Cifre sus datos de SageMaker Canvas con AWS KMS - Amazon SageMaker
Cifre sus datos en Canvas SageMaker Importación de conjuntos de datos cifrados desde Amazon S3FAQs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifre sus datos de SageMaker Canvas con AWS KMS

Es posible que tenga datos que desee cifrar mientras usa Amazon SageMaker Canvas, como la información privada de su empresa o los datos de sus clientes. SageMaker Canvas utiliza AWS Key Management Service para proteger sus datos. AWS KMS es un servicio que puede usar para crear y administrar claves criptográficas para cifrar sus datos. Para obtener más información al respecto AWS KMS, consulte AWS Key Management Servicela Guía para AWS KMS desarrolladores.

Amazon SageMaker Canvas le ofrece varias opciones para cifrar sus datos. SageMaker Canvas proporciona un cifrado predeterminado en la aplicación para tareas como la creación del modelo y la generación de información. También puede optar por cifrar los datos almacenados en Amazon S3 para proteger sus datos en reposo. SageMaker Canvas admite la importación de conjuntos de datos cifrados, por lo que puede establecer un flujo de trabajo cifrado. En las siguientes secciones se describe cómo puede utilizar el AWS KMS cifrado para proteger sus datos al crear modelos con SageMaker Canvas.

Cifre sus datos en Canvas SageMaker

Con SageMaker Canvas, puede usar dos claves de AWS KMS cifrado diferentes para cifrar sus datos en SageMaker Canvas, que puede especificar al configurar su dominio mediante la configuración de dominio estándar. Estas claves se especifican en los siguientes pasos de configuración del dominio:

  • Paso 3: Configurar las aplicaciones (opcional): al configurar la sección de configuración del almacenamiento de Canvas, puede especificar una clave de cifrado. Se trata de una KMS clave que SageMaker Canvas utiliza para el almacenamiento a largo plazo de objetos modelo y conjuntos de datos, que se almacenan en el depósito de Amazon S3 proporcionado para su dominio. Si va a crear una aplicación de Canvas con CreateAppAPI, utilice el S3KMSKeyId campo para especificar esta clave.

  • Paso 6: Configurar el almacenamiento: SageMaker Canvas utiliza una clave para cifrar el espacio privado de Amazon SageMaker Studio que se crea para la aplicación de Canvas, que incluye almacenamiento temporal de aplicaciones, visualizaciones y trabajos de computación (como la creación de modelos). Puede usar la clave AWS administrada predeterminada o especificar la suya propia. Si especifica su AWS KMS clave, los datos almacenados en el /home/sagemaker-user directorio se cifran con su clave. Si no especificas una AWS KMS clave, los datos que contiene /home/sagemaker-user se cifran con una clave AWS gestionada. Independientemente de si se especifica una AWS KMS clave, todos los datos que se encuentran fuera del directorio de trabajo se cifran con una clave AWS gestionada. Para obtener más información sobre el espacio Studio y el almacenamiento de sus aplicaciones en Canvas, consulteGuarde los datos de la aplicación SageMaker Canvas en su propio espacio SageMaker. Si va a crear una aplicación de Canvas con CreateAppAPI, utilice el KmsKeyID campo para especificar esta clave.

Las claves anteriores pueden ser iguales o diferentesKMS.

Requisitos previos

Para usar su propia KMS clave para cualquiera de los fines descritos anteriormente, primero debe conceder permiso al IAM rol de su usuario para usar la clave. A continuación, puedes especificar la KMS clave al configurar tu dominio.

La forma más sencilla de conceder permiso a su rol para usar la clave es modificar la política de claves. Utilice el siguiente procedimiento para conceder a su rol los permisos necesarios.

  1. Abra la consola de AWS KMS.

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Modifica la política de la clave para conceder permisos kms:GenerateDataKey y kms:Decrypt acciones al IAM rol. Además, si va a modificar la política de claves que cifra el almacenamiento de su aplicación Canvas en el espacio Studio, autorice la kms:CreateGrant acción. Puede agregar una instrucción similar a la siguiente:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Elija Guardar cambios.

El método menos preferido es modificar el IAM rol del usuario para otorgarle permisos para usar o administrar la KMS clave. Si utiliza este método, la política de KMS claves también debe permitir la administración del accesoIAM. Para obtener información sobre cómo conceder permisos a una KMS clave mediante el IAM rol del usuario, consulte Especificar KMS claves en las declaraciones IAM de política de la Guía para AWS KMS desarrolladores.

Requisitos previos para previsión de series temporales

Para utilizar su AWS KMS clave para cifrar los modelos de previsión de series temporales en SageMaker Canvas, debe modificar la política de claves de la KMS clave utilizada para almacenar objetos en Amazon S3. Su política de claves debe conceder permisos aAmazonSageMakerCanvasForecastRole, lo que se SageMaker crea al conceder permisos de previsión de series temporales a sus usuarios. Amazon Forecast lo utiliza AmazonSageMakerCanvasForecastRole para realizar operaciones de previsión de series temporales en SageMaker Canvas. Su KMS clave debe conceder permisos para esta función a fin de garantizar que los datos estén cifrados para la previsión de series temporales.

Para modificar los permisos de su política de KMS claves para permitir la previsión cifrada de series temporales, haga lo siguiente.

  1. Abra la consola de AWS KMS.

  2. En la sección Política de claves, elija Cambiar a la vista de política.

  3. Modifique la política de claves para tener los permisos especificados en el siguiente ejemplo:

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. Elija Guardar cambios.

Ahora puede usar su KMS clave para cifrar las operaciones de previsión de series temporales en Canvas. SageMaker

nota

Los siguientes permisos solo son necesarios si utiliza el método de configuración de IAM roles para configurar la previsión de series temporales. Agregue la siguiente política de permisos a su IAM rol de usuario. También debe actualizar la política de claves con las políticas actualizadas necesarias para Amazon Forecast. Para obtener más información acerca de los permisos necesarios para la previsión de series temporales, consulte Conceda a sus usuarios permisos para realizar previsiones de series temporales.

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Cifre sus datos en la aplicación SageMaker Canvas

La primera KMS clave que puede usar en SageMaker Canvas se usa para cifrar los datos de la aplicación almacenados en los volúmenes de Amazon Elastic Block Store (AmazonEBS) y en el Amazon Elastic File System que se SageMaker crea en su dominio. SageMaker Canvas cifra los datos con esta clave en la aplicación subyacente y en los sistemas de almacenamiento temporal que se crean al utilizar instancias de cómputo para crear modelos y generar información. SageMaker Canvas transfiere la clave a otros AWS servicios, como el piloto automático, cada vez que SageMaker Canvas inicia trabajos con ellos para procesar sus datos.

Puede especificar esta clave configurándola KmsKeyID en la CreateDomain API llamada o mientras realiza la configuración de dominio estándar en la consola. Si no especifica su propia KMS clave, SageMaker utiliza una KMS clave AWS administrada predeterminada para cifrar sus datos en la aplicación SageMaker Canvas.

Para especificar tu propia KMS clave para usarla en la aplicación SageMaker Canvas a través de la consola, primero configura tu SageMaker dominio de Amazon mediante la configuración estándar. Utilice el siguiente procedimiento para completar la sección de red y almacenamiento del dominio.

  1. Rellena la VPC configuración de Amazon que desees.

  2. En Clave de cifrado, selecciona Introducir una KMS clave ARN.

  3. Para KMSARN, introduce la ARN para tu KMS clave, que debe tener un formato similar al siguiente: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Cifre los datos de SageMaker Canvas guardados en Amazon S3

La segunda KMS clave que puede especificar se usa para los datos que SageMaker Canvas almacena en Amazon S3. Esta KMS clave se especifica en el S3KMSKeyId campo de la CreateDomain API llamada o al realizar la configuración estándar del dominio en la SageMaker consola. SageMaker Canvas guarda los duplicados de sus conjuntos de datos de entrada, datos de aplicaciones y modelos y datos de salida en el depósito SageMaker S3 predeterminado de la región para su cuenta. El patrón de nomenclatura de este depósito ess3://sagemaker-{Region}-{your-account-id}, y SageMaker Canvas almacena los datos en la Canvas/ carpeta.

  1. Active la opción Habilitar el uso compartido de recursos de bloc de notas.

  2. En cuanto a la Ubicación de S3 para los recursos de bloc de notas que se pueden compartir, deje la ruta predeterminada de Amazon S3. Tenga en cuenta que SageMaker Canvas no usa esta ruta de Amazon S3; esta ruta de Amazon S3 se usa para los portátiles Studio Classic.

  3. En Clave de cifrado, seleccione Introducir una KMS clave ARN.

  4. Para KMSARN, introduce la ARN para tu KMS clave, que debe tener un formato similar al siguiente: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importación de conjuntos de datos cifrados desde Amazon S3

Es posible que sus usuarios tengan conjuntos de datos cifrados con una KMS clave. Si bien en la sección anterior se muestra cómo cifrar los datos en SageMaker Canvas y los datos almacenados en Amazon S3, debe conceder a su IAM función de usuario permisos adicionales si desea importar datos de Amazon S3 que ya estén cifrados con AWS KMS.

Para conceder a sus usuarios permisos para importar conjuntos de datos cifrados de Amazon S3 a SageMaker Canvas, añada los siguientes permisos a la función de IAM ejecución que ha utilizado para el perfil de usuario.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Para obtener información sobre cómo editar los IAM permisos de un rol, consulte Agregar y eliminar permisos de IAM identidad en la Guía del IAM usuario. Para obtener más información sobre KMS las claves, consulte las políticas clave AWS Key Management Service en la Guía para AWS KMS desarrolladores.

FAQs

Consulte los siguientes FAQ elementos para obtener respuestas a las preguntas más frecuentes sobre el AWS KMS soporte de SageMaker Canvas.

R: No. SageMaker Canvas puede almacenar temporalmente su clave en caché o pasarla a otros AWS servicios (como el piloto automático), pero SageMaker Canvas no conserva su KMS clave.

R: Es posible que el IAM rol de su usuario no tenga permisos para usar esa KMS clave. Para conceder permisos de usuario, consulte los Requisitos previos. Otro posible error es que tienes una política de bucket en tu bucket de Amazon S3 que requiere el uso de una KMS clave específica que no coincide con la KMS clave que especificaste en tu dominio. Asegúrese de especificar la misma KMS clave para su bucket de Amazon S3 y su dominio.

R: El bucket de Amazon S3 predeterminado sigue el patrón de nomenclatura s3://sagemaker-{Region}-{your-account-id}. La Canvas/ carpeta de este depósito almacena los datos de su aplicación SageMaker Canvas.

R: No, SageMaker crea este depósito por usted.

R: SageMaker Canvas usa el bucket predeterminado de SageMaker Amazon S3 para almacenar duplicados de sus conjuntos de datos de entrada, artefactos de modelos y salidas de modelos.

R: Con SageMaker Canvas, puede usar sus propias claves de cifrado AWS KMS para crear modelos de regresión, clasificación binaria y multiclase y previsión de series temporales, así como para realizar inferencias por lotes con su modelo.

R: Sí. Debe conceder permisos adicionales a su KMS clave para poder realizar pronósticos cifrados de series temporales. Para obtener más información sobre cómo modificar la política de claves para conceder permisos de previsión de series temporales, consulte Requisitos previos para previsión de series temporales.