
- видимий
- windows
- в
- без
- Трудові ресурси
- років
- вашу