Seguridad y control de acceso - Amazon SageMaker

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad y control de acceso

Amazon SageMaker Feature Store te permite crear dos tipos de tiendas: una tienda online o una tienda offline. El almacenamiento en línea se utiliza para casos de uso de inferencia en tiempo real de baja latencia, mientras que el almacenamiento sin conexión se emplea para casos de uso de entrenamiento e inferencia por lotes. Al crear un grupo de funciones para su uso en línea o fuera de línea, puede proporcionar una clave gestionada por el AWS Key Management Service cliente para cifrar todos sus datos en reposo. En caso de que no proporciones una AWS KMS clave, nos aseguraremos de que tus datos estén cifrados en el servidor mediante una clave propia o una AWS KMS AWS KMS clave AWS AWS gestionada. Al crear un grupo de funciones, puede seleccionar el tipo de almacenamiento y, si lo desea, proporcionar una AWS KMS clave para cifrar los datos. A continuación, puede utilizar varios APIs para la gestión de datosPutRecord, como,GetRecord,DeleteRecord.

El almacén de características le permite conceder o denegar el acceso a personas a nivel de grupo de características y permite el acceso entre cuentas al almacén de características. Por ejemplo, puede configurar cuentas de desarrollador para acceder al almacenamiento sin conexión para el entrenamiento y la exploración de modelos si no tiene acceso de escritura a las cuentas de producción. Puede configurar cuentas de producción para acceder al almacenamiento sin conexión y en línea. Feature Store utiliza AWS KMS claves de cliente únicas para el cifrado de los datos de las tiendas en línea y fuera de línea. El control de acceso se habilita mediante el API acceso mediante AWS KMS una clave. También puede crear un control de acceso a nivel de grupo de características.

Para obtener más información acerca de las claves administradas por el cliente, consulte claves administradas por el cliente. Para obtener más información al respecto AWS KMS, consulte AWS KMS.

Uso de AWS KMS permisos para Amazon SageMaker Feature Store

El cifrado en reposo protege Feature Store con una clave gestionada por el AWS KMS cliente. De forma predeterminada, utiliza una AWS clave gestionada por el cliente propia OnlineStore y una clave AWS gestionada por el cliente para OfflineStore. El almacén de características admite una opción para cifrar el almacenamiento sin conexión y en línea con una clave administrada por el cliente. Puede seleccionar la clave administrada por el cliente para el almacén de características al crear el almacenamiento sin conexión o en línea, y pueden ser diferentes para cada almacenamiento.

El almacén de características solo admite claves simétricas administradas por el cliente. No puede utilizar una clave asimétrica administrada por el cliente para cifrar los datos en su almacenamiento sin conexión o en línea. Para obtener ayuda para determinar si una clave de KMS es simétrica o asimétrica, consulte la sección de identificación de claves KMS simétricas y asimétricas.

Cuando utiliza una clave administrada por el cliente, podrá disfrutar de las siguientes características:

No pagas ninguna cuota mensual por las claves gestionadas por AWS los clientes. Las claves administradas por el cliente incurrirán en un cargo por cada API llamada y se aplicarán AWS Key Management Service cuotas a cada clave administrada por el cliente.

Autorización del uso de una clave administrada por el cliente para el almacenamiento en línea

Si utiliza una clave administrada por el cliente para proteger su almacenamiento en línea, las políticas de esa clave administrada por el cliente deben conceder permiso al almacén de características para que la utilice en su nombre. Tiene control total sobre las políticas y concesiones de una clave administrada por el cliente.

Feature Store no necesita una autorización adicional para usar la KMSclave de AWS propiedad predeterminada a fin de proteger las tiendas en línea o fuera de línea de su AWS cuenta.

Política de claves administradas por el cliente

Al seleccionar una clave administrada por el cliente para proteger el almacenamiento en línea, el almacén de características debe tener permiso para utilizar la clave administrada por el cliente en nombre de la entidad principal que realiza la selección. Esa entidad principal, un usuario o rol, debe tener los permisos en la clave administrada por el cliente que precisa el almacén de características. Puedes proporcionar estos permisos en una política clave, una IAMpolítica o una concesión. Como mínimo, el almacén de características precisa los siguientes permisos en una clave administrada por el cliente:

  • «KMS:Encrypt», «KMS:Decrypt», DescribeKey «kms: «, CreateGrant «kms: «, RetireGrant «kms: «, ReEncryptFrom «kms: «, ReEncryptTo «kms: «, GenerateDataKey «kms: «, ListAliases «kms:» ListGrants RevokeGrant

Por ejemplo, la política de claves de ejemplo siguiente proporciona solo los permisos necesarios. La política tiene las siguientes consecuencias:

  • Permite al almacén de características utilizar la clave administrada por el cliente en operaciones criptográficas y crear concesiones, pero solo cuando actúa en nombre de las entidades principales de la cuenta que tienen permiso para usar el almacén de características. Si las entidades principales especificadas en la declaración de política no tienen permiso para utilizar el almacén de características, la llamada produce un error, incluso cuando proviene del servicio del almacén de características.

  • La clave de ViaService condición kms: permite los permisos solo cuando la solicitud proviene de una de las entidades principales enumeradas FeatureStore en la declaración de política. Estas entidades principales no pueden llamar a estas operaciones directamente. El valor de kms:ViaService debe ser sagemaker.*.amazonaws.com.

    nota

    La clave de kms:ViaService condición solo se puede usar para la AWS KMS clave administrada por el cliente de la tienda en línea y no se puede usar para la tienda fuera de línea. Si añades esta condición especial a la clave gestionada por el cliente y utilizas la misma AWS KMS clave tanto para la tienda online como para la offline, la CreateFeatureGroup API operación no se realizará correctamente.

  • Proporciona a los administradores de la clave administrada por el cliente acceso de solo lectura a la clave administrada por el cliente y permiso para revocar las concesiones, incluidas las concesiones que el almacén de características utiliza para proteger sus datos.

Antes de usar un ejemplo de política de claves, reemplaza los principios de ejemplo por los principios reales de tu AWS cuenta.

{"Id": "key-policy-feature-store", "Version":"2012-10-17", "Statement": [ {"Sid" : "Allow access through Amazon SageMaker Feature Store for all principals in the account that are authorized to use Amazon SageMaker Feature Store", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:ListAliases", "kms:ListGrants" ], "Resource": "*", "Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com" } } }, {"Sid": "Allow administrators to view the customer managed key and revoke grants", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" }, {"Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789:root" }, "Action": "kms:*", "Resource": "*" } ] }

Uso de concesiones para autorizar el almacén de características

Además de las políticas de claves, el almacén de características utiliza concesiones para establecer permisos en una clave administrada por el cliente. Para ver las concesiones que tiene una clave administrada por el cliente en su cuenta, utilice la operación ListGrants. El almacén de características no necesita concesiones ni permisos adicionales para poder utilizar la clave administrada por el cliente de AWS para proteger su almacenamiento en línea.

El almacén de características utiliza los permisos de concesión cuando realiza el mantenimiento del sistema en segundo plano y en tareas de protección de datos continuas.

Cada concesión es específica de un almacenamiento en línea. Si la cuenta incluye varios almacenamientos cifrados con la misma clave administrada por el cliente, habrá concesiones únicas por cada FeatureGroup que utilice la misma clave administrada por el cliente.

La política de claves también puede permitir a la cuenta revocar la concesión en la clave administrada por el cliente. Sin embargo, si revoca la concesión en un almacenamiento en línea cifrado activo, el almacén de características no podrá proteger y mantener el almacenamiento.

Supervisar la interacción de Feature Store con AWS KMS

Si utilizas una clave gestionada por el cliente para proteger tu tienda online o offline, puedes utilizar AWS CloudTrail los registros para hacer un seguimiento de las solicitudes que Feature Store envía AWS KMS en tu nombre.

Acceso a los datos del almacenamiento en línea

La persona que llama (usuario o rol) a ALL DataPlane las operaciones (Put, Get DeleteRecord) debe tener los siguientes permisos en la clave gestionada por el cliente:

"kms:Decrypt"

Autorización del uso de una clave administrada por el cliente para el almacenamiento sin conexión

El roleArnque se pasa como parámetro createFeatureGroup debe tener los siguientes permisos para: OfflineStore KmsKeyId

"kms:GenerateDataKey"
nota

La política de claves del almacenamiento en línea también se aplica al almacenamiento sin conexión, solo si no se especifica la condición kms:ViaService.

importante

Puede especificar una clave de AWS KMS cifrado para cifrar la ubicación de Amazon S3 utilizada para su feature store sin conexión al crear un grupo de características. Si no se especifica la clave de AWS KMS cifrado, de forma predeterminada ciframos todos los datos en reposo mediante AWS KMS una clave. Al definir la clave a nivel de depósitoSSE, puede reducir los costes de AWS KMS las solicitudes hasta en un 99 por ciento.