Chiffrez vos données SageMaker Canvas avec AWS KMS - Amazon SageMaker
Chiffrez vos données dans Canvas SageMaker Importer des jeux de données chiffrés d'Amazon S3FAQs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrez vos données SageMaker Canvas avec AWS KMS

Vous souhaitez peut-être chiffrer certaines données lorsque vous utilisez Amazon SageMaker Canvas, telles que les informations de votre entreprise privée ou les données de vos clients. SageMaker Canvas les utilise AWS Key Management Service pour protéger vos données. AWS KMS est un service que vous pouvez utiliser pour créer et gérer des clés cryptographiques afin de chiffrer vos données. Pour plus d'informations à ce sujet AWS KMS, consultez AWS Key Management Servicele guide du AWS KMS développeur.

Amazon SageMaker Canvas vous propose plusieurs options pour chiffrer vos données. SageMaker Canvas fournit un chiffrement par défaut dans l'application pour des tâches telles que la création de votre modèle et la génération d'informations. Vous pouvez également choisir de chiffrer les données stockées dans Amazon S3 pour protéger vos données au repos. SageMaker Canvas prend en charge l'importation de jeux de données chiffrés afin que vous puissiez établir un flux de travail chiffré. Les sections suivantes décrivent comment utiliser le AWS KMS chiffrement pour protéger vos données lors de la création de modèles avec SageMaker Canvas.

Chiffrez vos données dans Canvas SageMaker

Avec SageMaker Canvas, vous pouvez utiliser deux clés de AWS KMS chiffrement différentes pour chiffrer vos données dans SageMaker Canvas, que vous pouvez spécifier lors de la configuration de votre domaine à l'aide de la configuration de domaine standard. Ces clés sont spécifiées dans les étapes de configuration de domaine suivantes :

  • Étape 3 : Configuration des applications - (Facultatif) — Lors de la configuration de la section de configuration du stockage Canvas, vous pouvez spécifier une clé de chiffrement. Il s'agit d'une KMS clé que SageMaker Canvas utilise pour le stockage à long terme des objets du modèle et des ensembles de données, qui sont stockés dans le compartiment Amazon S3 fourni pour votre domaine. Si vous créez une application Canvas avec le CreateAppAPI, utilisez le S3KMSKeyId champ pour spécifier cette clé.

  • Étape 6 : Configuration du stockage — SageMaker Canvas utilise une clé pour chiffrer l'espace privé Amazon SageMaker Studio créé pour votre application Canvas, qui inclut le stockage temporaire des applications, les visualisations et les tâches de calcul (telles que la création de modèles). Vous pouvez utiliser la clé AWS gérée par défaut ou spécifier la vôtre. Si vous spécifiez votre AWS KMS clé, les données stockées dans le /home/sagemaker-user répertoire sont cryptées avec votre clé. Si vous ne spécifiez pas de AWS KMS clé, les données qu'elles contiennent /home/sagemaker-user sont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée. Pour en savoir plus sur l'espace Studio et le stockage de votre application Canvas, consultezStockez les données de l'application SageMaker Canvas dans votre propre SageMaker espace. Si vous créez une application Canvas avec le CreateAppAPI, utilisez le KmsKeyID champ pour spécifier cette clé.

Les touches précédentes peuvent être identiques ou différentesKMS.

Prérequis

Pour utiliser votre propre KMS clé à l'une des fins décrites précédemment, vous devez d'abord autoriser le IAM rôle de votre utilisateur à utiliser la clé. Vous pouvez ensuite spécifier la KMS clé lors de la configuration de votre domaine.

Le moyen le plus simple de donner à votre rôle l'autorisation d'utiliser la clé est de modifier la politique de clé. Utilisez la procédure suivante pour accorder à votre rôle les autorisations nécessaires.

  1. Ouvrez la console AWS KMS.

  2. Dans la section Politique de clé, choisissez Passer à la vue de la politique.

  3. Modifiez la politique de la clé pour accorder des autorisations pour les kms:Decrypt actions kms:GenerateDataKey et le IAM rôle. De plus, si vous modifiez la politique clé qui chiffre le stockage de votre application Canvas dans l'espace Studio, autorisez l'kms:CreateGrantaction. Vous pouvez ajouter une instruction similaire à ce qui suit :

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Sélectionnez Enregistrer les modifications.

La méthode la moins recommandée consiste à modifier le IAM rôle de l'utilisateur pour lui accorder l'autorisation d'utiliser ou de gérer la KMS clé. Si vous utilisez cette méthode, la politique KMS clé doit également autoriser la gestion des accès viaIAM. Pour savoir comment accorder l'autorisation à une KMS clé par le biais du IAM rôle de l'utilisateur, consultez la section Spécification KMS des clés dans les déclarations de IAM politique du Guide du AWS KMS développeur.

Conditions préalables aux prédictions de séries temporelles

Pour utiliser votre AWS KMS clé pour chiffrer des modèles de prévision de séries chronologiques dans SageMaker Canvas, vous devez modifier la politique de clé relative à la KMS clé utilisée pour stocker des objets sur Amazon S3. Votre politique clé doit accorder des autorisations àAmazonSageMakerCanvasForecastRole, ce qui se SageMaker produit lorsque vous accordez des autorisations de prévision de séries chronologiques à vos utilisateurs. Amazon Forecast utilise le AmazonSageMakerCanvasForecastRole pour effectuer des opérations de prévision de séries chronologiques dans SageMaker Canvas. Votre KMS clé doit accorder des autorisations à ce rôle afin de garantir que les données sont cryptées pour les prévisions de séries chronologiques.

Pour modifier les autorisations de votre politique KMS clé afin d'autoriser les prévisions de séries chronologiques cryptées, procédez comme suit.

  1. Ouvrez la console AWS KMS.

  2. Dans la section Politique de clé, choisissez Passer à la vue de la politique.

  3. Modifiez la politique de la clé pour obtenir les autorisations spécifiées dans l'exemple suivant :

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. Sélectionnez Enregistrer les modifications.

Vous pouvez désormais utiliser votre KMS clé pour chiffrer les opérations de prévision de séries chronologiques dans SageMaker Canvas.

Note

Les autorisations suivantes ne sont requises que si vous utilisez la méthode de configuration des IAM rôles pour configurer les prévisions de séries chronologiques. Ajoutez la politique d'autorisation suivante au IAM rôle de votre utilisateur. Vous devez également mettre à jour la politique de clé avec les politiques mises à jour requises pour Amazon Forecast. Pour plus d'informations sur les autorisations requises pour les prédictions de séries temporelles, consultez Autorisation de vos utilisateurs à effectuer des prédictions de séries temporelles.

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Chiffrez vos données dans l'application SageMaker Canvas

La première KMS clé que vous pouvez utiliser dans SageMaker Canvas est utilisée pour chiffrer les données d'application stockées sur les volumes Amazon Elastic Block Store (AmazonEBS) et dans l'Amazon Elastic File System SageMaker créé dans votre domaine. SageMaker Canvas chiffre vos données avec cette clé dans l'application sous-jacente et les systèmes de stockage temporaires créés lors de l'utilisation d'instances de calcul pour créer des modèles et générer des informations. SageMaker Canvas transmet la clé à d'autres AWS services, tels que Autopilot, chaque fois que SageMaker Canvas lance des tâches avec eux pour traiter vos données.

Vous pouvez spécifier cette clé en la définissant KmsKeyID dans l'CreateDomainAPIappel ou lors de la configuration de domaine standard dans la console. Si vous ne spécifiez pas votre propre KMS clé, SageMaker utilise une KMS clé AWS gérée par défaut pour chiffrer vos données dans l'application SageMaker Canvas.

Pour spécifier votre propre KMS clé à utiliser dans l'application SageMaker Canvas via la console, configurez d'abord votre SageMaker domaine Amazon à l'aide de la configuration standard. Suivez la procédure ci-dessous pour compléter la section Réseau et stockage du domaine.

  1. Renseignez les VPC paramètres Amazon souhaités.

  2. Pour Clé de chiffrement, choisissez Entrer une KMS clé ARN.

  3. Pour KMSARN, entrez le ARN code correspondant à votre KMS clé, qui doit avoir un format similaire au suivant : arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Chiffrez vos données SageMaker Canvas enregistrées dans Amazon S3

La deuxième KMS clé que vous pouvez spécifier est utilisée pour les données que SageMaker Canvas stocke sur Amazon S3. Cette KMS clé est spécifiée dans le S3KMSKeyId champ de l'CreateDomainAPIappel ou lors de la configuration standard du domaine dans la SageMaker console. SageMaker Canvas enregistre les doublons de vos ensembles de données d'entrée, des données d'application et de modèle, ainsi que des données de sortie dans le compartiment SageMaker S3 par défaut de la région pour votre compte. Le modèle de dénomination de ce compartiment ests3://sagemaker-{Region}-{your-account-id}, et SageMaker Canvas stocke les données dans le Canvas/ dossier.

  1. Activez Activer le partage des ressources des ordinateurs.

  2. Pour l'Emplacement S3 pour les ressources d'ordinateurs portables partageables, conservez le chemin d'accès Amazon S3 par défaut. Notez que SageMaker Canvas n'utilise pas ce chemin Amazon S3 ; ce chemin Amazon S3 est utilisé pour les blocs-notes Studio Classic.

  3. Pour Clé de chiffrement, choisissez Entrer une KMS clé ARN.

  4. Pour KMSARN, entrez le ARN code correspondant à votre KMS clé, qui doit avoir un format similaire au suivant : arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importer des jeux de données chiffrés d'Amazon S3

Vos utilisateurs possèdent peut-être des ensembles de données chiffrés à l'aide d'une KMS clé. La section précédente explique comment chiffrer les données dans SageMaker Canvas et les données stockées dans Amazon S3, mais vous devez accorder à votre IAM rôle d'utilisateur des autorisations supplémentaires si vous souhaitez importer des données depuis Amazon S3 déjà chiffrées avec AWS KMS.

Pour accorder à votre utilisateur l'autorisation d'importer des ensembles de données chiffrés depuis Amazon S3 dans SageMaker Canvas, ajoutez les autorisations suivantes au rôle IAM d'exécution que vous avez utilisé pour le profil utilisateur.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Pour savoir comment modifier les IAM autorisations associées à un rôle, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le Guide de IAM l'utilisateur. Pour plus d'informations sur KMS les clés, consultez la section Politiques clés du Guide du AWS KMS développeur. AWS Key Management Service

FAQs

Reportez-vous aux FAQ éléments suivants pour obtenir des réponses aux questions fréquemment posées sur le AWS KMS support SageMaker Canvas.

R : Non. SageMaker Canvas peut temporairement mettre en cache votre clé ou la transmettre à d'autres AWS services (tels que le pilote automatique), mais SageMaker Canvas ne conserve pas votre KMS clé.

R : Le IAM rôle de votre utilisateur n'est peut-être pas autorisé à utiliser cette KMS clé. Pour accorder des autorisations à vos utilisateurs, consultez les Prérequis. Une autre erreur possible est que vous avez une politique de compartiment sur votre compartiment Amazon S3 qui exige l'utilisation d'une KMS clé spécifique qui ne correspond pas à la KMS clé que vous avez spécifiée dans votre domaine. Assurez-vous de spécifier la même KMS clé pour votre compartiment Amazon S3 et votre domaine.

R : Le compartiment Amazon S3 par défaut suit le modèle de dénomination s3://sagemaker-{Region}-{your-account-id}. Le Canvas/ dossier de ce compartiment stocke les données de votre application SageMaker Canvas.

R : Non, SageMaker crée ce compartiment pour vous.

R : SageMaker Canvas utilise le compartiment SageMaker Amazon S3 par défaut pour stocker des doublons de vos ensembles de données d'entrée, des artefacts de modèle et des sorties de modèles.

R : Avec SageMaker Canvas, vous pouvez utiliser vos propres clés de chiffrement AWS KMS pour créer des modèles de régression, de classification binaire et multiclasse, de prévision de séries chronologiques, ainsi que pour l'inférence par lots avec votre modèle.

A : Oui. Vous devez accorder à votre KMS clé des autorisations supplémentaires afin d'effectuer des prévisions de séries chronologiques chiffrées. Pour plus d'informations sur comment modifier la politique de votre clé afin d'accorder des autorisations de prédictions de séries temporelles, consultez Conditions préalables aux prédictions de séries temporelles.