Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Utilice AWS KMS los permisos para las aplicaciones de IA de Amazon SageMaker Partner

PDF
RSS
Modo de enfoque
Utilice AWS KMS los permisos para las aplicaciones de IA de Amazon SageMaker Partner - Amazon SageMaker AI
Cifrado del lado del servidor con claves SageMaker administradas (predeterminado)Cifrado del lado del servidor con claves KMS administradas por el cliente (opcional)Cómo utilizan las aplicaciones de IA asociadas las subvenciones en AWS KMSCreación de una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puedes proteger tus datos en reposo mediante el cifrado de las aplicaciones de IA de Amazon SageMaker Partner. De forma predeterminada, utiliza el cifrado del lado del servidor con una clave propia SageMaker . SageMaker también admite una opción de cifrado del lado del servidor con una clave KMS administrada por el cliente.

Cifrado del lado del servidor con claves SageMaker administradas (predeterminado)

Las aplicaciones de IA asociadas cifran todos los datos en reposo mediante una clave AWS gestionada de forma predeterminada.

Cifrado del lado del servidor con claves KMS administradas por el cliente (opcional)

Las aplicaciones de IA asociadas admiten el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para reemplazar el cifrado que ya AWS posee. Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:

  • Establecer y mantener políticas de claves

  • Establecer y mantener concesiones y políticas de IAM

  • Habilitar y deshabilitar políticas de claves

  • Rotar el material criptográfico

  • Agregar etiquetas.

  • Crear alias de clave

  • Programar la eliminación de claves

Para obtener más información, consulte las claves administradas por el cliente en la  Guía para desarrolladores de AWS Key Management Service .

Cómo utilizan las aplicaciones de IA asociadas las subvenciones en AWS KMS

Las aplicaciones de IA asociadas requieren una subvención para utilizar la clave gestionada por el cliente. Cuando crea una aplicación cifrada con una clave gestionada por el cliente, Partner AI Apps crea una subvención en su nombre enviando una CreateGrant solicitud a AWS KMS. Las subvenciones se AWS KMS utilizan para dar a Partner AI Apps acceso a una clave de KMS en la cuenta de un cliente.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, Partner AI App no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. La aplicación no funcionará correctamente y se volverá irrecuperable.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente utilizando la o la. AWS Management Console AWS KMS APIs

Para crear una clave simétrica administrada por el cliente

Siga los pasos de Creación de claves de KMS de cifrado simétricas en la Guía para desarrolladores de AWS Key Management Service .

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Determinación del acceso a las claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar la clave gestionada por el cliente con los recursos de la aplicación de IA asociada, la política de claves debe permitir las siguientes operaciones de API. El principio de estas operaciones depende de si el rol se usa para crear o usar la aplicación.

Los siguientes son ejemplos de declaraciones de políticas que puede añadir a las aplicaciones de IA asociadas en función de si la persona es un administrador o un usuario. Para obtener más información sobre cómo especificar permisos en una política, consulte permisos de AWS KMS en la Guía para desarrolladores de AWS Key Management Service . Para obtener más información sobre cómo solucionar problemas, consulte Solución de problemas de acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Administrador

La siguiente declaración de política se utiliza para el administrador que crea las aplicaciones de IA asociadas.

{
    "Version": "2012-10-17",
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-id>:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.<aws-region>.amazonaws.com"
                }
            }
        }
    ]
}

Servicio

La siguiente declaración de política es para el usuario de las aplicaciones de IA asociadas.

{
  Version:"2012-10-17",
  Id:"example-key-policy",
  Statement:[
    {
      Sid:"Allow use of the key for SageMaker",
      Effect:"Allow",
      Principal:{
        AWS:"arn:aws:iam::<account-id>:role/<user-role>"
      },
      Action:[
        "kms:Decrypt",
        "kms:GenerateDataKey",
      ],
      Resource:"*",
      Condition:{
        StringEquals:{
          'kms:ViaService':"sagemaker.<aws-region>.amazonaws.com"
        }
      }
    }
  ]
}

En esta página

Related resources

Amazon SageMaker AI Referencia de API
AWS CLI comandos para Amazon SageMaker AI
SDKs y herramientas 

Related resources

Amazon SageMaker AI Referencia de API
AWS CLI comandos para Amazon SageMaker AI
SDKs y herramientas 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.