RESOURCES

보안을 강화하기 위해 Amazon SageMaker 고객은 이제 노트북 인스턴스에 대한 액세스를 다양한 IP 주소로 제한할 수 있습니다.

IP 주소 필터링은 트래픽의 일부만 노트북 인스턴스에 액세스하도록 허용해야 하는 경우에 유용합니다. 다음과 같은 방법으로 노트북 액세스를 제한할 수 있습니다.

• IP 주소의 특정 화이트리스트를 제외한 트래픽을 차단하여 보안 및 규정 준수 요구 사항을 준수합니다.
• 특정 지역 또는 인구 통계 자료를 테스트합니다.
• 한 그룹의 사람들로 진행 중인 실험에만 액세스할 수 있습니다.

IP 주소로 노트북 인스턴스 액세스를 제한하려면 Amazon SageMaker 노트북에 액세스할 모든 사용자 또는 그룹에 대한 AWS IAM(ID 및 액세스 관리) 역할에 IP 주소 조건부 운영자 정책을 연결해야 합니다. IAM은 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. 정책은 ID 또는 리소스에 연결된 경우 사용 권한을 정의하는 엔티티입니다.

IP 주소 조건부 연산자가 포함된 IAM 정책은 지정한 목록의 IP 주소에서 통화가 수신되지 않는 경우 CreatePresignedNotebookInstanceUrl과 AuthorizedUrl에 대한 액세스를 거부합니다. 또한 이 정책은 Amazon SageMaker 콘솔에서 노트북 인스턴스를 여는 액세스도 제한합니다. Effect를 Deny로 정의하고 aws:SourceIP 키와 함께 NotIpAddress 조건부 연산자를 사용하면 노트북 인스턴스에 액세스할 IP 주소 목록을 제외한 인터넷에서 들어오는 모든 트래픽을 차단할 수 있습니다.

IP 주소 조건은 키를 IPv4 또는 IPv6 주소 또는 IP 주소 범위에 대한 비교를 기준으로 액세스를 제한합니다. 값은 표준 CIDR 형식(203.0.113.0/24 또는 2001:DB8:1234:5678::/64)이어야 합니다. 연결된 라우팅 prefix 없이 IP 주소를 지정할 경우 IAM은 기본 prefix 값인 /32를 사용합니다.

다음은 192.0.2.0-192.0.255 및 203.0.113.0-203.0.113.255 범위의 IP 주소로만 노트북 인스턴스에 대한 액세스를 제한하는 예제 정책입니다.

{

     “Version”: “2012-10-17”,

     “Statement”: {

         “Effect”: “Deny”,

         “Action”: “sagemaker:CreatePresignedNotebookInstanceUrl”,

         “Resource”: “*”,

         “Condition”: {

             “NotIpAddress”: {

                 “aws:SourceIp”: [

                     “192.0.2.0/24”,

                     “203.0.113.0/24”

                 ]

             }

         }

     }

 }

이 방법은 회사의 IP 주소가 정의된 범위 내에 있을 때 유용합니다. IP 주소로 필터링하기 위해 이 방법을 사용하는 것은 VPC 인터페이스 엔드포인트를 통해 Amazon SageMaker에 연결하는 것과 호환되지 않습니다. 이는 현재 인터넷에서만 Amazon SageMaker 노트북 인스턴스에 액세스할 수 있기 때문입니다.

원문 URL: https://aws.amazon.com/ko/blogs/machine-learning/limit-access-to-a-jupyter-notebook-instance-by-ip-address/

** 메가존클라우드 TechBlog는 AWS BLOG 영문 게재글중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.