آپ تک رسائی حاصل کر سکتے ہیں ایمیزون سیج میکر اسٹوڈیو سے نوٹ بک ایمیزون سیج میکر کنسول کے ذریعے AWS شناخت اور رسائی کا انتظام (IAM) آپ کے شناخت فراہم کنندہ (IdP) سے تصدیق شدہ فیڈریشن، جیسے Okta۔ جب کوئی اسٹوڈیو صارف نوٹ بک کا لنک کھولتا ہے، تو اسٹوڈیو رسائی کی اجازت دینے کے لیے فیڈریٹڈ صارف کی IAM پالیسی کی توثیق کرتا ہے، اور صارف کے لیے طے شدہ URL تیار اور حل کرتا ہے۔ چونکہ SageMaker کنسول انٹرنیٹ ڈومین پر چلتا ہے، اس لیے تیار کردہ یہ تیار کردہ URL براؤزر سیشن میں نظر آتا ہے۔ جب مناسب رسائی کنٹرولز کو نافذ نہیں کیا جاتا ہے تو یہ اخراج اور کسٹمر ڈیٹا تک رسائی حاصل کرنے کے لیے ایک ناپسندیدہ خطرہ ویکٹر پیش کرتا ہے۔
اسٹوڈیو تجویز کردہ یو آر ایل ڈیٹا کے اخراج کے خلاف رسائی کے کنٹرول کو نافذ کرنے کے چند طریقوں کی حمایت کرتا ہے:
- IAM پالیسی کی شرط کا استعمال کرتے ہوئے کلائنٹ کے IP کی توثیق
aws:sourceIp
- IAM شرط کا استعمال کرتے ہوئے کلائنٹ VPC کی توثیق
aws:sourceVpc
- IAM پالیسی کی شرط کا استعمال کرتے ہوئے کلائنٹ VPC اینڈ پوائنٹ کی توثیق
aws:sourceVpce
جب آپ SageMaker کنسول سے سٹوڈیو نوٹ بک تک رسائی حاصل کرتے ہیں، تو واحد دستیاب آپشن IAM پالیسی کی شرط کے ساتھ کلائنٹ IP کی توثیق کا استعمال کرنا ہے۔ aws:sourceIp
. تاہم، آپ اپنی افرادی قوت کی انٹرنیٹ تک رسائی کے پیمانے اور تعمیل کو یقینی بنانے کے لیے براؤزر ٹریفک روٹنگ مصنوعات جیسے Zscaler استعمال کر سکتے ہیں۔ یہ ٹریفک روٹنگ پروڈکٹس اپنا ماخذ IP تیار کرتے ہیں، جس کی IP رینج انٹرپرائز کسٹمر کے ذریعہ کنٹرول نہیں ہوتی ہے۔ یہ ان انٹرپرائز کے صارفین کے لیے استعمال کرنا ناممکن بنا دیتا ہے۔ aws:sourceIp
حالت.
IAM پالیسی کی شرط کا استعمال کرتے ہوئے کلائنٹ VPC اینڈ پوائنٹ کی توثیق کا استعمال کرنے کے لیے aws:sourceVpce
، ایک طے شدہ URL کی تخلیق اسی کسٹمر VPC میں شروع ہونے کی ضرورت ہے جہاں سٹوڈیو تعینات کیا گیا ہے، اور تجویز کردہ URL کی ریزولوشن کسٹمر VPC پر اسٹوڈیو VPC اینڈ پوائنٹ کے ذریعے ہونے کی ضرورت ہے۔ کارپوریٹ نیٹ ورک کے صارفین کے لیے رسائی کے وقت کے دوران طے شدہ یو آر ایل کی یہ ریزولیوشن DNS فارورڈنگ رولز (Zscaler اور کارپوریٹ DNS دونوں میں) اور پھر کسٹمر VPC اینڈ پوائنٹ میں ایک استعمال کرتے ہوئے مکمل کی جا سکتی ہے۔ ایمیزون روٹ 53 ان باؤنڈ حل کرنے والا۔
اس حصے میں، ہم اسٹوڈیو کے پہلے سے دستخط شدہ یو آر ایل کو محفوظ کرنے کے لیے بڑے فن تعمیر پر تبادلہ خیال کرتے ہیں اور یہ ظاہر کرتے ہیں کہ انٹرنیٹ سے گزرے بغیر کسی نجی نیٹ ورک پر اپنے VPC اینڈ پوائنٹ کے ذریعے اسٹوڈیو سے طے شدہ یو آر ایل بنانے اور لانچ کرنے کے لیے بنیادی ڈھانچہ کیسے ترتیب دیا جائے۔ یہ اسٹوڈیو کے پہلے سے دستخط شدہ یو آر ایل تک رسائی حاصل کرنے اور کارپوریٹ ماحول کے اندر غیر مجاز یا جعلی کارپوریٹ صارف کی رسائی حاصل کرنے والے بیرونی خراب اداکاروں کے ڈیٹا کے اخراج کو روکنے کے لیے بنیادی پرت کے طور پر کام کرتا ہے۔
حل جائزہ
درج ذیل خاکہ اوور آرکنگ حل فن تعمیر کو واضح کرتا ہے۔
اس عمل میں درج ذیل اقدامات شامل ہیں:
- ایک کارپوریٹ صارف اپنے آئی ڈی پی کے ذریعے تصدیق کرتا ہے، اپنے کارپوریٹ پورٹل سے جڑتا ہے، اور کارپوریٹ پورٹل سے اسٹوڈیو لنک کھولتا ہے۔
- کارپوریٹ پورٹل ایپلیکیشن ایک API گیٹ وے VPC اینڈ پوائنٹ کا استعمال کرتے ہوئے ایک پرائیویٹ API کال کرتا ہے تاکہ ایک طے شدہ URL تخلیق کیا جا سکے۔
- API گیٹ وے VPC اینڈ پوائنٹ "تخمینہ شدہ URL تخلیق کریں" کال کو کسٹمر VPC پر روٹ 53 ان باؤنڈ ریزولور پر بھیج دیا جاتا ہے جیسا کہ کارپوریٹ DNS میں کنفیگر کیا گیا ہے۔
- VPC DNS حل کرنے والا اسے API گیٹ وے VPC اینڈ پوائنٹ IP پر حل کرتا ہے۔ اختیاری طور پر، اگر یہ موجود ہے تو یہ نجی میزبان زون کا ریکارڈ تلاش کرتا ہے۔
- API گیٹ وے VPC اینڈ پوائنٹ درخواست کو ایمیزون پرائیویٹ نیٹ ورک کے ذریعے API گیٹ وے سروس اکاؤنٹ میں چلنے والے "تخلیق شدہ URL API" کی طرف لے جاتا ہے۔
- API گیٹ وے کی درخواست کرتا ہے۔
create-pre-signedURL
نجی API اور پراکسی کو درخواستcreate-pre-signedURL
او ڈبلیو ایس لامبڈا۔ تقریب. - ۔
create-pre-signedURL
لیمبڈا کال لیمبڈا VPC اینڈ پوائنٹ کے ذریعے طلب کی جاتی ہے۔ - ۔
create-pre-signedURL
فنکشن سروس اکاؤنٹ میں چلتا ہے، تصدیق شدہ صارف کے سیاق و سباق (صارف کی شناخت، علاقہ، وغیرہ) کو بازیافت کرتا ہے، سیج میکر ڈومین اور صارف پروفائل شناخت کنندہ کی شناخت کے لیے میپنگ ٹیبل تلاش کرتا ہے،sagemaker createpre-signedDomainURL
API کال کرتا ہے، اور ایک طے شدہ URL تیار کرتا ہے۔ Lambda سروس رول میں SageMaker API اور اسٹوڈیو کے لیے بیان کردہ سورس VPC اینڈ پوائنٹ کی شرائط ہیں۔ - تیار کردہ تجویز کردہ URL کو اسٹوڈیو VPC اینڈ پوائنٹ پر حل کیا جاتا ہے۔
- اسٹوڈیو اس بات کی توثیق کرتا ہے کہ پالیسی میں بیان کردہ صارف کے VPC اینڈ پوائنٹ کے ذریعے طے شدہ URL تک رسائی حاصل کی جا رہی ہے، اور نتیجہ واپس کرتا ہے۔
- اسٹوڈیو نوٹ بک کو کارپوریٹ نیٹ ورک پر صارف کے براؤزر سیشن میں انٹرنیٹ سے گزرے بغیر واپس کر دیا جاتا ہے۔
مندرجہ ذیل حصے آپ کی رہنمائی کرتے ہیں کہ VPC اینڈ پوائنٹس کا استعمال کرتے ہوئے کارپوریٹ نیٹ ورک سے اسٹوڈیو کے تیار کردہ URLs کو حل کرنے کے لیے اس فن تعمیر کو کیسے نافذ کیا جائے۔ ہم مندرجہ ذیل اقدامات دکھا کر مکمل نفاذ کا مظاہرہ کرتے ہیں:
- بنیادی فن تعمیر کو مرتب کریں۔
- کارپوریٹ ایپ سرور کو VPC اینڈ پوائنٹ کے ذریعے SageMaker کے تجویز کردہ URL تک رسائی حاصل کرنے کے لیے کنفیگر کریں۔
- کارپوریٹ نیٹ ورک سے اسٹوڈیو کو ترتیب دیں اور لانچ کریں۔
بنیادی فن تعمیر کو مرتب کریں۔
پوسٹ میں کارپوریٹ نیٹ ورک سے ایمیزون سیج میکر اسٹوڈیو نوٹ بک تک رسائی حاصل کریں۔، ہم نے دکھایا کہ کس طرح کسی کارپوریٹ نیٹ ورک سے اسٹوڈیو نوٹ بک کے لیے طے شدہ URL ڈومین نام کو انٹرنیٹ سے گزرے بغیر حل کیا جائے۔ آپ بنیادی فن تعمیر کو ترتیب دینے کے لیے اس پوسٹ میں دی گئی ہدایات پر عمل کر سکتے ہیں، اور پھر اس پوسٹ پر واپس جا کر اگلے مرحلے پر جا سکتے ہیں۔
کارپوریٹ ایپ سرور کو VPC اینڈ پوائنٹ کے ذریعے SageMaker کے تجویز کردہ URL تک رسائی حاصل کرنے کے لیے کنفیگر کریں۔
آپ کے انٹرنیٹ براؤزر سے اسٹوڈیو تک رسائی کو فعال کرنے کے لیے، ہم نے آن پریمیسس VPC پبلک سب نیٹ پر ونڈوز سرور پر ایک آن پریمیسس ایپ سرور ترتیب دیا ہے۔ تاہم، اسٹوڈیو تک رسائی کے لیے DNS سوالات کارپوریٹ (نجی) نیٹ ورک کے ذریعے روٹ کیے جاتے ہیں۔ کارپوریٹ نیٹ ورک کے ذریعے روٹنگ اسٹوڈیو ٹریفک کو ترتیب دینے کے لیے درج ذیل مراحل کو مکمل کریں:
- اپنے آن پریمیسس ونڈوز ایپ سرور سے جڑیں۔
- میں سے انتخاب کریں پاس ورڈ حاصل کریں۔ پھر اپنے پاس ورڈ کو ڈکرپٹ کرنے کے لیے اپنی نجی کلید کو براؤز کریں اور اپ لوڈ کریں۔
- آر ڈی پی کلائنٹ کا استعمال کریں اور اپنے اسناد کا استعمال کرتے ہوئے ونڈوز سرور سے جڑیں۔
ونڈوز سرور کمانڈ پرامپٹ سے اسٹوڈیو ڈی این ایس کو حل کرنے کے نتیجے میں عوامی DNS سرورز استعمال ہوتے ہیں، جیسا کہ درج ذیل اسکرین شاٹ میں دکھایا گیا ہے۔
اب ہم آن پریمیسس DNS سرور کو استعمال کرنے کے لیے ونڈوز سرور کو اپ ڈیٹ کرتے ہیں جو ہم نے پہلے ترتیب دیا تھا۔ - پر تشریف لے جائیں کنٹرول پینل, نیٹ ورک اور انٹرنیٹ، اور منتخب کریں نیٹ ورک کا رابطہ.
- دایاں کلک کریں ایتھرنیٹ اور منتخب کریں پراپرٹیز ٹیب.
- آن پریمیسس DNS سرور استعمال کرنے کے لیے ونڈوز سرور کو اپ ڈیٹ کریں۔
- اب آپ اپنے DNS سرور IP کے ساتھ اپنے پسندیدہ DNS سرور کو اپ ڈیٹ کرتے ہیں۔
- پر تشریف لے جائیں وی پی سی اور روٹ ٹیبلز اور اپنا انتخاب کریں۔ اسٹوڈیو-آنپریم-پبلک-آر ٹی راستے کی میز.
- 10.16.0.0/16 پر ایک راستہ شامل کریں جس میں ہدف کے ساتھ پیئرنگ کنکشن ہے جو ہم نے فاؤنڈیشنل آرکیٹیکچر سیٹ اپ کے دوران بنایا تھا۔
اپنے کارپوریٹ نیٹ ورک سے اسٹوڈیو سیٹ اپ اور لانچ کریں۔
اسٹوڈیو کو ترتیب دینے اور لانچ کرنے کے لیے، درج ذیل مراحل کو مکمل کریں:
- کروم ڈاؤن لوڈ کریں اور اس ونڈوز مثال پر براؤزر لانچ کریں۔
آپ کو ضرورت ہوسکتی ہے انٹرنیٹ ایکسپلورر کی بہتر سیکورٹی کنفیگریشن کو بند کر دیں۔ فائل ڈاؤن لوڈ کی اجازت دینے کے لیے اور پھر فائل ڈاؤن لوڈ کو فعال کریں۔. - اپنے مقامی ڈیوائس کروم براؤزر میں، سیج میکر کنسول پر جائیں اور کروم ڈویلپر ٹولز کھولیں۔ نیٹ ورک ٹیب.
- اسٹوڈیو ایپ لانچ کریں اور مشاہدہ کریں۔ نیٹ ورک کے لئے ٹیب
authtoken
پیرامیٹر ویلیو، جس میں ریموٹ سرور ایڈریس کے ساتھ تیار کردہ تیار کردہ یو آر ایل شامل ہوتا ہے جس پر یو آر ایل کو ریزولوشن کے لیے روٹ کیا جاتا ہے۔name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - سے ان اقدامات کو دہرائیں۔ ایمیزون لچکدار کمپیوٹ کلاؤڈ (ایمیزون ای سی 2) ونڈوز مثال جسے آپ نے بنیادی فن تعمیر کے حصے کے طور پر تشکیل دیا ہے۔
ہم مشاہدہ کر سکتے ہیں کہ ریموٹ ایڈریس عوامی DNS IP نہیں ہے، بلکہ یہ اسٹوڈیو VPC اینڈ پوائنٹ 10.16.42.74 ہے۔
نتیجہ
اس پوسٹ میں، ہم نے دکھایا ہے کہ کس طرح کسی کارپوریٹ نیٹ ورک سے سٹوڈیو کے تیار کردہ URL کو انٹرنیٹ پر پیش کیے گئے URL ریزولوشن کو ظاہر کیے بغیر Amazon نجی VPC اینڈ پوائنٹس کا استعمال کرتے ہوئے حل کیا جائے۔ یہ سیج میکر پر انتہائی محفوظ مشین لرننگ ورک بوجھ بنانے کے لیے کارپوریٹ نیٹ ورک سے اسٹوڈیو تک رسائی کے لیے آپ کے انٹرپرائز کی حفاظتی پوزیشن کو مزید محفوظ بناتا ہے۔ میں حصہ 2 اس سلسلے میں، ہم اس حل کو مزید بڑھاتے ہیں تاکہ یہ ظاہر کیا جا سکے کہ اسٹوڈیو تک رسائی کے لیے نجی API کیسے بنایا جائے۔ aws:sourceVPCE
IAM پالیسی کی توثیق اور ٹوکن کی تصدیق۔ اس حل کو آزمائیں اور تبصرے میں اپنی رائے دیں!
مصنفین کے بارے میں
رام وٹل AWS میں مشین لرننگ سلوشنز آرکیٹیکٹ ہے۔ اس کے پاس آرکیٹیکٹنگ اور بلڈنگ ڈسٹری بیوٹڈ، ہائبرڈ اور کلاؤڈ ایپلی کیشنز کا 20+ سال سے زیادہ کا تجربہ ہے۔ وہ محفوظ اور قابل توسیع AI/ML اور بگ ڈیٹا سلوشنز بنانے کے لیے پرجوش ہے تاکہ انٹرپرائز صارفین کو ان کے کلاؤڈ اپنانے اور ان کے کاروباری نتائج کو بہتر بنانے کے لیے اصلاح کے سفر میں مدد فراہم کی جا سکے۔ اپنے فارغ وقت میں وہ ٹینس اور فوٹو گرافی سے لطف اندوز ہوتے ہیں۔
نیلم کوشیا۔ AWS میں ایک انٹرپرائز حل آرکیٹیکٹ ہے۔ اس کی موجودہ توجہ انٹرپرائز کے صارفین کی حکمت عملی سے متعلق کاروباری نتائج کے لیے کلاؤڈ اپنانے کے سفر میں مدد کرنا ہے۔ اپنے فارغ وقت میں، وہ پڑھنے اور باہر رہنے سے لطف اندوز ہوتی ہے۔
- "
- 10
- 100
- a
- ہمارے بارے میں
- تک رسائی حاصل
- تک رسائی حاصل
- اکاؤنٹ
- پتہ
- پتے
- منہ بولابیٹا بنانے
- کے خلاف
- ایمیزون
- اے پی آئی
- اپلی کیشن
- درخواست
- ایپلی کیشنز
- فن تعمیر
- تصدیق شدہ
- توثیق کرتا ہے
- کی توثیق
- دستیاب
- AWS
- کیونکہ
- کیا جا رہا ہے
- بگ ڈیٹا
- سرحد
- براؤزر
- تعمیر
- عمارت
- کاروبار
- فون
- میں سے انتخاب کریں
- کروم
- کروم براؤزر
- بادل
- مکمل
- تعمیل
- کمپیوٹنگ
- شرط
- حالات
- رابطہ قائم کریں
- کنکشن
- کنسول
- کنٹرول
- کارپوریٹ
- تخلیق
- بنائی
- مخلوق
- اسناد
- موجودہ
- گاہک
- گاہکوں
- اعداد و شمار
- مظاہرہ
- demonstrated,en
- تعینات
- ڈیولپر
- آلہ
- بات چیت
- تقسیم کئے
- DNS
- ڈومین
- ڈومین نام
- ڈاؤن لوڈز
- کے دوران
- کو چالو کرنے کے
- اختتام پوائنٹ
- انٹرپرائز
- انٹرپرائز سیکیورٹی
- ماحولیات
- مثال کے طور پر
- تجربہ
- توسیع
- آراء
- توجہ مرکوز
- پر عمل کریں
- کے بعد
- سے
- تقریب
- مزید
- حاصل کرنا
- گیٹ وے
- پیدا
- پیدا
- ہو
- مدد
- انتہائی
- میزبانی کی
- کس طرح
- کیسے
- تاہم
- HTTPS
- ہائبرڈ
- شناخت
- شناختی
- پر عملدرآمد
- نفاذ
- ناممکن
- کو بہتر بنانے کے
- شامل ہیں
- انفراسٹرکچر
- مثال کے طور پر
- انٹرنیٹ
- IP
- IT
- سفر
- کلیدی
- شروع
- پرت
- سیکھنے
- چھوڑ دو
- LINK
- مقامی
- مشین
- مشین لرننگ
- بناتا ہے
- تعریفیں
- طریقوں
- مائیکروسافٹ
- تشریف لے جائیں
- ضروریات
- نیٹ ورک
- اگلے
- نوٹ بک
- کھول
- کھولتا ہے
- اصلاح کے
- اختیار
- باہر
- خود
- حصہ
- جذباتی
- پاس ورڈ
- فوٹو گرافی
- پالیسی
- پورٹل
- کو ترجیح دی
- تحفہ
- کی روک تھام
- نجی
- ذاتی کلید
- عمل
- حاصل
- پروفائل
- فراہم کنندہ
- عوامی
- RAM
- رینج
- پڑھنا
- ریکارڈ
- خطے
- ریموٹ
- درخواست
- نتائج کی نمائش
- واپسی
- واپسی
- کردار
- روٹ
- قوانین
- چل رہا ہے
- اسی
- توسیع پذیر
- پیمانے
- محفوظ بنانے
- سیکورٹی
- سیریز
- سروس
- مقرر
- سیٹ اپ
- دکھایا گیا
- So
- ٹھوس
- حل
- حل
- حکمت عملی
- اسٹریٹجک کاروبار
- سٹوڈیو
- کی حمایت کرتا ہے
- ہدف
- ۔
- ماخذ
- کے ذریعے
- وقت
- ٹوکن
- اوزار
- ٹریفک
- اپ ڈیٹ کریں
- استعمال کی شرائط
- صارفین
- توثیق
- قیمت
- نظر
- کھڑکیاں
- کے اندر
- بغیر
- افرادی قوت۔
- سال
- اور