AWS-i pilveturve on kõrgeim prioriteet. Amazon SageMaker Studio pakub erinevaid mehhanisme oma andmete ja koodi kaitsmiseks, kasutades integratsiooni AWS-i turvateenustega, nagu AWS-i identiteedi- ja juurdepääsuhaldus (MA OLEN), AWS-i võtmehaldusteenus (AWS KMS) või võrguisolatsiooniga Amazoni virtuaalne privaatpilv (Amazon VPC).
Kliendid, kes tegutsevad rangelt reguleeritud tööstusharudes, nagu finantsteenused, saavad seadistage Studio ainult VPC-s režiimis, et võimaldada võrgu eraldamist ja keelata Studio sülearvutite Interneti-juurdepääs. Saate kasutada IAM-i integratsiooni Studioga, et juhtida, millistel kasutajatel on juurdepääs ressurssidele, nagu Studio märkmikud, Studio IDE või Amazon SageMaker koolitustööd.
Populaarne kasutusjuht on piirata juurdepääsu Studio IDE-le ainult kasutajatele määratud võrgu CIDR-vahemikus või määratud VPC-st. Seda saate saavutada rakendamisega IAM-i identiteedipõhised SageMakeri eeskirjad ja nende poliitikate lisamine IAM-i kasutajatele või rühmadele, kes nõuavad neid õigusi. SageMakeri domeen peab aga olema konfigureeritud IAM-i autentimisrežiim, kuna IAM-i identiteedipõhiseid eeskirju ei toetata AWS-i ühekordne sisselogimine (SSO) autentimisrežiim.
Paljud kliendid kasutavad AWS SSO-d, et võimaldada tööjõu identiteedi tsentraliseeritud kontrolli ja pakkuda ühtset kasutajate sisselogimiskogemust. See postitus näitab, kuidas seda kasutusjuhtumit rakendada, säilitades samal ajal AWS-i SSO-võimalused Studiole juurdepääsuks.
Lahenduse ülevaade
Kui seadistate SageMakeri domeeni ainult VPC-režiimis ja määrate alamvõrgud ja turvarühmad, loob SageMaker elastsed võrguliidesed (ENI-d), mis on seotud teie turberühmadega määratud alamvõrkudes. ENI-d võimaldavad teie treeningkonteinerid ühendada teie VPC ressurssidega.
Selles režiimis on sülearvutite otsene Interneti-juurdepääs täielikult keelatud ja kogu liiklus suunatakse teie privaatses VPC-s oleva ENI kaudu. See hõlmab ka liiklust Studio kasutajaliidese vidinatest ja liidestest (nt katsehaldus, automaatpiloot ja mudelimonitor) nende vastavatele SageMakeri taustarakendustele. AWS soovitab kasutada ainult VPC režiimi, et kontrollida Studio võrgule juurdepääsu üksikasjalikult.
Esimene väljakutse seisneb selles, et kuigi Studio on kasutusele võetud ilma Interneti-ühenduseta, pääseb Studio IDE-le juurde kõikjalt, eeldades juurdepääsu AWS-i juhtimiskonsool ja Studio antakse IAM-i printsipaalile. See olukord ei ole vastuvõetav, kui soovite Studio täielikult avalikust võrgust eraldada ja kogu suhtlust rangelt kontrollitud privaatses VPC-s hoida.
Selle väljakutse lahendamiseks ja juurdepääsu keelamiseks Studio IDE-le, välja arvatud määratud VPC-st või CIDR-i vahemikust, võite kasutada CreatePresignedDomainUrl SageMaker API. Selle API kutsumiseks kasutatav IAM-i roll või kasutaja määrab Studiole juurdepääsuõigused. Nüüd saate soovitud juurdepääsukonfiguratsiooni rakendamiseks kasutada IAM-i identiteedipõhiseid eeskirju. Näiteks selleks, et lubada juurdepääs ainult määratud VPC-lt, lisage IAM-i poliitikale järgmine tingimus, mis on seotud IAM-i printsipaaliga, mida kasutatakse eelnevalt allkirjastatud domeeni URL-i genereerimiseks:
Juurdepääsu lubamiseks ainult määratud VPC lõpp-punktist või lõpp-punktidest määrake järgmine tingimus.
Määratud CIDR-i vahemikust juurdepääsu piiramiseks kasutage järgmist tingimust.
Teine väljakutse seisneb selles, et IAM-põhine juurdepääsukontroll töötab ainult siis, kui SageMakeri domeen on konfigureeritud IAM-i autentimisrežiimis; te ei saa seda kasutada, kui SageMakeri domeen on juurutatud AWS SSO režiimis. Järgmises jaotises näidatakse, kuidas neid väljakutseid lahendada ja rakendada IAM-põhist juurdepääsukontrolli koos AWS SSO juurdepääsuga Studiole.
Arhitektuuri ülevaade
Studio avaldatakse SAML-rakendusena, mis on määratud konkreetsele SageMaker Studio kasutajaprofiilile. Kasutajad pääsevad Studiole mugavalt juurde otse AWS SSO portaalist, nagu on näidatud järgmisel ekraanipildil.
Lahendus integreerub a kohandatud SAML 2.0 rakendus mehhanismina Studio kasutaja autentimise käivitamiseks. See nõuab, et kohandatud SAML-rakendus oleks konfigureeritud rakendusega Amazon API värav lõpp-punkti URL kui selle Assertion Consumer Service (ACS) ja vajab vastendusatribuute, mis sisaldavad AWS SSO kasutaja ID-d ja SageMakeri domeeni ID-d.
API lüüsi lõpp-punkt kutsub a AWS Lambda funktsioon, mis analüüsib SAML-i vastust, et eraldada domeeni ID ja kasutaja ID ning kasutada neid Studio eelallkirjastatud URL-i loomiseks. Lambda funktsioon teostab lõpuks HTTP 302 vastuse kaudu ümbersuunamise, et kasutaja Studiosse sisse logida.
IAM-poliitika juhib võrgukeskkonda, millest Studio kasutajatel on lubatud sisse logida, mis hõlmab eelmises jaotises kirjeldatud piiravaid tingimusi. See IAM-poliitika on lisatud funktsioonile Lambda. IAM-poliitika sisaldab luba helistada sagemaker:CreatePresignedDomainURL
API ainult konkreetse kasutajaprofiili jaoks:
Järgmine diagramm näitab lahenduse arhitektuuri.
Lahendus juurutab SageMakeri domeeni teie privaatsesse VPC-sse ja VPC lõpp-punktid et pääseda juurde privaatse ühenduse kaudu Studiole, SageMakeri käitusajale ja SageMaker API-le, ilma et oleks vaja Interneti-lüüsi. VPC lõpp-punktid on konfigureeritud nii, et privaatne DNS on lubatud (PrivateDnsEnabled=True
) siduda a privaatne hostitud tsoon oma VPC-ga. See võimaldab Studiol juurdepääsu SageMaker API-le, kasutades avalikku DNS-i vaikenime api.sagemaker.<Region>.amazonaws.com
lahendatakse lõpp-punkti privaatsele IP-aadressile, mitte kasutades VPC lõpp-punkti URL-i.
Kui soovite juurde pääseda muudele AWS-teenustele, näiteks, peate oma VPC-le lisama VPC lõpp-punktid Amazoni lihtne salvestusteenus (Amazon S3), Amazoni elastsete konteinerite register (Amazon ECR), AWS-i turvamärgi teenus (AWS STS), AWS CloudFormationvõi AWS CodeCommit.
Saate täielikult juhtida eelallkirjastatud URL-i ja muude API-kõnede genereerimiseks kasutatavaid õigusi Lambda funktsiooni täitmise rolliga seotud IAM-poliitikatega või juhtida juurdepääsu mis tahes kasutatavale AWS-i teenusele, VPC lõpp-punkti poliitikad. IAM-i reeglite kasutamise näiteid Studio ja SageMaker API-le juurdepääsu juhtimiseks vaadake aadressilt Juhtige juurdepääsu SageMaker API-le identiteedipõhiste poliitikate abil.
Kuigi lahendus nõuab Studio domeeni juurutamist IAM-režiimis, võimaldab see siiski kasutada AWS SSO-d lõppkasutajate Studiosse sisselogimise mehhanismina.
Järgmised alajaotised sisaldavad lahenduse peamiste komponentide üksikasjalikke kirjeldusi.
API lüüs
API lüüsi lõpp-punkt toimib kohandatud SAML 2.0 rakenduses konfigureeritud rakenduse ACS URL-i sihtmärgina. Lõpp-punkt on privaatne ja sellel on ressurss nimega /saml
ja POST-meetod, mille integratsioonipäring on konfigureeritud Lambda puhverserverina. Lahendus kasutab konfigureeritud VPC lõpp-punkti com.amazonaws.<region>.execute-api
DNS-nimi selle API lõpp-punkti kutsumiseks VPC-st.
AWS SSO
Kohandatud SAML 2.0 rakendus on konfigureeritud API lüüsi lõpp-punkti URL-iga https:/{ restapi-id}.execute-api.amazonaws.com/saml
selle rakenduse ACS URL-ina ja kasutab atribuutide vastendusi järgmiste nõuetega:
- Kasutaja identifikaator:
- Kasutaja atribuut rakenduses – kasutajanimi
- Maps kasutaja atribuut AWS SSO-s -
${user:AD_GUID}
- SageMakeri domeeni ID identifikaator:
- Kasutaja atribuut rakenduses -
domain-id
- Maps kasutaja atribuut AWS SSO-s – Studio eksemplari domeeni ID
- Kasutaja atribuut rakenduses -
Rakendus rakendab AWS SSO kasutaja juurdepääsukontrolli, varustades Studio kasutajaprofiili, mille nimi on võrdne AWS SSO kasutaja ID-ga.
Lambda funktsioon
Lahendus konfigureerib Lambda funktsiooni API lüüsi kutsumispunktina /saml
ressurss. Funktsioon analüüsib SAMLResponse
saatis AWS SSO, väljavõtted domain-id
samuti kasutajanime ja helistab createPresignedDomainUrl
SageMaker API, et hankida Studio URL ja luba ning suunata kasutaja HTTP 302 vastuse abil sisse logima. Lambda funktsioonil on selle täitmise rolliga seotud spetsiifiline IAM-poliitika, mis võimaldab sagemaker:createPresignedDomainUrl
toiming ainult siis, kui seda taotletakse konkreetsest võrgu CIDR-i vahemikust kasutades VpcSourceIp
seisukorras.
Lambda funktsioonil puudub loogika SAML-i vastuse kinnitamiseks, näiteks allkirja kontrollimiseks. Kuna aga ACS-na kasutatav API lüüsi lõpp-punkt on privaatne või ainult sisemine, ei ole see selle kontseptsiooni tõendamise keskkonna jaoks kohustuslik.
Rakendage lahendus
. GitHubi hoidla pakub täieliku lähtekoodi otsast lõpuni lahenduse jaoks.
Lahenduse juurutamiseks peavad teil olema AWS-i konto administraatori (või võimsa kasutaja) õigused ja installima AWS-i käsurea liides (AWS CLI) ja AWS SAM CLI ja miinimum Python 3.8.
Lahendus toetab juurutamist kolmes AWS-i piirkonnas: eu-west-1
, eu-central-1
ja us-east-1
. Valige juurutamiseks kindlasti üks nendest piirkondadest.
Lahenduse testimise alustamiseks peate täitma järgmised lahenduse juurutamise etapid GitHubi README-fail:
- Seadistage AWS SSO, kui teil pole seda konfigureeritud.
- Juurutage lahendus SAM-rakenduse abil.
- Looge uus kohandatud SAML 2.0 rakendus.
Pärast juurutamisetappide lõpetamist saate jätkata lahenduste testiga.
Testige lahendust
Lahendus simuleerib kahte kasutusjuhtumit, et demonstreerida AWS SSO ja SageMakeri identiteedipõhiste poliitikate kasutamist:
- Positiivne kasutusjuhtum – Kasutaja pääseb Studiole juurde määratud CIDR-i vahemikust VPC lõpp-punkti kaudu
- Negatiivne kasutusjuhtum – Kasutaja siseneb Studiosse avalikult IP-aadressilt
Nende kasutusjuhtude testimiseks lõi lahendus kolm Amazon Elastic Compute Cloud (Amazon EC2) juhtumid:
- Privaatne host – EC2 Windowsi eksemplar privaatses alamvõrgus, millel on juurdepääs Studiole (teie kohapealne turvaline keskkond)
- Bastioni peremees – EC2 Linuxi eksemplar avalikus alamvõrgus, mida kasutatakse SSH-tunneli loomiseks privaatvõrgu privaatsesse hosti
- Avalik võõrustaja – EC2 Windowsi eksemplar avalikus alamvõrgus, mis näitab, et kasutaja ei pääse Studiole juurde volitamata IP-aadressilt
Testige Stuudio juurdepääsu volitatud võrgust
Testi läbiviimiseks järgige neid samme:
- Privaatvõrgus EC2 Windowsi eksemplarile juurde pääsemiseks käivitage SAM-i väljundvõtme väärtusena antud käsk
TunnelCommand
. Veenduge, et parameetris määratud võtmepaari privaatvõti oleks kataloogis, kust SSH tunneli käsk jookseb. Käsk loob an SSH tunnel kohalikust arvutist sisse lülitatudlocalhost:3389
EC2 Windowsi eksemplarile privaatvõrgus. Vaadake järgmist näidiskoodi: - Avage kohalikul töölaual või sülearvutis uus RDP-ühendus (näiteks Microsoft Remote Desktopi abil), kasutades
localhost
sihtkaughostina. See ühendus tunnelitakse bastioni hosti kaudu privaatse EC2 Windowsi eksemplariga. Kasutage kasutajanimeAdministrator
ja parool pinu väljundistSageMakerWindowsPassword
. - Avage kaugtöölaualt Firefoxi veebibrauser.
- Navigeerige AWS SSO portaali ja logige sinna sisse, kasutades mandaate, mis on seotud kasutajanimega, mille määrasite
ssoUserName
parameeter. - Vali SageMakeri turvaline demo AWS SSO rakendus AWS SSO portaalist.
Teid suunatakse uues brauseriaknas Studio IDE-sse.
Testige Stuudio juurdepääsu volitamata võrgust
Nüüd järgige neid samme, et simuleerida juurdepääsu volitamata võrgust.
- Avage uus RDP-ühendus jaotises esitatud IP-l
SageMakerWindowsPublicHost
SAML-i väljund. - Avage kaugtöölaualt Firefoxi veebibrauser.
- Navigeerige AWS SSO portaali ja logige sinna sisse, kasutades mandaate, mis on seotud kasutajanimega, mis oli määratud
ssoUserName
parameeter. - Vali SageMakeri turvaline demo AWS SSO rakendus AWS SSO portaalist.
Seekord saate volitamata juurdepääsu teate.
Koristage
Tasude vältimiseks peate oma AWS-i kontolt eemaldama kõik lahenduse pakutavad ja käsitsi loodud ressursid. Järgige lahenduses olevaid juhiseid README fail.
Järeldus
Näitasime, et lõppkasutaja ja Studio vahel vahevara autentimiskihi kasutuselevõtuga saame juhtida keskkonda, kust kasutajal on juurdepääs Studiole, ja selgesõnaliselt blokeerida kõik muud volitamata keskkonnad.
Turvalisuse veelgi karmistamiseks saate lisada kasutajarollile IAM-i poliitika, et takistada konsoolist juurdepääsu Studiole. Kui kasutate AWS-i organisatsioonid, saate rakendada järgmist teenuse kontrolli poliitika organisatsiooniüksuste või kontode jaoks, mis vajavad Studiole juurdepääsu:
Kuigi selles postituses kirjeldatud lahendus kasutab API Gateway ja Lambda, saate uurida muid võimalusi, näiteks EC2 eksemplari koos näiteroll kasutades sama loa valideerimise töövoogu, nagu kirjeldatud, või isegi sõltumatut süsteemi kasutaja autentimise ja autoriseerimise haldamiseks ning Studio eelallkirjastatud URL-i genereerimiseks.
Lisalugemist
Stuudiole juurdepääsu tagamine on aktiivne uurimisteema ja sarnaste lähenemisviiside kohta on ka teisi asjakohaseid postitusi. Teiste kasutatavate teenuste ja arhitektuuride kohta lisateabe saamiseks vaadake järgmisi AWS-i masinõppe ajaveebi postitusi:
Autoritest
Jerome Bachelet on Amazon Web Servicesi lahenduste arhitekt. Ta aitab klientidel oma ärieesmärkide saavutamiseks AWS-ist võimalikult palju kasu saada. Jerome'il on üle 10-aastane töökogemus andmekaitse ja andmeturbe lahendustega. Lisaks pilves olemisele naudib Jerome reisimist ja kvaliteetaega oma naise ja kahe tütrega Genfis, Šveitsis.
Jevgeni Iljin on AWS-i lahenduste arhitekt. Tal on üle 20-aastane töökogemus tarkvaraarenduse ja lahenduste arhitektuuri kõikidel tasanditel ning ta on kasutanud programmeerimiskeeli alates COBOList ja Assemblerist kuni .NETi, Java ja Pythonini. Ta arendab ja kodeerib pilvepõhiseid lahendusi, keskendudes suurandmetele, analüütikale ja andmetehnoloogiale.
- '
- "
- 100
- 7
- 9
- MEIST
- juurdepääs
- konto
- tegevus
- aktiivne
- aadress
- Materjal: BPA ja flataatide vaba plastik
- Amazon
- Amazon EC2
- Amazon SageMaker
- Amazon Web Services
- analytics
- API
- API-liidesed
- taotlus
- arhitektuur
- PIIRKOND
- Autentimine
- luba
- autopiloot
- AWS
- on
- Big andmed
- Blogi
- brauseri
- äri
- helistama
- juhtudel
- väljakutse
- väljakutseid
- koormuste
- Cloud
- pilv native
- kood
- KOMMUNIKATSIOON
- Arvutama
- konfiguratsioon
- ühendus
- Side
- konsool
- tarbija
- Konteiner
- Konteinerid
- volikiri
- Kliendid
- andmed
- andmekaitse
- andmekaitse
- & Tarkvaraarendus
- DNS
- Ei tee
- mõju
- Lõpp-punkt
- Inseneriteadus
- keskkond
- näide
- täitmine
- Teostama
- kogemus
- eksperiment
- Väljavõtted
- Lõpuks
- finants-
- finantsteenused
- Firefox
- esimene
- Keskenduma
- järgima
- täis
- funktsioon
- tekitama
- gif
- Kuidas
- Kuidas
- HTTPS
- IAM
- Identity
- rakendada
- rakendamisel
- tööstusharudes
- integratsioon
- Internet
- IP
- IP-aadress
- isolatsioon
- IT
- Java
- Tööturg
- pidamine
- Võti
- Keeled
- Õppida
- õppimine
- joon
- Linux
- kohalik
- masinõpe
- juhtimine
- Microsoft
- mudel
- neto
- võrk
- Juurdepääs võrgule
- märkmikud
- Pakkumised
- avatud
- Muu
- Parool
- Poliitika
- poliitika
- populaarne
- Portal
- Postitusi
- võim
- Peamine
- era-
- Private Key
- profiil
- Programming
- programmeerimiskeeled
- tõend
- tõendi mõiste
- kaitsma
- kaitse
- anda
- annab
- volikiri
- avalik
- Python
- kvaliteet
- valik
- suunata
- Nõuded
- teadustöö
- ressurss
- Vahendid
- vastus
- jooks
- salveitegija
- turvalisus
- Teenused
- teenindavad
- komplekt
- sarnane
- lihtne
- tarkvara
- tarkvaraarenduse
- Lahendused
- algus
- väljavõte
- ladustamine
- Toetatud
- Toetab
- Šveits
- süsteem
- sihtmärk
- test
- Testimine
- Läbi
- aeg
- sümboolne
- liiklus
- koolitus
- ui
- Kasutajad
- väärtus
- virtuaalne
- web
- veebibrauseri
- veebiteenused
- aknad
- jooksul
- ilma
- töövoog
- Tööjõud
- töötab
- aastat