[ad_1]
Los avances en inteligencia artificial (IA) y aprendizaje automático (ML) están revolucionando la industria financiera para casos de uso como la detección de fraude, la calificación crediticia y la optimización de estrategias comerciales. Para desarrollar modelos para tales casos de uso, los científicos de datos necesitan acceso a diversos conjuntos de datos, como motores de decisión crediticia, transacciones de clientes, apetito de riesgo y pruebas de estrés. Gestionar un control de acceso adecuado a estos conjuntos de datos entre los científicos de datos que trabajan en ellos es fundamental para cumplir con estrictos requisitos normativos y de cumplimiento. Normalmente, estos conjuntos de datos de diversas aplicaciones comerciales y sistemas empresariales se agregan en una ubicación central de Amazon Simple Storage Service (Amazon S3). Los científicos de datos de todas las unidades de negocios que trabajan en el desarrollo de modelos con Amazon SageMaker tienen acceso a datos relevantes, lo que puede resultar en la necesidad de administrar controles de acceso a nivel de prefijo. Dado el creciente número de casos de uso y conjuntos de datos que utilizan declaraciones de política de depósito, administrar el acceso entre cuentas por aplicación es demasiado complejo y tedioso para que lo aborde una política de depósito.
Los puntos de acceso de Amazon S3 simplifican la administración y protección del acceso a datos a escala para aplicaciones que utilizan conjuntos de datos compartidos en Amazon S3. Puede utilizar puntos de acceso para crear nombres de host únicos para aplicar permisos y controles de red únicos y seguros para todas las solicitudes realizadas a través del punto de acceso.
Los puntos de acceso S3 simplifican la gestión de los permisos de acceso específicos de cada aplicación que accede a un conjunto de datos compartido. Permite la copia de datos segura y de alta velocidad entre puntos de acceso en la misma región utilizando redes internas de AWS y VPC. Los puntos de acceso S3 pueden restringir el acceso a las VPC, lo que le permite proteger datos en redes privadas con un firewall, probar nuevas políticas de control de acceso sin afectar los puntos de acceso existentes y configurar políticas de puntos finales de VPC para restringir el acceso a depósitos S3 específicos propiedad de una cuenta -ID. restringir.
Esta publicación explica los pasos necesarios para configurar los puntos de acceso S3 para habilitar el acceso entre cuentas desde una instancia de SageMaker Notebook.
Descripción general de la solución
Para nuestro caso de uso, tenemos dos cuentas en una organización: la cuenta A (111111111111), que utilizan los científicos de datos para desarrollar modelos utilizando una instancia de SageMaker Notebook, y la cuenta B (222222222222), que requiere registros en el depósito S3. test-bucket-1
. El siguiente diagrama ilustra la arquitectura de la solución.
Para implementar la solución, siga los siguientes pasos generales:
- Configure la cuenta A, incluida la VPC, el grupo de seguridad de subred, el punto final de la puerta de enlace de la VPC y el cuaderno de SageMaker.
- Configure la cuenta B, incluido el depósito S3, el punto de acceso y la política del depósito.
- Configure los permisos y políticas de AWS Identity and Access Management (IAM) en la cuenta A.
Debe repetir estos pasos para cada cuenta de SageMaker que necesite acceso al conjunto de datos compartido de la cuenta B.
Los nombres de cada recurso mencionado en esta publicación son ejemplos; Puede reemplazarlos con otros nombres según su caso de uso.
Configurar la cuenta A
Complete los siguientes pasos para configurar la Cuenta A:
- Cree una VPC llamada
DemoVPC
. - Crea una subred llamada
DemoSubnet
en el VPCDemoVPC
. - Cree un grupo de seguridad llamado
DemoSG
. - Cree un punto final de puerta de enlace de VPC S3 llamado
DemoS3GatewayEndpoint
. - Cree el rol de ejecución de SageMaker.
- Cree una instancia de cuaderno llamada
DemoNotebookInstance
y las políticas de seguridad como se describe en Cómo configurar la seguridad en Amazon SageMaker.- Especifique el rol de ejecución de Sagemaker que creó.
- Para la configuración de red del notebook, especifique la VPC, la subred y el grupo de seguridad que creó.
- Asegúrate de eso Acceso directo a internet está desactivado.
En los siguientes pasos, asigna permisos al rol después de crear las dependencias necesarias.
Configurar la cuenta B
Complete los siguientes pasos para configurar la Cuenta B:
- En la cuenta B, cree un depósito de S3 llamado
test-bucket-1
Siga las pautas de seguridad de Amazon S3. - Sube tu archivo al depósito S3.
- Crea un punto de acceso llamado
test-ap-1
en la cuenta B.- No cambie ni edite ningún Bloquear la configuración de acceso público para este punto de acceso (cualquier acceso público debe estar bloqueado).
- Adjunte la siguiente política a su punto de acceso:
Las acciones definidas en el código anterior son acciones de ejemplo con fines de demostración. Puede definir las acciones según sus requisitos o caso de uso.
- Agregue los siguientes permisos de política de depósito para acceder al punto de acceso:
Las acciones anteriores son ejemplos. Podrás definir las acciones según tus necesidades.
Configurar permisos y políticas de IAM
En la Cuenta A, siga estos pasos:
- Confirme que la función de ejecución de SageMaker tenga la política en línea de IAM personalizada de AmazonSagemakerFullAccess, que se parece al siguiente código:
Las acciones en el código de política son acciones de ejemplo con fines de demostración.
- Ir a
DemoS3GatewayEndpoint
Punto final que creó y agregue los siguientes permisos:
- Para obtener una lista de prefijos, ejecute el comando describe-prefix-lists de la interfaz de línea de comandos de AWS (AWS CLI):
- En la cuenta A, vaya al grupo de seguridad.
DemoSG
para la instancia de SageMaker Notebook de destino - Bajo reglas salientescrear una regla de salida con Todo el tráfico o Todo TCPy luego especifique el destino como el ID de la lista de prefijos que recuperó.
Esto completa la configuración en ambas cuentas.
Prueba la solución
Para validar la solución, vaya a la terminal de la instancia de SageMaker Notebook e ingrese los siguientes comandos para enumerar los objetos a través del punto de acceso:
- Para enumerar correctamente los objetos a través del punto de acceso S3
test-ap-1
:
- Para obtener con éxito los objetos a través del punto de acceso S3
test-ap-1
:
Limpiar
Cuando haya terminado de probar, elimine todos los puntos de acceso de S3 y los depósitos de S3. Además, elimine todas las instancias de Sagemaker Notebook para evitar incurrir en cargos.
Diploma
En esta publicación, demostramos cómo los puntos de acceso S3 permiten el acceso entre cuentas a grandes conjuntos de datos compartidos desde instancias de SageMaker Notebook, evitando las limitaciones de tamaño impuestas por las políticas de depósito y configurando la administración de acceso escalable a conjuntos de datos compartidos.
Para obtener más información, consulte Administre fácilmente registros compartidos con puntos de acceso de Amazon S3.
Sobre los autores
Kiran Khambete Trabaja como gerente técnico senior de cuentas en Amazon Web Services (AWS). Como TAM, Kiran actúa como experto técnico y guía estratégico para ayudar a los clientes empresariales a alcanzar sus objetivos comerciales.
Ankit Soni Con un total de 14 años de experiencia, es Ingeniero Jefe en NatWest Group, donde ha trabajado como arquitecto de infraestructura en la nube durante los últimos seis años.
Kesaraju Sai Sandeep es un ingeniero de nube especializado en servicios de big data en AWS.
[ad_2]