Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda mungkin memiliki data yang ingin Anda enkripsi saat menggunakan Amazon SageMaker Canvas, seperti informasi perusahaan pribadi atau data pelanggan Anda. SageMaker Canvas digunakan AWS Key Management Service untuk melindungi data Anda. AWS KMS adalah layanan yang dapat Anda gunakan untuk membuat dan mengelola kunci kriptografi untuk mengenkripsi data Anda. Untuk informasi selengkapnya AWS KMS, lihat AWS Key Management Servicedi Panduan AWS KMS Pengembang.
Amazon SageMaker Canvas memberi Anda beberapa opsi untuk mengenkripsi data Anda. SageMaker Canvas menyediakan enkripsi default dalam aplikasi untuk tugas-tugas seperti membangun model Anda dan menghasilkan wawasan. Anda juga dapat memilih untuk mengenkripsi data yang disimpan di Amazon S3 untuk melindungi data Anda saat istirahat. SageMaker Canvas mendukung pengimporan kumpulan data terenkripsi, sehingga Anda dapat membuat alur kerja terenkripsi. Bagian berikut menjelaskan bagaimana Anda dapat menggunakan AWS KMS enkripsi untuk melindungi data Anda saat membuat model dengan SageMaker Canvas.
Enkripsi data Anda di Canvas SageMaker
Dengan SageMaker Canvas, Anda dapat menggunakan dua kunci AWS KMS enkripsi yang berbeda untuk mengenkripsi data Anda di SageMaker Canvas, yang dapat Anda tentukan saat mengatur domain Anda menggunakan pengaturan domain standar. Kunci-kunci ini ditentukan dalam langkah-langkah pengaturan domain berikut:
-
Langkah 3: Konfigurasikan Aplikasi - (Opsional) - Saat mengonfigurasi bagian konfigurasi penyimpanan Canvas, Anda dapat menentukan kunci Enkripsi. Ini adalah kunci KMS yang digunakan SageMaker Canvas untuk penyimpanan jangka panjang objek model dan kumpulan data, yang disimpan dalam bucket Amazon S3 yang disediakan untuk domain Anda. Jika membuat aplikasi Canvas dengan CreateAppAPI, gunakan
S3KMSKeyIdbidang untuk menentukan kunci ini. -
Langkah 6: Konfigurasikan penyimpanan — SageMaker Canvas menggunakan satu kunci untuk mengenkripsi ruang pribadi Amazon SageMaker Studio yang dibuat untuk aplikasi Canvas Anda, yang mencakup penyimpanan aplikasi sementara, visualisasi, dan pekerjaan komputasi (seperti model pembuatan). Anda dapat menggunakan kunci AWS terkelola default atau menentukan sendiri. Jika Anda menentukan AWS KMS kunci Anda, data yang disimpan dalam
/home/sagemaker-userdirektori dienkripsi dengan kunci Anda. Jika Anda tidak menentukan AWS KMS kunci, data di dalamnya/home/sagemaker-userdienkripsi dengan kunci AWS terkelola. Terlepas dari apakah Anda menentukan AWS KMS kunci, semua data di luar direktori kerja dienkripsi dengan Kunci AWS Terkelola. Untuk mempelajari lebih lanjut tentang ruang Studio dan penyimpanan aplikasi Canvas Anda, lihatSimpan data aplikasi SageMaker Canvas di ruang SageMaker AI Anda sendiri. Jika membuat aplikasi Canvas dengan CreateAppAPI, gunakanKmsKeyIDbidang untuk menentukan kunci ini.
Tombol sebelumnya bisa berupa tombol KMS yang sama atau berbeda.
Prasyarat
Untuk menggunakan kunci KMS Anda sendiri untuk salah satu tujuan yang dijelaskan sebelumnya, Anda harus terlebih dahulu memberikan izin peran IAM pengguna Anda untuk menggunakan kunci tersebut. Kemudian, Anda dapat menentukan kunci KMS saat mengatur domain Anda.
Cara termudah untuk memberikan izin peran Anda untuk menggunakan kunci adalah dengan memodifikasi kebijakan kunci. Gunakan prosedur berikut untuk memberikan peran Anda izin yang diperlukan.
-
Buka konsol AWS KMS
. -
Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.
-
Ubah kebijakan kunci untuk memberikan izin
kms:GenerateDataKeydankms:Decrypttindakan ke peran IAM. Selain itu, jika Anda memodifikasi kebijakan kunci yang mengenkripsi penyimpanan aplikasi Canvas Anda di ruang Studio, berikan tindakan tersebut.kms:CreateGrantAnda dapat menambahkan pernyataan yang mirip dengan berikut ini:{ "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
Pilih Simpan perubahan.
Metode yang kurang disukai adalah memodifikasi peran IAM pengguna untuk memberikan izin pengguna untuk menggunakan atau mengelola kunci KMS. Jika Anda menggunakan metode ini, kebijakan kunci KMS juga harus mengizinkan manajemen akses melalui IAM. Untuk mempelajari cara memberikan izin ke kunci KMS melalui peran IAM pengguna, lihat Menentukan kunci KMS dalam pernyataan kebijakan IAM di Panduan Pengembang.AWS KMS
Enkripsi data Anda di aplikasi SageMaker Canvas
Kunci KMS pertama yang dapat Anda gunakan di SageMaker Canvas digunakan untuk mengenkripsi data aplikasi yang disimpan di volume Amazon Elastic Block Store (Amazon EBS) Block Store (Amazon EBS) dan di Amazon Elastic File System yang dibuat AI di domain Anda. SageMaker SageMaker Canvas mengenkripsi data Anda dengan kunci ini di aplikasi dasar dan sistem penyimpanan sementara yang dibuat saat menggunakan instance komputasi untuk membuat model dan menghasilkan wawasan. SageMaker Canvas meneruskan kunci ke AWS layanan lain, seperti Autopilot, setiap kali SageMaker Canvas memulai pekerjaan dengan mereka untuk memproses data Anda.
Anda dapat menentukan kunci ini dengan menyetel panggilan KmsKeyID dalam CreateDomain API atau saat melakukan pengaturan domain standar di konsol. Jika Anda tidak menentukan kunci KMS Anda sendiri, SageMaker AI menggunakan kunci KMS AWS terkelola default untuk mengenkripsi data Anda di aplikasi Canvas. SageMaker
Untuk menentukan kunci KMS Anda sendiri untuk digunakan dalam aplikasi SageMaker Canvas melalui konsol, pertama-tama siapkan domain Amazon SageMaker AI Anda menggunakan pengaturan Standar. Gunakan prosedur berikut untuk menyelesaikan Bagian Jaringan dan Penyimpanan untuk domain.
-
Isi pengaturan VPC Amazon yang Anda inginkan.
-
Untuk kunci Enkripsi, pilih Masukkan ARN kunci KMS.
-
Untuk KMS ARN, masukkan ARN untuk kunci KMS Anda, yang seharusnya memiliki format yang mirip dengan berikut ini:
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Enkripsi data SageMaker Canvas Anda yang disimpan di Amazon S3
Kunci KMS kedua yang dapat Anda tentukan digunakan untuk data yang disimpan SageMaker Canvas ke Amazon S3. Kunci KMS ini ditentukan di S3KMSKeyId bidang dalam panggilan CreateDomain API, atau saat melakukan pengaturan domain standar di konsol SageMaker AI. SageMaker Canvas menyimpan duplikat kumpulan data input, data aplikasi dan model, serta data keluaran ke bucket SageMaker AI S3 default Wilayah untuk akun Anda. Pola penamaan untuk bucket ini adalahs3://sagemaker-, dan SageMaker Canvas menyimpan data di {Region}-{your-account-id}Canvas/ folder.
-
Aktifkan Aktifkan berbagi sumber daya notebook.
-
Untuk lokasi S3 untuk sumber daya notebook yang dapat dibagikan, tinggalkan jalur Amazon S3 default. Perhatikan bahwa SageMaker Canvas tidak menggunakan jalur Amazon S3 ini; jalur Amazon S3 ini digunakan untuk notebook Studio Classic.
-
Untuk kunci Enkripsi, pilih Masukkan ARN kunci KMS.
-
Untuk KMS ARN, masukkan ARN untuk kunci KMS Anda, yang seharusnya memiliki format yang mirip dengan berikut ini:
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Impor kumpulan data terenkripsi dari Amazon S3
Pengguna Anda mungkin memiliki kumpulan data yang telah dienkripsi dengan kunci KMS. Sementara bagian sebelumnya menunjukkan cara mengenkripsi data di SageMaker Canvas dan data yang disimpan ke Amazon S3, Anda harus memberikan izin tambahan peran IAM pengguna Anda jika Anda ingin mengimpor data dari Amazon S3 yang sudah dienkripsi. AWS KMS
Untuk memberikan izin pengguna Anda untuk mengimpor kumpulan data terenkripsi dari Amazon S3 SageMaker ke Canvas, tambahkan izin berikut ke peran eksekusi IAM yang telah Anda gunakan untuk profil pengguna.
"kms:Decrypt",
"kms:GenerateDataKey"
Untuk mempelajari cara mengedit izin IAM untuk peran, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang kunci KMS, lihat Kebijakan utama AWS Key Management Service di Panduan AWS KMS Pengembang.
FAQs
Lihat item FAQ berikut untuk jawaban atas pertanyaan umum tentang AWS KMS dukungan SageMaker Canvas.
A: Tidak. SageMaker Canvas dapat menyimpan sementara kunci Anda atau meneruskannya ke AWS layanan lain (seperti Autopilot), tetapi SageMaker Canvas tidak menyimpan kunci KMS Anda.
J: Peran IAM pengguna Anda mungkin tidak memiliki izin untuk menggunakan kunci KMS tersebut. Untuk memberikan izin pengguna Anda, lihat. Prasyarat Kesalahan lain yang mungkin terjadi adalah Anda memiliki kebijakan bucket di bucket Amazon S3 yang mengharuskan penggunaan kunci KMS tertentu yang tidak cocok dengan kunci KMS yang Anda tentukan di domain Anda. Pastikan Anda menentukan kunci KMS yang sama untuk bucket Amazon S3 dan domain Anda.
J: Bucket Amazon S3 default mengikuti pola penamaan. s3://sagemaker- {Region}-{your-account-id}Canvas/Folder di bucket ini menyimpan data aplikasi SageMaker Canvas Anda.
A: Tidak, SageMaker AI membuat ember ini untuk Anda.
J: SageMaker Canvas menggunakan bucket SageMaker AI Amazon S3 default untuk menyimpan duplikat kumpulan data input, artefak model, dan keluaran model Anda.
J: Dengan SageMaker Canvas, Anda dapat menggunakan kunci enkripsi Anda sendiri AWS KMS untuk membangun regresi, klasifikasi biner dan multi-kelas, dan model peramalan deret waktu, serta untuk inferensi batch dengan model Anda.
