【发布时间】:2019-07-07 09:13:17
【问题描述】:
我创建了一个包含 VPC、私有子网和适当安全组的模型。但是,可以通过 Internet 访问端点 URL,尽管由于缺少安全令牌而失败
我现在需要澄清的事情是
- 有没有办法避免从 Internet 访问 URL
- 我们不会为 AUTH 上失败的请求收费(例如 API 网关)
- 这是否会使我们的部署容易受到任何攻击
【问题讨论】:
标签: amazon-web-services amazon-sagemaker
【发布时间】:2019-07-07 09:13:17
【问题描述】:
您访问的不是您的终端节点,而是 AWS SageMaker 运行时的终端节点。此端点正在检查访问您的托管模型的所有权限,并且仅当满足凭据和要求时,才会将请求转发到您的实例和模型。
因此,您无法阻止从 Internet 访问此 URL,但同时,您无需对其进行保护或付费。 AWS 在这些端点上具有高级别的安全性,我认为您没有更安全的方法来保护这些端点。
【讨论】:
-
感谢您的回答。但是我很困惑,因为一些官方博客aws.amazon.com/blogs/machine-learning/… 的内容需要 Lambda 和 API GW ,为什么在管理端点本身时需要它?当然不考虑我们需要预处理和自定义授权者的明显情况
-
向端点签名请求的复杂性通常通过API-GW(及其各种身份验证方法)和Lambda(及其IAM角色权限机制)的组合来解决。您还可以将 Cognito 用于临时凭证(使用其身份验证机制)。有很多选择,但没有一个比调用 REST 端点更简单。
-
知道了。但是如果我们使用客户端 SDK 调用端点,那么 API GW 和 Lambda 就变得多余了,对吧?
-
没错。如果你有 SDK,你可能有一个很好的链来提供调用 invoke_endpoint 的 sagemaker API 所需的凭据。