Yapay zeka (AI) ve makine öğrenimindeki (ML) ilerlemeler, dolandırıcılık tespiti, kredi değerliliği değerlendirmesi ve ticaret stratejisi optimizasyonu gibi kullanım durumları için finans sektöründe devrim yaratıyor. Bu tür kullanım senaryolarına yönelik modeller geliştirmek için veri bilimcilerinin kredi karar motorları, müşteri işlemleri, risk iştahı ve stres testi gibi çeşitli veri kümelerine erişmeleri gerekir. Bu veri kümeleri üzerinde çalışan veri bilimcileri arasında uygun erişim kontrolünü yönetmek, sıkı uyumluluk ve düzenleme gerekliliklerini karşılamak açısından çok önemlidir. Genellikle bu veri kümeleri merkezi bir yerde toplanır. Amazon Basit Depolama Hizmeti (Amazon S3) çeşitli iş uygulamalarından ve kurumsal sistemlerden konum. kullanarak model geliştirme üzerinde çalışan iş birimlerindeki veri bilimcileri Amazon Adaçayı Yapıcı yönetim gerekliliğine yol açabilecek ilgili verilere erişim izni verilir. önekdüzeyinde erişim kontrolleri. Kullanım senaryolarının ve veri kümelerinin artmasıyla birlikte kova politikası bildirimleri, uygulama başına hesaplar arası erişimi yönetmek, bir paket politikasının barındıramayacağı kadar karmaşık ve uzundur.

Amazon S3 Erişim Noktaları Amazon S3'te paylaşılan veri kümelerini kullanan uygulamalar için veri erişiminin uygun ölçekte yönetilmesini ve güvence altına alınmasını basitleştirin. Erişim noktası aracılığıyla yapılan herhangi bir istek için farklı ve güvenli izinleri ve ağ denetimlerini zorunlu kılmak amacıyla erişim noktalarını kullanarak benzersiz ana bilgisayar adları oluşturabilirsiniz.

S3 Erişim Noktaları, paylaşılan bir veri kümesine erişen her uygulamaya özel erişim izinlerinin yönetimini basitleştirir. AWS dahili ağlarını kullanarak aynı Bölgedeki erişim noktaları arasında güvenli, yüksek hızlı veri kopyalamaya olanak tanır ve VPC'ler. S3 Erişim Noktaları, VPC'lere erişimi kısıtlayarak özel ağlardaki verilere güvenlik duvarı uygulamanıza, mevcut erişim noktalarını etkilemeden yeni erişim kontrol politikalarını test etmenize ve hesap kimliğine ait belirli S3 klasörlerine erişimi kısıtlamak için VPC uç nokta politikalarını yapılandırmanıza olanak tanır.

Bu gönderi, SageMaker dizüstü bilgisayar örneğinden hesaplar arası erişimi etkinleştirmek için S3 Erişim Noktalarını yapılandırmayla ilgili adımları açıklamaktadır.

Çözüme genel bakış

Kullanım örneğimiz için, bir kuruluşta iki hesabımız var: Veri bilimcileri tarafından SageMaker dizüstü bilgisayar örneğini kullanarak modeller geliştirmek için kullanılan Hesap A (111111111111) ve S222222222222 kümesinde gerekli veri kümelerine sahip olan Hesap B (3) test-bucket-1. Aşağıdaki diyagram çözüm mimarisini göstermektedir.

Çözümü uygulamak için aşağıdaki üst düzey adımları tamamlayın:

1. VPC, alt ağ güvenlik grubu, VPC ağ geçidi uç noktası ve SageMaker dizüstü bilgisayar dahil olmak üzere A Hesabını yapılandırın.
2. S3 klasörü, erişim noktası ve paket politikası dahil olmak üzere B Hesabını yapılandırın.
3. yapılandırma AWS Kimlik ve Erişim Yönetimi A Hesabındaki (IAM) izinler ve politikalar.

B Hesabından paylaşılan veri kümesine erişmesi gereken her SageMaker hesabı için bu adımları tekrarlamalısınız.

Bu yazıda bahsedilen her kaynağın adı örnektir; kullanım durumunuza göre bunları başka adlarla değiştirebilirsiniz.

A Hesabını Yapılandır

A Hesabını yapılandırmak için aşağıdaki adımları tamamlayın:

1. Bir VPC oluşturun denilen DemoVPC.
2. Alt ağ oluştur denilen DemoSubnet VPC'de DemoVPC.
3. Bir güvenlik grubu oluşturun denilen DemoSG.
4. Hat için bir VPC S3 ağ geçidi uç noktası denilen DemoS3GatewayEndpoint.
5. oluşturmak SageMaker yürütme rolü.
6. Bir defter örneği oluşturma denilen DemoNotebookInstance ve burada özetlenen güvenlik yönergeleri Amazon SageMaker'da güvenlik nasıl yapılandırılır.
   1. Oluşturduğunuz Sagemaker yürütme rolünü belirtin.
   2. Dizüstü bilgisayar ağ ayarları için oluşturduğunuz VPC'yi, alt ağı ve güvenlik grubunu belirtin.
   3. Emin olun Doğrudan İnternet erişimi devre dışı.

Gerekli bağımlılıkları oluşturduktan sonra sonraki adımlarda role izinler atarsınız.

B Hesabını Yapılandır

B Hesabını yapılandırmak için aşağıdaki adımları tamamlayın:

1. Hesap B'de, S3 paketi oluştur denilen test-bucket-1 takip etme Amazon S3 güvenlik kılavuzu.
2. Dosyanızı yükleyin S3 kovasına.
3. Erişim noktası oluşturun denilen test-ap-1 Hesap B'de.
   1. Hiçbirini değiştirmeyin veya düzenlemeyin Genel Erişim ayarlarını engelle bu erişim noktası için (tüm genel erişim engellenmelidir).
4. Aşağıdaki politikayı erişim noktanıza ekleyin:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": “arn:aws:iam:: 111111111111:role/demo ”
            },
            "Action": ["s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl"]
            "Resource": [
                “arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1”,
                " arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1/object/*"
            ]
        }
    ]
}

Önceki kodda tanımlanan eylemler, gösterim amaçlı örnek eylemlerdir. Yapabilirsiniz eylemleri tanımlayın gereksinimlerinize veya kullanım durumunuza göre.

5. Erişim noktasına erişmek için aşağıdaki paket politikası izinlerini ekleyin:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": " arn:aws:iam:: 111111111111:role/demo "
            },
            "Action" : ["s3:GetObject","s3:ListBucket"],
            "Resource" : ["arn:aws:s3:::test-bucket-1 ”, " arn:aws:s3:::test-bucket-1/*"]
            "Condition": {
                "StringEquals": {
                    "s3:DataAccessPointAccount": "222222222222"
                }
            }
        }
    ]
}

Önceki eylemler örnektir. Aksiyonları ihtiyaçlarınıza göre tanımlayabilirsiniz.

IAM izinlerini ve politikalarını yapılandırma

Hesap A'da aşağıdaki adımları tamamlayın:

1. SageMaker yürütme rolünün şu özelliklere sahip olduğunu doğrulayın: AmazonSagemakerFullAccess özel IAM satır içi politikası, aşağıdaki koda benzer:

{
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            " Action": ["s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:PutObjectAcl"]
            "Resource": [
                “arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 ”,
                "arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 /object/*”,                             "arn:aws:s3:::test-bucket-1”,
                " arn:aws:s3:::test-bucket-1/*"
            ]
}

Politika kodundaki eylemler tanıtım amaçlı örnek eylemlerdir.

2. Git DemoS3GatewayEndpoint oluşturduğunuz uç noktayı seçin ve aşağıdaki izinleri ekleyin:

{

	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowCrossAccountAccessThroughAccessPoint",
			"Effect": "Allow",
			"Principal": "*",
			"Action": [
				"s3:Get*",
				"s3:List*",
				"s3:Put*"
			],
			"Resource": ": [
                “arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 ”,
                "arn:aws:s3:us-east-1: 222222222222:accesspoint/test-ap-1 /object/*”,                             "arn:aws:s3:::test-bucket-1 ”,
                " arn:aws:s3:::test-bucket-1/*"
            ]
 
		}
	]
}

3. Bir önek listesi almak için şunu çalıştırın: AWS Komut Satırı Arayüzü (AWS CLI) tanım-önek-listeleri komut:

aws ec2 describe-prefix-lists

4. A Hesabında güvenlik grubuna gidin DemoSG hedef SageMaker not defteri örneği için
5. Altında Giden kurallarıile bir giden kuralı oluşturun Tüm trafik or Tüm TCPve ardından aldığınız önek listesi kimliği olarak hedefi belirtin.

Bu, her iki hesapta da kurulumu tamamlar.

Çözümü test edin

Çözümü doğrulamak için SageMaker dizüstü bilgisayar örneği terminaline gidin ve nesneleri erişim noktası aracılığıyla listelemek üzere aşağıdaki komutları girin:

• Nesneleri S3 erişim noktası aracılığıyla başarıyla listelemek için test-ap-1:

aws s3 ls arn:aws:s3:us-east-1:222222222222:accesspoint/Test-Ap-1

• Nesneleri S3 erişim noktası aracılığıyla başarıyla almak için test-ap-1:

aws s3api get-object --bucket arn:aws:s3:us-east-1:222222222222:accesspoint/test-ap-1 --key sample2.csv test2.csv

Temizlemek

Testi bitirdiğinizde, varsa silin S3 erişim noktaları ve S3 kovaları. Ayrıca herhangi birini silin Sagemaker not defteri örnekleri ücretlendirmeyi durdurmak için.

Sonuç

Bu gönderide, S3 Erişim Noktalarının, paylaşılan veri kümeleri üzerinde ölçekli erişim yönetimini yapılandırırken paket politikalarının dayattığı boyut kısıtlamalarını atlayarak, SageMaker dizüstü bilgisayar örneklerinden büyük, paylaşılan veri kümelerine hesaplar arası erişimi nasıl mümkün kıldığını gösterdik.

Daha fazla bilgi edinmek için bkz. Amazon S3 Erişim Noktalarıyla Paylaşılan Veri Kümelerini Kolayca Yönetin.

yazarlar hakkında

Kiran Khambete Amazon Web Services'te (AWS) Kıdemli Teknik Hesap Yöneticisi olarak çalışmaktadır. Bir TAM olarak Kiran, Kurumsal müşterilerin iş hedeflerine ulaşmalarına yardımcı olmak için teknik uzman ve stratejik rehber rolü oynuyor.

Ankit Soni Toplam 14 yıllık tecrübesiyle, son altı yıldır Bulut Altyapı Mimarı olarak hizmet verdiği NatWest Group'ta Baş Mühendis olarak görev yapıyor.

Kesaraju Sai Sandeep AWS'de Büyük Veri Hizmetleri konusunda uzmanlaşmış bir Bulut Mühendisidir.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://aws.amazon.com/blogs/machine-learning/set-up-cross-account-amazon-s3-access-for-amazon-sagemaker-notebooks-in-vpc-only-mode-using-amazon-s3-access-points/