Amazon SageMaker Ground Truth está revolucionando la forma en que se etiquetan datos al combinar la intervención humana con el aprendizaje automático para automatizar el proceso de etiquetado. Este servicio permite crear trabajos de etiquetado, que son flujos de trabajo donde se requiere que los trabajadores humanos anoten objetos de datos como imágenes, videos o documentos. Estos trabajos se distribuyen entre un equipo de trabajo, que es un grupo de trabajadores asignados para realizar las anotaciones. Para acceder a los objetos de datos que necesitan etiquetar, los trabajadores reciben URLs prefirmadas de Amazon S3, las cuales son URLs temporales que otorgan acceso limitado en tiempo a un objeto de Amazon Simple Storage Service (Amazon S3).
Estas URLs prefirmadas se generan utilizando el filtro Liquid grant_read_access y se integran en las plantillas de tareas. Luego, los trabajadores pueden usar estas URLs para acceder directamente a los archivos necesarios, como imágenes o documentos, en sus navegadores web para fines de anotación. A pesar de su conveniencia, compartir estas URLs fuera del equipo de trabajo puede llevar a un acceso no intencionado de los objetos. Para mitigar este riesgo y mejorar la seguridad de las tareas de etiquetado, se ha introducido una nueva característica que restringe el acceso a las URLs prefirmadas según la dirección IP del trabajador o el punto final de la nube privada virtual (VPC) desde donde accede a la tarea de etiquetado.
Trabajando en estrecha colaboración con los clientes, se reconoció la necesidad de una postura de seguridad mejorada y controles de acceso más estrictos para las URLs prefirmadas. Por lo tanto, se introdujo una característica que utiliza las claves de contexto de condición global de AWS aws:SourceIp y aws:VpcSourceIp para permitir a los clientes restringir el acceso a las URLs prefirmadas a direcciones IP específicas o puntos finales de VPC. Mediante la incorporación de restricciones de políticas IAM, ahora se puede restringir el acceso a las URLs prefirmadas solo desde una dirección IP o punto final de VPC elegidos, bloqueando efectivamente las URLs a la ubicación del trabajador y minimizando el riesgo de acceso no autorizado o compartición no intencionada.
Esta actualización ofrece múltiples beneficios significativos para la seguridad de SageMaker Ground Truth:
- Mejora de la privacidad de los datos.
- Reducción del riesgo de acceso no autorizado.
- Opciones de seguridad flexibles.
- Auditoría y cumplimiento más sencillo.
- Integración perfecta con flujos de trabajo existentes.
Para habilitar esta nueva característica, puede configurarse a través de la API de SageMaker o desde la interfaz de línea de comandos de AWS (AWS CLI) al crear o actualizar equipos de trabajo. Además, se pueden establecer restricciones específicas de acceso IP al acceder a las URLs prefirmadas.
Entender los escenarios en los que las URLs prefirmadas restringidas por IP son efectivas y aquellos donde pueden no serlo es crucial. Por ejemplo, en redes con direcciones IP consistentes, las restricciones IP pueden proporcionar una seguridad adicional. En contraste, en situaciones con NATs, VPNs o endpoints de VPC asimétricos, estas restricciones pueden ser menos efectivas.
En conclusión, la introducción de URLs prefirmadas restringidas por IP en Amazon SageMaker Ground Truth mejora significativamente la seguridad de los datos accedidos a través del servicio. Esta característica proporciona un control más fino sobre las URLs prefirmadas, protegiendo la información sensible y ofreciendo una opción valiosa para organizaciones con requisitos de seguridad estrictos. Para comenzar a usar SageMaker Ground Truth y configurar estas medidas de seguridad, consulte la documentación oficial y siga las guías proporcionadas.
