Amazon SageMaker Ground Truth está transformando el proceso de etiquetado de datos al combinar la intervención humana con el aprendizaje automático, creando flujos de trabajo automatizados que asignan tareas de anotación de objetos como imágenes, videos o documentos. Los trabajadores humanos utilizan URLs prefirmadas de Amazon S3, otorgando acceso limitado en tiempo a los objetos necesarios para la anotación.
Estas URLs son generadas utilizando el filtro Liquid grant_read_access y se integran directamente en las plantillas de tareas. Aunque prácticas, estas URLs pueden ser compartidas involuntariamente, lo que implica riesgos de acceso no autorizado. Para abordar esta vulnerabilidad, se ha implementado una nueva característica: restricción de IP para las URLs prefirmadas.
Trabajando conjuntamente con los clientes, se identificó la necesidad de fortalecer la seguridad y controlar estrictamente el acceso a estas URLs. Así, se introdujeron restricciones que utilizan las claves de contexto de condición global de AWS aws:SourceIp y aws:VpcSourceIp, permitiendo a los clientes restringir el acceso solo a direcciones IP específicas o puntos finales de VPC.
Con la integración de políticas IAM, ahora es posible limitar el acceso a las URLs prefirmadas únicamente desde ubicaciones previamente seleccionadas. Esto bloquea efectivamente el acceso no autorizado y reduce el riesgo de compartir URLs de forma no intencionada.
Esta actualización aporta varios beneficios clave:
- Mejora la privacidad de los datos.
- Reduce el riesgo de accesos no autorizados.
- Ofrece opciones de seguridad flexibles.
- Facilita auditorías y cumplimiento normativo.
- Se integra de manera fluida con los flujos de trabajo preexistentes.
Para activar esta función, puede configurarse a través de la API de SageMaker o mediante la interfaz de línea de comandos de AWS (CLI) al crear o actualizar equipos de trabajo. Además, es posible establecer restricciones específicas de acceso IP para las URLs prefirmadas.
Comprender cuándo las restricciones de IP son efectivas es crucial. En redes con IPs consistentes, ofrecen seguridad adicional. Sin embargo, en entornos con NATs, VPNs o endpoints de VPC asimétricos, estas restricciones pueden no ser tan efectivas.
En resumen, la introducción de URLs prefirmadas con restricción de IP en Amazon SageMaker Ground Truth refuerza significativamente la seguridad de los datos. Proporciona un control más fino sobre el acceso a información sensible, convirtiéndose en una opción valiosa para organizaciones con exigencias de seguridad rigurosas. Para empezar a utilizar SageMaker Ground Truth y configurar estas medidas, consulte la documentación oficial y siga las guías proporcionadas.
