Bạn có thể truy cập Xưởng sản xuất Amazon SageMaker sổ ghi chép từ Amazon SageMaker bảng điều khiển thông qua Quản lý truy cập và nhận dạng AWS (IAM) liên kết được xác thực từ nhà cung cấp danh tính của bạn (IdP), chẳng hạn như Okta. Khi người dùng Studio mở liên kết sổ ghi chép, Studio xác thực chính sách IAM của người dùng được liên kết để cấp quyền truy cập, đồng thời tạo và phân giải URL được chỉ định trước cho người dùng. Vì bảng điều khiển SageMaker chạy trên miền internet, URL được chỉ định trước được tạo này sẽ hiển thị trong phiên trình duyệt. Điều này thể hiện một vectơ mối đe dọa không mong muốn cho việc xâm nhập và giành quyền truy cập vào dữ liệu khách hàng khi các biện pháp kiểm soát truy cập thích hợp không được thực thi.
Studio hỗ trợ một số phương pháp để thực thi các kiểm soát truy cập chống lại quá trình lọc dữ liệu URL được chỉ định trước:
- Xác thực IP ứng dụng khách sử dụng điều kiện chính sách IAM
aws:sourceIp
- Xác thực VPC của khách hàng sử dụng điều kiện IAM
aws:sourceVpc
- Xác thực điểm cuối VPC của ứng dụng khách sử dụng điều kiện chính sách IAM
aws:sourceVpce
Khi bạn truy cập sổ ghi chép Studio từ bảng điều khiển SageMaker, tùy chọn khả dụng duy nhất là sử dụng xác thực IP ứng dụng khách với điều kiện chính sách IAM aws:sourceIp
. Tuy nhiên, bạn có thể sử dụng các sản phẩm định tuyến lưu lượng trình duyệt như Zscaler để đảm bảo quy mô và tính tuân thủ cho việc truy cập internet của lực lượng lao động của bạn. Các sản phẩm định tuyến lưu lượng này tạo ra IP nguồn của riêng chúng, mà dải IP của chúng không được khách hàng doanh nghiệp kiểm soát. Điều này khiến các khách hàng doanh nghiệp này không thể sử dụng aws:sourceIp
điều kiện.
Để sử dụng xác thực điểm cuối VPC của ứng dụng khách bằng điều kiện chính sách IAM aws:sourceVpce
, việc tạo URL được chỉ định trước cần phải bắt nguồn từ cùng một VPC của khách hàng nơi Studio được triển khai và việc phân giải URL được chỉ định trước cần phải diễn ra thông qua điểm cuối Studio VPC trên VPC của khách hàng. Độ phân giải của URL được chỉ định trước này trong thời gian truy cập cho người dùng mạng công ty có thể được thực hiện bằng cách sử dụng các quy tắc chuyển tiếp DNS (cả trong Zscaler và DNS công ty) và sau đó vào điểm cuối VPC của khách hàng bằng cách sử dụng Amazon Route 53 trình phân giải gửi đến.
Trong phần này, chúng ta thảo luận về kiến trúc bao quát để bảo mật url đã ký trước của studio và trình bày cách thiết lập cơ sở hạ tầng nền tảng để tạo và khởi chạy URL được chỉ định sẵn của Studio thông qua điểm cuối VPC của bạn qua mạng riêng mà không cần truyền qua internet. Điều này đóng vai trò là lớp nền tảng để ngăn chặn sự xâm nhập dữ liệu của các tác nhân xấu bên ngoài giành quyền truy cập vào URL được ký sẵn của Studio và quyền truy cập trái phép hoặc giả mạo của người dùng công ty trong môi trường công ty.
Tổng quan về giải pháp
Sơ đồ sau đây minh họa kiến trúc giải pháp quá vòm.
Quy trình bao gồm các bước sau:
- Người dùng công ty xác thực thông qua IdP của họ, kết nối với cổng thông tin công ty của họ và mở liên kết Studio từ cổng thông tin công ty.
- Ứng dụng cổng thông tin công ty thực hiện lệnh gọi API riêng tư bằng cách sử dụng điểm cuối API Gateway VPC để tạo URL được chỉ định trước.
- Lệnh gọi điểm cuối API Gateway VPC “tạo URL được chỉ định trước” được chuyển tiếp đến trình phân giải gửi đến Tuyến 53 trên VPC của khách hàng như được định cấu hình trong DNS của công ty.
- Trình phân giải DNS VPC phân giải nó thành IP điểm cuối VPC của API Gateway. Theo tùy chọn, nó sẽ tra cứu bản ghi vùng được lưu trữ riêng nếu nó tồn tại.
- Điểm cuối VPC API Gateway định tuyến yêu cầu qua mạng riêng của Amazon đến "tạo API URL được chỉ định trước" đang chạy trong tài khoản dịch vụ API Gateway.
- API Gateway gọi
create-pre-signedURL
API riêng và proxy yêu cầu tớicreate-pre-signedURL
AWS Lambda chức năng. - Sản phẩm
create-pre-signedURL
Cuộc gọi Lambda được gọi thông qua điểm cuối Lambda VPC. - Sản phẩm
create-pre-signedURL
chức năng chạy trong tài khoản dịch vụ, truy xuất ngữ cảnh người dùng đã xác thực (ID người dùng, Khu vực, v.v.), tra cứu bảng ánh xạ để xác định miền SageMaker và định danh hồ sơ người dùng, tạosagemaker createpre-signedDomainURL
Lệnh gọi API và tạo một URL được chỉ định trước. Vai trò dịch vụ Lambda có các điều kiện điểm cuối VPC nguồn được xác định cho API SageMaker và Studio. - URL chỉ định trước đã tạo được phân giải qua điểm cuối Studio VPC.
- Studio xác thực rằng URL được chỉ định trước đang được truy cập thông qua điểm cuối VPC của khách hàng được xác định trong chính sách và trả về kết quả.
- Máy tính xách tay Studio được trả về phiên trình duyệt của người dùng qua mạng công ty mà không cần truyền qua Internet.
Các phần sau sẽ hướng dẫn bạn cách triển khai kiến trúc này để giải quyết các URL được chỉ định sẵn của Studio từ mạng công ty bằng cách sử dụng điểm cuối VPC. Chúng tôi chứng minh việc triển khai hoàn chỉnh bằng cách hiển thị các bước sau:
- Thiết lập kiến trúc nền tảng.
- Định cấu hình máy chủ ứng dụng của công ty để truy cập URL được chỉ định trước của SageMaker thông qua điểm cuối VPC.
- Thiết lập và khởi chạy Studio từ mạng công ty.
Thiết lập kiến trúc nền tảng
Trong bài Truy cập sổ ghi chép Amazon SageMaker Studio từ mạng công ty, chúng tôi đã trình bày cách phân giải tên miền URL được chỉ định trước cho máy tính xách tay Studio từ mạng công ty mà không cần chuyển qua Internet. Bạn có thể làm theo hướng dẫn trong bài đăng đó để thiết lập kiến trúc nền tảng, sau đó quay lại bài đăng này và tiến hành bước tiếp theo.
Định cấu hình máy chủ ứng dụng của công ty để truy cập URL được chỉ định trước của SageMaker thông qua điểm cuối VPC
Để cho phép truy cập Studio từ trình duyệt internet của bạn, chúng tôi thiết lập một máy chủ ứng dụng tại chỗ trên Windows Server trên mạng con công cộng VPC tại chỗ. Tuy nhiên, các truy vấn DNS để truy cập Studio được định tuyến thông qua mạng công ty (riêng tư). Hoàn thành các bước sau để định cấu hình lưu lượng truy cập Studio định tuyến qua mạng công ty:
- Kết nối với máy chủ ứng dụng Windows tại chỗ của bạn.
- Chọn Lấy mật khẩu sau đó duyệt và tải lên khóa riêng của bạn để giải mã mật khẩu của bạn.
- Sử dụng máy khách RDP và kết nối với Máy chủ Windows bằng thông tin đăng nhập của bạn.
Việc phân giải DNS Studio từ dấu nhắc lệnh của Windows Server dẫn đến việc sử dụng các máy chủ DNS công cộng, như được hiển thị trong ảnh chụp màn hình sau.
Bây giờ chúng tôi cập nhật Windows Server để sử dụng máy chủ DNS tại chỗ mà chúng tôi đã thiết lập trước đó. - Hướng đến Bảng điều khiển, Mạng và Internet, và lựa chọn Network Connections.
- Nhấp chuột phải Ethernet và chọn Bất động sản tab.
- Cập nhật Windows Server để sử dụng máy chủ DNS tại chỗ.
- Bây giờ bạn cập nhật máy chủ DNS ưa thích của mình bằng IP máy chủ DNS của bạn.
- Hướng đến VPC và Bảng tuyến đường và chọn của bạn STUDIO-ONPREM-PUBLIC-RT bảng lộ trình.
- Thêm một tuyến đường vào 10.16.0.0/16 với đích là kết nối ngang hàng mà chúng tôi đã tạo trong quá trình thiết lập kiến trúc nền tảng.
Thiết lập và khởi chạy Studio từ mạng công ty của bạn
Để thiết lập và khởi chạy Studio, hãy hoàn thành các bước sau:
- Tải xuống Chrome và khởi chạy trình duyệt trên phiên bản Windows này.
Bạn có thể cần phải tắt Cấu hình Bảo mật Nâng cao của Internet Explorer để cho phép tải xuống tệp và sau đó cho phép tải xuống tệp. - Trong trình duyệt Chrome trên thiết bị cục bộ của bạn, điều hướng đến bảng điều khiển SageMaker và mở công cụ dành cho nhà phát triển Chrome mạng tab.
- Khởi chạy ứng dụng Studio và quan sát mạng tab cho
authtoken
giá trị tham số, bao gồm URL được chỉ định trước đã tạo cùng với địa chỉ máy chủ từ xa mà URL được chuyển đến để phân giải. Trong ví dụ này, địa chỉ từ xa 100.21.12.108 là một trong những địa chỉ máy chủ DNS công cộng để phân giải miền DNS SageMakername d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - Lặp lại các bước này từ Đám mây điện toán đàn hồi Amazon (Amazon EC2) Phiên bản Windows mà bạn đã định cấu hình như một phần của kiến trúc nền tảng.
Chúng ta có thể thấy rằng địa chỉ từ xa không phải là IP DNS công cộng, thay vào đó là điểm cuối Studio VPC 10.16.42.74.
Kết luận
Trong bài đăng này, chúng tôi đã trình bày cách giải quyết URL được chỉ định sẵn của Studio từ mạng công ty bằng cách sử dụng điểm cuối VPC riêng của Amazon mà không để lộ độ phân giải URL được chỉ định trước trên internet. Điều này đảm bảo hơn nữa tư thế bảo mật doanh nghiệp của bạn khi truy cập Studio từ mạng công ty để xây dựng khối lượng công việc học máy bảo mật cao trên SageMaker. Trong phần 2 của loạt bài này, chúng tôi mở rộng thêm giải pháp này để trình bày cách xây dựng một API riêng để truy cập Studio với aws:sourceVPCE
Xác thực chính sách IAM và xác thực mã thông báo. Hãy thử giải pháp này và để lại phản hồi của bạn trong phần bình luận!
Về các tác giả
Ram Vittal là kiến trúc sư giải pháp máy học tại AWS. Ông có hơn 20 năm kinh nghiệm về kiến trúc và xây dựng các ứng dụng phân tán, kết hợp và đám mây. Anh ấy đam mê xây dựng các giải pháp AI / ML và Dữ liệu lớn an toàn và có thể mở rộng để giúp khách hàng doanh nghiệp trong hành trình áp dụng và tối ưu hóa đám mây nhằm cải thiện kết quả kinh doanh của họ. Khi rảnh rỗi, anh ấy thích chơi quần vợt và chụp ảnh.
Neelam Koshiya là một kiến trúc sư giải pháp doanh nghiệp tại AWS. Trọng tâm hiện tại của cô là giúp khách hàng doanh nghiệp trong hành trình sử dụng đám mây của họ để đạt được kết quả kinh doanh chiến lược. Trong thời gian rảnh rỗi, cô ấy thích đọc sách và ở ngoài trời.
- Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. TRUY CẬP MIỄN PHÍ.
- CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
- Nguồn: https://aws.amazon.com/blogs/machine-learning/secure-amazon-sagemaker-studio-presigned-urls-part-1-foundational-infrastructure/
- "
- 10
- 100
- a
- Giới thiệu
- truy cập
- truy cập
- Tài khoản
- địa chỉ
- địa chỉ
- Nhận con nuôi
- chống lại
- đàn bà gan dạ
- api
- ứng dụng
- Các Ứng Dụng
- các ứng dụng
- kiến trúc
- chứng thực
- chứng thực
- Xác thực
- có sẵn
- AWS
- bởi vì
- được
- Dữ Liệu Lớn.
- biên giới
- trình duyệt
- xây dựng
- Xây dựng
- kinh doanh
- cuộc gọi
- Chọn
- cơ rôm
- trình duyệt chrome
- đám mây
- hoàn thành
- tuân thủ
- Tính
- điều kiện
- điều kiện
- Kết nối
- liên quan
- An ủi
- điều khiển
- Doanh nghiệp
- tạo
- tạo ra
- tạo
- Credentials
- Current
- khách hàng
- khách hàng
- dữ liệu
- chứng minh
- chứng minh
- triển khai
- Nhà phát triển
- thiết bị
- thảo luận
- phân phối
- dns
- miền
- Tên miền
- Tải xuống
- suốt trong
- cho phép
- Điểm cuối
- Doanh nghiệp
- bảo mật doanh nghiệp
- Môi trường
- ví dụ
- kinh nghiệm
- thêm
- thông tin phản hồi
- Tập trung
- theo
- tiếp theo
- từ
- chức năng
- xa hơn
- đạt được
- cửa ngõ
- tạo ra
- tạo ra
- xảy ra
- giúp đỡ
- cao
- tổ chức
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTTPS
- Hỗn hợp
- xác định
- Bản sắc
- thực hiện
- thực hiện
- không thể
- nâng cao
- bao gồm
- Cơ sở hạ tầng
- ví dụ
- Internet
- IP
- IT
- cuộc hành trình
- Key
- phóng
- lớp
- học tập
- Rời bỏ
- LINK
- địa phương
- máy
- học máy
- LÀM CHO
- lập bản đồ
- phương pháp
- microsoft
- Điều hướng
- nhu cầu
- mạng
- tiếp theo
- máy tính xách tay
- mở
- mở ra
- tối ưu hóa
- Tùy chọn
- ngoài trời
- riêng
- một phần
- đam mê
- Mật khẩu
- nhiếp ảnh
- điều luật
- Portal
- ưa thích
- quà
- ngăn chặn
- riêng
- Key Private
- quá trình
- Sản phẩm
- Hồ sơ
- nhà cung cấp dịch vụ
- công khai
- RAM
- phạm vi
- Reading
- ghi
- khu
- xa
- yêu cầu
- Kết quả
- trở lại
- Trả về
- Vai trò
- Route
- quy tắc
- chạy
- tương tự
- khả năng mở rộng
- Quy mô
- an toàn
- an ninh
- Loạt Sách
- dịch vụ
- định
- thiết lập
- thể hiện
- So
- rắn
- giải pháp
- Giải pháp
- Chiến lược
- kinh doanh chiến lược
- phòng thu
- Hỗ trợ
- Mục tiêu
- Sản phẩm
- Nguồn
- Thông qua
- thời gian
- mã thông báo
- công cụ
- giao thông
- Cập nhật
- sử dụng
- Người sử dụng
- xác nhận
- giá trị
- có thể nhìn thấy
- cửa sổ
- ở trong
- không có
- Lực lượng lao động
- năm
- trên màn hình