Crittografa i tuoi dati SageMaker Canvas con AWS KMS - Amazon SageMaker
Crittografa i tuoi dati in Canvas SageMaker Importazione di set di dati crittografati da Amazon S3FAQs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografa i tuoi dati SageMaker Canvas con AWS KMS

Potresti avere dati che desideri crittografare durante l'utilizzo di Amazon SageMaker Canvas, come le informazioni private della tua azienda o i dati dei clienti. SageMaker Canvas utilizza AWS Key Management Service per proteggere i tuoi dati. AWS KMS è un servizio che puoi utilizzare per creare e gestire chiavi crittografiche per la crittografia dei dati. Per ulteriori informazioni AWS Key Management Servicein merito AWS KMS, consulta la Guida per gli AWS KMS sviluppatori.

Amazon SageMaker Canvas offre diverse opzioni per crittografare i dati. SageMaker Canvas fornisce la crittografia predefinita all'interno dell'applicazione per attività come la creazione di un modello e la generazione di approfondimenti. Puoi anche scegliere di crittografare i dati archiviati in Amazon S3 per proteggere i tuoi dati a riposo. SageMaker Canvas supporta l'importazione di set di dati crittografati, in modo da poter stabilire un flusso di lavoro crittografato. Le sezioni seguenti descrivono come utilizzare la AWS KMS crittografia per proteggere i dati durante la creazione di modelli con SageMaker Canvas.

Crittografa i tuoi dati in Canvas SageMaker

Con SageMaker Canvas, puoi utilizzare due diverse chiavi di AWS KMS crittografia per crittografare i tuoi dati in SageMaker Canvas, che puoi specificare quando configuri il dominio utilizzando la configurazione standard del dominio. Queste chiavi sono specificate nei seguenti passaggi di configurazione del dominio:

  • Passo 3: Configurazione delle applicazioni - (Facoltativo) - Quando si configura la sezione di configurazione dell'archiviazione di Canvas, è possibile specificare una chiave di crittografia. Questa è una KMS chiave che SageMaker Canvas utilizza per l'archiviazione a lungo termine di oggetti e set di dati del modello, che vengono archiviati nel bucket Amazon S3 fornito per il tuo dominio. Se crei un'applicazione Canvas con CreateAppAPI, usa il S3KMSKeyId campo per specificare questa chiave.

  • Fase 6: Configurazione dello storage: SageMaker Canvas utilizza una chiave per crittografare lo spazio privato di Amazon SageMaker Studio creato per l'applicazione Canvas, che include lo storage temporaneo delle applicazioni, le visualizzazioni e i processi di calcolo (come la creazione di modelli). Puoi utilizzare la chiave AWS gestita predefinita o specificarne una personalizzata. Se si specifica la AWS KMS chiave, i dati memorizzati nella /home/sagemaker-user directory vengono crittografati con la chiave. Se non specifichi una AWS KMS chiave, i dati all'interno /home/sagemaker-user vengono crittografati con una chiave AWS gestita. Indipendentemente dal fatto che venga specificata una AWS KMS chiave, tutti i dati al di fuori della directory di lavoro vengono crittografati con una chiave AWS gestita. Per ulteriori informazioni sullo spazio di Studio e sull'archiviazione dell'applicazione Canvas, consultaArchivia i dati dell'applicazione SageMaker Canvas nel tuo spazio SageMaker. Se crei un'applicazione Canvas con CreateAppAPI, usa il KmsKeyID campo per specificare questa chiave.

Le chiavi precedenti possono essere uguali o diverseKMS.

Prerequisiti

Per utilizzare la propria KMS chiave per uno degli scopi descritti in precedenza, è necessario innanzitutto concedere al IAM ruolo dell'utente il permesso di utilizzare la chiave. Quindi, puoi specificare la KMS chiave durante la configurazione del dominio.

Il modo più semplice per concedere al tuo ruolo il permesso di utilizzare la chiave è modificare la policy della chiave. Utilizza la procedura seguente per concedere al tuo ruolo le autorizzazioni necessarie.

  1. Apri la AWS KMS console.

  2. Nella sezione Policy della chiave, scegli Passa alla visualizzazione della policy.

  3. Modifica la politica della chiave per concedere le kms:Decrypt autorizzazioni kms:GenerateDataKey e le azioni relative al IAM ruolo. Inoltre, se stai modificando la politica chiave che crittografa l'archiviazione dell'applicazione Canvas nello spazio di Studio, concedi l'azione. kms:CreateGrant Puoi aggiungere un'istruzione simile alla seguente:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Scegli Save changes (Salva modifiche).

Il metodo meno preferito consiste nel modificare il IAM ruolo dell'utente per concedere all'utente le autorizzazioni per utilizzare o gestire la chiave. KMS Se si utilizza questo metodo, la politica KMS chiave deve consentire anche la gestione degli accessi tramiteIAM. Per informazioni su come concedere l'autorizzazione a una KMS chiave tramite il IAM ruolo dell'utente, consulta Specificare KMS le chiavi nelle dichiarazioni IAM politiche nella Guida per gli AWS KMS sviluppatori.

Prerequisiti per la previsione di serie temporali

Per utilizzare la tua AWS KMS chiave per crittografare i modelli di previsione delle serie temporali in SageMaker Canvas, devi modificare la politica delle chiavi per la KMS chiave utilizzata per archiviare oggetti su Amazon S3. La tua policy chiave deve concedere le autorizzazioni aAmazonSageMakerCanvasForecastRole, che si SageMaker creano quando concedi le autorizzazioni per la previsione delle serie temporali ai tuoi utenti. Amazon Forecast lo utilizza AmazonSageMakerCanvasForecastRole per eseguire operazioni di previsione di serie temporali in SageMaker Canvas. La tua KMS chiave deve concedere le autorizzazioni per questo ruolo per garantire che i dati siano crittografati per la previsione delle serie temporali.

Per modificare le autorizzazioni della tua policy KMS chiave per consentire la previsione crittografata delle serie temporali, procedi come segue.

  1. Apri la AWS KMS console.

  2. Nella sezione Policy della chiave, scegli Passa alla visualizzazione della policy.

  3. Modifica la policy della chiave per ottenere le autorizzazioni specificate nell'esempio seguente:

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. Scegli Save changes (Salva modifiche).

Ora puoi usare la tua KMS chiave per crittografare le operazioni di previsione delle serie temporali in Canvas. SageMaker

Nota

Le seguenti autorizzazioni sono necessarie solo se si utilizza il metodo di configurazione del IAM ruolo per configurare la previsione delle serie temporali. Aggiungi la seguente politica di autorizzazioni al ruolo dell'utente. IAM Inoltre, devi aggiornare la policy della chiave con le policy aggiornate richieste per Amazon Forecast. Per ulteriori informazioni sulle autorizzazioni richieste per la previsione di serie temporali, consulta Concedi ai tuoi utenti le autorizzazioni per eseguire previsioni di serie temporali.

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Crittografa i tuoi dati nell'applicazione Canvas SageMaker

La prima KMS chiave che puoi utilizzare in SageMaker Canvas viene utilizzata per crittografare i dati delle applicazioni archiviati nei volumi Amazon Elastic Block Store (AmazonEBS) e nell'Amazon Elastic File System SageMaker creato nel tuo dominio. SageMaker Canvas crittografa i dati con questa chiave nell'applicazione sottostante e nei sistemi di storage temporanei creati quando si utilizzano istanze di calcolo per creare modelli e generare approfondimenti. SageMaker Canvas passa la chiave ad altri AWS servizi, come Autopilot, ogni volta che SageMaker Canvas avvia dei lavori con loro per elaborare i dati.

È possibile specificare questa chiave impostando la KmsKeyID nella CreateDomain API chiamata o durante la configurazione standard del dominio nella console. Se non specifichi la tua KMS chiave, SageMaker utilizza una KMS chiave AWS gestita predefinita per crittografare i dati nell'applicazione SageMaker Canvas.

Per specificare la tua KMS chiave da utilizzare nell'applicazione SageMaker Canvas tramite la console, configura prima il tuo SageMaker dominio Amazon utilizzando la configurazione Standard. Utilizza la seguente procedura per completare la sezione Rete e archiviazione per il dominio.

  1. Compila le VPC impostazioni Amazon desiderate.

  2. Per Chiave di crittografia, scegli Inserisci una KMS chiave ARN.

  3. Per KMSARN, inserisci il codice ARN per la tua KMS chiave, che dovrebbe avere un formato simile al seguente: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Crittografa i tuoi dati SageMaker Canvas salvati in Amazon S3

La seconda KMS chiave che puoi specificare viene utilizzata per i dati che SageMaker Canvas archivia su Amazon S3. Questa KMS chiave viene specificata nel S3KMSKeyId campo della CreateDomain API chiamata o durante la configurazione standard del dominio nella SageMaker console. SageMaker Canvas salva i duplicati dei set di dati di input, dei dati di applicazioni e modelli e dei dati di output nel bucket SageMaker S3 predefinito della regione per il tuo account. Lo schema di denominazione per questo bucket ès3://sagemaker-{Region}-{your-account-id}, e SageMaker Canvas memorizza i dati nella cartella. Canvas/

  1. Attiva Abilita la condivisione delle risorse notebook.

  2. In Percorso S3 per le risorse notebook condivisibili, mantieni il percorso Amazon S3 predefinito. Tieni presente che SageMaker Canvas non utilizza questo percorso Amazon S3; questo percorso Amazon S3 viene utilizzato per i notebook Studio Classic.

  3. Per Chiave di crittografia, scegli Inserisci una chiave. KMS ARN

  4. Per KMSARN, inserisci il codice ARN per la tua KMS chiave, che dovrebbe avere un formato simile al seguente: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importazione di set di dati crittografati da Amazon S3

I tuoi utenti potrebbero avere set di dati crittografati con una KMS chiave. Sebbene la sezione precedente mostri come crittografare i dati in SageMaker Canvas e i dati archiviati su Amazon S3, devi concedere al tuo ruolo utente IAM autorizzazioni aggiuntive se desideri importare dati da Amazon S3 che sono già crittografati con. AWS KMS

Per concedere ai tuoi utenti le autorizzazioni per importare set di dati crittografati da Amazon S3 SageMaker in Canvas, aggiungi le seguenti autorizzazioni al ruolo di esecuzione che hai utilizzato per IAM il profilo utente.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Per informazioni su come modificare le IAM autorizzazioni per un ruolo, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'utente. IAM Per ulteriori informazioni sulle KMS chiavi, consulta le politiche chiave AWS Key Management Service nella Guida per gli AWS KMS sviluppatori.

FAQs

Fai riferimento ai seguenti FAQ elementi per le risposte alle domande più frequenti sul AWS KMS supporto di SageMaker Canvas.

R: No. SageMaker Canvas può temporaneamente memorizzare nella cache la chiave o trasmetterla ad altri AWS servizi (come Autopilot), ma SageMaker Canvas non conserva la chiave. KMS

R: Il IAM ruolo dell'utente potrebbe non disporre delle autorizzazioni per utilizzare quella KMS chiave. Per concedere le autorizzazioni utente, consulta Prerequisiti. Un altro possibile errore è che hai una policy sui bucket Amazon S3 che richiede l'uso di una chiave KMS specifica che non corrisponde KMS alla chiave specificata nel tuo dominio. Assicurati di specificare la stessa KMS chiave per il tuo bucket Amazon S3 e il tuo dominio.

R: Il bucket Amazon S3 predefinito segue lo schema di denominazione s3://sagemaker-{Region}-{your-account-id}. La Canvas/ cartella in questo bucket memorizza i dati dell'applicazione SageMaker Canvas.

R: No, SageMaker crea questo bucket per te.

R: SageMaker Canvas utilizza il bucket SageMaker Amazon S3 predefinito per archiviare duplicati dei set di dati di input, degli artefatti del modello e degli output del modello.

R: Con SageMaker Canvas, puoi utilizzare le tue chiavi di crittografia AWS KMS per creare modelli di regressione, classificazione binaria e multiclasse e previsione delle serie temporali, nonché per l'inferenza in batch con il tuo modello.

R: Sì. È necessario concedere alla KMS chiave autorizzazioni aggiuntive per eseguire previsioni di serie temporali crittografate. Per ulteriori informazioni su come modificare la policy della chiave per concedere le autorizzazioni per la previsione di serie temporali, consulta Prerequisiti per la previsione di serie temporali.