Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

AWS KMS Autorisations d'utilisation pour les applications Amazon SageMaker Partner AI

PDF
RSS
Mode de mise au point
AWS KMS Autorisations d'utilisation pour les applications Amazon SageMaker Partner AI - Amazon SageMaker AI
Chiffrement côté serveur avec clés SageMaker gérées (par défaut)Chiffrement côté serveur avec des clés KMS gérées par le client (facultatif)Comment les applications d'IA partenaires utilisent les subventions dans AWS KMSCréation d’une clé gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez protéger vos données au repos à l'aide du chiffrement pour les applications Amazon SageMaker Partner AI. Par défaut, il utilise le chiffrement côté serveur avec une clé SageMaker détenue. SageMaker prend également en charge une option de chiffrement côté serveur avec une clé KMS gérée par le client.

Chiffrement côté serveur avec clés SageMaker gérées (par défaut)

Les applications d'intelligence artificielle partenaires cryptent toutes vos données au repos à l'aide d'une clé AWS gérée par défaut.

Chiffrement côté serveur avec des clés KMS gérées par le client (facultatif)

Les applications d'intelligence artificielle partenaires prennent en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour remplacer le chiffrement que vous AWS détenez déjà. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

  • Établissement et gestion des stratégies de clé

  • Établissement et gestion des politiques IAM et des octrois

  • Activation et désactivation des stratégies de clé

  • Rotation des matériaux de chiffrement de clé

  • Ajout de balises

  • Création d'alias de clé

  • Planification des clés pour la suppression

Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Comment les applications d'IA partenaires utilisent les subventions dans AWS KMS

Les applications d'IA partenaires nécessitent une autorisation pour utiliser votre clé gérée par le client. Lorsque vous créez une application cryptée à l'aide d'une clé gérée par le client, Partner AI Apps crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour permettre aux applications Partner AI d'accéder à une clé KMS dans un compte client.

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, l'application Partner AI ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. L'application ne fonctionnera pas correctement et deviendra irrécupérable.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console ou le AWS KMS APIs.

Pour créer une clé symétrique gérée par le client

Suivez les étapes de création de clés KMS de chiffrement symétriques décrites dans le manuel du AWS Key Management Service développeur.

Stratégie de clé

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez Détermination de l'accès aux clés AWS KMS dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Pour utiliser votre clé gérée par le client avec les ressources de votre application Partner AI, les opérations d'API suivantes doivent être autorisées dans la politique relative aux clés. Le principal de ces opérations dépend de l'utilisation du rôle pour créer ou utiliser l'application.

Vous trouverez ci-dessous des exemples de déclarations de politique que vous pouvez ajouter pour les applications Partner AI selon que le personnage est un administrateur ou un utilisateur. Pour plus d'informations sur la spécification d'autorisations dans une stratégie, consultez Autorisations AWS KMS dans le Guide du développeur AWS Key Management Service (langue française non garantie). Pour plus d'informations sur la résolution des problèmes, consultez Résolution des problèmes de clé d'accès dans le Guide du développeur AWS Key Management Service (langue française non garantie).

Administrateur

La déclaration de politique suivante est utilisée pour l'administrateur qui crée les applications Partner AI.

{
    "Version": "2012-10-17",
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account-id>:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.<aws-region>.amazonaws.com"
                }
            }
        }
    ]
}

Utilisateur

La déclaration de politique suivante s'adresse aux utilisateurs des applications Partner AI.

{
  Version:"2012-10-17",
  Id:"example-key-policy",
  Statement:[
    {
      Sid:"Allow use of the key for SageMaker",
      Effect:"Allow",
      Principal:{
        AWS:"arn:aws:iam::<account-id>:role/<user-role>"
      },
      Action:[
        "kms:Decrypt",
        "kms:GenerateDataKey",
      ],
      Resource:"*",
      Condition:{
        StringEquals:{
          'kms:ViaService':"sagemaker.<aws-region>.amazonaws.com"
        }
      }
    }
  ]
}

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.