翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon SageMaker Canvas を使用する際、会社の個人情報や顧客データなどを暗号化する場合があります。SageMaker Canvas は AWS Key Management Service 、 を使用してデータを保護します。 AWS KMS は、データを暗号化するための暗号化キーを作成および管理するために使用できるサービスです。詳細については AWS KMS、「 AWS KMS デベロッパーガイドAWS Key Management Service」の「」を参照してください。
Amazon SageMaker Canvas は、データを暗号化するための複数のオプションを備えています。SageMaker Canvas は、モデルの構築やインサイトの生成などのタスクをアプリケーション内でデフォルトで暗号化します。Amazon S3 に保存されているデータを暗号化して、保管中のデータを保護することもできます。SageMaker Canvas は暗号化されたデータセットのインポートをサポートしているため、暗号化されたワークフローを確立できます。以下のセクションでは、 AWS KMS 暗号化を使用して SageMaker Canvas でモデルを構築しながらデータを保護する方法について説明します。
SageMaker Canvas のデータを暗号化する
SageMaker Canvas では、2 つの異なる AWS KMS 暗号化キーを使用して SageMaker Canvas でデータを暗号化できます。この暗号化キーは、標準ドメイン設定を使用してドメインを設定するときに指定できます。これらのキーは、次のドメイン設定手順で指定します。
-
ステップ 3: アプリケーションを設定する - (オプション) – [Canvas ストレージの設定] セクションを設定するときは、暗号化キーを指定できます。これは、SageMaker Canvas がモデルオブジェクトとデータセットの長期保存に使用する KMS キーで、ドメイン用に提供された Amazon S3 バケットに保存されます。CreateApp API を使用して Canvas アプリケーションを作成する場合は、
S3KMSKeyIdフィールドを使用してこのキーを指定します。 -
ステップ 6: ストレージを設定する – SageMaker Canvas は、一時的なアプリケーションストレージ、視覚化、コンピューティングジョブ (モデルの構築など) を含む、Canvas アプリケーション用に作成された Amazon SageMaker Studio プライベートスペースを暗号化するために 1 つのキーを使用します。デフォルトの AWS マネージドキーを使用するか、独自のキーを指定できます。 AWS KMS キーを指定すると、
/home/sagemaker-userディレクトリに保存されているデータはキーで暗号化されます。 AWS KMS キーを指定しない場合、 内のデータは AWS マネージドキーで暗号化/home/sagemaker-userされます。 AWS KMS キーを指定するかどうかにかかわらず、作業ディレクトリ外のすべてのデータは AWS マネージドキーで暗号化されます。Studio スペースと Canvas アプリケーションストレージの詳細については、「SageMaker Canvas アプリケーションデータを独自の SageMaker AI スペースに保存」を参照してください。CreateApp API を使用して Canvas アプリケーションを作成する場合は、KmsKeyIDフィールドを使用してこのキーを指定します。
上記のキーは、同じ KMS キーにすることも、異なる KMS キーにすることもできます。
前提条件
上記いずれかの目的で独自の KMS キーを使用するには、まずユーザーの IAM ロールにキーを使用する権限を付与する必要があります。その後、ドメインの設定時に KMS キーを指定できます。
キーを使用する権限をロールに付与する最も簡単な方法は、キーポリシーを変更することです。必要な権限をロールに付与するには、次の手順に従います。
-
AWS KMS コンソール
を開きます。 -
[Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。
-
キーのポリシーを変更して、IAM ロールに
kms:GenerateDataKeyおよびkms:Decryptアクションの権限を付与します。さらに、Studio スペースで Canvas アプリケーションストレージを暗号化するキーポリシーを変更する場合は、kms:CreateGrantアクションを付与します。次のようなステートメントを追加できます。{ "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
[Save changes] (変更の保存) をクリックします。
ユーザーの IAM ロールを変更して KMS キーを使用または管理する権限をユーザーに付与することもできますが、この方法はあまり推奨されません。この方法を使用する場合は、KMS キーポリシーで IAM によるアクセス管理も許可する必要があります。ユーザーの IAM ロールを通じて KMS キーに権限を付与する方法については、「AWS KMS Developer Guide」の「Specifying KMS keys in IAM policy statements」を参照してください。
SageMaker Canvas アプリケーションのデータを暗号化する
SageMaker Canvas で使用できる最初の KMS キーは、Amazon Elastic Block Store (Amazon EBS) ボリュームと、SageMaker AI がドメインに作成する Amazon Elastic File System に保存されているアプリケーションデータの暗号化に使用されます。SageMaker Canvas は、コンピューティングインスタンスを使用してモデルを構築し、インサイトを生成する際に作成される基盤となるアプリケーションおよび一時ストレージシステム内のデータをこのキーを使用して暗号化します。SageMaker Canvas は、SageMaker Canvas がデータを処理するためにジョブを開始するたびに、Autopilot などの他の AWS サービスにキーを渡します。
このキーは CreateDomain API コールの KmsKeyID で設定するか、コンソールで標準ドメイン設定を行うときに指定できます。独自の KMS キーを指定しない場合、SageMaker AI はデフォルトの AWS マネージド KMS キーを使用して SageMaker Canvas アプリケーションのデータを暗号化します。
コンソールを使用して SageMaker Canvas アプリケーションで使用するために独自の KMS キーを指定するには、まず標準セットアップを使用して Amazon SageMaker AI ドメインを設定します。次の手順に従って、ドメインの[ネットワークとストレージのセクション] を設定します。
-
使用する Amazon VPC 設定を入力します。
-
[暗号化キー] で、[KMS キー ARN を入力] を選択します。
-
[KMS ARN] に、
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33ddのような形式で KMS キーの ARN を入力します。
Amazon S3 に保存された SageMaker Canvas データを暗号化する
指定できる 2 つ目の KMS キーは、SageMaker Canvas が Amazon S3 に保存するデータに使用されます。この KMS キーは、CreateDomainAPI コールの S3KMSKeyIdフィールドで、または SageMaker AI コンソールで標準ドメイン設定を実行中に指定されます。SageMaker Canvas は、入力データセット、アプリケーションおよびモデルデータ、出力データの複製を、アカウントのリージョンのデフォルトの SageMaker AI S3 バケットに保存します。このバケットの命名パターンは s3://sagemaker- で、SageMaker Canvas はデータを {Region}-{your-account-id}Canvas/ フォルダに保存します。
-
[ノートブックリソース共有の有効化] を有効にします。
-
[共有可能なノートブックリソースの S3 ロケーション] は、デフォルトの Amazon S3 パスのままにします。SageMaker Canvas はこの Amazon S3 パスを使用しないことに注意してください。この Amazon S3 パスは Studio Classic ノートブックに使用されます。
-
[暗号化キー] で、[KMS キー ARN を入力] を選択します。
-
[KMS ARN] に、
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33ddのような形式で KMS キーの ARN を入力します。
Amazon S3 から暗号化されたデータセットをインポートする
ユーザーには、KMS キーで暗号化されたデータセットがある場合があります。前のセクションでは、SageMaker Canvas のデータと Amazon S3 に保存されているデータを暗号化する方法を示していますが、既に暗号化されている Amazon S3 からデータをインポートする場合は、ユーザーの IAM ロールに追加のアクセス許可を付与する必要があります AWS KMS。
暗号化されたデータセットを Amazon S3 から SageMaker Canvas にインポートする権限をユーザーに付与するには、ユーザープロファイルに使用した IAM 実行ロールに次の権限を追加します。
"kms:Decrypt",
"kms:GenerateDataKey"
ロールの IAM 権限の編集方法については、「IAM ユーザーガイド」の「IAM ID のアクセス許可の追加および削除」を参照してください。KMS キーの詳細については、「AWS KMS Developer Guide」の「Key policies in AWS Key Management Service」を参照してください。
よくある質問
SageMaker Canvas の AWS KMS サポートについてのよくある質問と回答を以下に示します。
A: いいえ。SageMaker Canvas は一時的にキーをキャッシュしたり、他の AWS サービス (Autopilot など) に渡す場合がありますが、SageMaker Canvas は KMS キーを保持しません。
A: ユーザーの IAM ロールには、その KMS キーを使用する権限がない可能性があります。ユーザーに権限を付与する方法については、「前提条件」を参照してください。またこのエラーは、ドメインで指定した KMS キーと一致しない特定の KMS キーの使用を要求する Amazon S3 バケット上のバケットポリシーによっても発生します。Amazon S3 バケットとドメインに同じ KMS キーを指定してください。
A: デフォルトの Amazon S3 バケットの命名パターンは s3://sagemaker- に従います。SageMaker Canvas アプリケーションデータは、このバケットの {Region}-{your-account-id}Canvas/ フォルダに保存されます。
A: いいえ、SageMaker AI はこのバケットを作成します。
A: SageMaker Canvas は、デフォルトの SageMaker AI Amazon S3 バケットを使用して、入力データセット、モデルアーティファクト、モデル出力の重複を保存します。
A: SageMaker Canvas では、回帰、二項分類、多クラス分類、時系列予測モデル AWS KMS の構築や、モデルを使用したバッチ推論に独自の暗号化キーを使用できます。
