Pilvitietoturva on AWS:ssä korkein prioriteetti. Amazon SageMaker Studio tarjoukset erilaisia mekanismeja suojata tietosi ja koodisi integroimalla AWS-tietoturvapalveluihin, kuten AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (OLEN), AWS-avainhallintapalvelu (AWS KMS) tai verkon eristäminen Amazonin virtuaalinen yksityinen pilvi (Amazon VPC).
Voimakkaasti säänneltyjen toimialojen, kuten rahoituspalvelujen, asiakkaat voivat määritä Studio vain VPC:ssä tila ottaaksesi verkon eristämisen käyttöön ja poistaaksesi Internet-yhteyden Studio-kannettavista. Voit käyttää IAM-integraatiota Studion kanssa hallitaksesi, ketkä käyttäjät pääsevät käyttämään resursseja, kuten Studio-muistikirjoja, Studio IDE:tä tai Amazon Sage Maker koulutustyöt.
Suosittu käyttötapa on rajoittaa pääsyä Studio IDE:hen vain käyttäjille tietyn verkon CIDR-alueen tai määrätyn VPC:n sisällä. Voit saavuttaa tämän toteuttamalla IAM-identiteettiin perustuvat SageMaker-käytännöt ja liittää nämä käytännöt IAM-käyttäjiin tai ryhmiin, jotka vaativat näitä oikeuksia. SageMaker-toimialue on kuitenkin määritettävä IAM-todennustila, koska IAM-identiteettiin perustuvia käytäntöjä ei tueta AWS kertakirjautuminen (SSO) todennustila.
Monet asiakkaat käyttävät AWS SSO:ta mahdollistaakseen keskitetyn työvoiman identiteetin hallinnan ja tarjotakseen yhtenäisen kirjautumiskokemuksen. Tämä viesti näyttää, kuinka tämä käyttötapaus otetaan käyttöön säilyttäen samalla AWS SSO -ominaisuudet Studion käyttämiseen.
Ratkaisun yleiskatsaus
Kun määrität SageMaker-toimialueen vain VPC-tilassa ja määrität aliverkot ja suojausryhmät, SageMaker luo joustavat verkkoliitännät (ENI), jotka liittyvät suojausryhmiisi määritetyissä aliverkoissa. ENI:n avulla harjoitussäiliösi voivat muodostaa yhteyden VPC:n resursseihin.
Tässä tilassa suora Internet-yhteys kannettavista tietokoneista on kokonaan poistettu käytöstä, ja kaikki liikenne reititetään yksityisen VPC:n ENI:n kautta. Tämä sisältää myös liikenteen Studio UI -widgeteistä ja -liitännöistä, kuten kokeilunhallinnasta, automaattiohjauksesta ja mallin monitorista, vastaaviin SageMaker-taustasovellusliittymiin. AWS suosittelee vain VPC-tilan käyttöä Studion verkkokäytön tarkkaan hallintaan.
Ensimmäinen haaste on, että vaikka Studio on otettu käyttöön ilman Internet-yhteyttä, Studio IDE:tä voidaan silti käyttää mistä tahansa, jos AWS-hallintakonsoli ja Studio on myönnetty IAM-päämiehelle. Tämä tilanne ei ole hyväksyttävä, jos haluat eristää Studion täysin julkisesta verkosta ja sisältää kaiken viestinnän tiukasti kontrolloidun yksityisen VPC:n sisällä.
Voit ratkaista tämän haasteen ja estää pääsyn Studio IDE:hen paitsi määrätyltä VPC- tai CIDR-alueelta käyttämällä CreatePresignedDomainUrl SageMaker API. Tämän API:n kutsumiseen käytetty IAM-rooli tai käyttäjä määrittää Studion käyttöoikeudet. Nyt voit käyttää IAM-identiteettiin perustuvia käytäntöjä halutun käyttöoikeusmäärityksen toteuttamiseen. Jos haluat esimerkiksi sallia pääsyn vain määritetyltä VPC:ltä, lisää seuraava ehto IAM-käytäntöön, joka liittyy IAM-pääasialliseen, jota käytetään ennalta allekirjoitetun verkkotunnuksen URL-osoitteen luomiseen:
Jos haluat sallia pääsyn vain määritetystä VPC-päätepisteestä tai -päätepisteistä, määritä seuraava ehto:
Käytä seuraavaa ehtoa rajoittaaksesi pääsyä määritetyltä CIDR-alueelta:
Toinen haaste on se, että IAM-pohjainen pääsynhallinta toimii vain, kun SageMaker-toimialue on määritetty IAM-todennustilassa; et voi käyttää sitä, kun SageMaker-toimialue on otettu käyttöön AWS SSO -tilassa. Seuraavassa osiossa näytetään, kuinka vastata näihin haasteisiin ja ottaa käyttöön IAM-pohjainen pääsynhallinta AWS SSO -käyttöoikeudella Studioon.
Arkkitehtuurin yleiskatsaus
Studio julkaistaan SAML-sovelluksena, joka on määritetty tietylle SageMaker Studio -käyttäjäprofiilille. Käyttäjät voivat käyttää Studiota kätevästi suoraan AWS SSO -portaalista, kuten seuraavassa kuvakaappauksessa näkyy.
Ratkaisu integroituu a mukautettu SAML 2.0 -sovellus mekanismina, joka käynnistää Studion käyttäjän todennuksen. Se edellyttää, että mukautettu SAML-sovellus on määritetty Amazon API -yhdyskäytävä päätepisteen URL-osoite sen Assertion Consumer Service (ACS) -palveluna, ja se tarvitsee kartoitusattribuutit, jotka sisältävät AWS SSO -käyttäjätunnuksen sekä SageMaker-toimialueen tunnuksen.
API-yhdyskäytävän päätepiste kutsuu an AWS Lambda toiminto, joka jäsentää SAML-vastauksen poimiakseen toimialueen tunnuksen ja käyttäjätunnuksen ja käyttääkseen niitä Studion ennalta allekirjoittaman URL-osoitteen luomiseen. Lambda-toiminto suorittaa lopulta uudelleenohjauksen HTTP 302 -vastauksen kautta, jotta käyttäjä kirjautuu sisään Studioon.
IAM-käytäntö hallitsee verkkoympäristöä, josta Studion käyttäjät voivat kirjautua sisään, ja se sisältää edellisessä osiossa kuvatut rajoitusehdot. Tämä IAM-käytäntö on liitetty Lambda-toimintoon. IAM-käytäntö sisältää luvan kutsua sagemaker:CreatePresignedDomainURL
API vain tietylle käyttäjäprofiilille:
Seuraava kaavio näyttää ratkaisuarkkitehtuurin.
Ratkaisu ottaa käyttöön SageMaker-verkkotunnuksen yksityiseen VPC:hen ja VPC-päätepisteet käyttää Studiota, SageMaker-ajoaikaa ja SageMaker-sovellusliittymää yksityisen yhteyden kautta ilman Internet-yhdyskäytävää. VPC-päätepisteissä on yksityinen DNS käytössä (PrivateDnsEnabled=True
) yhdistää a yksityinen isännöity alue VPC:si kanssa. Tämä mahdollistaa Studion pääsyn SageMaker-sovellusliittymään julkisella DNS-oletusnimellä api.sagemaker.<Region>.amazonaws.com
ratkaistaan päätepisteen yksityiseen IP-osoitteeseen VPC-päätepisteen URL-osoitteen sijaan.
Sinun on lisättävä VPC-päätepisteitä VPC:hen, jos haluat käyttää muita AWS-palveluita, kuten Amazonin yksinkertainen tallennuspalvelu (Amazon S3), Amazonin elastisten säiliörekisteri (Amazon ECR), AWS-suojaustunnuspalvelu (AWS STS), AWS-pilven muodostuminentai AWS CodeCommit.
Voit hallita täysin käyttöoikeuksia, joita käytetään ennalta allekirjoitetun URL-osoitteen ja muiden API-kutsujen luomiseen IAM-käytännöillä, jotka on liitetty Lambda-funktion suoritusrooliin, tai hallita pääsyä mihin tahansa käytettyyn AWS-palveluun VPC-päätepistekäytännöt. Katso esimerkkejä IAM-käytäntöjen käyttämisestä Studion ja SageMaker API:n pääsyn hallintaan Hallitse pääsyä SageMaker-sovellusliittymään käyttämällä identiteettiin perustuvia käytäntöjä.
Vaikka ratkaisu edellyttää Studio-toimialueen käyttöönottoa IAM-tilassa, se mahdollistaa AWS SSO:n käytön mekanismina, jolla loppukäyttäjät kirjautuvat Studioon.
Seuraavat alakohdat sisältävät yksityiskohtaiset kuvaukset ratkaisun pääkomponenteista.
API-yhdyskäytävä
API-yhdyskäytävän päätepiste toimii mukautetussa SAML 2.0 -sovelluksessa määritetyn sovelluksen ACS-URL-osoitteen kohteena. Päätepiste on yksityinen, ja sillä on resurssi nimeltä /saml
ja POST-menetelmä, jossa integrointipyyntö on määritetty Lambda-välityspalvelimeksi. Ratkaisu käyttää VPC-päätepistettä, jossa on määritetty com.amazonaws.<region>.execute-api
DNS-nimi, jolla tätä API-päätepistettä kutsutaan VPC:stä.
AWS-kertakirjaus
Mukautettu SAML 2.0 -sovellus on määritetty API-yhdyskäytävän päätepisteen URL-osoitteella https:/{ restapi-id}.execute-api.amazonaws.com/saml
sovelluksensa ACS-URL-osoitteena ja käyttää attribuuttimäärityksiä seuraavilla vaatimuksilla:
- Käyttäjätunnus:
- Käyttäjäattribuutti sovelluksessa – käyttäjätunnus
- Karttaa käyttäjän määrite AWS SSO:ssa -
${user:AD_GUID}
- SageMaker-verkkotunnuksen tunnus:
- Käyttäjäattribuutti sovelluksessa -
domain-id
- Karttaa käyttäjän määrite AWS SSO:ssa – Studio-esiintymän verkkotunnuksen tunnus
- Käyttäjäattribuutti sovelluksessa -
Sovellus toteuttaa AWS SSO -käyttäjän pääsynhallinnan tarjoamalla Studion käyttäjäprofiilin, jonka nimi on sama kuin AWS SSO -käyttäjätunnus.
Lambda toiminto
Ratkaisu konfiguroi Lambda-funktion API-yhdyskäytävän kutsupisteeksi /saml
resurssi. Funktio jäsentää SAMLResponse
AWS SSO:n lähettämä otteet domain-id
sekä käyttäjänimen ja kutsuu createPresignedDomainUrl
SageMaker API noutaa Studion URL-osoitteen ja tunnuksen ja ohjata käyttäjän kirjautumaan sisään HTTP 302 -vastauksella. Lambda-funktiolla on erityinen IAM-käytäntö, joka on liitetty sen suoritusrooliin, joka mahdollistaa sagemaker:createPresignedDomainUrl
toimintoa vain, kun sitä pyydetään tietystä verkon CIDR-alueesta käyttämällä VpcSourceIp
kunto.
Lambda-funktiolla ei ole logiikkaa SAML-vastauksen vahvistamiseksi, esimerkiksi allekirjoituksen tarkistamiseksi. Koska ACS:nä toimiva API-yhdyskäytävän päätepiste on yksityinen tai vain sisäinen, se ei kuitenkaan ole pakollinen tässä konseptiympäristössä.
Ota ratkaisu käyttöön
- GitHub-arkisto tarjoaa täydellisen lähdekoodin päästä päähän -ratkaisulle.
Jotta voit ottaa ratkaisun käyttöön, sinulla on oltava AWS-tilin järjestelmänvalvojan (tai tehokäyttäjän) oikeudet ja asennettava AWS-komentoriviliitäntä (AWS CLI) ja AWS SAM CLI ja minimi Python 3.8.
Ratkaisu tukee käyttöönottoa kolmella AWS-alueella: eu-west-1
, eu-central-1
ja us-east-1
. Varmista, että valitset yhden näistä alueista käyttöönotolle.
Jotta voit aloittaa ratkaisun testauksen, sinun on suoritettava seuraavat käyttöönottovaiheet ratkaisusta GitHub README-tiedosto:
- Ota AWS SSO käyttöön, jos sitä ei ole määritetty.
- Ota ratkaisu käyttöön SAM-sovelluksella.
- Luo uusi mukautettu SAML 2.0 -sovellus.
Kun olet suorittanut käyttöönottovaiheet, voit jatkaa ratkaisutestiä.
Testaa ratkaisu
Ratkaisu simuloi kahta käyttötapausta AWS SSO:n ja SageMaker-identiteettipohjaisten käytäntöjen käytön osoittamiseksi:
- Positiivinen käyttötapaus – Käyttäjä käyttää Studioa määritetyltä CIDR-alueelta VPC-päätepisteen kautta
- Negatiivinen käyttötapaus – Käyttäjä käyttää Studiota julkisesta IP-osoitteesta
Näiden käyttötapausten testaamiseksi ratkaisu loi kolme Amazonin elastinen laskentapilvi (Amazon EC2) -tapaukset:
- Yksityinen isäntä – EC2 Windows -esiintymä yksityisessä aliverkossa, joka voi käyttää Studiota (paikallinen suojattu ympäristösi)
- Bastionin isäntä – EC2 Linux -esiintymä julkisessa aliverkossa, jota käytetään muodostamaan SSH-tunneli yksityisen verkon yksityiseen isäntään
- Julkinen isäntä – EC2 Windows -esiintymä julkisessa aliverkossa osoittamaan, että käyttäjä ei voi käyttää Studiota luvattomasta IP-osoitteesta
Testaa Studion pääsyä valtuutetusta verkosta
Suorita testi noudattamalla näitä ohjeita:
- Jos haluat käyttää EC2 Windows -esiintymää yksityisessä verkossa, suorita SAM-lähtöavaimen arvona annettu komento
TunnelCommand
. Varmista, että parametrissa määritetyn avainparin yksityinen avain on hakemistossa, josta SSH-tunnelikomento suoritetaan. Komento luo an SSH tunneli paikalliselta tietokoneeltalocalhost:3389
yksityisen verkon EC2 Windows -esiintymään. Katso seuraava esimerkkikoodi: - Avaa paikallisella työpöydälläsi tai muistikirjassasi uusi RDP-yhteys (esimerkiksi Microsoft Remote Desktopilla) käyttämällä
localhost
kohteena etäisäntänä. Tämä yhteys tunneloidaan bastionisännän kautta yksityiseen EC2 Windows -esiintymään. Käytä käyttäjänimeäAdministrator
ja salasana pinon lähdöstäSageMakerWindowsPassword
. - Avaa Firefox-selain etätyöpöydältä.
- Navigoi ja kirjaudu sisään AWS SSO -portaaliin käyttämällä tunnistetietoja, jotka liittyvät käyttäjänimeen, jonka määritit
ssoUserName
parametri. - Valitse SageMaker Secure Demo AWS SSO -sovellus AWS SSO -portaalista.
Sinut ohjataan Studio IDE:hen uudessa selainikkunassa.
Testaa Studion pääsyä luvattomasta verkosta
Noudata nyt näitä ohjeita simuloidaksesi pääsyä luvattomasta verkosta:
- Avaa uusi RDP-yhteys IP-osoitteessa, joka on annettu
SageMakerWindowsPublicHost
SAML-tulostus. - Avaa Firefox-selain etätyöpöydältä.
- Navigoi ja kirjaudu sisään AWS SSO -portaaliin käyttämällä tunnistetietoja, jotka liittyvät käyttäjänimeen, joka määritettiin
ssoUserName
parametri. - Valitse SageMaker Secure Demo AWS SSO -sovellus AWS SSO -portaalista.
Tällä kertaa saat luvattoman käytön viestin.
Puhdistaa
Veloitusten välttämiseksi sinun on poistettava kaikki ratkaisun tarjoamat ja manuaalisesti luodut resurssit AWS-tililtäsi. Noudata ratkaisun ohjeita README-tiedosto.
Yhteenveto
Osoitimme, että ottamalla käyttöön väliohjelmiston todennuskerroksen loppukäyttäjän ja Studion välille voimme hallita ympäristöä, josta käyttäjällä on oikeus käyttää Studioa, ja estää eksplisiittisesti kaikki muut luvattomat ympäristöt.
Voit parantaa turvallisuutta lisäämällä IAM-käytännön käyttäjärooliin estääksesi pääsyn Studioon konsolista. Jos käytät AWS-organisaatiot, voit toteuttaa seuraavan palvelun valvontakäytäntö organisaatioyksiköt tai tilit, jotka tarvitsevat Studion käyttöoikeuden:
Vaikka tässä viestissä kuvattu ratkaisu käyttää API-yhdyskäytävää ja Lambdaa, voit tutkia muita tapoja, kuten EC2-esiintymää esimerkkirooli käyttämällä samaa luvantarkistustyönkulkua kuin kuvattu tai jopa itsenäistä järjestelmää käyttäjien todennuksen ja valtuutuksen käsittelemiseen ja Studion ennalta allekirjoittaman URL-osoitteen luomiseen.
Kirjallisuutta
Studioon pääsyn turvaaminen on aktiivinen tutkimusaihe, ja samankaltaisista lähestymistavoista on muitakin asiaan liittyviä postauksia. Katso seuraavat AWS-koneoppimisblogin viestit saadaksesi lisätietoja muista palveluista ja arkkitehtuureista, joita voit käyttää:
Tietoja Tekijät
Jerome Bachelet on ratkaisuarkkitehti Amazon Web Servicesissä. Hän viihtyy auttaessaan asiakkaita saamaan parhaan hyödyn AWS:stä saavuttaakseen liiketoimintatavoitteensa. Jeromella on yli 10 vuoden kokemus tietosuoja- ja tietoturvaratkaisuista. Pilvessä olemisen lisäksi Jerome nauttii matkoista ja laatuajasta vaimonsa ja 2 tyttärensä kanssa Genevessä, Sveitsissä.
Jevgeniy Ilyin on AWS: n ratkaisuarkkitehti. Hänellä on yli 20 vuoden kokemus työskentelystä kaikilla ohjelmistokehityksen ja ratkaisuarkkitehtuurin tasoilla ja hän on käyttänyt ohjelmointikieliä COBOLista ja Assembleristä .NET: ään, Java: iin ja Pythoniin. Hän kehittää ja koodaa pilvipohjaisia ratkaisuja keskittyen isoihin tietoihin, analytiikkaan ja tietotekniikkaan.
- '
- "
- 100
- 7
- 9
- Meistä
- pääsy
- Tili
- Toiminta
- aktiivinen
- osoite
- Kaikki
- Amazon
- Amazon EC2
- Amazon Sage Maker
- Amazon Web Services
- Analytics
- api
- API
- Hakemus
- arkkitehtuuri
- ALUE
- Authentication
- lupa
- autopilotti
- AWS
- ovat
- Big Data
- Uutiset ja media
- selain
- liiketoiminta
- soittaa
- tapauksissa
- haaste
- haasteet
- maksut
- pilvi
- pilvi kotoisin
- koodi
- Viestintä
- Laskea
- Konfigurointi
- liitäntä
- Liitännät
- Console
- kuluttaja
- Kontti
- Kontit
- Valtakirja
- Asiakkaat
- tiedot
- tietosuoja
- tietoturva
- Kehitys
- dns
- ei
- vaikutus
- päätepiste
- Tekniikka
- ympäristö
- esimerkki
- teloitus
- Käyttää
- experience
- kokeilu
- otteet
- Vihdoin
- taloudellinen
- rahoituspalvelut
- Firefox
- Etunimi
- Keskittää
- seurata
- koko
- toiminto
- tuottaa
- gif
- Miten
- Miten
- HTTPS
- IAM
- Identiteetti
- toteuttaa
- täytäntöönpanosta
- teollisuuden
- integraatio
- Internet
- IP
- IP-osoite
- eristäminen
- IT
- Jaava
- Työpaikat
- pito
- avain
- kielet
- OPPIA
- oppiminen
- linja
- linux
- paikallinen
- koneoppiminen
- johto
- Microsoft
- malli
- netto
- verkko
- Verkkoyhteys
- kannettavat tietokoneet
- Tarjoukset
- avata
- Muut
- Salasana
- politiikkaa
- politiikka
- Suosittu
- Portal
- Viestejä
- teho
- Pääasiallinen
- yksityinen
- yksityinen avain
- Profiili
- Ohjelmointi
- ohjelmointikielet
- todiste
- todiste käsitteestä
- suojella
- suojaus
- toimittaa
- tarjoaa
- valtuutettu
- julkinen
- Python
- laatu
- alue
- kääntää
- vaatimukset
- tutkimus
- resurssi
- Esittelymateriaalit
- vastaus
- ajaa
- sagemaker
- turvallisuus
- Palvelut
- palvelevat
- setti
- samankaltainen
- Yksinkertainen
- Tuotteemme
- ohjelmistokehitys
- Ratkaisumme
- Alkaa
- Lausunto
- Levytila
- Tuetut
- Tukee
- Sveitsi
- järjestelmä
- Kohde
- testi
- Testaus
- Kautta
- aika
- symbolinen
- liikenne
- koulutus
- ui
- Käyttäjät
- arvo
- Virtual
- verkko
- Web-selain
- verkkopalvelut
- ikkunat
- sisällä
- ilman
- työnkulku
- työvoima
- toimii
- vuotta