KMS-Verschlüsselung in Amazon Comprehend - Amazon Comprehend

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMS-Verschlüsselung in Amazon Comprehend

Amazon Comprehend arbeitet mit AWS Key Management Service (AWS KMS), um eine verbesserte Verschlüsselung für Ihre Daten bereitzustellen. Mit Amazon S3 können Sie Ihre Eingabedokumente bereits verschlüsseln, wenn Sie eine Textanalyse, Themenmodellierung oder einen benutzerdefinierten Amazon Comprehend-Auftrag erstellen. Durch die Integration mit AWS KMS können Sie die Daten im Speichervolume für Start*- und Create*-Aufträge verschlüsseln und die Ausgabeergebnisse von Start*-Aufträgen mit Ihrem eigenen KMS-Schlüssel verschlüsseln.

Für die verschlüsselt AWS Management Console Amazon Comprehend benutzerdefinierte Modelle mit einem eigenen KMS-Schlüssel. Für die kann AWS CLI Amazon Comprehend benutzerdefinierte Modelle entweder mit einem eigenen KMS-Schlüssel oder einem bereitgestellten kundenverwalteten Schlüssel (CMK) verschlüsseln.

KMS-Verschlüsselung mit der AWS Management Console

Bei Verwendung der Konsole sind zwei Verschlüsselungsoptionen verfügbar:

  • Volume-Verschlüsselung

  • Ausgabeergebnisverschlüsselung

So aktivieren Sie die Volume-Verschlüsselung

  1. Wählen Sie unter Auftragseinstellungen die Option Auftragsverschlüsselung aus.

    KMS-Auftragsverschlüsselung in der AWS Management Console

  2. Wählen Sie aus, ob der kundenverwaltete Schlüssel (CMK) von KMS aus dem Konto stammt, das Sie gerade verwenden, oder aus einem anderen Konto. Wenn Sie einen Schlüssel aus dem aktuellen Konto verwenden möchten, wählen Sie den Schlüsselalias aus der KMS-Schlüssel-ID aus. Wenn Sie einen Schlüssel aus einem anderen Konto verwenden, müssen Sie den ARN des Schlüssels eingeben.

So aktivieren Sie die Verschlüsselung der Ausgabeergebnisse

  1. Wählen Sie unter Ausgabeeinstellungen die Option Verschlüsselung aus.

    KMS-Ausgabeergebnisverschlüsselung in der AWS Management Console

  2. Wählen Sie aus, ob der vom Kunden verwaltete Schlüssel (CMK) von dem Konto stammt, das Sie derzeit verwenden, oder von einem anderen Konto. Wenn Sie einen Schlüssel aus dem aktuellen Konto verwenden möchten, wählen Sie die Schlüssel-ID aus der KMS-Schlüssel-ID aus. Wenn Sie einen Schlüssel aus einem anderen Konto verwenden, müssen Sie den ARN des Schlüssels eingeben.

Wenn Sie zuvor die Verschlüsselung mit SSE-KMS auf Ihren S3-Eingabedokumenten eingerichtet haben, kann Ihnen dies zusätzliche Sicherheit bieten. In diesem Fall muss die verwendete IAM-Rolle jedoch über die kms:Decrypt Berechtigung für den KMS-Schlüssel verfügen, mit dem die Eingabedokumente verschlüsselt sind. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für die Verwendung der KMS-Verschlüsselung.

KMS-Verschlüsselung mit -API-Operationen

Alle Amazon Comprehend- Start* und Create*-API-Operationen unterstützen KMS-verschlüsselte Eingabedokumente. - Describe* und List*-API-Operationen geben den KmsKeyId in zurückOutputDataConfig, wenn der ursprüngliche Auftrag als Eingabe KmsKeyId bereitgestellt wurde. Wenn es nicht als Eingabe bereitgestellt wurde, wird es nicht zurückgegeben.

Dies ist im folgenden AWS CLI-Beispiel mit der -StartEntitiesDetectionJobOperation zu sehen:

aws comprehend start-entities-detection-job \
     --region region \
     --data-access-role-arn "data access role arn" \    
     --entity-recognizer-arn "entity recognizer arn" \
     --input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \    
     --job-name job name \
     --language-code en \
     --output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
     --volumekmskeyid "Volume KMS key ID"
Anmerkung

Dieses Beispiel ist für Unix, Linux und macOS formatiert. Ersetzen Sie unter Windows den umgekehrten Schrägstrich (\), das Unix-Fortsetzungszeichen, am Ende jeder Zeile durch ein Caret-Zeichen oder Zirkumflex (^).

Kundenverwaltete Schlüssel (CMK)-Verschlüsselung mit -API-Operationen

Die benutzerdefinierten Modell-API-Operationen von Amazon Comprehend, CreateDocumentClassifier, und CreateEndpoint, unterstützen die CreateEntityRecognizerVerschlüsselung mit vom Kunden verwalteten Schlüsseln über die AWS CLI.

Sie benötigen eine IAM-Richtlinie, damit ein Prinzipal vom Kunden verwaltete Schlüssel verwenden oder verwalten kann. Diese Schlüssel werden im -ResourceElement der Richtlinienanweisung angegeben. Beschränken Sie als bewährte Methode vom Kunden verwaltete Schlüssel auf diejenigen, die die Prinzipale in Ihrer Richtlinienanweisung verwenden müssen.

Im folgenden AWS CLI-Beispiel wird ein benutzerdefinierter Entity Recognizer mit Modellverschlüsselung unter Verwendung der -CreateEntityRecognizerOperation erstellt:

aws comprehend create-entity-recognizer \
     --recognizer-name name \
     --data-access-role-arn data access role arn \    
     --language-code en \
     --model-kms-key-id Model KMS Key ID \ 
     --input-data-config file:///path/input-data-config.json
Anmerkung

Dieses Beispiel ist für Unix, Linux und macOS formatiert. Ersetzen Sie unter Windows den umgekehrten Schrägstrich (\), das Unix-Fortsetzungszeichen, am Ende jeder Zeile durch ein Caret-Zeichen oder Zirkumflex (^).