Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza e controllo degli accessi
Amazon SageMaker Feature Store ti consente di creare due tipi di negozi: un negozio online o un negozio offline. L'archivio online viene utilizzato per casi d'uso di inferenza in tempo reale a bassa latenza, mentre l’archivio offline viene utilizzato per casi d'uso di addestramento e inferenza in batch. Quando crei un gruppo di funzionalità per l'utilizzo online o offline, puoi fornire una chiave gestita AWS Key Management Service dal cliente per crittografare tutti i tuoi dati inattivi. Nel caso in cui non forniate una AWS KMS chiave, ci assicuriamo che i vostri dati siano crittografati sul lato server utilizzando una AWS KMS chiave AWS proprietaria o una AWS KMS chiave AWS gestita. Durante la creazione di un gruppo di funzionalità, puoi selezionare il tipo di archiviazione e, facoltativamente, fornire una AWS KMS chiave per la crittografia dei dati, quindi puoi richiamarne diverse APIs per la gestione dei dati comePutRecord
,GetRecord
. DeleteRecord
Feature Store consente di concedere o negare l'accesso a individui a livello di gruppo di funzionalità e consente l'accesso a Feature Store da più account. Ad esempio, puoi configurare account da sviluppatore per accedere all’archivio offline per l’addestramento e l'esplorazione dei modelli senza accesso in scrittura agli account di produzione. È possibile configurare account di produzione per accedere agli archivi online e offline. Feature Store utilizza AWS KMS chiavi cliente uniche per la crittografia dei dati archiviati nei negozi offline e online. Il controllo degli accessi è abilitato API sia tramite accesso con AWS KMS chiave. Puoi anche creare un controllo degli accessi a livello di gruppo di funzionalità.
Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Chiavi gestite dal cliente. Per ulteriori informazioni su AWS KMS, vedere AWS KMS
Utilizzo AWS KMS delle autorizzazioni per Amazon SageMaker Feature Store
Encryption at rest protegge Feature Store con una chiave gestita AWS KMS dal cliente. Per impostazione predefinita, utilizza una chiave gestita dal cliente di AWS proprietà OnlineStore e una chiave AWS gestita dal cliente per OfflineStore. Feature Store supporta l'opzione di crittografia dell’archivio online o offline con una chiave gestita dal cliente. Puoi selezionare la chiave gestita dal cliente per Feature Store quando crei il tuo archivio online o offline. La chiave può essere diversa per ogni archivio.
Feature Store supporta solo chiavi simmetriche gestite dal cliente. Non è possibile utilizzare una chiave asimmetrica gestita dal cliente per crittografare i dati nell'archivio online o offline. Per informazioni su come determinare se una chiave gestita dal cliente è simmetrica o asimmetrica, consulta Identificazione di chiavi gestite dal cliente simmetriche e asimmetriche.
Quando utilizzi una chiave gestita dal cliente, puoi sfruttare le seguenti funzionalità:
-
Puoi creare e gestire la chiave gestita dal cliente, inclusa l'impostazione delle politiche, delle IAMpolitiche e delle concessioni chiave per controllare l'accesso alla chiave gestita dal cliente. È possibile abilitare e disabilitare la chiave gestita dal cliente, abilitare e disabilitare la rotazione automatica delle chiavi ed eliminare la chiave gestita dal cliente quando non è più in uso.
-
L’utente può utilizzare una chiave gestita dal cliente con materiale di chiave importato o una chiave gestita dal cliente in un archivio di chiavi personalizzate di cui è proprietario e gestirlo.
Non si paga una tariffa mensile per le chiavi gestite dai clienti di AWS proprietà. Le chiavi gestite dal cliente comporteranno un addebito
Autorizzazione all'uso di una chiave gestita dal cliente per l’archivio online
Se utilizzi una chiave gestita dal cliente per proteggere l’archivio online, è necessario che le policy su tale chiave gestita dal cliente forniscano al Feature Store l'autorizzazione per usarla per tuo conto. Hai il pieno controllo sulle policy e sulle concessioni di una chiave gestita dal cliente.
Feature Store non necessita di un'autorizzazione aggiuntiva per utilizzare la KMSchiave AWS proprietaria predefinita per proteggere i negozi online o offline del tuo account. AWS
Policy delle chiavi gestite dal cliente
Quando selezioni una chiave gestita dal cliente per proteggere l’archivio online, Feature Store ottiene l'autorizzazione per utilizzare la chiave gestita dal cliente per conto del principale che effettua la selezione. Tale principale, utente o ruolo deve disporre delle autorizzazioni sulla chiave gestita dal cliente richiesta dal Feature Store. Puoi fornire queste autorizzazioni in una politica chiave, una IAMpolitica o una concessione. Le autorizzazioni minime richieste dal Feature Store per una chiave gestita dal cliente sono:
-
«kms:encrypt», «kms:decrypt», «kms: «, «kms: DescribeKey «, «kms: CreateGrant «, «kms: «, RetireGrant «kms: «, «kms: ReEncryptFrom «, «kms: ReEncryptTo «, «kms:GenerateDataKey» ListAliases ListGrants RevokeGrant
Ad esempio, la policy di chiave di esempio riportata di seguito fornisce solo le autorizzazioni necessarie. La policy ha i seguenti effetti:
-
Consente al Feature Store di utilizzare la chiave gestita dal cliente nelle operazioni di crittografia e di creare concessioni, ma solo quando agisce per conto dei principali dell'account dotati dell'autorizzazione per l'utilizzo del Feature Store. Se i principali specificati nell'istruzione della policy non dispongono dell'autorizzazione per l'utilizzo del Feature Store, la chiamata non riesce, anche quando proviene dal servizio Feature Store.
-
La chiave kms: ViaService condition consente le autorizzazioni solo quando la FeatureStore richiesta proviene per conto dei principali elencati nell'informativa. Tali entità non possono chiamare direttamente queste operazioni. Il valore di
kms:ViaService
deve esseresagemaker.*.amazonaws.com
.Nota
La chiave di
kms:ViaService
condizione può essere utilizzata solo per la AWS KMS chiave gestita dal cliente del negozio online e non può essere utilizzata per il negozio offline. Se aggiungi questa condizione speciale alla chiave gestita dal cliente e utilizzi la stessa AWS KMS chiave sia per il negozio online che per quello offline, l'CreateFeatureGroup
APIoperazione avrà esito negativo. -
Fornisce agli amministratori delle chiavi gestite dal cliente l'accesso in sola lettura alla chiave gestita dal cliente e l'autorizzazione per revocare le concessioni, incluse quelle utilizzate da Feature Store per proteggere i dati.
Prima di utilizzare una politica chiave di esempio, sostituisci i principali di esempio con i principali effettivi del tuo AWS account.
{"Id": "key-policy-feature-store", "Version":"2012-10-17", "Statement": [ {"Sid" : "Allow access through Amazon SageMaker Feature Store for all principals in the account that are authorized to use Amazon SageMaker Feature Store", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:ListAliases", "kms:ListGrants" ], "Resource": "*", "Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com" } } }, {"Sid": "Allow administrators to view the customer managed key and revoke grants", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" }, {"Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789:root" }, "Action": "kms:*", "Resource": "*" } ] }
Utilizzo di concessioni per autorizzare il Feature Store
Oltre alle policy delle chiavi, Feature Store usa le concessioni per impostare le autorizzazioni per una chiave gestita dal cliente. Per visualizzare le concessioni della chiave gestita dal cliente nell'account, utilizza l'operazione ListGrants
. Feature Store non ha bisogno di concessioni o di autorizzazioni aggiuntive per utilizzare la chiave gestita dal cliente di proprietà di AWS per proteggere l'archivio online.
Feature Store usa le autorizzazioni per la concessione quando esegue la manutenzione dei sistemi in background e le attività di protezione dei dati continuative nel tempo.
Ogni concessione è specifica di un archivio online. Se l'account include più archivi crittografati con la stessa chiave gestita dal cliente, le concessioni saranno univoche per FeatureGroup
, che usa la stessa chiave gestita dal cliente.
La policy delle chiavi può anche consentire all'account di revocare la concessione sulla chiave gestita dal cliente. Tuttavia, se revochi la concessione relativa a un archivio online crittografato attivo, Archivio funzionalità non sarà in grado di proteggere e mantenere l'archivio.
Monitoraggio dell'interazione del Feature Store con AWS KMS
Se utilizzi una chiave gestita dal cliente per proteggere il tuo negozio online o offline, puoi utilizzare AWS CloudTrail i log per tenere traccia delle richieste a cui Feature Store invia per tuo AWS KMS conto.
Accesso ai dati nell’archivio online
Il chiamante (utente o ruolo) alle ALL DataPlane operazioni (Put, Get DeleteRecord) deve disporre delle seguenti autorizzazioni sulla chiave gestita dal cliente:
"kms:Decrypt"
Autorizzazione dell'uso di una chiave gestita dal cliente per l’archivio offline
Il roleArnthat viene passato come parametro a createFeatureGroup
deve avere le seguenti autorizzazioni per: OfflineStore KmsKeyId
"kms:GenerateDataKey"
Nota
La policy delle chiavi per l'archivio online funziona anche per l'archivio offline, solo quando la condizione kms:ViaService
non è specificata.
Importante
Puoi specificare una chiave di AWS KMS crittografia per crittografare la posizione Amazon S3 utilizzata per il tuo feature store offline quando crei un gruppo di funzionalità. Se AWS KMS la chiave di crittografia non è specificata, per impostazione predefinita crittografiamo tutti i dati inattivi utilizzando la chiave. AWS KMS Definendo la chiave a livello di bucket perSSE, puoi ridurre i costi AWS KMS delle richieste fino al 99 percento.