SageMaker Canvas データを で暗号化する AWS KMS - Amazon SageMaker
SageMaker Canvas でデータを暗号化するAmazon S3 から暗号化されたデータセットをインポートするFAQs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SageMaker Canvas データを で暗号化する AWS KMS

Amazon SageMaker Canvas の使用中に暗号化するデータがある場合があります。例えば、プライベート企業情報や顧客データなどです。 SageMaker Canvas は AWS Key Management Service を使用してデータを保護します。 AWS KMS は、データを暗号化するための暗号化キーを作成および管理するために使用できるサービスです。の詳細については AWS KMS、「 デベロッパーガイドAWS Key Management Service」の「」を参照してください。 AWS KMS

Amazon SageMaker Canvas には、データを暗号化するためのいくつかのオプションが用意されています。 SageMaker Canvas は、モデルの構築やインサイトの生成などのタスクのために、アプリケーション内でデフォルトの暗号化を提供します。Amazon S3 に保存されているデータを暗号化して、保管中のデータを保護することもできます。 SageMaker Canvas は暗号化されたデータセットのインポートをサポートしているため、暗号化されたワークフローを確立できます。以下のセクションでは、 AWS KMS 暗号化を使用して SageMaker Canvas でモデルを構築しながらデータを保護する方法について説明します。

SageMaker Canvas でデータを暗号化する

SageMaker Canvas では、2 つの異なる AWS KMS 暗号化キーを使用して SageMaker Canvas でデータを暗号化できます。これは、標準ドメイン設定を使用してドメインを設定するときに指定できます。これらのキーは、次のドメイン設定ステップで指定します。

  • ステップ 3: アプリケーションを設定する - (オプション)Canvas ストレージ設定セクションを設定するときに、暗号化キー を指定できます。これは、Canvas SageMaker がモデルオブジェクトとデータセットの長期保存に使用するKMSキーで、ドメイン用に提供された Amazon S3 バケットに保存されます。を使用して Canvas CreateApp アプリケーションを作成する場合はAPI、 S3KMSKeyIdフィールドを使用してこのキーを指定します。

  • ステップ 6: ストレージを設定する – SageMaker Canvas は、Canvas アプリケーション用に作成された Amazon SageMaker Studio プライベートスペースを暗号化するために 1 つのキーを使用します。これには、一時的なアプリケーションストレージ、視覚化、コンピューティングジョブ (モデルの構築など) が含まれます。デフォルトの AWS マネージドキーを使用するか、独自のキーを指定できます。 AWS KMS キーを指定すると、/home/sagemaker-userディレクトリに保存されているデータはキーで暗号化されます。 AWS KMS キーを指定しない場合、内部のデータは AWS マネージドキーで暗号化/home/sagemaker-userされます。 AWS KMS キーを指定するかどうかにかかわらず、作業ディレクトリ外のすべてのデータは AWS マネージドキーで暗号化されます。Studio スペースと Canvas アプリケーションストレージの詳細については、「」を参照してください SageMaker Canvas アプリケーションデータを自分の SageMakerスペースに保存する。を使用して Canvas CreateApp アプリケーションを作成する場合はAPI、 KmsKeyIDフィールドを使用してこのキーを指定します。

上記のキーは、同じキーでも異なるKMSキーでもかまいません。

前提条件

前述の目的のいずれかで独自のKMSキーを使用するには、まずキーを使用するためのアクセス許可をユーザーIAMロールに付与する必要があります。次に、ドメインを設定するときに KMSキーを指定できます。

キーを使用する権限をロールに付与する最も簡単な方法は、キーポリシーを変更することです。必要な権限をロールに付与するには、次の手順に従います。

  1. AWS KMS コンソールを開きます。

  2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

  3. キーのポリシーを変更して、 kms:GenerateDataKey および kms:Decryptアクションのアクセス許可をIAMロールに付与します。さらに、Studio スペースで Canvas アプリケーションストレージを暗号化するキーポリシーを変更する場合は、 kms:CreateGrantアクションを付与します。次のようなステートメントを追加できます。

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. [Save changes] (変更の保存) をクリックします。

あまり推奨されない方法は、キーを使用または管理するアクセス許可をユーザーに付与するようにユーザーIAMロールを変更する方法ですKMS。この方法を使用する場合、KMSキーポリシーは によるアクセス管理も許可する必要がありますIAM。ユーザーIAMロールを通じてKMSキーにアクセス許可を付与する方法については、「 AWS KMS デベロッパーガイド」のIAM「ポリシーステートメントでのKMSキーの指定」を参照してください。

時系列予測の前提条件

SageMaker Canvas でキーを使用して時系列予測モデル AWS KMS を暗号化するには、オブジェクトを Amazon S3 に保存するために使用するKMSキーのキーポリシーを変更する必要があります。キーポリシーはAmazonSageMakerCanvasForecastRole、ユーザーに時系列予測アクセス許可を付与するときに SageMaker が作成するアクセス許可を に付与する必要があります。 https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-set-up-forecast.htmlAmazon Forecast はAmazonSageMakerCanvasForecastRole、 を使用して SageMaker Canvas で時系列予測オペレーションを実行します。時系列予測のためにデータが暗号化されるようにするには、KMSキーがこのロールにアクセス許可を付与する必要があります。

暗号化された時系列予測を許可するようにKMSキーポリシーのアクセス許可を変更するには、以下を実行します。

  1. AWS KMS コンソールを開きます。

  2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

  3. 次の例のように、キーポリシーの権限を変更します。

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. [Save changes] (変更の保存) をクリックします。

KMS キーを使用して SageMaker Canvas の時系列予測オペレーションを暗号化できるようになりました。

注記

次のアクセス許可は、IAMロール設定メソッドを使用して時系列予測を設定している場合にのみ必要です。次のアクセス許可ポリシーをユーザーIAMロールに追加します。また、Amazon Forecast に必要な更新されたポリシーでキーポリシーを更新する必要があります。時系列予測に必要な権限の詳細については、「時系列予測を実行する権限をユーザーに付与する」を参照してください。

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

SageMaker Canvas アプリケーションでデータを暗号化する

SageMaker Canvas で使用できる最初のKMSキーは、Amazon Elastic Block Store (Amazon EBS) ボリュームとドメインに SageMaker が作成する Amazon Elastic File System に保存されているアプリケーションデータの暗号化に使用されます。 SageMaker Canvas は、モデルの構築とインサイトの生成にコンピューティングインスタンスを使用する際に作成された基盤となるアプリケーションと一時ストレージシステムで、このキーを使用してデータを暗号化します。 SageMaker Canvas SageMaker は、Canvas がデータを処理するためにジョブを開始するたびに、Autopilot などの他の AWS サービスにキーを渡します。

このキーを指定するには、 をCreateDomainAPI呼び出しKmsKeyIDで設定するか、コンソールで標準ドメイン設定を行います。独自のKMSキーを指定しない場合、 はデフォルトの AWS マネージドKMSキー SageMaker を使用して SageMaker Canvas アプリケーションでデータを暗号化します。

コンソールを介して SageMaker Canvas アプリケーションで使用するために独自のKMSキーを指定するには、まず標準セットアップ を使用して Amazon SageMaker ドメインを設定します。ドメインのネットワークとストレージセクションを完了するには、次の手順に従います。

  1. 必要な Amazon VPC設定を入力します。

  2. 暗号化キー の場合は、KMSキー を入力 ARNを選択します。

  3. KMS にはARN、KMSキーARNに を入力します。これは次のような形式である必要があります。 arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Amazon S3 に保存されている SageMaker Canvas データを暗号化する Amazon S3

指定できる 2 番目のKMSキーは、Canvas SageMaker が Amazon S3 に保存するデータに使用されます。このKMSキーは、CreateDomainAPI呼び出しの S3KMSKeyIdフィールドで、または SageMaker コンソールで標準ドメイン設定を実行している間に指定されます。 SageMaker Canvas は、入力データセット、アプリケーションおよびモデルデータの複製、および出力データをアカウントのリージョンのデフォルト SageMaker S3 バケットに保存します。このバケットの命名パターンは でs3://sagemaker-{Region}-{your-account-id}、Canvas SageMaker はデータを Canvas/フォルダに保存します。

  1. [ノートブックリソース共有の有効化] を有効にします。

  2. [共有可能なノートブックリソースの S3 ロケーション] は、デフォルトの Amazon S3 パスのままにします。 SageMaker Canvas はこの Amazon S3 パスを使用しないことに注意してください。この Amazon S3 パスは Studio Classic ノートブックに使用されます。

  3. 暗号化キー で、KMSキー を入力 ARNを選択します。

  4. KMS にはARN、KMSキーARNの を入力します。これは次のような形式である必要があります。 arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Amazon S3 から暗号化されたデータセットをインポートする

ユーザーには、KMSキーで暗号化されたデータセットがある場合があります。前のセクションでは SageMaker 、Canvas 内のデータと Amazon S3 に保存されているデータを暗号化する方法を示していますが、 で既に暗号化されている Amazon S3 からデータをインポートする場合は、ユーザーのIAMロールに追加のアクセス許可を付与する必要があります AWS KMS。

Amazon S3 から Canvas に暗号化されたデータセットをインポートするアクセス許可をユーザーに付与するには、ユーザープロファイルに使用したIAM実行ロールに次のアクセス許可を追加します。 SageMaker 


      "kms:Decrypt",
      "kms:GenerateDataKey"

ロールのIAMアクセス許可を編集する方法については、IAM「 ユーザーガイド」のIAM「ID アクセス許可の追加と削除」を参照してください。KMS キーの詳細については、「 デベロッパーガイド」の「 のキーポリシー AWS Key Management Service」を参照してください。 AWS KMS

FAQs

SageMaker Canvas AWS KMS サポートに関するよくある質問への回答については、以下のFAQ項目を参照してください。

A: いいえ。 SageMaker Canvas は一時的にキーをキャッシュしたり、他の AWS サービス (Autopilot など) に渡すことがありますが、Canvas SageMaker はKMSキーを保持しません。

A: ユーザーのIAMロールには、そのKMSキーを使用するアクセス許可がない場合があります。ユーザーに権限を付与する方法については、「前提条件」を参照してください。もう 1 つの考えられるエラーは、Amazon S3 バケットにバケットポリシーがあり、ドメインで指定したKMSキーと一致しない特定のKMSキーを使用する必要があります。Amazon S3 バケットとドメインに同じKMSキーを指定していることを確認してください。

A: デフォルトの Amazon S3 バケットの命名パターンは s3://sagemaker-{Region}-{your-account-id} に従います。このバケットのCanvas/フォルダには、Canvas SageMaker アプリケーションデータが保存されます。

A: いいえ、このバケット SageMaker を作成します。

A: SageMaker Canvas はデフォルトの SageMaker Amazon S3 バケットを使用して、入力データセット、モデルアーティファクト、モデル出力の重複を保存します。

A: SageMaker Canvas では、回帰、二項分類、多クラス分類、時系列予測モデル AWS KMS の構築や、モデルでのバッチ推論に独自の暗号化キーを使用できます。

A: はい。暗号化された時系列予測を実行するには、KMSキーに追加のアクセス許可を付与する必要があります。時系列予測の権限を付与するためにキーのポリシーを変更する方法の詳細については、「時系列予測の前提条件」を参照してください。