你可以访问 亚马逊SageMaker Studio 来自的笔记本 亚马逊SageMaker 控制台通过 AWS身份和访问管理 (IAM) 来自您的身份提供商 (IdP) 的经过身份验证的联合,例如 Okta。 当 Studio 用户打开笔记本链接时,Studio 会验证联合身份用户的 IAM 策略以授权访问,并为用户生成和解析预签名 URL。 由于 SageMaker 控制台在 Internet 域上运行,因此该生成的预签名 URL 在浏览器会话中可见。 在未实施适当的访问控制时,这会为泄露和获取对客户数据的访问权提供不受欢迎的威胁向量。
Studio 支持一些针对预签名 URL 数据泄露实施访问控制的方法:
- 使用 IAM 策略条件的客户端 IP 验证
aws:sourceIp
- 使用 IAM 条件的客户端 VPC 验证
aws:sourceVpc
- 使用 IAM 策略条件的客户端 VPC 终端节点验证
aws:sourceVpce
当您从 SageMaker 控制台访问 Studio 笔记本时,唯一可用的选项是将客户端 IP 验证与 IAM 策略条件一起使用 aws:sourceIp
. 但是,您可以使用 Zscaler 等浏览器流量路由产品来确保员工互联网访问的规模和合规性。 这些流量路由产品生成自己的源IP,其IP范围不受企业客户控制。 这使得这些企业客户无法使用 aws:sourceIp
状态。
使用 IAM 策略条件使用客户端 VPC 终端节点验证 aws:sourceVpce
,预签名 URL 的创建需要源自部署 Studio 的同一客户 VPC,并且预签名 URL 的解析需要通过客户 VPC 上的 Studio VPC 终端节点进行。 可以使用 DNS 转发规则(在 Zscaler 和公司 DNS 中)完成对公司网络用户访问期间预签名 URL 的解析,然后使用 亚马逊路线53 入站解析器。
在这一部分中,我们将讨论用于保护工作室预签名 URL 的总体架构,并演示如何设置基础架构,以通过私有网络上的 VPC 端点创建和启动 Studio 预签名 URL,而无需遍历 Internet。 这是防止外部不良行为者在企业环境中访问 Studio 预签名 URL 以及未经授权或欺骗的企业用户访问的数据泄露的基础层。
解决方案概述
下图说明了总体解决方案架构。
该过程包括以下步骤:
- 企业用户通过其 IdP 进行身份验证,连接到其企业门户,并从企业门户打开 Studio 链接。
- 公司门户应用程序使用 API Gateway VPC 终端节点进行私有 API 调用以创建预签名 URL。
- API Gateway VPC 终端节点“创建预签名 URL”调用被转发到公司 DNS 中配置的客户 VPC 上的 Route 53 入站解析程序。
- VPC DNS 解析程序将其解析为 API Gateway VPC 终端节点 IP。 或者,它会查找私有托管区域记录(如果存在)。
- API Gateway VPC 终端节点通过 Amazon 私有网络将请求路由到 API Gateway 服务账户中运行的“创建预签名 URL API”。
- API 网关调用
create-pre-signedURL
私有 API 并将请求代理到create-pre-signedURL
AWS Lambda 功能。 -
create-pre-signedURL
Lambda 调用通过 Lambda VPC 终端节点调用。 -
create-pre-signedURL
函数在服务帐户中运行,检索经过身份验证的用户上下文(用户 ID、区域等),查找映射表以识别 SageMaker 域和用户配置文件标识符,创建一个sagemaker createpre-signedDomainURL
API 调用,并生成一个预签名的 URL。 Lambda 服务角色具有为 SageMaker API 和 Studio 定义的源 VPC 终端节点条件。 - 生成的预签名 URL 通过 Studio VPC 终端节点进行解析。
- Studio 验证是否正在通过策略中定义的客户 VPC 终端节点访问预签名 URL,并返回结果。
- Studio 笔记本通过公司网络返回到用户的浏览器会话,而无需遍历 Internet。
以下部分将引导您了解如何实施此架构以使用 VPC 终端节点从公司网络解析 Studio 预签名 URL。 我们通过展示以下步骤来演示一个完整的实现:
- 设置基础架构。
- 将企业应用服务器配置为通过 VPC 终端节点访问 SageMaker 预签名 URL。
- 从企业网络设置和启动 Studio。
设置基础架构
在文中 从公司网络访问 Amazon SageMaker Studio 笔记本,我们演示了如何在不遍历 Internet 的情况下从公司网络解析 Studio 笔记本的预签名 URL 域名。 您可以按照该帖子中的说明设置基础架构,然后返回此帖子并继续下一步。
将企业应用服务器配置为通过 VPC 终端节点访问 SageMaker 预签名 URL
为了能够从您的 Internet 浏览器访问 Studio,我们在本地 VPC 公有子网的 Windows Server 上设置了本地应用程序服务器。 但是,用于访问 Studio 的 DNS 查询是通过公司(专用)网络路由的。 完成以下步骤以配置通过公司网络路由 Studio 流量:
- 连接到您的本地 Windows 应用服务器。
- 获取密码 然后浏览并上传您的私钥以解密您的密码。
- 使用 RDP 客户端并使用您的凭据连接到 Windows Server。
从 Windows Server 命令提示符解析 Studio DNS 会导致使用公共 DNS 服务器,如以下屏幕截图所示。
现在我们更新 Windows Server 以使用我们之前设置的本地 DNS 服务器。 - 导航 控制面板, 网络和Internet“,并选择 网络连接.
- 右键单击 以太网(EtherNet) 并选择 查看房源 标签。
- 更新 Windows Server 以使用本地 DNS 服务器。
- 现在您使用您的 DNS 服务器 IP 更新您的首选 DNS 服务器。
- 导航 VPC 和 路由表 然后选择你的 STUDIO-ONPR-PUBLIC-RT 路由表。
- 添加到 10.16.0.0/16 的路由,目标是我们在基础架构设置期间创建的对等连接。
从您的公司网络设置和启动 Studio
要设置和启动 Studio,请完成以下步骤:
- 下载 Chrome 并在此 Windows 实例上启动浏览器。
您可能需要 关闭 Internet Explorer 增强的安全配置 允许文件下载,然后 启用文件下载. - 在您的本地设备 Chrome 浏览器中,导航到 SageMaker 控制台并打开 Chrome 开发人员工具 商业网络 标签。
- 启动 Studio 应用程序并观察 商业网络 选项卡
authtoken
参数值,其中包括生成的预签名 URL 以及 URL 被路由到以进行解析的远程服务器地址。在此示例中,远程地址 100.21.12.108 是解析 SageMaker DNS 域的公共 DNS 服务器地址之一name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws
. - 重复这些步骤 亚马逊弹性计算云 (Amazon EC2) 您配置为基础架构一部分的 Windows 实例。
我们可以观察到远程地址不是公共 DNS IP,而是 Studio VPC 端点 10.16.42.74。
结论
在这篇文章中,我们演示了如何使用 Amazon 私有 VPC 终端节点从企业网络解析 Studio 预签名 URL,而不会将预签名 URL 解析暴露给 Internet。 这进一步保护了您的企业安全状态,以便从企业网络访问 Studio,以便在 SageMaker 上构建高度安全的机器学习工作负载。 在 部分2 在本系列中,我们进一步扩展了这个解决方案,以演示如何构建一个私有 API 来访问 Studio aws:sourceVPCE
IAM 策略验证和令牌身份验证。 试试这个解决方案,并在评论中留下您的反馈!
作者简介
拉姆·维塔尔 是 AWS 的机器学习解决方案架构师。 他在架构和构建分布式、混合和云应用程序方面拥有 20 多年的经验。 他热衷于构建安全且可扩展的 AI/ML 和大数据解决方案,以帮助企业客户进行云采用和优化之旅,从而改善他们的业务成果。 业余时间,他喜欢网球和摄影。
尼拉姆·克希亚 是AWS的企业解决方案架构师。 她目前的重点是帮助企业客户采用云技术,以实现战略业务成果。 在业余时间,她喜欢读书和在户外。
- "
- 10
- 100
- a
- 关于
- ACCESS
- 访问
- 账号管理
- 地址
- 地址
- 采用
- 驳
- Amazon
- API
- 应用
- 应用领域
- 应用领域
- 架构
- 认证
- 认证
- 认证
- 可使用
- AWS
- 因为
- 作为
- 大数据运用
- 边界
- 浏览器
- 建立
- 建筑物
- 商业
- 呼叫
- 铬
- chrome浏览器
- 云端技术
- 完成
- 符合
- 计算
- 流程条件
- 条件
- 分享链接
- 地都
- 安慰
- 控制
- 公司
- 创建信息图
- 创建
- 创建
- 资历
- 电流
- 顾客
- 合作伙伴
- data
- 演示
- 证明
- 部署
- 开发商
- 设备
- 讨论
- 分布
- DNS
- 域
- 域名
- 下载
- ,我们将参加
- enable
- 端点
- 企业
- 企业安全
- 环境
- 例子
- 体验
- 延长
- 反馈
- 专注焦点
- 遵循
- 以下
- 止
- 功能
- 进一步
- 获得
- 网关
- 生成
- 产生
- 发生
- 帮助
- 高度
- 托管
- 创新中心
- How To
- 但是
- HTTPS
- 杂交种
- 鉴定
- 身分
- 实施
- 履行
- 不可能
- 改善
- 包括
- 基础设施
- 例
- 网络
- IP
- IT
- 旅程
- 键
- 发射
- 层
- 学习
- 离开
- 友情链接
- 本地
- 机
- 机器学习
- 制作
- 制图
- 方法
- 微软
- 导航
- 需要
- 网络
- 下页
- 笔记本
- 打开
- 打开
- 优化
- 附加选项
- 户外活动
- 己
- 部分
- 多情
- 密码
- 摄影
- 政策
- 门户网站
- 首选
- 礼物
- 预防
- 私立
- 私钥
- 过程
- 热销产品
- 本人简介
- 提供者
- 国家
- 内存
- 范围
- 阅读
- 记录
- 地区
- 远程
- 请求
- 成果
- 回报
- 回报
- 角色
- 路线
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 运行
- 同
- 可扩展性
- 鳞片
- 安全
- 保安
- 系列
- 服务
- 集
- 格局
- 如图
- So
- 固体
- 方案,
- 解决方案
- 善用
- 战略业务
- 工作室
- 支持
- 目标
- 通过
- 次
- 象征
- 工具
- 交通
- 更新
- 使用
- 用户
- 验证
- 折扣值
- 可见
- 窗户
- 中
- 也完全不需要
- 劳动力
- 年
- 您一站式解决方案