Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité et contrôle d’accès
Amazon SageMaker Feature Store vous permet de créer deux types de boutiques : une boutique en ligne ou une boutique hors ligne. Le magasin en ligne est utilisé pour les cas d’utilisation d’inférence en temps réel à faible latence, tandis que le magasin hors ligne est utilisé pour les cas d’utilisation d’entraînement et d’inférence par lots. Lorsque vous créez un groupe de fonctionnalités pour une utilisation en ligne ou hors ligne, vous pouvez fournir une clé gérée par le AWS Key Management Service client pour chiffrer toutes vos données au repos. Si vous ne fournissez pas de AWS KMS clé, nous nous assurons que vos données sont cryptées côté serveur à l'aide d'une AWS KMS clé AWS détenue ou d'une AWS KMS clé AWS gérée. Lors de la création d'un groupe de fonctionnalités, vous pouvez sélectionner le type de stockage et éventuellement fournir une AWS KMS clé pour chiffrer les données, puis vous pouvez en appeler plusieurs APIs pour la gestion des données, par exemple`PutRecord`,`GetRecord`,`DeleteRecord`.
Feature Store vous permet d’accorder ou de refuser l’accès aux personnes au niveau du groupe de caractéristiques, et permet l’accès inter-compte à Feature Store. Par exemple, vous pouvez configurer des comptes de développeur pour accéder à la boutique hors ligne pour l'entraînement et l'exploration des modèles qui ne disposent pas d'un accès en écriture aux comptes de production. Vous pouvez configurer des comptes de production pour accéder aux boutiques en ligne et hors ligne. Feature Store utilise des AWS KMS clés client uniques pour le chiffrement des données inactives des boutiques hors ligne et en ligne. Le contrôle d'accès est activé par le biais de l'API et de l'accès par AWS KMS clé. Vous pouvez aussi créer un contrôle d’accès au niveau du groupe de caractéristiques.
Pour plus d’informations sur les clés gérées par le client, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Pour plus d'informations sur AWS KMS, voir [AWS KMS](https://aws.amazon.com/kms/).
## Utilisation AWS KMS des autorisations pour Amazon SageMaker Feature Store
Le chiffrement au repos protège Feature Store sous une clé gérée par le AWS KMS client. Par défaut, il utilise une [AWS clé gérée par le client OnlineStore et une clé AWS gérée par le client pour OfflineStore](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Le Feature Store prend en charge une option pour chiffrer votre boutique en ligne ou hors ligne sous des [clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk). Vous pouvez sélectionner la clé gérée par le client pour le Feature Store lorsque vous créez votre boutique en ligne ou hors ligne, et elles peuvent être différentes pour chaque boutique.
Feature Store ne prend en charge que les [clés gérées par le client symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#symmetric-cmks). Vous ne pouvez pas utiliser une [clé gérée par le client asymétrique](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#asymmetric-cmks) pour chiffrer vos données dans votre boutique en ligne ou hors ligne. Pour savoir si une clé gérée par le client est symétrique ou asymétrique, consultez [Identification de clés gérées par le client symétriques et asymétriques](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html).
L'utilisation d'une clé gérée par le client vous procure les avantages suivants :
+ Vous créez et gérez la clé gérée par le client, y compris en définissant les [politiques de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), les [politiques IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) et les [octrois](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour contrôler l'accès à la clé gérée par le client. Vous pouvez [activer et désactiver](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la clé gérée par le client, activer et désactiver la [rotation automatique des clés](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) et [supprimer la clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) lorsqu'elle n'est plus utilisée.
+ Vous pouvez utiliser une clé gérée par le client avec un [élément de clé importé](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) ou dans un [magasin de clés personnalisé](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) que vous possédez et gérez.
+ Vous pouvez vérifier le chiffrement et le déchiffrement de votre boutique en ligne ou hors ligne en examinant les appels d'API envoyés AWS KMS dans les [AWS CloudTrailjournaux](https://docs.aws.amazon.com/kms/latest/developerguide/services-dynamodb.html#dynamodb-cmk-trail).
Vous ne payez pas de frais mensuels pour les AWS clés gérées par le client. Les clés gérées par le client [seront facturées pour chaque appel d'](https://aws.amazon.com/kms/pricing/)API et AWS Key Management Service des quotas s'appliquent à chaque clé gérée par le client.
## Autorisation de l'utilisation d'une clé gérée par le client pour votre magasin en ligne
Si vous utilisez une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour protéger votre boutique en ligne, les politiques associées à cette clé gérée par le client doivent autoriser le Feature Store à l'utiliser en votre nom. Vous avez un contrôle total des politiques et des octrois d'autorisation portant sur une clé gérée par le client.
Feature Store n'a pas besoin d'autorisation supplémentaire pour utiliser la [clé KMS AWS détenue](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) par défaut afin de protéger les boutiques en ligne ou hors ligne de votre AWS compte.
### Politique de clé gérée par le client
Lorsque vous sélectionnez une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour protéger votre boutique en ligne, Feature Store doit être autorisé à utiliser la clé gérée par le client au nom du mandataire qui effectue la sélection. Ce mandataire, un utilisateur ou un rôle, doit disposer des autorisations requises par Feature Store sur la clé gérée par le client. Vous pouvez fournir ces autorisations dans une [politique de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), une [politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) ou un [octroi](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). Au minimum, le Feature Store requiert les autorisations suivantes sur une clé gérée par le client :
+ « KMS:Encrypt », « KMS:Decrypt », DescribeKey « kms : », CreateGrant « kms : », RetireGrant « kms : », ReEncryptFrom « kms : », ReEncryptTo « kms : », GenerateDataKey « kms : », ListAliases « kms : » ListGrants RevokeGrant
Par exemple, l’exemple de stratégie de clé suivant fournit uniquement les autorisations requises. La politique a les effets suivants :
+ Elle permet au Feature Store d'utiliser la clé gérée par le client dans les opérations de chiffrement et de créer des octrois, mais seulement lorsqu'elle agit au nom des mandataires du compte autorisés à utiliser votre Feature Store. Si les mandataires spécifiés dans l'énoncé de politique ne sont pas autorisés à utiliser votre Feature Store, l'appel échoue, même lorsqu'il provient du service Feature Store.
+ La clé de ViaService condition [kms :](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) autorise les autorisations uniquement lorsque la demande provient du FeatureStore nom des principaux acteurs énumérés dans la déclaration de politique. Ces principals ne peuvent pas appeler ces opérations directement. `kms:ViaService` doit avoir pour valeur `sagemaker.*.amazonaws.com`.
**Note**
La clé de `kms:ViaService` condition ne peut être utilisée que pour la AWS KMS clé gérée par le client de la boutique en ligne et ne peut pas être utilisée pour la boutique hors ligne. Si vous ajoutez cette condition spéciale à votre clé gérée par le client et que vous utilisez la même AWS KMS clé pour la boutique en ligne et hors ligne, l'opération de l'`CreateFeatureGroup`API échouera.
+ Elle accorde aux administrateurs de clé gérée par le client un accès en lecture seule à la clé gérée par le client, ainsi que l'autorisation de révoquer les octrois, en particulier ceux utilisés par le Feature Store pour protéger vos données.
Avant d'utiliser un exemple de politique clé, remplacez les exemples de principes par les principes réels de votre AWS compte.
------
#### [ JSON ]
****
```
{"Id": "key-policy-feature-store",
"Version":"2012-10-17",
"Statement": [
{"Sid" : "Allow access through Amazon SageMaker AI Feature Store for all principals in the account that are authorized to use Amazon SageMaker AI Feature Store ",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListGrants"
],
"Resource": "*",
"Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com"
}
}
},
{"Sid" : "Allow listing aliases",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"},
"Action": "kms:ListAliases",
"Resource": "*"
},
{"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
},
{"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
## Utilisation d'octrois pour autoriser Feature Store
Outre les politiques de clé, Feature Store utilise des octrois pour définir des autorisations sur la clé gérée par le client. Pour visualiser les octrois sur une clé gérée par le client dans votre compte, utilisez l'opération `[ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)`. Feature Store n'a pas besoin d'octrois, ni d'autorisations supplémentaires, pour utiliser la [clé gérée par le client détenue par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) afin de protéger votre boutique en ligne.
Feature Store utilise les octrois et les autorisations lorsqu’il effectue des tâches de maintenance système en arrière-plan et de protection des données en continu.
Chaque octroi est spécifique à une boutique en ligne. Si le compte inclut plusieurs boutiques chiffrées avec la même clé gérée par le client, chaque `FeatureGroup` utilisant la même clé gérée par le client disposera d'octrois uniques.
La politique de clé peut également permettre au compte de [révoquer l'octroi](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) sur la clé gérée par le client. Toutefois, si vous révoquez l’octroi sur un magasin en ligne chiffré actif, Feature Store ne pourra pas protéger ni maintenir le magasin.
## Surveillance de l'interaction du Feature Store avec AWS KMS
Si vous utilisez une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour protéger votre boutique en ligne ou hors ligne, vous pouvez utiliser AWS CloudTrail les journaux pour suivre les demandes que Feature Store envoie AWS KMS en votre nom.
## Accès aux données dans votre magasin en ligne
L'**appelant (utilisateur ou rôle)** pour **TOUTES les DataPlane opérations (Put, Get, DeleteRecord)** doit disposer des autorisations ci-dessous sur la clé gérée par le client :
```
"kms:Decrypt"
```
## Autorisation de l'utilisation d'une clé gérée par le client pour votre magasin hors connexion
Le **ROLearn** transmis en tant que paramètre à `createFeatureGroup` doit disposer des autorisations ci-dessous pour : OfflineStore KmsKeyId
```
"kms:GenerateDataKey"
```
**Note**
La stratégie de clé pour le magasin en ligne fonctionne aussi pour le magasin hors ligne, mais uniquement lorsque la condition `kms:ViaService` n’est pas spécifiée.
**Important**
Vous pouvez spécifier une clé de AWS KMS chiffrement pour chiffrer l'emplacement Amazon S3 utilisé pour votre feature store hors ligne lorsque vous créez un groupe de fonctionnalités. Si aucune clé de AWS KMS chiffrement n'est spécifiée, nous chiffrons par défaut toutes les données au repos à l'aide de la AWS KMS clé. En définissant votre [clé au niveau](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) du compartiment pour SSE, vous pouvez réduire les coûts liés AWS KMS aux demandes jusqu'à 99 %.