Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS

PDF
RSS
Fokusmodus
Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS - Amazon SageMaker KI
Verschlüsseln Sie Ihre Daten in Canvas SageMaker Importieren verschlüsselter Datensätze aus Amazon S3FAQs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möglicherweise haben Sie Daten, die Sie bei der Nutzung von Amazon SageMaker Canvas verschlüsseln möchten, z. B. Ihre privaten Unternehmensinformationen oder Kundendaten. SageMaker Canvas verwendet AWS Key Management Service , um Ihre Daten zu schützen. AWS KMS ist ein Dienst, mit dem Sie kryptografische Schlüssel zur Verschlüsselung Ihrer Daten erstellen und verwalten können. Weitere Informationen AWS KMS dazu finden Sie AWS Key Management Serviceim AWS KMS Entwicklerhandbuch.

Amazon SageMaker Canvas bietet Ihnen mehrere Optionen zum Verschlüsseln Ihrer Daten. SageMaker Canvas bietet eine Standardverschlüsselung innerhalb der Anwendung für Aufgaben wie die Erstellung Ihres Modells und die Generierung von Erkenntnissen. Sie können sich auch dafür entscheiden, in Amazon S3 gespeicherte Daten zu verschlüsseln, um Ihre ruhenden Daten zu schützen. SageMaker Canvas unterstützt den Import verschlüsselter Datensätze, sodass Sie einen verschlüsselten Workflow einrichten können. In den folgenden Abschnitten wird beschrieben, wie Sie AWS KMS Verschlüsselung verwenden können, um Ihre Daten beim Erstellen von Modellen mit SageMaker Canvas zu schützen.

Verschlüsseln Sie Ihre Daten in Canvas SageMaker

Mit SageMaker Canvas können Sie zwei verschiedene AWS KMS Verschlüsselungsschlüssel verwenden, um Ihre Daten in SageMaker Canvas zu verschlüsseln. Diese können Sie bei der Einrichtung Ihrer Domain mit dem Standard-Domain-Setup angeben. Diese Schlüssel werden in den folgenden Schritten zur Einrichtung der Domain angegeben:

  • Schritt 3: Anwendungen konfigurieren — (Optional) — Bei der Konfiguration des Canvas-Speicherkonfigurationsabschnitts können Sie einen Verschlüsselungsschlüssel angeben. Dies ist ein KMS-Schlüssel, den SageMaker Canvas für die langfristige Speicherung von Modellobjekten und Datensätzen verwendet, die im bereitgestellten Amazon S3 S3-Bucket für Ihre Domain gespeichert sind. Wenn Sie eine Canvas-Anwendung mit der CreateAppAPI erstellen, verwenden Sie das S3KMSKeyId Feld, um diesen Schlüssel anzugeben.

  • Schritt 6: Speicher konfigurieren — SageMaker Canvas verwendet einen Schlüssel für die Verschlüsselung des privaten Amazon SageMaker Studio-Bereichs, der für Ihre Canvas-Anwendung erstellt wurde. Dazu gehören temporärer Anwendungsspeicher, Visualisierungen und Rechenaufträge (z. B. das Erstellen von Modellen). Sie können entweder den AWS verwalteten Standardschlüssel verwenden oder Ihren eigenen angeben. Wenn Sie Ihren AWS KMS Schlüssel angeben, werden die im /home/sagemaker-user Verzeichnis gespeicherten Daten mit Ihrem Schlüssel verschlüsselt. Wenn Sie keinen AWS KMS Schlüssel angeben, werden die /home/sagemaker-user darin enthaltenen Daten mit einem AWS verwalteten Schlüssel verschlüsselt. Unabhängig davon, ob Sie einen AWS KMS Schlüssel angeben, werden alle Daten außerhalb des Arbeitsverzeichnisses mit einem AWS verwalteten Schlüssel verschlüsselt. Weitere Informationen über den Studio-Bereich und Ihren Canvas-Anwendungsspeicher finden Sie unterSpeichern Sie SageMaker Canvas-Anwendungsdaten in Ihrem eigenen KI-Bereich SageMaker . Wenn Sie eine Canvas-Anwendung mit der CreateAppAPI erstellen, verwenden Sie das KmsKeyID Feld, um diesen Schlüssel anzugeben.

Bei den obigen Schlüsseln kann es sich um dieselben oder um unterschiedliche KMS-Schlüssel handeln.

Voraussetzungen

Um Ihren eigenen KMS-Schlüssel für einen der zuvor beschriebenen Zwecke zu verwenden, müssen Sie zunächst der IAM-Rolle Ihres Benutzers die Berechtigung zur Verwendung des Schlüssels erteilen. Anschließend können Sie den KMS-Schlüssel bei der Einrichtung Ihrer Domain angeben.

Die einfachste Methode, Ihrer Rolle die Erlaubnis zur Verwendung des Schlüssels zu erteilen, besteht darin, die Schlüsselrichtlinie zu ändern. Gehen Sie wie folgt vor, um Ihrer Rolle die erforderlichen Berechtigungen zu erteilen.

  1. Öffnen Sie die AWS KMS -Konsole.

  2. Wählen Sie im Abschnitt Key Policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  3. Ändern Sie die Richtlinie des Schlüssels, um der IAM-Rolle Berechtigungen für die kms:GenerateDataKey und kms:Decrypt -Aktionen zu gewähren. Wenn Sie außerdem die Schlüsselrichtlinie ändern, die Ihren Canvas-Anwendungsspeicher im Studio-Bereich verschlüsselt, gewähren Sie die kms:CreateGrant Aktion. Sie können eine Anweisung hinzufügen, die der folgenden ähnelt:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Wählen Sie Änderungen speichern.

Die weniger bevorzugte Methode besteht darin, die IAM-Rolle des Benutzers so zu ändern, dass dem Benutzer Berechtigungen zur Verwendung oder Verwaltung des KMS-Schlüssels erteilt werden. Wenn Sie diese Methode verwenden, muss die KMS-Schlüsselrichtlinie auch die Zugriffsverwaltung über IAM zulassen. Informationen zum Erteilen von Berechtigungen für einen KMS-Schlüssel über die IAM-Rolle des Benutzers finden Sie im AWS KMS Entwicklerhandbuch unter Angabe von KMS-Schlüsseln in IAM-Richtlinienerklärungen.

Verschlüsseln Sie Ihre Daten in der Canvas-Anwendung SageMaker

Der erste KMS-Schlüssel, den Sie in SageMaker Canvas verwenden können, wird für die Verschlüsselung von Anwendungsdaten verwendet, die auf Amazon Elastic Block Store (Amazon EBS) -Volumes und im Amazon Elastic File System gespeichert sind, das SageMaker KI in Ihrer Domain erstellt. SageMaker Canvas verschlüsselt Ihre Daten mit diesem Schlüssel in der zugrunde liegenden Anwendung und den temporären Speichersystemen, die bei der Verwendung von Compute-Instances für die Erstellung von Modellen und die Generierung von Erkenntnissen erstellt werden. SageMaker Canvas gibt den Schlüssel immer dann an andere AWS Dienste wie Autopilot weiter, wenn SageMaker Canvas mit ihnen Jobs zur Verarbeitung Ihrer Daten initiiert.

Sie können diesen Schlüssel angeben, indem Sie den KmsKeyID im CreateDomain API-Aufruf oder bei der Standardkonfiguration der Domäne in der Konsole festlegen. Wenn Sie keinen eigenen KMS-Schlüssel angeben, verwendet SageMaker AI einen standardmäßigen AWS verwalteten KMS-Schlüssel, um Ihre Daten in der SageMaker Canvas-Anwendung zu verschlüsseln.

Um Ihren eigenen KMS-Schlüssel für die Verwendung in der SageMaker Canvas-Anwendung über die Konsole anzugeben, richten Sie zunächst Ihre Amazon SageMaker AI-Domain mit dem Standard-Setup ein. Gehen Sie wie folgt vor, um den Bereich Netzwerk und Speicher für die Domain auszufüllen.

  1. Füllen Sie Ihre gewünschten Amazon VPC-Einstellungen aus.

  2. Wählen Sie unter Verschlüsselungsschlüssel die Option Eingabe eines KMS-Schlüssels ARN aus.

  3. Geben Sie für KMS-ARN den ARN für Ihren KMS-Schlüssel ein, der ein Format haben sollte, das dem folgenden ähnelt: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Verschlüsseln Sie Ihre in Amazon S3 gespeicherten SageMaker Canvas-Daten

Der zweite KMS-Schlüssel, den Sie angeben können, wird für Daten verwendet, die SageMaker Canvas in Amazon S3 speichert. Dieser KMS-Schlüssel wird im S3KMSKeyId Feld im CreateDomain API-Aufruf oder bei der Standarddomäneneinrichtung in der SageMaker AI-Konsole angegeben. SageMaker Canvas speichert Duplikate Ihrer Eingabedatensätze, Anwendungs- und Modelldaten sowie Ausgabedaten im standardmäßigen SageMaker AI S3-Bucket der Region für Ihr Konto. Das Benennungsmuster für diesen Bucket lautets3://sagemaker-{Region}-{your-account-id}, und SageMaker Canvas speichert Daten im Canvas/ Ordner.

  1. Aktivieren Sie die Option Freigabe von Notebook-Ressourcen aktivieren.

  2. Behalten Sie für den S3-Standort für gemeinsam nutzbare Notebook-Ressourcen den Amazon S3-Standardpfad bei. Beachten Sie, dass SageMaker Canvas diesen Amazon S3 S3-Pfad nicht verwendet. Dieser Amazon S3 S3-Pfad wird für Studio Classic-Notebooks verwendet.

  3. Wählen Sie unter Verschlüsselungsschlüssel die Option Eingabe eines KMS-Schlüssels ARN aus.

  4. Geben Sie für KMS-ARN den ARN für Ihren KMS-Schlüssel ein, der ein Format haben sollte, das dem folgenden ähnelt: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importieren verschlüsselter Datensätze aus Amazon S3

Ihre Benutzer haben möglicherweise Datensätze, die mit einem KMS-Schlüssel verschlüsselt wurden. Im vorherigen Abschnitt wird zwar gezeigt, wie Sie Daten in SageMaker Canvas und Daten, die in Amazon S3 gespeichert sind, verschlüsseln, aber Sie müssen der IAM-Rolle Ihres Benutzers zusätzliche Berechtigungen gewähren, wenn Sie Daten aus Amazon S3 importieren möchten, die bereits mit verschlüsselt sind. AWS KMS

Um Ihren Benutzern Berechtigungen zum Importieren verschlüsselter Datensätze aus Amazon S3 in SageMaker Canvas zu gewähren, fügen Sie der IAM-Ausführungsrolle, die Sie für das Benutzerprofil verwendet haben, die folgenden Berechtigungen hinzu.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Wie Sie die IAM-Berechtigungen für eine Rolle bearbeiten können, erfahren Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch. Weitere Informationen über KMS-Schlüssel finden Sie unter Schlüsselrichtlinien in AWS Key Management Service im AWS KMS -Entwicklerhandbuch.

FAQs

Antworten auf häufig gestellte Fragen zur SageMaker AWS KMS Canvas-Unterstützung finden Sie in den folgenden FAQs.

A: Nein. SageMaker Canvas kann Ihren Schlüssel vorübergehend zwischenspeichern oder an andere AWS Dienste (wie Autopilot) weitergeben, aber SageMaker Canvas speichert Ihren KMS-Schlüssel nicht.

F: Behält SageMaker Canvas meinen KMS-Schlüssel?

A: Nein. SageMaker Canvas kann Ihren Schlüssel vorübergehend zwischenspeichern oder an andere AWS Dienste (wie Autopilot) weitergeben, aber SageMaker Canvas speichert Ihren KMS-Schlüssel nicht.

A: Die IAM-Rolle Ihres Benutzers ist möglicherweise nicht berechtigt, diesen KMS-Schlüssel zu verwenden. Informationen zum Erteilen von Benutzerberechtigungen finden Sie unter Voraussetzungen. Ein weiterer möglicher Fehler besteht darin, dass Sie in Ihrem Amazon S3 S3-Bucket eine Bucket-Richtlinie haben, die die Verwendung eines bestimmten KMS-Schlüssels erfordert, der nicht mit dem KMS-Schlüssel übereinstimmt, den Sie in Ihrer Domain angegeben haben. Stellen Sie sicher, dass Sie denselben KMS-Schlüssel für Ihren Amazon S3 S3-Bucket und Ihre Domain angeben.

A: Die IAM-Rolle Ihres Benutzers ist möglicherweise nicht berechtigt, diesen KMS-Schlüssel zu verwenden. Informationen zum Erteilen von Benutzerberechtigungen finden Sie unter Voraussetzungen. Ein weiterer möglicher Fehler besteht darin, dass Sie in Ihrem Amazon S3 S3-Bucket eine Bucket-Richtlinie haben, die die Verwendung eines bestimmten KMS-Schlüssels erfordert, der nicht mit dem KMS-Schlüssel übereinstimmt, den Sie in Ihrer Domain angegeben haben. Stellen Sie sicher, dass Sie denselben KMS-Schlüssel für Ihren Amazon S3 S3-Bucket und Ihre Domain angeben.

A: Der standardmäßige Amazon-S3-Bucket folgt dem Benennungsmuster s3://sagemaker-{Region}-{your-account-id}. Der Canvas/ Ordner in diesem Bucket speichert Ihre SageMaker Canvas-Anwendungsdaten.

A: Der standardmäßige Amazon-S3-Bucket folgt dem Benennungsmuster s3://sagemaker-{Region}-{your-account-id}. Der Canvas/ Ordner in diesem Bucket speichert Ihre SageMaker Canvas-Anwendungsdaten.

A: Nein, SageMaker KI erstellt diesen Bucket für Sie.

A: Nein, SageMaker KI erstellt diesen Bucket für Sie.

A: SageMaker Canvas verwendet den standardmäßigen SageMaker AI-Amazon S3-Bucket, um Duplikate Ihrer Eingabedatensätze, Modellartefakte und Modellausgaben zu speichern.

A: SageMaker Canvas verwendet den standardmäßigen SageMaker AI-Amazon S3-Bucket, um Duplikate Ihrer Eingabedatensätze, Modellartefakte und Modellausgaben zu speichern.

A: Mit SageMaker Canvas können Sie Ihre eigenen Verschlüsselungsschlüssel AWS KMS für die Erstellung von Regressions-, binären und Mehrklassenklassifizierungs- und Zeitreihenprognosemodellen sowie für Batch-Inferenzen mit Ihrem Modell verwenden.

A: Mit SageMaker Canvas können Sie Ihre eigenen Verschlüsselungsschlüssel AWS KMS für die Erstellung von Regressions-, binären und Mehrklassenklassifizierungs- und Zeitreihenprognosemodellen sowie für Batch-Inferenzen mit Ihrem Modell verwenden.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.