अमेज़न का पूर्वानुमान एक पूरी तरह से प्रबंधित सेवा है जो Amazon.com पर पूर्वानुमान के लिए उपयोग की जाने वाली उसी तकनीक पर आधारित है। पूर्वानुमान अत्यधिक सटीक पूर्वानुमान बनाने के लिए अतिरिक्त चर के साथ समय श्रृंखला डेटा को संयोजित करने के लिए मशीन लर्निंग (एमएल) का उपयोग करता है। पूर्वानुमान को आरंभ करने के लिए किसी एमएल अनुभव की आवश्यकता नहीं है। आपको केवल ऐतिहासिक डेटा और कोई भी अतिरिक्त डेटा प्रदान करना होगा जो पूर्वानुमानों को प्रभावित कर सकता है।
ग्राहक बहु-किरायेदार समाधानों की डिलीवरी के लिए सेवा के रूप में सॉफ़्टवेयर (SaaS) मॉडल का उपयोग करने की ओर रुख कर रहे हैं। आप विनियामक और अनुपालन आवश्यकताओं को पूरा करने के लिए विभिन्न वास्तुशिल्प मॉडल के साथ SaaS एप्लिकेशन बना सकते हैं। SaaS मॉडल के आधार पर, पूर्वानुमान जैसे संसाधन किरायेदारों के बीच साझा किए जाते हैं। SaaS समाधानों को तैनात करने के लिए प्रति किरायेदार पूर्वानुमान डेटा एक्सेस, निगरानी और बिलिंग पर विचार किया जाना चाहिए।
यह पोस्ट बहु-किरायेदार SaaS एप्लिकेशन के भीतर पूर्वानुमान का उपयोग करने का तरीका बताती है आधार आधारित अभिगम नियंत्रण (एबीएसी) में AWS पहचान और अभिगम प्रबंधन (IAM) इन क्षमताओं को प्रदान करने के लिए। एबीएसी एक शक्तिशाली दृष्टिकोण है जिसका उपयोग आप किरायेदारों के बीच संसाधनों को अलग करने के लिए कर सकते हैं।
इस पोस्ट में, हम एबीएसी सिद्धांतों और पूर्वानुमान का उपयोग करके किरायेदारों के लिए आईएएम नीतियां स्थापित करने पर मार्गदर्शन प्रदान करते हैं। कॉन्फ़िगरेशन प्रदर्शित करने के लिए, हमने दो किरायेदार स्थापित किए, TenantA
और TenantB
, और पूर्वानुमान का उपयोग करके SaaS एप्लिकेशन के संदर्भ में उपयोग का मामला दिखाएं। हमारे उपयोग के मामले में, TenantB
हटा नहीं सकते TenantA
संसाधन, और इसके विपरीत। निम्नलिखित चित्र हमारी वास्तुकला को दर्शाता है।
TenantA
और TenantB
सेवाएँ माइक्रोसर्विस के रूप में चल रही हैं अमेज़ॅन इलास्टिक कुबेरनेट्स सेवा (अमेज़ॅन ईकेएस)। किरायेदार एप्लिकेशन अपने व्यावसायिक प्रवाह के हिस्से के रूप में पूर्वानुमान का उपयोग करता है।
पूर्वानुमान डेटा अंतर्ग्रहण
पूर्वानुमान किरायेदार से डेटा आयात करता है अमेज़न सरल भंडारण सेवा (अमेज़ॅन S3) बकेट से पूर्वानुमान प्रबंधित S3 बकेट तक। पूर्वानुमान प्रबंधित कुंजियों या किरायेदार-विशिष्ट कुंजियों का उपयोग करके डेटा को ट्रांज़िट और आराम के दौरान स्वचालित रूप से एन्क्रिप्ट किया जा सकता है AWS प्रमुख प्रबंधन सेवा (एडब्ल्यूएस केएमएस)। किरायेदार-विशिष्ट कुंजी को ऑनबोर्डिंग के हिस्से के रूप में SaaS एप्लिकेशन द्वारा बनाया जा सकता है, या किरायेदार AWS KMS का उपयोग करके अपनी स्वयं की ग्राहक प्रबंधित कुंजी (CMK) प्रदान कर सकता है। किरायेदार-विशिष्ट कुंजी पर अनुमति रद्द करना पूर्वानुमान को किरायेदार के डेटा का उपयोग करने से रोकता है। हम बहु-किरायेदार SaaS वातावरण में एक किरायेदार-विशिष्ट कुंजी और प्रति किरायेदार एक IAM भूमिका का उपयोग करने की सलाह देते हैं। यह किरायेदार-दर-किरायेदार आधार पर डेटा सुरक्षित करने में सक्षम बनाता है।
समाधान अवलोकन
आप किरायेदार की पहुंच को अलग-अलग तरीकों से अलग करने के लिए Amazon S3 पर डेटा का विभाजन कर सकते हैं। इस पोस्ट के लिए, हम दो रणनीतियों पर चर्चा करते हैं:
- प्रति किरायेदार एक S3 बाल्टी का उपयोग करें
- एकल S3 बकेट का उपयोग करें और किरायेदार डेटा को उपसर्ग के साथ अलग करें
विभिन्न रणनीतियों के बारे में अधिक जानकारी के लिए देखें अमेज़ॅन S3 पर मल्टी-टेनेंट डेटा संग्रहीत करना गिटहब रेपो।
प्रति किरायेदार एक बाल्टी का उपयोग करते समय, आप किसी दिए गए किरायेदार S3 बाल्टी तक पहुंच को प्रतिबंधित करने के लिए IAM नीति का उपयोग करते हैं। उदाहरण के लिए:
प्रति खाता S3 बकेट की संख्या पर एक सख्त सीमा है। इस सीमा को पार करने के लिए एक बहु-खाता रणनीति पर विचार करने की आवश्यकता है।
हमारे दूसरे विकल्प में, किरायेदार डेटा को एक एकल S3 बाल्टी में S3 उपसर्ग का उपयोग करके अलग किया गया। हम प्रति किरायेदार एक बकेट उपसर्ग के भीतर पहुंच को प्रतिबंधित करने के लिए IAM नीति का उपयोग करते हैं। उदाहरण के लिए:
इस पोस्ट के लिए, हम एक ही बाल्टी के भीतर S3 उपसर्ग निर्दिष्ट करने के दूसरे विकल्प का उपयोग करते हैं। हम AWS KMS में CMK का उपयोग करके किरायेदार डेटा को एन्क्रिप्ट करते हैं।
किरायेदार का शामिल होना
SaaS एप्लिकेशन अपने वातावरण में नए किरायेदारों को पेश करने के लिए एक घर्षण रहित मॉडल पर भरोसा करते हैं। नए किरायेदार को बनाने के लिए आवश्यक सभी तत्वों को सफलतापूर्वक व्यवस्थित करने और कॉन्फ़िगर करने के लिए अक्सर कई घटकों को व्यवस्थित करने की आवश्यकता होती है। SaaS आर्किटेक्चर में इस प्रक्रिया को कहा जाता है किरायेदार ऑनबोर्डिंग. इसे सीधे किरायेदारों द्वारा या प्रदाता-प्रबंधित प्रक्रिया के हिस्से के रूप में शुरू किया जा सकता है। निम्नलिखित आरेख ऑनबोर्डिंग प्रक्रिया के भाग के रूप में प्रति किरायेदार पूर्वानुमान को कॉन्फ़िगर करने के प्रवाह को दर्शाता है।
संसाधनों को किरायेदार की जानकारी के साथ टैग किया गया है। इस पोस्ट के लिए, हम किरायेदार के मान के साथ संसाधनों को टैग करते हैं, उदाहरण के लिए, tenant_a
.
एक पूर्वानुमान भूमिका बनाएँ
यह IAM भूमिका प्रति किरायेदार पूर्वानुमान द्वारा मानी जाती है। फोरकास्ट को ग्राहक खाते में अमेज़न S3 और AWS KMS के साथ इंटरैक्ट करने की अनुमति देने के लिए आपको निम्नलिखित नीति लागू करनी चाहिए। भूमिका को किरायेदार टैग के साथ टैग किया गया है। उदाहरण के लिए, निम्नलिखित कोड देखें:
नीतियां बनाएं
इस अगले चरण में, हम अपनी पूर्वानुमान भूमिका के लिए नीतियां बनाते हैं। इस पोस्ट के लिए, हमने उन्हें अधिक पठनीयता के लिए दो नीतियों में विभाजित किया है, लेकिन आप उन्हें अपनी आवश्यकताओं के अनुसार बना सकते हैं।
नीति 1: केवल-पठन पहुंच का पूर्वानुमान लगाएं
निम्नलिखित नीति पूर्वानुमान संसाधनों का वर्णन, सूची और क्वेरी करने का विशेषाधिकार देती है। यह नीति पूर्वानुमान को केवल-पढ़ने के लिए पहुंच तक सीमित करती है। निम्नलिखित कोड में किरायेदार टैग सत्यापन शर्त यह सुनिश्चित करती है कि किरायेदार टैग मान प्रिंसिपल के किरायेदार टैग से मेल खाता है। को देखें बोल्ड कोड बारीकियों के लिए।
नीति 2: अमेज़ॅन एस3 और एडब्ल्यूएस केएमएस एक्सेस नीति
निम्नलिखित नीति AWS KMS को विशेषाधिकार और S3 किरायेदार उपसर्ग तक पहुंच प्रदान करती है। निम्नलिखित कोड में किरायेदार टैग सत्यापन शर्त यह सुनिश्चित करती है कि किरायेदार टैग मान प्रिंसिपल के किरायेदार टैग से मेल खाता है। को देखें बोल्ड कोड बारीकियों के लिए।
एक किरायेदार विशिष्ट कुंजी बनाएँ
अब हम प्रति किरायेदार AWS KMS में एक किरायेदार-विशिष्ट कुंजी बनाते हैं और इसे किरायेदार टैग मान के साथ टैग करते हैं। वैकल्पिक रूप से, किरायेदार AWS KMS में अपनी स्वयं की कुंजी ला सकता है। हम पिछली भूमिकाएँ देते हैं (Forecast_TenantA_Role
or Forecast_TenantB_Role
) किरायेदार-विशिष्ट कुंजी तक पहुंच।
उदाहरण के लिए, निम्न स्क्रीनशॉट कुंजी-मूल्य जोड़ी दिखाता है tenant
और tenant_a
.
निम्नलिखित स्क्रीनशॉट IAM भूमिकाएँ दिखाता है जो इस कुंजी का उपयोग कर सकते हैं।
एक एप्लिकेशन भूमिका बनाएं
हमारे द्वारा बनाई गई दूसरी भूमिका प्रति किरायेदार SaaS एप्लिकेशन द्वारा मानी जाती है। एप्लिकेशन को फोरकास्ट, अमेज़न S3 और AWS KMS के साथ इंटरैक्ट करने की अनुमति देने के लिए आपको निम्नलिखित नीति लागू करनी चाहिए। भूमिका को किरायेदार टैग के साथ टैग किया गया है। निम्नलिखित कोड देखें:
नीतियां बनाएं
अब हम एप्लिकेशन भूमिका के लिए नीतियां बनाते हैं। इस पोस्ट के लिए, हमने उन्हें अधिक पठनीयता के लिए दो नीतियों में विभाजित किया है, लेकिन आप उन्हें अपनी आवश्यकताओं के अनुसार बना सकते हैं।
नीति 1: पूर्वानुमान पहुंच
निम्नलिखित नीति पूर्वानुमान संसाधनों को बनाने, अद्यतन करने और हटाने का विशेषाधिकार देती है। नीति निर्माण के दौरान टैग आवश्यकता को लागू करती है। इसके अलावा, यह प्रतिबंधित करता है list
, describe
, तथा delete
संबंधित किरायेदार को संसाधनों पर कार्रवाई। इस पॉलिसी में IAM है PassRole
पूर्वानुमान को भूमिका निभाने की अनुमति देने के लिए।
RSI tenant
निम्नलिखित कोड में टैग सत्यापन शर्त यह सुनिश्चित करती है कि किरायेदार टैग मान किरायेदार से मेल खाता है। को देखें बोल्ड कोड बारीकियों के लिए।
नीति 2: अमेज़ॅन एस3, एडब्ल्यूएस केएमएस, अमेज़ॅन क्लाउडवॉच, और संसाधन समूह पहुंच
निम्नलिखित नीति Amazon S3 और AWS KMS संसाधनों तक पहुँचने का विशेषाधिकार भी देती है अमेज़ॅन क्लाउडवॉच. यह किरायेदार-विशिष्ट S3 उपसर्ग और किरायेदार-विशिष्ट CMK तक पहुंच को सीमित करता है। किरायेदार सत्यापन स्थिति चालू है बोल्ड कोड.
एक संसाधन समूह बनाएं
संसाधन समूह सभी टैग किए गए संसाधनों को किरायेदार द्वारा पूछे जाने की अनुमति देता है। निम्नलिखित उदाहरण कोड का उपयोग करता है AWS कमांड लाइन इंटरफ़ेस (AWS CLI) के लिए एक संसाधन समूह बनाना TenantA
:
पूर्वानुमान अनुप्रयोग प्रवाह
निम्नलिखित चित्र हमारे पूर्वानुमान अनुप्रयोग प्रवाह को दर्शाता है। एप्लिकेशन सेवा किरायेदार के लिए IAM की भूमिका निभाती है और अपने व्यवसाय प्रवाह के हिस्से के रूप में पूर्वानुमान API को आमंत्रित करती है।
TenantB के लिए एक भविष्यवक्ता बनाएँ
बनाए गए संसाधनों को किरायेदार टैग के साथ टैग किया जाना चाहिए। निम्नलिखित कोड TenantB के लिए एक भविष्यवक्ता बनाने के लिए Python (Boto3) API का उपयोग करता है (देखें)। बोल्ड कोड विशिष्टताओं के लिए):
टेनेंटबी के लिए भविष्यवक्ता पर एक पूर्वानुमान बनाएं
आपके द्वारा अभी बनाए गए भविष्यवक्ता पर पूर्वानुमान बनाने के लिए निम्नलिखित कोड पायथन (Boto3) एपीआई का उपयोग करता है:
पूर्वानुमान संसाधनों तक पहुंच मान्य करें
इस अनुभाग में, हम पुष्टि करते हैं कि केवल संबंधित किरायेदार ही पूर्वानुमान संसाधनों तक पहुंच सकता है। किसी भिन्न टैनेंट से संबंधित पूर्वानुमान संसाधनों तक पहुंच, संशोधन या हटाना एक त्रुटि उत्पन्न करता है। TenantA द्वारा TenantB पूर्वानुमान संसाधन को हटाने का प्रयास प्रदर्शित करने के लिए निम्नलिखित कोड Python (Boto3) API का उपयोग करता है:
भविष्यवक्ताओं की सूची बनाएं और उन पर निगरानी रखें
निम्नलिखित उदाहरण कोड संसाधन समूहों का उपयोग करके TenantA के लिए पूर्वानुमान भविष्यवक्ताओं को क्वेरी करने के लिए पायथन (Boto3) API का उपयोग करता है:
के रूप में AWS वेल-आर्किटेक्टेड फ्रेमवर्क बताते हैं, सेवा कोटा (जिसे भी कहा जाता है) की निगरानी करना महत्वपूर्ण है सेवा सीमा). पूर्वानुमान की प्रति खाते सीमा होती है; अधिक जानकारी के लिए देखें दिशानिर्देश और कोटा.
निम्नलिखित कोड भविष्यवक्ताओं की कुल संख्या के साथ क्लाउडवॉच मीट्रिक को पॉप्युलेट करने का एक उदाहरण है:
अन्य बातें
संसाधन सीमा और थ्रॉटलिंग को किरायेदारों के बीच एप्लिकेशन द्वारा प्रबंधित करने की आवश्यकता है। यदि आप समायोजित नहीं कर सकते पूर्वानुमान सीमाएँ, आपको एक बहु-खाता कॉन्फ़िगरेशन पर विचार करना चाहिए।
पूर्वानुमान सूची एपीआई या संसाधन समूह प्रतिक्रिया को एप्लिकेशन के आधार पर फ़िल्टर करने की आवश्यकता है tenant
टैग मान.
निष्कर्ष
इस पोस्ट में, हमने दिखाया कि मल्टी-टेनेंट SaaS एप्लिकेशन में ABAC तकनीक का उपयोग करके पूर्वानुमान पहुंच को कैसे अलग किया जाए। हमने दिखाया कि किरायेदार टैग का उपयोग करके किरायेदार द्वारा पूर्वानुमान तक पहुंच को कैसे सीमित किया जाए। आप अधिक टैग लागू करके नीतियों को और अधिक अनुकूलित कर सकते हैं, या इस रणनीति को अन्य AWS सेवाओं पर लागू कर सकते हैं।
प्राधिकरण रणनीति के रूप में एबीएसी का उपयोग करने के बारे में अधिक जानकारी के लिए देखें AWS के लिए ABAC क्या है?
लेखक के बारे में
गुंजन गर्ग AWS वर्टिकल AI टीम में एक सीनियर सॉफ्टवेयर डेवलपमेंट इंजीनियर हैं। अमेज़ॅन फोरकास्ट में अपनी वर्तमान भूमिका में, वह इंजीनियरिंग समस्याओं पर ध्यान केंद्रित करती है और स्केलेबल सिस्टम बनाने का आनंद लेती है जो अंतिम उपयोगकर्ताओं को सबसे अधिक मूल्य प्रदान करती है। अपने खाली समय में वह सुडोकू और माइनस्वीपर खेलना पसंद करती हैं।
मटियास बैटलग्लिया अमेज़ॅन वेब सर्विसेज में एक तकनीकी खाता प्रबंधक है। अपनी वर्तमान भूमिका में, उन्हें ग्राहकों को उनकी क्लाउड यात्रा के सभी चरणों में मदद करने में आनंद आता है। अपने खाली समय में, उन्हें एआई/एमएल प्रोजेक्ट बनाने में आनंद आता है।
राकेश रामदास अमेज़ॅन वेब सर्विसेज में एक आईएसवी सॉल्यूशन आर्किटेक्ट हैं। उनके फोकस क्षेत्रों में एआई/एमएल और बिग डेटा शामिल हैं।
- पहुँच
- लेखा
- कार्य
- अतिरिक्त
- AI
- वीरांगना
- अमेज़न का पूर्वानुमान
- अमेज़ॅन वेब सेवा
- एपीआई
- एपीआई
- आवेदन
- अनुप्रयोगों
- स्थापत्य
- प्राधिकरण
- एडब्ल्यूएस
- बिलिंग
- निर्माण
- इमारत
- व्यापार
- बादल
- कोड
- अनुपालन
- वर्तमान
- ग्राहक
- तिथि
- डेटा प्राप्त करना
- डिक्रिप्ट
- प्रसव
- विकास
- इंजीनियर
- अभियांत्रिकी
- वातावरण
- प्रवाह
- फोकस
- मुक्त
- GitHub
- समूह
- कैसे
- How To
- HTTPS
- आई ए एम
- पहचान
- प्रभाव
- करें-
- IT
- कुंजी
- Instagram पर
- Kubernetes
- सीख रहा हूँ
- लाइन
- सूची
- यंत्र अधिगम
- प्रबंध
- ML
- आदर्श
- निगरानी
- ज्ञानप्राप्ति
- विकल्प
- अन्य
- नीतियाँ
- नीति
- परियोजनाओं
- अजगर
- आवश्यकताएँ
- संसाधन
- उपयुक्त संसाधन चुनें
- प्रतिक्रिया
- बाकी
- दौड़ना
- सास
- कई
- सेवाएँ
- सेट
- की स्थापना
- साझा
- सरल
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- समाधान ढूंढे
- विभाजित
- शुरू
- कथन
- भंडारण
- स्ट्रेटेजी
- सिस्टम
- तकनीकी
- टेक्नोलॉजी
- पहर
- पारगमन
- अपडेट
- उपयोगकर्ताओं
- मूल्य
- वेब
- वेब सेवाओं
- अंदर