Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede proteger sus datos en reposo mediante el cifrado para las capacidades SageMaker geoespaciales. De forma predeterminada, utiliza el cifrado del lado del servidor con una clave propiedad de Amazon SageMaker Geospatial. SageMaker Las capacidades geoespaciales también admiten una opción de cifrado del lado del servidor con una clave KMS administrada por el cliente.
Cifrado del lado del servidor con clave gestionada SageMaker geoespacial de Amazon (predeterminada)
SageMaker Las capacidades geoespaciales cifran todos sus datos, incluidos los resultados computacionales de sus trabajos de observación de la Tierra (EOJ) y de enriquecimiento vectorial (VEJ), junto con todos los metadatos de sus servicios. No hay datos almacenados sin cifrar en las capacidades geoespaciales. SageMaker Utiliza una clave propia predeterminada AWS para cifrar todos sus datos.
Cifrado de lado de servidor con una clave de KMS administrada por el cliente (opcional)
SageMaker Las capacidades geoespaciales permiten el uso de una clave simétrica gestionada por el cliente que usted crea, posee y administra para añadir una segunda capa de cifrado sobre la codificación propia existente AWS . Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:
Establecer y mantener políticas de claves
Establecer y mantener concesiones y políticas de IAM
Habilitar y deshabilitar políticas de claves
Rotar el material criptográfico
Agregar etiquetas.
Crear alias de clave
Programar la eliminación de claves
Para obtener más información, consulte las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .
Cómo utilizan las capacidades SageMaker geoespaciales las subvenciones en AWS KMS
SageMaker las capacidades geoespaciales requieren una subvención para utilizar la clave gestionada por el cliente. Al crear un EOJ o un VEJ cifrados con una clave gestionada por el cliente, SageMaker Geospatial Capabilities crea una subvención en su nombre enviando una solicitud a. CreateGrant AWS KMS Las subvenciones AWS KMS se utilizan para permitir que las capacidades SageMaker geoespaciales accedan a una clave KMS en la cuenta de un cliente. Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, las capacidades SageMaker geoespaciales no podrán acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a las operaciones que dependen de esos datos.
Creación de una clave administrada por el cliente
Puede crear una clave simétrica gestionada por el cliente mediante la consola AWS de gestión o la. AWS KMS APIs
Para crear una clave simétrica administrada por el cliente
Siga los pasos para crear claves KMS de cifrado simétrico de la Guía para AWS Key Management Service desarrolladores.
Política de claves
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Determinar el acceso a AWS KMS las claves en la Guía para AWS Key Management Service desarrolladores.
Para utilizar la clave gestionada por el cliente con los recursos de sus capacidades SageMaker geoespaciales, la política de claves debe permitir las siguientes operaciones de API. La función principal de estas operaciones debe ser la función de ejecución que proporcione en la solicitud de capacidades SageMaker geoespaciales. SageMaker Las capacidades geoespaciales asumen la función de ejecución proporcionada en la solicitud para realizar estas operaciones de KMS.
kms:GenerateDataKeykms:Decryptkms:GenerateDataKeyWithoutPlaintext
Los siguientes son ejemplos de declaraciones de políticas que puede agregar para las capacidades SageMaker geoespaciales:
CreateGrant
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : "<Customer provided Execution Role ARN>"
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]Para obtener más información sobre cómo especificar permisos en una política, consulte permisos de AWS KMS en la Guía para desarrolladores de AWS Key Management Service . Para obtener más información sobre cómo solucionar problemas, consulte Solución de problemas de acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .
Si su política de claves no tiene la raíz de su cuenta como administrador de claves, debe agregar los mismos permisos de KMS en el ARN de su rol de ejecución. Este es un ejemplo de política que puede agregar al rol de ejecución:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"<KMS key Arn>"
],
"Effect": "Allow"
}
]
}Supervisar las claves de cifrado para determinar las capacidades SageMaker geoespaciales
Cuando utiliza una clave gestionada por el AWS KMS cliente con sus recursos de capacidades SageMaker geoespaciales, puede utilizar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que envía SageMaker geospatial. AWS KMS
Seleccione una pestaña de la siguiente tabla para ver ejemplos de AWS CloudTrail eventos para monitorear las operaciones de KMS a los que recurren las capacidades SageMaker geoespaciales para acceder a los datos cifrados por su clave administrada por el cliente.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}