Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können Ihre Daten im Ruhezustand schützen, indem Sie die Verschlüsselung für SageMaker Geodatenfunktionen verwenden. Standardmäßig verwendet es serverseitige Verschlüsselung mit einem Amazon SageMaker Geospatial-eigenen Schlüssel. SageMaker Geospatial Capabilities unterstützt auch eine Option für serverseitige Verschlüsselung mit einem vom Kunden verwalteten KMS-Schlüssel.
Serverseitige Verschlüsselung mit verwaltetem Amazon SageMaker Geospatial Key (Standard)
SageMaker Geospatial-Funktionen verschlüsseln all Ihre Daten, einschließlich der Rechenergebnisse Ihrer Erdbeobachtungsaufträge (EOJ) und Vector Enrichment-Jobs (VEJ) zusammen mit all Ihren Service-Metadaten. Es gibt keine Daten, die unverschlüsselt in Geospatial Capabilities gespeichert werden. SageMaker Es verwendet einen AWS eigenen Standardschlüssel, um all Ihre Daten zu verschlüsseln.
Serverseitige Verschlüsselung mit vom Kunden verwaltetem KMS-Schlüssel (optional)
SageMaker Geospatiale Funktionen unterstützen die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene über der vorhandenen AWS eigenen Verschlüsselung hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
Festlegung und Pflege wichtiger Richtlinien
Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
Aktivieren und Deaktivieren wichtiger Richtlinien
Kryptographisches Material mit rotierendem Schlüssel
Hinzufügen von Tags
Erstellen von Schlüsselaliasen
Schlüssel für das Löschen von Schlüsseln planen
Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.
So nutzt SageMaker Geospatial Capabilities Zuschüsse in AWS KMS
SageMaker Für Geospatial Capabilities ist ein Zuschuss erforderlich, um Ihren vom Kunden verwalteten Schlüssel nutzen zu können. Wenn Sie ein EOJ oder ein VEJ erstellen, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt SageMaker Geospatial Capabilities in Ihrem Namen einen Zuschuss, indem es eine Anfrage an sendet. CreateGrant AWS KMS Grants in AWS KMS werden verwendet, um SageMaker Geospatial Capabilities Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren. Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, können SageMaker Geodatenfunktionen nicht auf die Daten zugreifen, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind.
Einen kundenverwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS Management Console oder der erstellen. AWS KMS APIs
Einen symmetrischen kundenverwalteten Schlüssel erstellen
Folgen Sie den Schritten zum Erstellen von KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service Entwicklerhandbuch.
Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Bestimmung des Zugriffs auf AWS KMS Schlüssel im AWS Key Management Service Entwicklerhandbuch.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Ressourcen für SageMaker Geodatenfunktionen verwenden zu können, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zugelassen sein. Der Hauptbenutzer für diese Operationen sollte die Ausführungsrolle sein, die Sie in der Anfrage für SageMaker Geodatenfunktionen angegeben haben. SageMaker Geospatial Capabilities übernimmt die in der Anforderung angegebene Ausführungsrolle zur Ausführung dieser KMS-Operationen.
kms:GenerateDataKeykms:Decryptkms:GenerateDataKeyWithoutPlaintext
Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für SageMaker Geodatenfunktionen hinzufügen können:
CreateGrant
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : "<Customer provided Execution Role ARN>"
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]Weitere Informationen zum Festlegen von Berechtigungen in einer Richtlinie finden Sie unter AWS KMS Berechtigungen im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.
Wenn Ihre Schlüsselrichtlinie nicht Ihren Kontostamm als Schlüsseladministrator vorsieht, müssen Sie dieselben KMS-Berechtigungen für Ihre Ausführungsrolle ARN hinzufügen. Hier ist eine Beispielrichtlinie, die Sie der Ausführungsrolle hinzufügen können:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"<KMS key Arn>"
],
"Effect": "Allow"
}
]
}Überwachung Ihrer Verschlüsselungsschlüssel im Hinblick auf SageMaker Geodatenfunktionen
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren SageMaker Geospatial-Ressourcen verwenden, können Sie Amazon CloudWatch Logs verwenden AWS CloudTrail , um Anfragen zu verfolgen, an die SageMaker Geospatial gesendet wird. AWS KMS
Wählen Sie eine Registerkarte in der folgenden Tabelle aus, um Beispiele für AWS CloudTrail Ereignisse zur Überwachung von KMS-Vorgängen zu sehen, die von SageMaker Geospatial Capabilities aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}