でのデータ保護 AWS Clean Rooms - AWS Clean Rooms
保管中の暗号化転送中の暗号化基になるデータの暗号化キーポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのデータ保護 AWS Clean Rooms

責任 AWS 共有モデル、 でのデータ保護に適用されます AWS Clean Rooms。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」のCloudTrail 証跡の使用」を参照してください。

  • AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。

  • Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール AWS Clean Rooms 、API、または SDK を使用して AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

保管中の暗号化

AWS Clean Rooms は、追加の設定を必要とせずに、保管中のすべてのサービスメタデータを常に暗号化します。この暗号化は、 を使用するときに自動的に行われます AWS Clean Rooms。

Clean Rooms ML は、保管中のサービス内に保存されているすべてのデータを で暗号化します AWS KMS。独自の KMS キーを提供することを選択した場合、類似モデルと類似セグメント生成ジョブの内容は KMS キーで保存時に暗号化されます。

AWS Clean Rooms カスタム ML モデルを使用する場合、サービスは保管時に保存されるすべてのデータを で暗号化します AWS KMS。 は、ユーザーが作成、所有、管理する対称カスタマーマネージドキーを使用して、保管中のデータを暗号化すること AWS Clean Rooms をサポートします。カスタマーマネージドキーが指定されていない場合は、デフォルトで AWS 所有のキー 使用されます。

AWS Clean Rooms は、権限とキーポリシーを使用してカスタマーマネージドキーにアクセスします。グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。そうすると、カスタマーマネージドキーによって暗号化されたデータにアクセスでき AWS Clean Rooms なくなり、そのデータに依存するオペレーションに影響します。例えば、 AWS Clean Rooms がアクセスできない暗号化された ML 入力チャネルからトレーニング済みモデルを作成しようとすると、オペレーションはValidationExceptionエラーを返します。

注記

Amazon S3 の暗号化オプションを使用して、保管中のデータを保護できます。

詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) の指定」を参照してください。

内で ID マッピングテーブルを使用する場合 AWS Clean Rooms、サービスは保管時に保存されるすべてのデータを暗号化します AWS KMS。独自の KMS キーを提供することを選択した場合、ID マッピングテーブルのコンテンツは を介して KMS キーで保管時に暗号化されます AWS Entity Resolution。ID マッピングワークフローで暗号化を使用するために必要なアクセス許可の詳細については、「AWS Entity Resolution ユーザーガイド」の「AWS Entity Resolutionのワークフロージョブロールを作成する」を参照してください。

転送中の暗号化

AWS Clean Rooms は転送中の暗号化に Transport Layer Security (TLS) を使用します。との通信 AWS Clean Rooms は常に HTTPS 経由で行われるため、データが Amazon S3、Amazon Athena、または Snowflake に保存されているかどうかにかかわらず、転送中には常にデータが暗号化されます。これには、Clean Rooms ML を使用するときに転送中のすべてのデータが含まれます。

基になるデータの暗号化

基になるデータを暗号化する方法の詳細については、「の暗号化コンピューティング Clean Rooms」を参照してください。

キーポリシー

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。

AWS Clean Rooms カスタム ML モデルでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。

  • kms:DescribeKey – カスタマーマネージドキーの詳細を提供し、 AWS Clean Rooms がキーを検証できるようにします。

  • kms:Decrypt – 暗号化されたデータを復号し、関連するジョブで使用する AWS Clean Rooms ための へのアクセスを提供します。

  • kms:CreateGrant - Clean Rooms ML は、Amazon ECR の許可を作成することで、Amazon ECR に保管中のトレーニングイメージと推論イメージを暗号化します。詳細については、「Amazon ECR での保管時の暗号化」を参照してください。Clean Rooms ML は、Amazon SageMaker AI を使用してトレーニングジョブと推論ジョブを実行し、SageMaker AI に許可を作成して、インスタンスにアタッチされた Amazon EBS ボリュームと Amazon S3 の出力データを暗号化します。詳細については、Amazon SageMaker AI で暗号化を使用して保管中のデータを保護する」を参照してください。

  • kms:GenerateDataKey - Clean Rooms ML は、サーバー側の暗号化を使用して Amazon S3 に保存されている保管中のデータを暗号化します AWS KMS keys。詳細については、Amazon S3 での AWS KMS keys (SSE-KMS) によるサーバー側の暗号化の使用」を参照してください。

以下は、次のリソース AWS Clean Rooms の に追加できるポリシーステートメントの例です。

ML 入力チャネル

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "Allow access to principals authorized to use Clean Rooms ML",
        "Effect": "Allow",
        "Principal": { 
            "AWS": "arn:aws:iam::444455556666:role/ExampleRole" 
        },
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "cleanrooms-ml.region.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Allow access to Clean Rooms ML service principal",
        "Effect": "Allow",
        "Principal": {
            "Service": "cleanrooms-ml.amazonaws.com"
        },
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "*"
    }
  ]
}

トレーニング済みモデルジョブまたはトレーニング済みモデル推論ジョブ

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "Allow access to principals authorized to use Clean Rooms ML",
        "Effect": "Allow",
        "Principal": { "AWS": "arn:aws:iam::444455556666:role/ExampleRole" },
        "Action": [
            "kms:GenerateDataKey",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "cleanrooms-ml.region.amazonaws.com"
            }
            "ForAllValues:StringEquals": {
                "kms:GrantOperations": [
                    "Decrypt",
                        "Encrypt",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "CreateGrant",
                        "DescribeKey",
                        "RetireGrant",
                        "GenerateDataKey"
                ]
              },
            "BoolIfExists": {
              "kms:GrantIsForAWSResource": true
            }
        }
    },
    {
        "Sid": "Allow access to Clean Rooms ML service principal",
        "Effect": "Allow",
        "Principal": {
            "Service": "cleanrooms-ml.amazonaws.com"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "kms:GrantOperations": [
                        "Decrypt",
                        "Encrypt",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "CreateGrant",
                        "DescribeKey",
                        "RetireGrant",
                        "GenerateDataKey"
                ]
              }
        }
    }
  ]
}

Clean Rooms ML は、カスタマーマネージドキーポリシーでのサービス暗号化コンテキストまたはソースコンテキストの指定をサポートしていません。サービスによって内部的に使用される暗号化コンテキストは、CloudTrail の顧客に表示されます。