Enkripsi Data SageMaker Kanvas Anda dengan AWS KMS - Amazon SageMaker
Enkripsi data Anda di Canvas SageMaker Impor kumpulan data terenkripsi dari Amazon S3FAQs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi Data SageMaker Kanvas Anda dengan AWS KMS

Anda mungkin memiliki data yang ingin Anda enkripsi saat menggunakan Amazon SageMaker Canvas, seperti informasi perusahaan pribadi atau data pelanggan Anda. SageMaker Canvas digunakan AWS Key Management Service untuk melindungi data Anda. AWS KMS adalah layanan yang dapat Anda gunakan untuk membuat dan mengelola kunci kriptografi untuk mengenkripsi data Anda. Untuk informasi selengkapnya AWS KMS, lihat AWS Key Management Servicedi Panduan AWS KMS Pengembang.

Amazon SageMaker Canvas memberi Anda beberapa opsi untuk mengenkripsi data Anda. SageMaker Canvas menyediakan enkripsi default dalam aplikasi untuk tugas-tugas seperti membangun model Anda dan menghasilkan wawasan. Anda juga dapat memilih untuk mengenkripsi data yang disimpan di Amazon S3 untuk melindungi data Anda saat istirahat. SageMaker Canvas mendukung pengimporan kumpulan data terenkripsi, sehingga Anda dapat membuat alur kerja terenkripsi. Bagian berikut menjelaskan bagaimana Anda dapat menggunakan AWS KMS enkripsi untuk melindungi data Anda saat membuat model dengan SageMaker Canvas.

Enkripsi data Anda di Canvas SageMaker

Dengan SageMaker Canvas, Anda dapat menggunakan dua kunci AWS KMS enkripsi yang berbeda untuk mengenkripsi data Anda di SageMaker Canvas, yang dapat Anda tentukan saat mengatur domain Anda menggunakan pengaturan domain standar. Kunci-kunci ini ditentukan dalam langkah-langkah pengaturan domain berikut:

  • Langkah 3: Konfigurasikan Aplikasi - (Opsional) - Saat mengonfigurasi bagian konfigurasi penyimpanan Canvas, Anda dapat menentukan kunci Enkripsi. Ini adalah KMS kunci yang digunakan SageMaker Canvas untuk penyimpanan jangka panjang objek model dan kumpulan data, yang disimpan dalam bucket Amazon S3 yang disediakan untuk domain Anda. Jika membuat aplikasi Canvas dengan CreateAppAPI, gunakan S3KMSKeyId bidang untuk menentukan kunci ini.

  • Langkah 6: Konfigurasikan penyimpanan — SageMaker Canvas menggunakan satu kunci untuk mengenkripsi ruang pribadi Amazon SageMaker Studio yang dibuat untuk aplikasi Canvas Anda, yang mencakup penyimpanan aplikasi sementara, visualisasi, dan pekerjaan komputasi (seperti model pembuatan). Anda dapat menggunakan kunci AWS terkelola default atau menentukan sendiri. Jika Anda menentukan AWS KMS kunci Anda, data yang disimpan dalam /home/sagemaker-user direktori dienkripsi dengan kunci Anda. Jika Anda tidak menentukan AWS KMS kunci, data di dalamnya /home/sagemaker-user dienkripsi dengan kunci AWS terkelola. Terlepas dari apakah Anda menentukan AWS KMS kunci, semua data di luar direktori kerja dienkripsi dengan Kunci AWS Terkelola. Untuk mempelajari lebih lanjut tentang ruang Studio dan penyimpanan aplikasi Canvas Anda, lihatSimpan data aplikasi SageMaker Canvas di SageMaker ruang Anda sendiri. Jika membuat aplikasi Canvas dengan CreateAppAPI, gunakan KmsKeyID bidang untuk menentukan kunci ini.

Tombol sebelumnya bisa berupa kunci yang sama atau berbedaKMS.

Prasyarat

Untuk menggunakan KMS kunci Anda sendiri untuk salah satu tujuan yang dijelaskan sebelumnya, Anda harus terlebih dahulu memberikan izin IAM peran pengguna Anda untuk menggunakan kunci tersebut. Kemudian, Anda dapat menentukan KMS kunci saat mengatur domain Anda.

Cara termudah untuk memberikan izin peran Anda untuk menggunakan kunci adalah dengan memodifikasi kebijakan kunci. Gunakan prosedur berikut untuk memberikan peran Anda izin yang diperlukan.

  1. Buka konsol AWS KMS.

  2. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

  3. Ubah kebijakan kunci untuk memberikan izin kms:GenerateDataKey dan kms:Decrypt tindakan untuk IAM peran tersebut. Selain itu, jika Anda memodifikasi kebijakan kunci yang mengenkripsi penyimpanan aplikasi Canvas Anda di ruang Studio, berikan tindakan tersebut. kms:CreateGrant Anda dapat menambahkan pernyataan yang mirip dengan berikut ini:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Pilih Simpan perubahan.

Metode yang kurang disukai adalah memodifikasi IAM peran pengguna untuk memberikan izin pengguna untuk menggunakan atau mengelola KMS kunci. Jika Anda menggunakan metode ini, kebijakan KMS kunci juga harus mengizinkan manajemen aksesIAM. Untuk mempelajari cara memberikan izin ke KMS kunci melalui IAM peran pengguna, lihat Menentukan KMS kunci dalam pernyataan IAM kebijakan di Panduan AWS KMS Pengembang.

Prasyarat untuk peramalan deret waktu

Untuk menggunakan AWS KMS kunci Anda untuk mengenkripsi model peramalan deret waktu di SageMaker Canvas, Anda harus mengubah kebijakan kunci untuk KMS kunci yang digunakan untuk menyimpan objek ke Amazon S3. Kebijakan utama Anda harus memberikan izin untukAmazonSageMakerCanvasForecastRole, yang SageMaker dibuat saat Anda memberikan izin peramalan deret waktu untuk pengguna Anda. Amazon Forecast menggunakan AmazonSageMakerCanvasForecastRole untuk melakukan operasi peramalan deret waktu di SageMaker Canvas. KMSKunci Anda harus memberikan izin untuk peran ini untuk memastikan data dienkripsi untuk peramalan deret waktu.

Untuk mengubah izin kebijakan KMS kunci Anda agar memungkinkan peramalan deret waktu terenkripsi, lakukan hal berikut.

  1. Buka konsol AWS KMS.

  2. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

  3. Ubah kebijakan kunci agar izin ditentukan dalam contoh berikut:

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. Pilih Simpan perubahan.

Anda sekarang dapat menggunakan KMS kunci Anda untuk mengenkripsi operasi peramalan deret waktu di SageMaker Canvas.

catatan

Izin berikut hanya diperlukan jika Anda menggunakan metode pengaturan IAM peran untuk mengonfigurasi peramalan deret waktu. Tambahkan kebijakan izin berikut ke IAM peran pengguna Anda. Anda juga harus memperbarui kebijakan utama dengan kebijakan terbaru yang diperlukan untuk Amazon Forecast. Untuk informasi selengkapnya tentang izin yang diperlukan untuk peramalan deret waktu, lihat. Berikan Izin Pengguna Anda untuk Melakukan Peramalan Deret Waktu

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Enkripsi data Anda di aplikasi SageMaker Canvas

KMSKunci pertama yang dapat Anda gunakan di SageMaker Canvas digunakan untuk mengenkripsi data aplikasi yang disimpan di volume Amazon Elastic Block Store EBS (Amazon) dan di Amazon Elastic File System yang SageMaker dibuat di domain Anda. SageMaker Canvas mengenkripsi data Anda dengan kunci ini di aplikasi dasar dan sistem penyimpanan sementara yang dibuat saat menggunakan instance komputasi untuk membuat model dan menghasilkan wawasan. SageMaker Canvas meneruskan kunci ke AWS layanan lain, seperti Autopilot, setiap kali SageMaker Canvas memulai pekerjaan dengan mereka untuk memproses data Anda.

Anda dapat menentukan kunci ini dengan mengatur CreateDomain API panggilan KmsKeyID dalam atau saat melakukan pengaturan domain standar di konsol. Jika Anda tidak menentukan kunci Anda sendiri, SageMaker gunakan KMS KMS kunci AWS terkelola default untuk mengenkripsi data Anda di aplikasi SageMaker Canvas.

Untuk menentukan KMS kunci Anda sendiri untuk digunakan dalam aplikasi SageMaker Canvas melalui konsol, pertama-tama siapkan SageMaker domain Amazon Anda menggunakan pengaturan Standar. Gunakan prosedur berikut untuk menyelesaikan Bagian Jaringan dan Penyimpanan untuk domain.

  1. Isi VPC pengaturan Amazon yang Anda inginkan.

  2. Untuk kunci Enkripsi, pilih Masukkan KMS kunci ARN.

  3. Untuk KMSARN, masukkan KMS kunci ARN untuk Anda, yang seharusnya memiliki format yang mirip dengan yang berikut ini: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Enkripsi data SageMaker Canvas Anda yang disimpan di Amazon S3

KMSKunci kedua yang dapat Anda tentukan digunakan untuk data yang disimpan SageMaker Canvas ke Amazon S3. KMSKunci ini ditentukan di S3KMSKeyId bidang dalam CreateDomain API panggilan, atau saat melakukan pengaturan domain standar di SageMaker konsol. SageMaker Canvas menyimpan duplikat kumpulan data input, data aplikasi dan model, serta data keluaran ke bucket SageMaker S3 default Region untuk akun Anda. Pola penamaan untuk bucket ini adalahs3://sagemaker-{Region}-{your-account-id}, dan SageMaker Canvas menyimpan data di Canvas/ folder.

  1. Aktifkan Aktifkan berbagi sumber daya notebook.

  2. Untuk lokasi S3 untuk sumber daya notebook yang dapat dibagikan, tinggalkan jalur Amazon S3 default. Perhatikan bahwa SageMaker Canvas tidak menggunakan jalur Amazon S3 ini; jalur Amazon S3 ini digunakan untuk notebook Studio Classic.

  3. Untuk kunci Enkripsi, pilih Masukkan KMS kunci ARN.

  4. Untuk KMSARN, masukkan KMS kunci ARN untuk Anda, yang seharusnya memiliki format yang mirip dengan yang berikut ini: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Impor kumpulan data terenkripsi dari Amazon S3

Pengguna Anda mungkin memiliki kumpulan data yang telah dienkripsi dengan kunci. KMS Meskipun bagian sebelumnya menunjukkan cara mengenkripsi data di SageMaker Canvas dan data yang disimpan ke Amazon S3, Anda harus memberikan izin tambahan IAM peran pengguna jika ingin mengimpor data dari Amazon S3 yang sudah dienkripsi. AWS KMS

Untuk memberikan izin pengguna Anda untuk mengimpor kumpulan data terenkripsi dari Amazon S3 SageMaker ke Canvas, tambahkan izin berikut ke peran eksekusi yang telah Anda gunakan untuk IAM profil pengguna.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Untuk mempelajari cara mengedit IAM izin untuk peran, lihat Menambahkan dan menghapus izin IAM identitas di IAMPanduan Pengguna. Untuk informasi selengkapnya tentang KMS kunci, lihat Kebijakan kunci AWS Key Management Service di Panduan AWS KMS Pengembang.

FAQs

Lihat FAQ item berikut untuk jawaban atas pertanyaan umum tentang AWS KMS dukungan SageMaker Canvas.

A: Tidak. SageMaker Canvas dapat menyimpan kunci Anda untuk sementara waktu atau meneruskannya ke AWS layanan lain (seperti Autopilot), tetapi SageMaker Canvas tidak menyimpan kunci Anda. KMS

J: IAM Peran pengguna Anda mungkin tidak memiliki izin untuk menggunakan KMS kunci itu. Untuk memberikan izin pengguna Anda, lihat. Prasyarat Kesalahan lain yang mungkin terjadi adalah Anda memiliki kebijakan bucket di bucket Amazon S3 yang mengharuskan penggunaan KMS kunci tertentu yang tidak cocok dengan kunci yang Anda tentukan di domain Anda. KMS Pastikan Anda menentukan KMS kunci yang sama untuk bucket Amazon S3 dan domain Anda.

J: Bucket Amazon S3 default mengikuti pola penamaan. s3://sagemaker-{Region}-{your-account-id} Canvas/Folder di bucket ini menyimpan data aplikasi SageMaker Canvas Anda.

A: Tidak, SageMaker buat ember ini untuk Anda.

J: SageMaker Canvas menggunakan bucket SageMaker Amazon S3 default untuk menyimpan duplikat kumpulan data input, artefak model, dan keluaran model Anda.

J: Dengan SageMaker Canvas, Anda dapat menggunakan kunci enkripsi Anda sendiri AWS KMS untuk membangun regresi, klasifikasi biner dan multi-kelas, dan model peramalan deret waktu, serta untuk inferensi batch dengan model Anda.

J: Ya. Anda harus memberikan izin tambahan KMS kunci Anda untuk melakukan peramalan deret waktu terenkripsi. Untuk informasi selengkapnya tentang cara mengubah kebijakan kunci Anda untuk memberikan izin peramalan deret waktu, lihat. Prasyarat untuk peramalan deret waktu