Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS - Amazon SageMaker
Verschlüsseln Sie Ihre Daten in Canvas SageMaker Importieren verschlüsselter Datensätze aus Amazon S3FAQs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS

Möglicherweise haben Sie Daten, die Sie bei der Nutzung von Amazon SageMaker Canvas verschlüsseln möchten, z. B. Ihre privaten Unternehmensinformationen oder Kundendaten. SageMaker Canvas verwendet AWS Key Management Service , um Ihre Daten zu schützen. AWS KMS ist ein Dienst, mit dem Sie kryptografische Schlüssel zur Verschlüsselung Ihrer Daten erstellen und verwalten können. Weitere Informationen AWS KMS dazu finden Sie AWS Key Management Serviceim AWS KMS Entwicklerhandbuch.

Amazon SageMaker Canvas bietet Ihnen mehrere Optionen zum Verschlüsseln Ihrer Daten. SageMaker Canvas bietet eine Standardverschlüsselung innerhalb der Anwendung für Aufgaben wie die Erstellung Ihres Modells und die Generierung von Erkenntnissen. Sie können sich auch dafür entscheiden, in Amazon S3 gespeicherte Daten zu verschlüsseln, um Ihre ruhenden Daten zu schützen. SageMaker Canvas unterstützt den Import verschlüsselter Datensätze, sodass Sie einen verschlüsselten Workflow einrichten können. In den folgenden Abschnitten wird beschrieben, wie Sie AWS KMS Verschlüsselung verwenden können, um Ihre Daten beim Erstellen von Modellen mit SageMaker Canvas zu schützen.

Verschlüsseln Sie Ihre Daten in Canvas SageMaker

Mit SageMaker Canvas können Sie zwei verschiedene AWS KMS Verschlüsselungsschlüssel verwenden, um Ihre Daten in SageMaker Canvas zu verschlüsseln. Diese können Sie bei der Einrichtung Ihrer Domain mit dem Standard-Domain-Setup angeben. Diese Schlüssel werden in den folgenden Schritten zur Einrichtung der Domain angegeben:

  • Schritt 3: Anwendungen konfigurieren — (Optional) — Bei der Konfiguration des Canvas-Speicherkonfigurationsabschnitts können Sie einen Verschlüsselungsschlüssel angeben. Dies ist ein KMS Schlüssel, den SageMaker Canvas für die langfristige Speicherung von Modellobjekten und Datensätzen verwendet, die im bereitgestellten Amazon S3 S3-Bucket für Ihre Domain gespeichert sind. Wenn Sie eine Canvas-Anwendung mit dem erstellen CreateAppAPI, verwenden Sie das S3KMSKeyId Feld, um diesen Schlüssel anzugeben.

  • Schritt 6: Speicher konfigurieren — SageMaker Canvas verwendet einen Schlüssel für die Verschlüsselung des privaten Amazon SageMaker Studio-Bereichs, der für Ihre Canvas-Anwendung erstellt wurde. Dazu gehören temporärer Anwendungsspeicher, Visualisierungen und Rechenaufträge (z. B. das Erstellen von Modellen). Sie können entweder den AWS verwalteten Standardschlüssel verwenden oder Ihren eigenen angeben. Wenn Sie Ihren AWS KMS Schlüssel angeben, werden die im /home/sagemaker-user Verzeichnis gespeicherten Daten mit Ihrem Schlüssel verschlüsselt. Wenn Sie keinen AWS KMS Schlüssel angeben, werden die /home/sagemaker-user darin enthaltenen Daten mit einem AWS verwalteten Schlüssel verschlüsselt. Unabhängig davon, ob Sie einen AWS KMS Schlüssel angeben, werden alle Daten außerhalb des Arbeitsverzeichnisses mit einem AWS verwalteten Schlüssel verschlüsselt. Weitere Informationen über den Studio-Bereich und Ihren Canvas-Anwendungsspeicher finden Sie unterSpeichern Sie SageMaker Canvas-Anwendungsdaten in Ihrem eigenen Bereich SageMaker. Wenn Sie eine Canvas-Anwendung mit dem erstellen CreateAppAPI, verwenden Sie das KmsKeyID Feld, um diesen Schlüssel anzugeben.

Bei den vorherigen Schlüsseln kann es sich um dieselben oder um unterschiedliche KMS Schlüssel handeln.

Voraussetzungen

Um Ihren eigenen KMS Schlüssel für einen der zuvor beschriebenen Zwecke verwenden zu können, müssen Sie zunächst der IAM Rolle Ihres Benutzers die Berechtigung zur Verwendung des Schlüssels erteilen. Anschließend können Sie den KMS Schlüssel bei der Einrichtung Ihrer Domain angeben.

Die einfachste Methode, Ihrer Rolle die Erlaubnis zur Verwendung des Schlüssels zu erteilen, besteht darin, die Schlüsselrichtlinie zu ändern. Gehen Sie wie folgt vor, um Ihrer Rolle die erforderlichen Berechtigungen zu erteilen.

  1. Öffnen Sie die AWS KMS -Konsole.

  2. Wählen Sie im Abschnitt Key Policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  3. Ändern Sie die Richtlinie des Schlüssels, um der IAM Rolle Berechtigungen für die kms:GenerateDataKey und kms:Decrypt Aktionen zu gewähren. Wenn Sie außerdem die Schlüsselrichtlinie ändern, die Ihren Canvas-Anwendungsspeicher im Studio-Bereich verschlüsselt, gewähren Sie die kms:CreateGrant Aktion. Sie können eine Anweisung hinzufügen, die der folgenden ähnelt:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Wählen Sie Änderungen speichern.

Die weniger bevorzugte Methode besteht darin, die IAM Rolle des Benutzers so zu ändern, dass dem Benutzer Berechtigungen zur Verwendung oder Verwaltung des KMS Schlüssels erteilt werden. Wenn Sie diese Methode verwenden, muss die KMS Schlüsselrichtlinie auch die Zugriffsverwaltung zulassenIAM. Informationen dazu, wie Sie einem KMS Schlüssel über die IAM Rolle des Benutzers Berechtigungen erteilen, finden Sie unter Spezifizieren von KMS Schlüsseln in IAM Richtlinienerklärungen im AWS KMS Entwicklerhandbuch.

Voraussetzungen für Zeitreihenprognosen

Um Ihren AWS KMS Schlüssel zur Verschlüsselung von Zeitreihen-Prognosemodellen in SageMaker Canvas zu verwenden, müssen Sie die Schlüsselrichtlinie für den Schlüssel ändern, der KMS zum Speichern von Objekten in Amazon S3 verwendet wird. Ihre Schlüsselrichtlinie muss Berechtigungen für die gewährenAmazonSageMakerCanvasForecastRole, was SageMaker entsteht, wenn Sie Ihren Benutzern Berechtigungen für Zeitreihenprognosen gewähren. Amazon Forecast verwendet dieAmazonSageMakerCanvasForecastRole, um Zeitreihenprognosen in SageMaker Canvas durchzuführen. Ihr KMS Schlüssel muss Berechtigungen für diese Rolle gewähren, um sicherzustellen, dass Daten für Zeitreihenprognosen verschlüsselt werden.

Gehen Sie wie folgt vor, um die Berechtigungen Ihrer KMS Schlüsselrichtlinie so zu ändern, dass verschlüsselte Zeitreihenprognosen möglich sind.

  1. Öffnen Sie die AWS KMS -Konsole.

  2. Wählen Sie im Abschnitt Key Policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  3. Ändern Sie die Richtlinie des Schlüssels so, dass sie über die im folgenden Beispiel angegebenen Berechtigungen verfügt:

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. Wählen Sie Änderungen speichern.

Sie können jetzt Ihren KMS Schlüssel verwenden, um Zeitreihenprognosen in Canvas zu verschlüsseln. SageMaker

Anmerkung

Die folgenden Berechtigungen sind nur erforderlich, wenn Sie die IAMRolleneinrichtungsmethode verwenden, um Zeitreihenprognosen zu konfigurieren. Fügen Sie der IAM Rolle Ihres Benutzers die folgende Berechtigungsrichtlinie hinzu. Sie müssen auch die wichtigsten Richtlinien mit den aktualisierten Richtlinien aktualisieren, die für Amazon Forecast erforderlich sind. Weitere Informationen zu den erforderlichen Berechtigungen für Zeitreihenprognosen finden Sie unter Erteilen Sie Ihren Benutzern Berechtigungen zur Durchführung von Zeitreihenprognosen.

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Verschlüsseln Sie Ihre Daten in der SageMaker Canvas-Anwendung

Der erste KMS Schlüssel, den Sie in SageMaker Canvas verwenden können, wird für die Verschlüsselung von Anwendungsdaten verwendet, die auf Amazon Elastic Block Store (AmazonEBS) -Volumes und im Amazon Elastic File System gespeichert sind, das in Ihrer Domain SageMaker erstellt wird. SageMaker Canvas verschlüsselt Ihre Daten mit diesem Schlüssel in den zugrunde liegenden Anwendungs- und temporären Speichersystemen, die bei der Verwendung von Compute-Instances für die Erstellung von Modellen und die Generierung von Erkenntnissen erstellt werden. SageMaker Canvas gibt den Schlüssel immer dann an andere AWS Dienste wie Autopilot weiter, wenn SageMaker Canvas mit ihnen Jobs zur Verarbeitung Ihrer Daten initiiert.

Sie können diesen Schlüssel angeben, indem Sie den KmsKeyID im CreateDomain API Anruf oder bei der Standardkonfiguration der Domäne in der Konsole festlegen. Wenn Sie keinen eigenen KMS Schlüssel angeben, SageMaker verwendet er einen AWS verwalteten KMS Standardschlüssel, um Ihre Daten in der SageMaker Canvas-Anwendung zu verschlüsseln.

Um Ihren eigenen KMS Schlüssel für die Verwendung in der SageMaker Canvas-Anwendung über die Konsole anzugeben, richten Sie zunächst Ihre SageMaker Amazon-Domain mit dem Standard-Setup ein. Gehen Sie wie folgt vor, um den Bereich Netzwerk und Speicher für die Domain auszufüllen.

  1. Füllen Sie Ihre gewünschten VPC Amazon-Einstellungen aus.

  2. Wählen Sie unter Verschlüsselungsschlüssel die Option KMSSchlüssel eingeben ausARN.

  3. Geben Sie ARN für KMSARNIhren KMS Schlüssel den ein, der ein Format haben sollte, das dem folgenden ähnelt: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Verschlüsseln Sie Ihre in Amazon S3 gespeicherten SageMaker Canvas-Daten

Der zweite KMS Schlüssel, den Sie angeben können, wird für Daten verwendet, die SageMaker Canvas in Amazon S3 speichert. Dieser KMS Schlüssel wird im S3KMSKeyId Feld des CreateDomain API Aufrufs oder bei der Standarddomäneneinrichtung in der SageMaker Konsole angegeben. SageMaker Canvas speichert Duplikate Ihrer Eingabedatensätze, Anwendungs- und Modelldaten sowie Ausgabedaten im SageMaker Standard-S3-Bucket der Region für Ihr Konto. Das Benennungsmuster für diesen Bucket lautets3://sagemaker-{Region}-{your-account-id}, und SageMaker Canvas speichert Daten im Canvas/ Ordner.

  1. Aktivieren Sie die Option Freigabe von Notebook-Ressourcen aktivieren.

  2. Behalten Sie für den S3-Standort für gemeinsam nutzbare Notebook-Ressourcen den Amazon S3-Standardpfad bei. Beachten Sie, dass SageMaker Canvas diesen Amazon S3 S3-Pfad nicht verwendet. Dieser Amazon S3 S3-Pfad wird für Studio Classic-Notebooks verwendet.

  3. Wählen Sie unter Verschlüsselungsschlüssel die Option KMSSchlüssel eingeben ausARN.

  4. Geben Sie ARN für KMSARNIhren KMS Schlüssel den ein, der ein Format haben sollte, das dem folgenden ähnelt: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importieren verschlüsselter Datensätze aus Amazon S3

Ihre Benutzer haben möglicherweise Datensätze, die mit einem KMS Schlüssel verschlüsselt wurden. Im vorherigen Abschnitt wird zwar gezeigt, wie Sie Daten in SageMaker Canvas und Daten, die in Amazon S3 gespeichert sind, verschlüsseln, aber Sie müssen der IAM Rolle Ihres Benutzers zusätzliche Berechtigungen gewähren, wenn Sie Daten aus Amazon S3 importieren möchten, die bereits mit AWS KMS verschlüsselt sind.

Um Ihren Benutzern Berechtigungen zum Importieren verschlüsselter Datensätze aus Amazon S3 in SageMaker Canvas zu gewähren, fügen Sie der IAM Ausführungsrolle, die Sie für das Benutzerprofil verwendet haben, die folgenden Berechtigungen hinzu.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Informationen zum Bearbeiten der IAM Berechtigungen für eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen im IAMBenutzerhandbuch. Weitere Informationen zu KMS Schlüsseln finden Sie unter Wichtige Richtlinien AWS Key Management Service im AWS KMS Entwicklerhandbuch.

FAQs

In den folgenden Abschnitten FAQ finden Sie Antworten auf häufig gestellte Fragen zur SageMaker AWS KMS Canvas-Unterstützung.

A: Nein. SageMaker Canvas kann Ihren Schlüssel vorübergehend zwischenspeichern oder an andere AWS Dienste (wie Autopilot) weitergeben, aber SageMaker Canvas speichert Ihren KMS Schlüssel nicht.

A: Die IAM Rolle Ihres Benutzers ist möglicherweise nicht berechtigt, diesen KMS Schlüssel zu verwenden. Informationen zum Erteilen von Benutzerberechtigungen finden Sie unter Voraussetzungen. Ein weiterer möglicher Fehler ist, dass Sie eine Bucket-Richtlinie für Ihren Amazon S3 S3-Bucket haben, die die Verwendung eines bestimmten KMS Schlüssels erfordert, der nicht mit dem KMS Schlüssel übereinstimmt, den Sie in Ihrer Domain angegeben haben. Stellen Sie sicher, dass Sie denselben KMS Schlüssel für Ihren Amazon S3 S3-Bucket und Ihre Domain angeben.

A: Der standardmäßige Amazon-S3-Bucket folgt dem Benennungsmuster s3://sagemaker-{Region}-{your-account-id}. Der Canvas/ Ordner in diesem Bucket speichert Ihre SageMaker Canvas-Anwendungsdaten.

A: Nein, SageMaker erstellt diesen Bucket für Sie.

A: SageMaker Canvas verwendet den standardmäßigen SageMaker Amazon S3 S3-Bucket, um Duplikate Ihrer Eingabedatensätze, Modellartefakte und Modellausgaben zu speichern.

A: Mit SageMaker Canvas können Sie Ihre eigenen Verschlüsselungsschlüssel AWS KMS für die Erstellung von Regressions-, binären und Mehrklassenklassifikations- und Zeitreihenprognosemodellen sowie für Batch-Inferenzen mit Ihrem Modell verwenden.

A: Ja. Sie müssen Ihrem KMS Schlüssel zusätzliche Berechtigungen erteilen, um verschlüsselte Zeitreihenprognosen durchführen zu können. Weitere Informationen dazu, wie Sie die Richtlinie Ihres Schlüssels ändern können, um Berechtigungen für Zeitreihenprognosen zu erteilen, finden Sie unter Voraussetzungen für Zeitreihenprognosen.