Utilisation AWS KMS des autorisations pour Amazon SageMaker Feature Store Autorisation de l'utilisation d'une clé gérée par le client pour votre magasin en ligne Utilisation d'octrois pour autoriser Feature Store Surveillance de l'interaction du Feature Store avec AWS KMS Accès aux données dans votre magasin en ligne Autorisation de l'utilisation d'une clé gérée par le client pour votre magasin hors connexion

Sécurité et contrôle d'accès

Amazon SageMaker Feature Store vous permet de créer deux types de boutiques : une boutique en ligne ou une boutique hors ligne. La boutique en ligne est utilisée pour les cas d'utilisation d'inférence en temps réel à faible latence, tandis que la boutique hors ligne est utilisée pour les cas d'utilisation d'entraînement et d'inférence par lots. Lorsque vous créez un groupe de fonctionnalités pour une utilisation en ligne ou hors ligne, vous pouvez fournir une clé gérée par le AWS Key Management Service client pour chiffrer toutes vos données au repos. Si vous ne fournissez pas de AWS KMS clé, nous nous assurons que vos données sont cryptées côté serveur à l'aide d'une AWS KMS clé AWS détenue ou d'une AWS KMS clé AWS gérée. Lors de la création d'un groupe de fonctionnalités, vous pouvez sélectionner le type de stockage et éventuellement fournir une AWS KMS clé pour chiffrer les données, puis vous pouvez en appeler plusieurs APIs pour la gestion des données, par exemplePutRecord,GetRecord,DeleteRecord.

Feature Store. vous permet d'accorder ou de refuser l'accès aux personnes au niveau du groupe de fonctions, et permet l'accès inter-compte au Feature Store. Par exemple, vous pouvez configurer des comptes de développeur pour accéder à la boutique hors ligne pour l'entraînement et l'exploration des modèles qui ne disposent pas d'un accès en écriture aux comptes de production. Vous pouvez configurer des comptes de production pour accéder aux boutiques en ligne et hors ligne. Feature Store utilise des AWS KMS clés client uniques pour le chiffrement des données inactives des boutiques hors ligne et en ligne. Le contrôle d'accès est activé par le biais de l'API et de l'accès par AWS KMS clé. Vous pouvez aussi créer un contrôle d'accès au niveau du groupe de fonctions.

Pour plus d'informations sur les clés gérées par le client, veuillez consulter Clés gérées par le client. Pour plus d'informations sur AWS KMS, voir AWS KMS.

Utilisation AWS KMS des autorisations pour Amazon SageMaker Feature Store

Le chiffrement au repos protège Feature Store sous une clé gérée par le AWS KMS client. Par défaut, il utilise une clé gérée par le client AWS détenue pour OnlineStore et une clé AWS gérée gérée par le client pour OfflineStore. Le Feature Store prend en charge une option pour chiffrer votre boutique en ligne ou hors ligne sous des clés gérées par le client. Vous pouvez sélectionner la clé gérée par le client pour le Feature Store lorsque vous créez votre boutique en ligne ou hors ligne, et elles peuvent être différentes pour chaque boutique.

Feature Store ne prend en charge que les clés gérées par le client symétriques. Vous ne pouvez pas utiliser une clé gérée par le client asymétrique pour chiffrer vos données dans votre boutique en ligne ou hors ligne. Pour savoir si une clé gérée par le client est symétrique ou asymétrique, veuillez consulter Identification de clés gérées par le client symétriques et asymétriques.

L'utilisation d'une clé gérée par le client vous procure les avantages suivants :

Vous créez et gérez la clé gérée par le client, y compris en définissant les politiques de clé, les politiques IAM et les octrois pour contrôler l'accès à la clé gérée par le client. Vous pouvez activer et désactiver la clé gérée par le client, activer et désactiver la rotation automatique des clés et supprimer la clé gérée par le client lorsqu'elle n'est plus utilisée.
Vous pouvez utiliser une clé gérée par le client avec un élément de clé importé ou dans un magasin de clés personnalisé que vous possédez et gérez.
Vous pouvez vérifier le chiffrement et le déchiffrement de votre boutique en ligne ou hors ligne en examinant les appels d'API envoyés AWS KMS dans les AWS CloudTrailjournaux.

Vous ne payez pas de frais mensuels pour les AWS clés gérées par le client. Les clés gérées par le client seront facturées pour chaque appel d'API et AWS Key Management Service des quotas s'appliquent à chaque clé gérée par le client.

Autorisation de l'utilisation d'une clé gérée par le client pour votre magasin en ligne

Si vous utilisez une clé gérée par le client pour protéger votre boutique en ligne, les politiques associées à cette clé gérée par le client doivent autoriser le Feature Store à l'utiliser en votre nom. Vous avez un contrôle total des politiques et des octrois d'autorisation portant sur une clé gérée par le client.

Feature Store n'a pas besoin d'autorisation supplémentaire pour utiliser la clé KMS AWS détenue par défaut afin de protéger les boutiques en ligne ou hors ligne de votre AWS compte.

Politique de clé gérée par le client

Lorsque vous sélectionnez une clé gérée par le client pour protéger votre boutique en ligne, Feature Store doit être autorisé à utiliser la clé gérée par le client au nom du mandataire qui effectue la sélection. Ce mandataire, un utilisateur ou un rôle, doit disposer des autorisations requises par Feature Store sur la clé gérée par le client. Vous pouvez fournir ces autorisations dans une politique de clé, une politique IAM ou un octroi. Au minimum, le Feature Store requiert les autorisations suivantes sur une clé gérée par le client :

« KMS:Encrypt », « KMS:Decrypt », DescribeKey « kms : », CreateGrant « kms : », RetireGrant « kms : », ReEncryptFrom « kms : », ReEncryptTo « kms : », GenerateDataKey « kms : », ListAliases « kms : » ListGrants RevokeGrant

Par exemple, l'exemple de politique de clé suivant fournit uniquement les autorisations requises. La politique a les effets suivants :

Elle permet au Feature Store d'utiliser la clé gérée par le client dans les opérations de chiffrement et de créer des octrois, mais seulement lorsqu'elle agit au nom des mandataires du compte autorisés à utiliser votre Feature Store. Si les mandataires spécifiés dans l'énoncé de politique ne sont pas autorisés à utiliser votre Feature Store, l'appel échoue, même lorsqu'il provient du service Feature Store.
La clé de ViaService condition kms : autorise les autorisations uniquement lorsque la demande provient du FeatureStore nom des principaux acteurs énumérés dans la déclaration de politique. Ces principals ne peuvent pas appeler ces opérations directement. kms:ViaService doit avoir pour valeur sagemaker.*.amazonaws.com.

Note
La clé de kms:ViaService condition ne peut être utilisée que pour la AWS KMS clé gérée par le client de la boutique en ligne et ne peut pas être utilisée pour la boutique hors ligne. Si vous ajoutez cette condition spéciale à votre clé gérée par le client et que vous utilisez la même AWS KMS clé pour la boutique en ligne et hors ligne, l'opération de l'CreateFeatureGroupAPI échouera.
Elle accorde aux administrateurs de clé gérée par le client un accès en lecture seule à la clé gérée par le client, ainsi que l'autorisation de révoquer les octrois, en particulier ceux utilisés par le Feature Store pour protéger vos données.

Avant d'utiliser un exemple de politique clé, remplacez les exemples de principes par les principes réels de votre AWS compte.


{"Id": "key-policy-feature-store",
   "Version":"2012-10-17",
   "Statement": [
     {"Sid" : "Allow access through Amazon SageMaker AI Feature Store for all principals in the account that are authorized to use  Amazon SageMaker AI Feature Store",
       "Effect": "Allow",
       "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"},
       "Action": [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:DescribeKey",
         "kms:CreateGrant",
         "kms:RetireGrant",
         "kms:ReEncryptFrom",
         "kms:ReEncryptTo",
         "kms:GenerateDataKey",
         "kms:ListAliases",
         "kms:ListGrants"
       ],
       "Resource": "*",      
       "Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com"
          }
       }
     },
     {"Sid":  "Allow administrators to view the customer managed key and revoke grants",
       "Effect": "Allow",
       "Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin"
        },
       "Action": [
         "kms:Describe*",
         "kms:Get*",
         "kms:List*",
         "kms:RevokeGrant"
       ],
       "Resource": "*"
     },
     {"Sid": "Enable IAM User Permissions",
       "Effect": "Allow",
        "Principal": {"AWS": "arn:aws:iam::123456789:root"
        },
        "Action": "kms:*",
        "Resource": "*"
     }
   ]
 }

Utilisation d'octrois pour autoriser Feature Store

Outre les politiques de clé, Feature Store utilise des octrois pour définir des autorisations sur la clé gérée par le client. Pour visualiser les octrois sur une clé gérée par le client dans votre compte, utilisez l'opération ListGrants. Feature Store n'a pas besoin d'octrois, ni d'autorisations supplémentaires, pour utiliser la clé gérée par le client détenue par AWS afin de protéger votre boutique en ligne.

Feature Store utilise les octrois et les autorisations lorsqu'il effectue des tâches de maintenance système en arrière-plan et de protection des données en continu.

Chaque octroi est spécifique à une boutique en ligne. Si le compte inclut plusieurs boutiques chiffrées avec la même clé gérée par le client, chaque FeatureGroup utilisant la même clé gérée par le client disposera d'octrois uniques.

La politique de clé peut également permettre au compte de révoquer l'octroi sur la clé gérée par le client. Toutefois, si vous révoquez l'octroi sur une boutique en ligne chiffrée active, Feature Store ne pourra pas protéger ni maintenir la boutique.

Surveillance de l'interaction du Feature Store avec AWS KMS

Si vous utilisez une clé gérée par le client pour protéger votre boutique en ligne ou hors ligne, vous pouvez utiliser AWS CloudTrail les journaux pour suivre les demandes que Feature Store envoie AWS KMS en votre nom.

Accès aux données dans votre magasin en ligne

L'appelant (utilisateur ou rôle) pour TOUTES les DataPlane opérations (Put, Get, DeleteRecord) doit disposer des autorisations ci-dessous sur la clé gérée par le client :


"kms:Decrypt"

Autorisation de l'utilisation d'une clé gérée par le client pour votre magasin hors connexion

Le ROLearn transmis en tant que paramètre à createFeatureGroup doit disposer des autorisations ci-dessous pour : OfflineStore KmsKeyId


"kms:GenerateDataKey"

Note

La stratégie de clé pour la boutique en ligne fonctionne aussi pour la boutique hors ligne, mais uniquement lorsque la condition kms:ViaService n'est pas spécifiée.

Important

Vous pouvez spécifier une clé de AWS KMS chiffrement pour chiffrer l'emplacement Amazon S3 utilisé pour votre feature store hors ligne lorsque vous créez un groupe de fonctionnalités. Si aucune clé de AWS KMS chiffrement n'est spécifiée, nous chiffrons par défaut toutes les données au repos à l'aide de la AWS KMS clé. En définissant votre clé au niveau du compartiment pour SSE, vous pouvez réduire les coûts liés AWS KMS aux demandes jusqu'à 99 %.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Journalisation des opérations Feature Store à l'aide d' AWS CloudTrail

Quotas, règles de dénomination et types de données