Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi proteggere i tuoi dati inattivi utilizzando la crittografia per le funzionalità geospaziali. SageMaker Per impostazione predefinita, utilizza la crittografia lato server con una chiave SageMaker geospaziale di proprietà di Amazon. SageMaker le funzionalità geospaziali supportano anche un'opzione per la crittografia lato server con una chiave KMS gestita dal cliente.
Crittografia lato server con chiave gestita SageMaker geospaziale Amazon (impostazione predefinita)
SageMaker le funzionalità geospaziali crittografano tutti i tuoi dati, compresi i risultati computazionali dei lavori di osservazione della Terra (EOJ) e dei lavori di arricchimento vettoriale (VEJ) insieme a tutti i metadati dei tuoi servizi. Non ci sono dati archiviati all'interno delle funzionalità geospaziali non crittografati. SageMaker Utilizza una chiave di AWS proprietà predefinita per crittografare tutti i dati.
Crittografia lato server (SSE) con una chiave gestita dal cliente.
SageMaker le funzionalità geospaziali supportano l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia alla crittografia di proprietà esistente. AWS Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
Stabilire e mantenere le policy delle chiavi
Stabilire e mantenere le policy e le sovvenzioni IAM
Abilitare e disabilitare le policy delle chiavi
Ruotare i materiali crittografici delle chiavi
Aggiungere tag
Creare alias delle chiavi
Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .
In che modo le funzionalità geospaziali utilizzano le sovvenzioni SageMaker AWS KMS
SageMaker le funzionalità geospaziali richiedono una concessione per l'utilizzo della chiave gestita dal cliente. Quando crei un EOJ o un VEJ crittografato con una chiave gestita dal cliente, SageMaker geospatial capabilities crea una concessione per tuo conto inviando una richiesta a. CreateGrant AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire alle funzionalità SageMaker geospaziali di accedere a una chiave KMS in un account cliente. Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, le funzionalità SageMaker geospaziali non saranno in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati.
Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS KMS APIs
Per creare una chiave simmetrica gestita dal cliente
Segui i passaggi per la creazione di chiavi KMS di crittografia simmetrica nella Guida per gli sviluppatori. AWS Key Management Service
Policy della chiave
Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Determinazione dell'accesso alle AWS KMS chiavi nella Guida per gli AWS Key Management Service sviluppatori.
Per utilizzare la chiave gestita dal cliente con le risorse relative alle funzionalità SageMaker geospaziali, nella policy chiave devono essere consentite le seguenti operazioni API. Il principale per queste operazioni dovrebbe essere il ruolo di esecuzione fornito nella richiesta di funzionalità SageMaker geospaziali. SageMaker le capacità geospaziali presuppongono il ruolo di esecuzione fornito nella richiesta di eseguire queste operazioni KMS.
kms:GenerateDataKeykms:Decryptkms:GenerateDataKeyWithoutPlaintext
Di seguito sono riportati alcuni esempi di dichiarazioni politiche che è possibile aggiungere per le funzionalità geospaziali: SageMaker
CreateGrant
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : "<Customer provided Execution Role ARN>"
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]Per ulteriori informazioni su come specificare le autorizzazioni in una policy, consulta AWS KMS Autorizzazioni nella AWS Key Management Service Guida per gli sviluppatori. Per informazioni sulla risoluzione dei problemi, consulta Troubleshooting key access nella AWS Key Management Service Guida per gli sviluppatori.
Se la policy della chiave non prevede l'account root come amministratore delle chiavi, è necessario aggiungere le stesse autorizzazioni KMS al ruolo di esecuzione ARN. Ecco un esempio di policy che puoi aggiungere al ruolo di esecuzione:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"<KMS key Arn>"
],
"Effect": "Allow"
}
]
}Monitoraggio delle chiavi di crittografia per verificare le funzionalità geospaziali SageMaker
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse relative alle funzionalità SageMaker geospaziali, puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste a cui SageMaker vengono inviate le informazioni geospaziali. AWS KMS
Seleziona una scheda nella tabella seguente per visualizzare esempi di AWS CloudTrail eventi per monitorare le operazioni KMS richiamate dalle funzionalità SageMaker geospaziali per accedere ai dati crittografati dalla chiave gestita dal cliente.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}