Chiffrement côté serveur avec clé gérée par Amazon SageMaker Geospatial (par défaut)Chiffrement côté serveur avec KMS clé gérée par le client (facultatif)Comment les capacités SageMaker géospatiales utilisent les subventions dans AWS KMS Création d’une clé gérée par le client Surveillance des fonctionnalités SageMaker géospatiales de vos clés de chiffrement

Utiliser AWS KMS les autorisations pour les fonctionnalités SageMaker géospatiales d'Amazon

Vous pouvez protéger vos données au repos en utilisant le chiffrement pour les fonctionnalités SageMaker géospatiales. Par défaut, il utilise le chiffrement côté serveur avec une clé appartenant à Amazon SageMaker Geospatial. SageMaker les fonctionnalités géospatiales prennent également en charge une option de chiffrement côté serveur avec une clé gérée par le client. KMS

Chiffrement côté serveur avec clé gérée par Amazon SageMaker Geospatial (par défaut)

SageMaker les fonctionnalités géospatiales cryptent toutes vos données, y compris les résultats de calcul de vos tâches d'observation de la Terre (EOJ) et de vos tâches d'enrichissement vectoriel (VEJ), ainsi que toutes les métadonnées de vos services. Aucune donnée n'est stockée non chiffrée dans le cadre des capacités SageMaker géospatiales. Il utilise une clé AWS détenue par défaut pour chiffrer toutes vos données.

Chiffrement côté serveur avec KMS clé gérée par le client (facultatif)

SageMaker les fonctionnalités géospatiales prennent en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour ajouter une deuxième couche de chiffrement par rapport au chiffrement AWS détenu existant. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

Établissement et gestion des stratégies de clé
Établir et maintenir IAM des politiques et des subventions
Activation et désactivation des stratégies de clé
Rotation des matériaux de chiffrement de clé
Ajout de balises
Création d'alias de clé
Planification des clés pour la suppression

Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Comment les capacités SageMaker géospatiales utilisent les subventions dans AWS KMS

SageMaker les capacités géospatiales nécessitent une subvention pour utiliser votre clé gérée par le client. Lorsque vous créez une clé EOJ ou une clé VEJ cryptée à l'aide d'une clé gérée par le client, les fonctionnalités SageMaker géospatiales créent une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner aux capacités SageMaker géospatiales l'accès à une KMS clé d'un compte client. Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, les capacités SageMaker géospatiales ne pourront accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du AWS KMS APIs.

Pour créer une clé symétrique gérée par le client

Suivez les étapes de création de KMS clés de chiffrement symétriques décrites dans le manuel du AWS Key Management Service développeur.

Stratégie de clé

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Détermination de l'accès aux AWS KMS clés dans le Guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec vos ressources de capacités SageMaker géospatiales, les API opérations suivantes doivent être autorisées dans la politique clé. Le principal de ces opérations doit être le rôle d'exécution que vous fournissez dans la demande de capacités SageMaker géospatiales. SageMaker les capacités géospatiales assument le rôle d'exécution fourni dans la demande d'exécution de ces KMS opérations.

kms:CreateGrant
kms:GenerateDataKey
kms:Decrypt
kms:GenerateDataKeyWithoutPlaintext

Voici des exemples de déclarations de politique que vous pouvez ajouter pour les fonctionnalités SageMaker géospatiales :

CreateGrant


"Statement" : [ 
    {
      "Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "<Customer provided Execution Role ARN>"
      },
      "Action" : [ 
          "kms:CreateGrant",
           "kms:Decrypt",
           "kms:GenerateDataKey",
           "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource" : "*",
    },
 ]

Pour plus d'informations sur la spécification d'autorisations dans une stratégie, consultez Autorisations AWS KMS dans le Guide du développeur AWS Key Management Service (langue française non garantie). Pour plus d'informations sur la résolution des problèmes, consultez Résolution des problèmes de clé d'accès dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Si votre politique clé ne définit pas le root de votre compte comme administrateur clé, vous devez ajouter les mêmes KMS autorisations à votre rôle d'exécutionARN. Voici un exemple de stratégie que vous pouvez ajouter au rôle d'exécution :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "kms:CreateGrant",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": [
              "<KMS key Arn>"
            ],
            "Effect": "Allow"
        }
    ]
}

Surveillance des fonctionnalités SageMaker géospatiales de vos clés de chiffrement

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources de capacités SageMaker géospatiales, vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes envoyées par SageMaker Geospatial. AWS KMS

Sélectionnez un onglet dans le tableau suivant pour voir des exemples d' AWS CloudTrail événements permettant de surveiller les KMS opérations appelées par les capacités SageMaker géospatiales pour accéder aux données chiffrées par votre clé gérée par le client.

CreateGrant


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
        "arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE3",
                "arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
                "accountId": "111122223333",
                "userName": "SageMakerGeospatialCustomerRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-03-17T18:02:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "arn:aws:iam::111122223333:root"
    },
    "eventTime": "2023-03-17T18:02:06Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt"
        ],
        "granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "sagemaker-geospatial.amazonaws.com"
    },
    "eventTime": "2023-03-24T00:29:45Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "sagemaker-geospatial.amazonaws.com",
    "userAgent": "sagemaker-geospatial.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::axis-earth-observation-job-378778860802/111122223333/napy9eintp64/output/consolidated/32PPR/2022-01-04T09:58:03Z/S2B_32PPR_20220104_0_L2A_msavi.tif"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "keySpec": "AES_256"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Decrypt


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "sagemaker-geospatial.amazonaws.com"
    },
    "eventTime": "2023-03-28T22:04:24Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "sagemaker-geospatial.amazonaws.com",
    "userAgent": "sagemaker-geospatial.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::axis-earth-observation-job-378778860802/111122223333/napy9eintp64/output/consolidated/32PPR/2022-01-04T09:58:03Z/S2B_32PPR_20220104_0_L2A_msavi.tif"
        },
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKeyWithoutPlainText


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
        "arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE3",
                "arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
                "accountId": "111122223333",
                "userName": "SageMakerGeospatialCustomerRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-03-17T18:02:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "arn:aws:iam::111122223333:root"
    },
    "eventTime": "2023-03-28T22:09:16Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisez les fonctionnalités SageMaker géospatiales dans votre Amazon VPC

Types d'instances de calcul