翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティとアクセスコントロール
Amazon SageMaker Feature Store では、オンラインストアとオフラインストアの 2 種類のストアを作成できます。オンラインストアは低レイテンシーのリアルタイム推論に使用され、オフラインストアはトレーニングやバッチ推論のユースケースに使用されます。オンラインまたはオフラインで使用する特徴量グループを作成するときは、 AWS Key Management Service カスタマーマネージドキーを指定して、保管中のすべてのデータを暗号化できます。 AWS KMS キーを指定しない場合、データは AWS 所有キーまたは AWS マネージド AWS KMS キーを使用してサーバー側で暗号化されます AWS KMS 。特徴量グループを作成するときに、ストレージタイプを選択し、オプションでデータを暗号化するための AWS KMS キーを指定し、PutRecord、、 などのデータ管理のためにさまざまな APIs呼び出すことができますGetRecordDeleteRecord。
Feature Store では、特徴グループレベルで個々人に対してアクセスの許可または拒否ができ、また、Feature Store へのクロスアカウントアクセスを有効化できます。例えば、本番稼働用アカウントへの書き込みアクセス権はないが、モデルトレーニングや調査のためにオフラインストアにアクセスできるデベロッパーアカウントを設定できます。本番稼働用アカウントでオンラインストアとオフラインストアの両方にアクセスできるよう設定できます。Feature Store は、オフラインおよびオンラインストアの保管時のデータの暗号化に一意のカスタマー AWS KMS キーを使用します。アクセスコントロールは、API と AWS KMS キーアクセスの両方で有効になります。特徴グループレベルのアクセスコントロールも作成できます。
カスタマーマネージドキーの詳細については、「カスタマーマネージドキー」を参照してください。詳細については AWS KMS、「」を参照してくださいAWS KMS
Amazon SageMaker Feature Store の AWS KMS アクセス許可の使用
保管時の暗号化は、 AWS KMS カスタマーマネージドキーで Feature Store を保護します。デフォルトでは、AWS OnlineStore には 所有のカスタマーマネージドキーを使用し、OfflineStore には AWS マネージドのカスタマーマネージドキーを使用します。Feature Store では、カスタマーマネージドキーを使用してオンラインまたはオフラインストアを暗号化するオプションをサポートしています。オンラインまたはオフラインストアの作成時に、Feature Store に対してカスタマーマネージドキーを選択できます。また、ストアごとに異なるキーを選択できます。
Feature Store では対称カスタマーマネージドキーのみをサポートしています。オンラインまたはオフラインストアのデータの暗号化に非対称カスタマーマネージドキーは使用できません。カスタマーマネージドキーが対称か非対称かを確認する方法については、「対称および非対称カスタマーマネージドキーを識別する」を参照してください。
カスタマーマネージドキーを使うと、次の機能を活用できます。
-
カスタマーマネージドキーを作成、管理できます。これには、キーポリシー、IAM ポリシー、カスタマーマネージドキーへのアクセスを制御する権限付与の設定が含まれます。カスタマーマネージドキーの有効化または無効化、自動キーローテーションの有効化または無効化、使用しなくなったカスタマーマネージドキーの削除を行えます。
-
インポートされたキーマテリアルを持つカスタマーマネージドキー、またはユーザーが所有して管理するカスタムキーストアで、カスタマーマネージドキーを使用できます。
-
AWS KMS AWS CloudTrail ログで への API コールを調べることで、オンラインストアまたはオフラインストアの暗号化と復号を監査できます。
AWS 所有のカスタマーマネージドキーには月額料金はかかりません。カスタマーマネージドキーには API コールごとに料金が発生し
オンラインストアに対するカスタマーマネージドキーの使用を承認する
カスタマーマネージドキーを使ってオンラインストアを保護する場合、そのカスタマーマネージドキーに対するポリシーによって、Feature Store にキーを代理で使用する許可を与える必要があります。カスタマーマネージドキーに対するポリシーと権限付与のフルコントロールはお客様にあります。
Feature Store では、 AWS アカウント内のオンラインストアまたはオフラインストアを保護するために、デフォルトの AWS 所有の KMS キーを使用するための追加の認可は必要ありません。
カスタマーマネージドキーポリシー
オンラインストアの保護にカスタマーマネージドキーを選択する場合、Feature Store には、選択を行うプリンシパルの代わりにカスタマーマネージドキーを使うための許可が必要です。そのプリンシパル (ユーザーまたはロール) は、Feature Store が必要とするカスタマーマネージドキーに対する許可を持っている必要があります。これらのアクセス権限は、キーポリシー、IAM ポリシー、または 許可で指定できます。少なくとも、Feature Store は、カスタマーマネージドキーへの次の許可を必要とします。
-
「kms:Encrypt」、「kms:Decrypt」、「kms:DescribeKey」、「kms:CreateGrant」、「kms:RetireGrant」、「kms:ReEncryptFrom」、「kms:ReEncryptTo」、「kms:GenerateDataKey」、「kms:ListAliases」、「kms:ListGrants」、「kms:RevokeGrant」
例えば、次のキーポリシーの例では、必要なアクセス許可のみを提供します。このポリシーには、以下の影響があります。
-
Feature Store がカスタマーマネージドキーを暗号化操作に使用して、権限付与の作成ができるようにします。ただし、Feature Store を使用する許可を持つアカウント内のプリンシパルの代理として動作している場合に限ります。ポリシーステートメントで指定されたプリンシパルに Feature Store を使う許可がない場合、Feature Store サービスから呼び出された場合でも、呼び出しは失敗します。
-
kms:ViaService 条件キーは、ポリシーステートメントにリストされているプリンシパルの代わりに Feature Store からリクエストが来る場合にのみ許可を認めます。これらのプリンシパルは、これらのオペレーションを直接呼び出すことはできません。
kms:ViaServiceの値はsagemaker.*.amazonaws.comとしてください。注記
kms:ViaService条件キーはオンラインストアのカスタマーマネージド AWS KMS キーにのみ使用でき、オフラインストアには使用できません。この特別な条件をカスタマーマネージドキーに追加し、オンラインストアとオフラインストアの両方で同じ AWS KMS キーを使用すると、CreateFeatureGroupAPI オペレーションは失敗します。 -
カスタマーマネージドキー管理者に、カスタマーマネージドキーへの読み取り専用アクセス権と、権限付与 (データ保護のために Feature Store が使う権限を含む) を取り消す許可を与えます。
サンプルキーポリシーを使用する前に、サンプルプリンシパルを AWS アカウントの実際のプリンシパルに置き換えます。
{"Id": "key-policy-feature-store", "Version":"2012-10-17", "Statement": [ {"Sid" : "Allow access through Amazon SageMaker AI Feature Store for all principals in the account that are authorized to use Amazon SageMaker AI Feature Store", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:ListAliases", "kms:ListGrants" ], "Resource": "*", "Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com" } } }, {"Sid": "Allow administrators to view the customer managed key and revoke grants", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" }, {"Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789:root" }, "Action": "kms:*", "Resource": "*" } ] }
権限付与を使って Feature Store を認可する
Feature Store は、キーポリシーに加え、権限付与を使ってカスタマーマネージドキーに許可を設定できます。アカウントにあるカスタマーマネージドキーへの権限付与を表示するには、ListGrants オペレーションを使用します。Feature Store は、AWS 所有のカスタマーマネージドキーを使用してオンラインストアを保護するのに、権限付与や追加の許可を必要としません。
Feature Store は、バックグラウンドシステムメンテナンスおよび継続的なデータ保護タスクを実行するときに、権限付与を使用します。
各権限付与は、オンラインストアごとに固有です。同じカスタマーマネージドキーで暗号化された複数のストアがアカウントに含まれている場合、同じカスタマーマネージドキーを使用する FeatureGroup ごとに固有の権限が付与されます。
キーポリシーは、アカウントがカスタマーマネージドキーの権限付与を取り消すことも許可できます。ただし、アクティブな暗号化されたオンラインストアで権限付与を取り消すと、Feature Store はストアを保護、維持できません。
Feature Store と のインタラクションのモニタリング AWS KMS
カスタマーマネージドキーを使用してオンラインストアまたはオフラインストアを保護する場合は、 AWS CloudTrail ログを使用して、Feature Store が AWS KMS ユーザーに代わって に送信するリクエストを追跡できます。
オンラインストアのデータにアクセスする
すべてのデータプレーンオペレーション (Put、Get、DeleteRecord) への発信者 (ユーザーまたはロール) のカスタマーマネージドキーには、次の許可が必要です。
"kms:Decrypt"
オフラインストアのカスタマーマネージドキーの使用を認可する
createFeatureGroup にパラメータとして渡される roleArn は OfflineStore KmsKeyId に次の許可を持っている必要があります。
"kms:GenerateDataKey"
注記
kms:ViaService 条件が指定されていない場合のみ、オンラインストアのキーポリシーは、オフラインストアでも機能します。
重要
AWS KMS 暗号化キーを指定して、特徴量グループの作成時にオフライン特徴量ストアに使用される Amazon S3 の場所を暗号化できます。 AWS KMS 暗号化キーが指定されていない場合、デフォルトでは AWS KMS キーを使用して保管中のすべてのデータを暗号化します。SSE のバケットレベルのキーを定義することで、 AWS KMS リクエストコストを最大 99% 削減できます。
