Tekoälyn (AI) ja koneoppimisen (ML) edistysaskeleet mullistavat rahoitusalan käyttötapauksissa, kuten petosten havaitsemisessa, luottokelpoisuuden arvioinnissa ja kaupankäyntistrategian optimoinnissa. Kehittääkseen malleja tällaisia ​​käyttötapauksia varten datatutkijat tarvitsevat pääsyn erilaisiin tietokokonaisuuksiin, kuten luottopäätösmoottorit, asiakastapahtumat, riskinottohalu ja stressitestaus. Näiden tietojoukkojen asianmukaisen pääsyn hallinnan hallinta niiden parissa työskentelevien datatieteilijöiden kesken on ratkaisevan tärkeää tiukkojen vaatimustenmukaisuus- ja sääntelyvaatimusten täyttämiseksi. Tyypillisesti nämä tietojoukot kootaan keskitetyksi Amazonin yksinkertainen tallennuspalvelu (Amazon S3) sijainti erilaisista yrityssovelluksista ja yritysjärjestelmistä. Datatieteilijät eri liiketoimintayksiköissä, jotka työskentelevät mallin kehittämisessä käyttämällä Amazon Sage Maker saavat pääsyn asiaankuuluviin tietoihin, mikä voi johtaa hallintavaatimukseen etuliite-tason pääsynhallinta. Käyttötapausten ja tietojoukkojen käytön lisääntyessä ämpäripolitiikka tilien välisen käytön hallinta sovelluskohtaisesti on liian monimutkaista ja pitkää, jotta ryhmäkäytäntö voisi ottaa huomioon.

Amazon S3 -yhteyspisteet yksinkertaistaa tietoihin pääsyn hallintaa ja turvaamista mittakaavassa sovelluksille, jotka käyttävät Amazon S3:n jaettuja tietojoukkoja. Voit luoda yksilöllisiä isäntänimiä tukiasemilla pakottaaksesi erillisiä ja suojattuja käyttöoikeuksia ja verkkohallintaa kaikille tukiaseman kautta lähetetyille pyynnöille.

S3 Access Points yksinkertaistaa käyttöoikeuksien hallintaa kullekin sovellukselle, joka käyttää jaettua tietojoukkoa. Se mahdollistaa turvallisen ja nopean tiedon kopioinnin saman alueen tukiasemien välillä käyttämällä AWS:n sisäisiä verkkoja ja VPC:t. S3-tukipisteet voivat rajoittaa pääsyä VPC:ihin, jolloin voit suojata tietoja yksityisissä verkoissa, testata uusia kulunvalvontakäytäntöjä vaikuttamatta olemassa oleviin tukiasemeihin ja määrittää VPC-päätepistekäytännöt rajoittamaan pääsyä tiettyihin tilitunnuksen omistamiin S3-sähoihin.

Tässä viestissä käydään läpi vaiheet, jotka liittyvät S3-tukipisteiden määrittämiseen tilien välisen käytön mahdollistamiseksi SageMaker-muistikirjan ilmentymästä.

Ratkaisun yleiskatsaus

Meidän käyttötapauksessamme meillä on organisaatiossa kaksi tiliä: tili A (111111111111), jota datatieteilijät käyttävät mallien kehittämiseen SageMaker-muistikirjan ilmentymän avulla, ja tili B (222222222222), joka on edellyttänyt tietojoukkoja S3-säilössä. test-bucket-1. Seuraava kaavio havainnollistaa ratkaisun arkkitehtuuria.

Ota ratkaisu käyttöön suorittamalla seuraavat korkean tason vaiheet:

1. Määritä tili A, mukaan lukien VPC, aliverkon suojausryhmä, VPC-yhdyskäytävän päätepiste ja SageMaker-muistikirja.
2. Määritä tili B, mukaan lukien S3-säilö, tukiasema ja ryhmäkäytäntö.
3. Configure AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) käyttöoikeudet ja käytännöt tilillä A.

Toista nämä vaiheet jokaiselle SageMaker-tilille, joka tarvitsee pääsyn tilin B jaettuun tietojoukkoon.

Jokaisen tässä viestissä mainitun resurssin nimet ovat esimerkkejä; voit korvata ne muilla nimillä käyttötapasi mukaan.

Määritä tili A

Määritä tili A suorittamalla seuraavat vaiheet:

1. Luo VPC nimeltään DemoVPC.
2. Luo aliverkko nimeltään DemoSubnet VPC:ssä DemoVPC.
3. Luo suojausryhmä nimeltään DemoSG.
4. Luo VPC S3 -yhdyskäytävän päätepiste nimeltään DemoS3GatewayEndpoint.
5. Luo SageMaker-suoritusrooli.
6. Luo muistikirjan esimerkki nimeltään DemoNotebookInstance ja kohdassa kuvatut turvallisuusohjeet Kuinka määrittää suojaus Amazon SageMakerissa.
   1. Määritä luomasi Sagemaker-suoritusrooli.
   2. Määritä kannettavan tietokoneen verkkoasetuksiin luomasi VPC, aliverkko ja suojausryhmä.
   3. Varmista, että Suora Internet-yhteys on vammainen.

Määrität roolille käyttöoikeudet seuraavissa vaiheissa, kun olet luonut tarvittavat riippuvuudet.

Määritä tili B

Määritä tili B suorittamalla seuraavat vaiheet:

1. Tilillä B luoda S3-ämpäri nimeltään test-bucket-1 jälkeen Amazon S3 -turvallisuusohjeet.
2. Lataa tiedostosi S3-kauhaan.
3. Luo tukiasema nimeltään test-ap-1 tilillä B.
   1. Älä muuta tai muokkaa mitään Estä julkisen käytön asetukset tälle tukiasemalle (kaikki julkinen pääsy tulee estää).
4. Liitä seuraava käytäntö tukiasemaasi:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": “arn:aws:iam:: 111111111111:role/demo ”
            },
            "Action": ["s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl"]
            "Resource": [
                “arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1”,
                " arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1/object/*"
            ]
        }
    ]
}

Edellisessä koodissa määritellyt toiminnot ovat esimerkkitoimintoja esittelytarkoituksiin. Sinä pystyt määritellä toimet tarpeidesi tai käyttötapauksen mukaan.

5. Lisää seuraavat ryhmäkäytäntöoikeudet päästäksesi tukiasemaan:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": " arn:aws:iam:: 111111111111:role/demo "
            },
            "Action" : ["s3:GetObject","s3:ListBucket"],
            "Resource" : ["arn:aws:s3:::test-bucket-1 ”, " arn:aws:s3:::test-bucket-1/*"]
            "Condition": {
                "StringEquals": {
                    "s3:DataAccessPointAccount": "222222222222"
                }
            }
        }
    ]
}

Edelliset toimet ovat esimerkkejä. Voit määrittää toiminnot tarpeidesi mukaan.

Määritä IAM-oikeudet ja -käytännöt

Suorita seuraavat vaiheet tilissä A:

1. Varmista, että SageMaker-suoritusroolilla on AmazonSagemakerFullAccess mukautettu IAM inline -käytäntö, joka näyttää seuraavalta koodilta:

{
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            " Action": ["s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl"]
            "Resource": [
                “arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 ”,
                "arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 /object/*”,                             "arn:aws:s3:::test-bucket-1”,
                " arn:aws:s3:::test-bucket-1/*"
            ]
}

Käytäntökoodin toimet ovat esimerkkitoimia esittelytarkoituksiin.

2. Siirry DemoS3GatewayEndpoint luomasi päätepiste ja lisää seuraavat käyttöoikeudet:

{

	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowCrossAccountAccessThroughAccessPoint",
			"Effect": "Allow",
			"Principal": "*",
			"Action": [
				"s3:Get*",
				"s3:List*",
				"s3:Put*"
			],
			"Resource": ": [
                “arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 ”,
                "arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 /object/*”,                             "arn:aws:s3:::test-bucket-1 ”,
                " arn:aws:s3:::test-bucket-1/*"
            ]
 
		}
	]
}

3. Saadaksesi etuliiteluettelon, suorita AWS-komentoriviliitäntä (AWS CLI) kuvaile-etuliite-luettelot komento:

aws ec2 describe-prefix-lists

4. Siirry tilillä A suojausryhmään DemoSG kohde SageMaker-muistikirjan esiintymää varten
5. Alle Lähtevät säännöt, luo lähtevän liikenteen sääntö käyttämällä Kaikki liikenne or Kaikki TCPja määritä sitten kohde etuliiteluettelon tunnukseksi, jonka haet.

Tämä päättää asennuksen molemmissa tileissä.

Testaa ratkaisu

Vahvista ratkaisu siirtymällä SageMaker-muistikirjan ilmentymäpäätteeseen ja kirjoittamalla seuraavat komennot listataksesi objektit tukiaseman kautta:

• Objektien luetteloiminen onnistuneesti S3-tukiaseman kautta test-ap-1:

aws s3 ls arn:aws:s3:us-east-1:222222222222:accesspoint/Test-Ap-1

• Saadaksesi esineet onnistuneesti S3-tukiaseman kautta test-ap-1:

aws s3api get-object --bucket arn:aws:s3:us-east-1:222222222222:accesspoint/test-ap-1 --key sample2.csv test2.csv

Puhdistaa

Kun olet valmis, poista kaikki S3 tukiasemat ja S3 kauhat. Poista myös kaikki Sagemaker muistikirjan esiintymät lopettaa maksujen perimisen.

Yhteenveto

Tässä viestissä näytimme, kuinka S3 Access Points mahdollistaa tilien välisen pääsyn suuriin, jaettuihin tietojoukkoon SageMaker-muistikirjan ilmentymistä, ohittaen ryhmäkäytäntöjen asettamat kokorajoitukset samalla kun määritetään mittakaavan käyttöoikeuksien hallinta jaetuille tietojoukoille.

Lisätietoja saat osoitteesta Hallitse jaettuja tietojoukkoja helposti Amazon S3 -tukiasemilla.

Tietoja kirjoittajista

Kiran Khambete työskentelee vanhempana teknisenä asiakaspäällikkönä Amazon Web Servicesissä (AWS). TAM:na Kiran toimii teknisenä asiantuntijana ja strategisena oppaana auttaakseen yritysasiakkaita saavuttamaan liiketoimintatavoitteensa.

Ankit Soni 14 vuoden kokonaiskokemuksella hän toimii pääinsinöörinä NatWest Groupissa, jossa hän on toiminut pilviinfrastruktuuriarkkitehdina viimeiset kuusi vuotta.

Kesaraju Sai Sandeep on pilvi-insinööri, joka on erikoistunut Big Data Services -palveluihin AWS:ssä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://aws.amazon.com/blogs/machine-learning/set-up-cross-account-amazon-s3-access-for-amazon-sagemaker-notebooks-in-vpc-only-mode-using-amazon-s3-access-points/