Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Cifre sus datos de SageMaker Canvas con AWS KMS

Modo de enfoque
Cifre sus datos de SageMaker Canvas con AWS KMS - Amazon SageMaker AI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Es posible que tenga datos que desee cifrar mientras usa Amazon SageMaker Canvas, como la información privada de su empresa o los datos de sus clientes. SageMaker Canvas utiliza AWS Key Management Service para proteger sus datos. AWS KMS es un servicio que puede usar para crear y administrar claves criptográficas para cifrar sus datos. Para obtener más información al respecto AWS KMS, consulte AWS Key Management Servicela Guía para AWS KMS desarrolladores.

Amazon SageMaker Canvas le ofrece varias opciones para cifrar sus datos. SageMaker Canvas proporciona un cifrado predeterminado en la aplicación para tareas como la creación del modelo y la generación de información. También puede optar por cifrar los datos almacenados en Amazon S3 para proteger sus datos en reposo. SageMaker Canvas admite la importación de conjuntos de datos cifrados, por lo que puede establecer un flujo de trabajo cifrado. En las siguientes secciones, se describe cómo puede utilizar el AWS KMS cifrado para proteger sus datos al crear modelos con SageMaker Canvas.

Cifre sus datos en Canvas SageMaker

Con SageMaker Canvas, puede usar dos claves de AWS KMS cifrado diferentes para cifrar sus datos en SageMaker Canvas, que puede especificar al configurar su dominio mediante la configuración de dominio estándar. Estas claves se especifican en los siguientes pasos de configuración de dominio:

  • Paso 3: configuración de aplicaciones (opcional): al configurar la sección Configuración del almacenamiento de Canvas, puede especificar una Clave de cifrado. Se trata de una clave de KMS que SageMaker Canvas utiliza para el almacenamiento a largo plazo de objetos modelo y conjuntos de datos, que se almacenan en el depósito de Amazon S3 proporcionado para su dominio. Si va a crear una aplicación de Canvas con la CreateAppAPI, utilice el S3KMSKeyId campo para especificar esta clave.

  • Paso 6: Configurar el almacenamiento: SageMaker Canvas utiliza una clave para cifrar el espacio privado de Amazon SageMaker Studio que se crea para la aplicación de Canvas, que incluye el almacenamiento temporal de aplicaciones, las visualizaciones y los trabajos de computación (como la creación de modelos). Puede usar la clave AWS administrada predeterminada o especificar la suya propia. Si especifica su AWS KMS clave, los datos almacenados en el /home/sagemaker-user directorio se cifran con su clave. Si no especificas ninguna AWS KMS clave, los datos que contiene /home/sagemaker-user se cifran con una clave AWS gestionada. Independientemente de si se especifica una AWS KMS clave, todos los datos que se encuentran fuera del directorio de trabajo se cifran con una clave AWS gestionada. Para obtener más información sobre el espacio de Studio y el almacenamiento de sus aplicaciones de Canvas, consulte Almacene los datos de la aplicación SageMaker Canvas en su propio SageMaker espacio de IA. Si va a crear una aplicación de Canvas con la CreateAppAPI, utilice el KmsKeyID campo para especificar esta clave.

Las claves anteriores pueden ser claves de KMS iguales o diferentes.

Requisitos previos

Para usar su propia clave KMS para cualquiera de los fines descritos anteriormente, primero debe conceder permiso al rol de IAM de su usuario para usar la clave. A continuación, puede especificar la clave KMS al configurar su dominio.

La forma más sencilla de conceder permiso a su rol para usar la clave es modificar la política de claves. Utilice el siguiente procedimiento para conceder a su rol los permisos necesarios.

  1. Abra la consola de AWS KMS.

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Modifique la política de claves para conceder permisos para las acciones kms:GenerateDataKey y kms:Decrypt al rol de IAM. Además, si va a modificar la política de claves que cifra el almacenamiento de sus aplicaciones de Canvas en el espacio de Studio, conceda la acción kms:CreateGrant. Puede agregar una instrucción similar a la siguiente:

    { "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" }
  4. Elija Guardar cambios.

El método menos preferido es modificar el rol de IAM del usuario para concederle permisos de uso o administración de la clave KMS. Si utiliza este método, la política de claves de KMS también debe permitir la administración del acceso a través de IAM. Para obtener información sobre cómo conceder permisos a una clave de KMS mediante el rol de IAM del usuario, consulte Especificación de claves KMS en declaraciones de políticas de IAM de la Guía para desarrolladores de AWS KMS .

Requisitos previos para previsión de series temporales

Para usar su AWS KMS clave para cifrar los modelos de previsión de series temporales en SageMaker Canvas, debe modificar la política de claves de la clave de KMS utilizada para almacenar objetos en Amazon S3. Su política de claves debe conceder permisos a laAmazonSageMakerCanvasForecastRole, que la SageMaker IA crea al conceder permisos de previsión de series temporales a sus usuarios. Amazon Forecast lo utiliza AmazonSageMakerCanvasForecastRole para realizar operaciones de previsión de series temporales en SageMaker Canvas. Su clave KMS debe conceder permisos a este rol con el fin de garantizar que los datos estén cifrados para la previsión de series temporales.

Para modificar los permisos de su política de claves de KMS para permitir la previsión cifrada de series temporales, haga lo siguiente.

  1. Abra la consola de AWS KMS.

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Modifique la política de claves para tener los permisos especificados en el siguiente ejemplo:

    { "Sid": "Enable IAM Permissions for Amazon Forecast KMS access", "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:Decrypt" ], "Resource": "*" }
  4. Elija Guardar cambios.

Ahora puede usar su clave KMS para cifrar las operaciones de previsión de series temporales en Canvas. SageMaker

nota

Los siguientes permisos solo son necesarios si utiliza el método de configuración de roles de IAM para configurar su previsión de series temporales. Agregue la siguiente política de permisos al rol de IAM de su usuario. También debe actualizar la política de claves con las políticas actualizadas necesarias para Amazon Forecast. Para obtener más información acerca de los permisos necesarios para la previsión de series temporales, consulte Conceda a sus usuarios permisos para realizar previsiones de series temporales.

{ "Sid": "Enable IAM Permissions for Amazon Forecast KMS access", "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>" }, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:GenerateDataKey" "kms:GenerateDataKeyWithoutPlainText", ], "Resource": "*" }

Cifre sus datos en la aplicación Canvas SageMaker

La primera clave de KMS que puede utilizar en SageMaker Canvas se utiliza para cifrar los datos de las aplicaciones almacenados en los volúmenes de Amazon Elastic Block Store (Amazon EBS) y en el Amazon Elastic File System que la SageMaker IA crea en su dominio. SageMaker Canvas cifra los datos con esta clave en la aplicación subyacente y en los sistemas de almacenamiento temporal que se crean al utilizar instancias de cómputo para crear modelos y generar información. SageMaker Canvas transfiere la clave a otros AWS servicios, como el piloto automático, cada vez que SageMaker Canvas inicia trabajos con ellos para procesar sus datos.

Puede especificar esta clave configurando el KmsKeyID en la llamada a la API CreateDomain o mientras realiza la configuración del dominio estándar en la consola. Si no especifica su propia clave de KMS, SageMaker AI utiliza una clave de KMS AWS administrada predeterminada para cifrar sus datos en la SageMaker aplicación Canvas.

Para especificar su propia clave de KMS para usarla en la aplicación SageMaker Canvas a través de la consola, primero configure su dominio Amazon SageMaker AI mediante la configuración estándar. Siga este procedimiento para completar la Sección de red y almacenamiento del dominio.

  1. Rellene la configuración de Amazon VPC que desee.

  2. En Clave de cifrado, elija Especifique el ARN de una clave de KMS.

  3. Para el ARN de KMS, introduzca el ARN de la clave de KMS, que debe tener un formato similar al siguiente: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Cifre los datos de SageMaker Canvas guardados en Amazon S3

La segunda clave de KMS que puede especificar se usa para los datos que SageMaker Canvas almacena en Amazon S3. Esta clave de KMS se especifica en el S3KMSKeyId campo de la llamada a la CreateDomain API o al realizar la configuración estándar del dominio en la consola de SageMaker IA. SageMaker Canvas guarda los duplicados de sus conjuntos de datos de entrada, datos de aplicaciones y modelos y datos de salida en el depósito SageMaker AI S3 predeterminado de la región para su cuenta. El patrón de nomenclatura de este depósito ess3://sagemaker-{Region}-{your-account-id}, y SageMaker Canvas almacena los datos en la Canvas/ carpeta.

  1. Active la opción Habilitar el uso compartido de recursos de bloc de notas.

  2. En cuanto a la Ubicación de S3 para los recursos de bloc de notas que se pueden compartir, deje la ruta predeterminada de Amazon S3. Tenga en cuenta que SageMaker Canvas no usa esta ruta de Amazon S3; esta ruta de Amazon S3 se usa para los portátiles Studio Classic.

  3. En Clave de cifrado, elija Especifique el ARN de una clave de KMS.

  4. Para el ARN de KMS, introduzca el ARN de la clave de KMS, que debe tener un formato similar al siguiente: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importación de conjuntos de datos cifrados desde Amazon S3

Es posible que sus usuarios tengan conjuntos de datos cifrados con una clave KMS. Si bien en la sección anterior se muestra cómo cifrar los datos en SageMaker Canvas y los datos almacenados en Amazon S3, debe conceder permisos adicionales a la función de IAM de su usuario si quiere importar datos de Amazon S3 que ya estén cifrados con. AWS KMS

Para conceder a sus usuarios permisos para importar conjuntos de datos cifrados de Amazon S3 a SageMaker Canvas, añada los siguientes permisos a la función de ejecución de IAM que ha utilizado para el perfil de usuario.

"kms:Decrypt", "kms:GenerateDataKey"

Para aprender a administrar los permisos de IAM para un rol, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM. Para obtener más información sobre las claves KMS, consulte Políticas de claves de AWS Key Management Service en la Guía para desarrolladores de AWS KMS .

FAQs

Consulte las siguientes preguntas frecuentes para obtener respuestas a las preguntas más frecuentes sobre el soporte de SageMaker Canvas AWS KMS .

R: No. SageMaker Canvas puede almacenar temporalmente su clave en caché o pasarla a otros AWS servicios (como el piloto automático), pero SageMaker Canvas no conserva su clave KMS.

P: ¿Conserva SageMaker Canvas mi clave KMS?

R: No. SageMaker Canvas puede almacenar temporalmente su clave en caché o pasarla a otros AWS servicios (como el piloto automático), pero SageMaker Canvas no conserva su clave KMS.

R: Es posible que el rol de IAM de su usuario no tenga permisos para usar esa clave KMS. Para conceder permisos de usuario, consulte los Requisitos previos. Otro posible error es que tenga una política de bucket en su bucket de Amazon S3 que requiera el uso de una clave KMS específica que no coincida con la clave de KMS que especificó en su dominio. Asegúrese de especificar la misma clave KMS para su bucket de Amazon S3 y su dominio.

R: Es posible que el rol de IAM de su usuario no tenga permisos para usar esa clave KMS. Para conceder permisos de usuario, consulte los Requisitos previos. Otro posible error es que tenga una política de bucket en su bucket de Amazon S3 que requiera el uso de una clave KMS específica que no coincida con la clave de KMS que especificó en su dominio. Asegúrese de especificar la misma clave KMS para su bucket de Amazon S3 y su dominio.

R: El bucket de Amazon S3 predeterminado sigue el patrón de nomenclatura s3://sagemaker-{Region}-{your-account-id}. La Canvas/ carpeta de este depósito almacena los datos de su aplicación SageMaker Canvas.

R: El bucket de Amazon S3 predeterminado sigue el patrón de nomenclatura s3://sagemaker-{Region}-{your-account-id}. La Canvas/ carpeta de este depósito almacena los datos de su aplicación SageMaker Canvas.

R: No, la SageMaker IA crea este depósito por usted.

R: No, la SageMaker IA crea este depósito por usted.

R: SageMaker Canvas usa el bucket Amazon S3 de SageMaker IA predeterminado para almacenar duplicados de sus conjuntos de datos de entrada, artefactos de modelos y salidas de modelos.

R: SageMaker Canvas usa el bucket Amazon S3 de SageMaker IA predeterminado para almacenar duplicados de sus conjuntos de datos de entrada, artefactos de modelos y salidas de modelos.

R: Con SageMaker Canvas, puede usar sus propias claves de cifrado AWS KMS para crear modelos de regresión, clasificación binaria y multiclase y previsión de series temporales, así como para realizar inferencias por lotes con su modelo.

R: Con SageMaker Canvas, puede usar sus propias claves de cifrado AWS KMS para crear modelos de regresión, clasificación binaria y multiclase y previsión de series temporales, así como para realizar inferencias por lotes con su modelo.

R: Sí. Debe conceder permisos adicionales a su clave KMS para poder realizar previsiones cifradas de series temporales. Para obtener más información sobre cómo modificar la política de claves para conceder permisos de previsión de series temporales, consulte Requisitos previos para previsión de series temporales.

R: Sí. Debe conceder permisos adicionales a su clave KMS para poder realizar previsiones cifradas de series temporales. Para obtener más información sobre cómo modificar la política de claves para conceder permisos de previsión de series temporales, consulte Requisitos previos para previsión de series temporales.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.