Sen erişebilirsiniz Amazon SageMaker Stüdyosu not defterleri Amazon Adaçayı Yapıcı aracılığıyla konsol AWS Kimlik ve Erişim Yönetimi (IAM) kimlik sağlayıcınızdan (IdP), Okta gibi kimliği doğrulanmış federasyon. Bir Studio kullanıcısı not defteri bağlantısını açtığında Studio, erişim yetkisi vermek için federe kullanıcının IAM politikasını doğrular ve kullanıcı için önceden belirlenmiş URL'yi oluşturur ve çözer. SageMaker konsolu bir internet etki alanında çalıştığı için, oluşturulan bu önceden belirlenmiş URL, tarayıcı oturumunda görünür. Bu, uygun erişim kontrolleri uygulanmadığında sızma ve müşteri verilerine erişim için istenmeyen bir tehdit vektörü sunar.

Studio, önceden belirlenmiş URL veri hırsızlığına karşı erişim kontrollerini zorunlu kılmak için birkaç yöntemi destekler:

• IAM politikası koşulunu kullanarak istemci IP doğrulaması aws:sourceIp
• IAM koşulunu kullanarak istemci VPC doğrulaması aws:sourceVpc
• IAM politikası koşulunu kullanarak istemci VPC uç noktası doğrulaması aws:sourceVpce

Studio not defterlerine SageMaker konsolundan eriştiğinizde, mevcut tek seçenek, IAM ilkesi koşuluyla istemci IP doğrulamasını kullanmaktır. aws:sourceIp. Ancak, iş gücünüzün internet erişimi için ölçek ve uyumluluk sağlamak için Zscaler gibi tarayıcı trafiği yönlendirme ürünlerini kullanabilirsiniz. Bu trafik yönlendirme ürünleri, IP aralığı kurumsal müşteri tarafından kontrol edilmeyen kendi kaynak IP'lerini oluşturur. Bu, bu kurumsal müşterilerin aws:sourceIp koşul.

IAM politikası koşulunu kullanarak istemci VPC uç noktası doğrulamasını kullanmak için aws:sourceVpce, önceden belirlenmiş bir URL'nin oluşturulmasının, Studio'nun dağıtıldığı aynı müşteri VPC'sinden kaynaklanması gerekir ve önceden belirlenmiş URL'nin çözümlenmesi, müşteri VPC'sindeki bir Studio VPC uç noktası aracılığıyla gerçekleşmelidir. Kurumsal ağ kullanıcıları için erişim süresi sırasında önceden belirlenmiş URL'nin bu çözümlemesi, DNS iletme kuralları (hem Zscaler'da hem de kurumsal DNS'de) kullanılarak ve ardından bir Amazon Rota 53 gelen çözümleyici

Bu bölümde, stüdyo önceden imzalanmış url'nin güvenliğini sağlamaya yönelik kapsayıcı mimariyi tartışacağız ve interneti geçmeden özel bir ağ üzerinden VPC uç noktanız aracılığıyla Studio tarafından önceden imzalanmış bir URL oluşturmak ve başlatmak için temel altyapının nasıl kurulacağını göstereceğiz. Bu, Studio önceden imzalanmış URL'ye erişim elde eden harici kötü aktörler tarafından veri sızmasını ve kurumsal bir ortamda yetkisiz veya sahte kurumsal kullanıcı erişimini önlemek için temel katman olarak hizmet eder.

Çözüme genel bakış

Aşağıdaki diyagram, kapsamlı çözüm mimarisini göstermektedir.

İşlem aşağıdaki adımları içerir:

1. Kurumsal bir kullanıcı, IdP'leri aracılığıyla kimlik doğrulaması yapar, kurumsal portallarına bağlanır ve kurumsal portaldan Studio bağlantısını açar.
2. Kurumsal portal uygulaması, önceden belirlenmiş bir URL oluşturmak için bir API Ağ Geçidi VPC uç noktası kullanarak özel bir API çağrısı yapar.
3. API Gateway VPC uç noktası "önceden tasarlanmış URL oluştur" çağrısı, kurumsal DNS'de yapılandırıldığı gibi müşteri VPC'sindeki Route 53 gelen çözümleyicisine iletilir.
4. VPC DNS çözümleyici, bunu API Gateway VPC uç noktası IP'sine çözer. İsteğe bağlı olarak, varsa özel barındırılan bölge kaydını arar.
5. API Gateway VPC uç noktası, isteği Amazon özel ağı aracılığıyla API Gateway hizmet hesabında çalışan "önceden tasarlanmış URL API'si oluştur"a yönlendirir.
6. API Ağ Geçidi şunu çağırır: create-pre-signedURL özel API ve istek için proxy'ler create-pre-signedURL AWS Lambda fonksiyonu.
7. The create-pre-signedURL Lambda çağrısı, Lambda VPC uç noktası aracılığıyla çağrılır.
8. The create-pre-signedURL işlev hizmet hesabında çalışır, kimliği doğrulanmış kullanıcı bağlamını (kullanıcı kimliği, Bölge vb.) alır, SageMaker etki alanını ve kullanıcı profili tanımlayıcısını tanımlamak için bir eşleme tablosu arar, sagemaker createpre-signedDomainURL API çağrısı ve önceden belirlenmiş bir URL oluşturur. Lambda hizmet rolü, SageMaker API ve Studio için tanımlanan kaynak VPC uç noktası koşullarına sahiptir.
9. Oluşturulan önceden belirlenmiş URL, Studio VPC uç noktası üzerinden çözümlenir.
10. Studio, önceden belirlenmiş URL'ye müşterinin politikada tanımlanan VPC uç noktası aracılığıyla erişildiğini doğrular ve sonucu döndürür.
11. Studio not defteri, interneti dolaşmadan kurumsal ağ üzerinden kullanıcının tarayıcı oturumuna döndürülür.

Aşağıdaki bölümler, VPC uç noktalarını kullanarak bir şirket ağından Studio tarafından önceden belirlenmiş URL'leri çözmek için bu mimariyi nasıl uygulayacağınız konusunda size yol gösterir. Aşağıdaki adımları göstererek eksiksiz bir uygulama gösteriyoruz:

1. Temel mimariyi kurun.
2. Kurumsal uygulama sunucusunu, bir VPC uç noktası aracılığıyla SageMaker tarafından önceden belirlenmiş bir URL'ye erişmek için yapılandırın.
3. Kurumsal ağdan Studio'yu kurun ve başlatın.

Temel mimariyi ayarlayın

Yayında Bir şirket ağından bir Amazon SageMaker Studio not defterine erişin, bir şirket ağından bir Studio not defteri için önceden belirlenmiş bir URL alan adının interneti geçmeden nasıl çözüleceğini gösterdik. Temel mimariyi kurmak için bu gönderideki talimatları takip edebilir ve ardından bu gönderiye dönüp bir sonraki adıma geçebilirsiniz.

Kurumsal uygulama sunucusunu, bir VPC uç noktası aracılığıyla SageMaker tarafından önceden belirlenmiş bir URL'ye erişmek için yapılandırın

Studio'ya internet tarayıcınızdan erişmeyi etkinleştirmek için, şirket içi VPC genel alt ağında Windows Server'da bir şirket içi uygulama sunucusu kurduk. Ancak, Studio'ya erişim için DNS sorguları kurumsal (özel) ağ üzerinden yönlendirilir. Studio trafiğini kurumsal ağ üzerinden yönlendirmek için aşağıdaki adımları tamamlayın:

1. Şirket içi Windows uygulama sunucunuza bağlanın.
   
   
2. Klinik Şifre Al ardından parolanızın şifresini çözmek için özel anahtarınıza göz atın ve yükleyin.
   
3. Bir RDP istemcisi kullanın ve kimlik bilgilerinizi kullanarak Windows Sunucusuna bağlanın.
   Studio DNS'nin Windows Server komut isteminden çözümlenmesi, aşağıdaki ekran görüntüsünde gösterildiği gibi genel DNS sunucularının kullanılmasına neden olur.
   
   Şimdi Windows Server'ı daha önce kurduğumuz şirket içi DNS sunucusunu kullanacak şekilde güncelliyoruz.
4. Şu yöne rotayı ayarla Kumanda panosu, Ağ ve Internet, ve Seç ağ Bağlantıları.
5. Sağ tıklatın Ethernet ve seçiniz Emlaklar sekmesi.
6. Şirket içi DNS sunucusunu kullanmak için Windows Server'ı güncelleyin.
   
7. Artık tercih ettiğiniz DNS sunucusunu DNS sunucusu IP'nizle güncellersiniz.
   
8. Şu yöne rotayı ayarla VPC ve Rota Tabloları ve seninkini seç STÜDYO-ONPREM-KAMU-RT rota tablosu.
9. Temel mimari kurulumu sırasında oluşturduğumuz eşleme bağlantısı olarak hedef ile 10.16.0.0/16'ya bir rota ekleyin.

Kurumsal ağınızdan Studio'yu kurun ve başlatın

Studio'yu kurmak ve başlatmak için aşağıdaki adımları tamamlayın:

1. Chrome'u indirin ve bu Windows örneğinde tarayıcıyı başlatın.
   Sen gerekebilir Internet Explorer Gelişmiş Güvenlik Yapılandırmasını kapatın dosya indirmelerine izin vermek ve ardından dosya indirmelerini etkinleştir.
2. Yerel cihazınızın Chrome tarayıcısında SageMaker konsoluna gidin ve Chrome geliştirici araçlarını açın ağ sekmesi.
3. Studio uygulamasını başlatın ve aşağıdakileri gözlemleyin: ağ sekmesi için authtoken URL'nin çözümlenmesi için yönlendirildiği uzak sunucu adresiyle birlikte oluşturulan önceden belirlenmiş URL'yi içeren parametre değeri. Bu örnekte, 100.21.12.108 uzak adresi, SageMaker DNS etki alanını çözümlemek için genel DNS sunucu adreslerinden biridir. name d-h4cy01pxticj.studio.us-west-2.sagemaker.aws.
4. Bu adımları Amazon Elastik Bilgi İşlem Bulutu (Amazon EC2) Temel mimarinin bir parçası olarak yapılandırdığınız Windows örneği.

Uzak adresin genel DNS IP'si olmadığını, bunun yerine Studio VPC uç noktası 10.16.42.74 olduğunu gözlemleyebiliriz.

Sonuç

Bu yayında, Amazon özel VPC uç noktalarını kullanarak bir şirket ağından Studio önceden belirlenmiş bir URL'nin, önceden belirlenmiş URL çözümlemesini internete göstermeden nasıl çözüleceğini gösterdik. Bu, SageMaker'da son derece güvenli makine öğrenimi iş yükleri oluşturmak için bir kurumsal ağdan Studio'ya erişmek için kurumsal güvenlik duruşunuzu daha da korur. İçinde parçası 2 ile Studio'ya erişmek için özel bir API'nin nasıl oluşturulacağını göstermek için bu çözümü daha da genişletiyoruz. aws:sourceVPCE IAM politika doğrulaması ve jeton kimlik doğrulaması. Bu çözümü deneyin ve görüşlerinizi yorumlarda bırakın!

Yazarlar Hakkında

Ram Hayati AWS'de bir makine öğrenimi çözümleri mimarıdır. Dağıtılmış, hibrit ve bulut uygulamaları tasarlama ve oluşturma konusunda 20 yılı aşkın deneyime sahiptir. Kurumsal müşterilere iş sonuçlarını iyileştirmek için bulut benimseme ve optimizasyon yolculuklarında yardımcı olmak için güvenli ve ölçeklenebilir AI/ML ve Büyük Veri çözümleri oluşturma konusunda tutkulu. Boş zamanlarında tenis ve fotoğrafçılıkla ilgileniyor.

Neelam Koshiya AWS'de kurumsal çözüm mimarıdır. Şu anki odak noktası, kurumsal müşterilere stratejik iş sonuçları için bulut benimseme yolculuklarında yardımcı olmaktır. Boş zamanlarında okumaktan ve dışarıda olmaktan hoşlanır.