Amazon SageMaker Ground Truth está redefiniendo el etiquetado de datos al fusionar la intervención humana y el aprendizaje automático para automatizar este proceso. Este servicio facilita la creación de trabajos de etiquetado, flujos de trabajo donde se requiere que los trabajadores humanos anoten objetos de datos como imágenes, videos o documentos. Los trabajos se asignan a equipos de trabajo específicos, compuestos por empleados dedicados a realizar estas anotaciones. Para acceder a los objetos de datos, los trabajadores reciben URLs prefirmadas de Amazon S3, que son enlaces temporales con acceso limitado a los objetos almacenados en Amazon Simple Storage Service (Amazon S3).
Estas URLs prefirmadas se generan mediante el filtro Liquid grant_read_access y se integran en las plantillas de tareas. Los trabajadores pueden utilizarlas para acceder directamente a los archivos necesarios en sus navegadores web. Sin embargo, compartir estas URLs fuera del equipo de trabajo puede conducir a accesos no autorizados. Para abordar este problema y reforzar la seguridad, se ha implementado una nueva funcionalidad que restringe el acceso a las URLs prefirmadas según la dirección IP del trabajador o el punto final de la nube privada virtual (VPC) desde donde se realiza la tarea de etiquetado.
En respuesta a las preocupaciones de seguridad planteadas por los clientes, se introdujo una característica que utiliza las claves de contexto de condición global de AWS aws:SourceIp y aws:VpcSourceIp. Esto permite a los clientes limitar el acceso a las URLs prefirmadas únicamente a direcciones IP específicas o puntos finales de VPC. Mediante restricciones de políticas IAM, ahora es posible confinar el acceso a estas URLs a direcciones IP o puntos finales de VPC elegidos, minimizando de esta manera el riesgo de accesos no intencionados o compartición indebida.
Esta actualización ofrece múltiples beneficios para la seguridad en SageMaker Ground Truth, incluyendo:
- Mejora de la privacidad de los datos: Protege la información sensible al controlar estrictamente quién puede acceder a los objetos.
- Reducción del riesgo de acceso no autorizado: Limita la posibilidad de que usuarios no autorizados accedan a los datos.
- Opciones de seguridad flexibles: Permite a las organizaciones adaptar las restricciones según sus necesidades específicas.
- Auditoría y cumplimiento más sencillo: Facilita el seguimiento y cumplimiento de normativas de seguridad.
- Integración sin fricciones: Se adapta a los flujos de trabajo existentes sin complicaciones significativas.
Para activar esta nueva funcionalidad, es posible configurarla a través de la API de SageMaker o desde la interfaz de línea de comandos de AWS (AWS CLI) al crear o actualizar equipos de trabajo. Además, se pueden establecer restricciones específicas de acceso IP para las URLs prefirmadas.
Es fundamental comprender en qué escenarios las URLs prefirmadas restringidas por IP son eficaces y en cuáles no lo son. Por ejemplo, en redes con direcciones IP constantes, estas restricciones pueden ofrecer una seguridad adicional. No obstante, en entornos con NATs, VPNs o puntos finales de VPC asimétricos, las restricciones pueden ser menos eficaces.
En conclusión, la introducción de URLs prefirmadas con restricciones de IP en Amazon SageMaker Ground Truth mejora significativamente la seguridad de los datos accedidos a través del servicio. Esta característica ofrece un control más detallado sobre las URLs prefirmadas, protegiendo la información sensible y representando una valiosa opción para organizaciones con altos requisitos de seguridad. Para empezar a utilizar SageMaker Ground Truth y aplicar estas medidas de seguridad, se recomienda consultar la documentación oficial y seguir las guías proporcionadas.
