기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon SageMaker 특성 저장소를 사용하면 온라인 저장소 또는 오프라인 저장소라는 두 가지 유형의 저장소를 생성할 수 있습니다. 온라인 저장소는 저지연 실시간 추론 사용 사례에 사용되고 오프라인 저장소는 훈련 및 일괄 추론 사용 사례에 사용됩니다. 온라인 또는 오프라인 사용을 위한 특성 그룹을 생성할 때 AWS Key Management Service 고객 관리형 키를 제공하여 저장된 모든 데이터를 암호화할 수 있습니다. AWS KMS 키를 제공하지 않는 경우 AWS 소유 키 또는 AWS 관리 AWS KMS 형 키를 사용하여 서버 측에서 데이터가 암호화되도록 합니다 AWS KMS . 특성 그룹을 생성하는 동안 스토리지 유형을 선택하고 선택적으로 데이터를 암호화하기 위한 AWS KMS 키를 제공한 다음 , PutRecord,와 같은 데이터 관리를 위해 다양한 APIs 호출할 수 있습니다GetRecordDeleteRecord.
특성 저장소를 사용하면 특성 그룹 수준에서 개인에게 액세스를 허용하거나 거부할 수 있으며 특성 저장소에 대한 교차 계정 액세스를 허용할 수 있습니다. 예를 들어, 모델 훈련 및 탐색을 위해 오프라인 저장소에 액세스 권한은 부여하고, 프로덕션 계정에 대한 쓰기 권한은 없도록 개발자 계정을 설정할 수 있습니다. 온라인 저장소와 오프라인 저장소 모두에 액세스할 수 있도록 프로덕션 계정을 설정할 수 있습니다. 특성 저장소는 오프라인 및 온라인 저장소 저장 데이터 암호화에 고유한 고객 AWS KMS 키를 사용합니다. 액세스 제어는 API 및 AWS KMS 키 액세스를 통해 활성화됩니다. 특성 그룹 수준의 액세스 제어를 생성할 수도 있습니다.
고객 관리형 키에 대한 자세한 내용은 고객 관리형 키를 참조하세요. 에 대한 자세한 내용은 섹션을 AWS KMS참조하세요AWS KMS
Amazon SageMaker 특성 저장소에 대한 AWS KMS 권한 사용
저장 시 암호화는 AWS KMS 고객 관리형 키로 특성 저장소를 보호합니다. 기본적으로 AWS OnlineStore에는 소유 고객 관리형 키를 사용하고 OfflineStore에는 AWS 관리형 고객 관리형 키를 사용합니다. 특성 저장소는 고객 관리형 키로 온라인 또는 오프라인 저장소를 암호화하는 옵션을 지원합니다. 온라인 또는 오프라인 저장소 생성 시 특성 저장소의 고객 관리형 키를 선택할 수 있으며, 이는 각 저장소마다 다를 수 있습니다.
특성 저장소는 대칭 고객 관리형 키만 지원합니다. 비대칭 고객 관리형 키를 사용하여 온라인 또는 오프라인 저장소의 데이터를 암호화할 수 없습니다. 고객 관리형 키가 대칭인지 비대칭인지 확인하는 것과 관련된 도움말은 대칭 및 비대칭 고객 관리형 키 식별을 참조하세요.
고객 관리형 키를 사용하면 다음과 같은 특성을 활용할 수 있습니다.
-
고객 관리형 키에 대한 액세스를 제어하기 위한 키 정책, IAM 정책 및 권한 부여 설정을 포함하여 고객 관리형 키를 생성하고 관리합니다 고객 관리형 키를 활성화 및 비활성화하고, 자동 키 교체를 활성화 및 비활성화하고, 고객 관리형 키가 더 이상 사용되지 않을 때 고객 관리형 키를 삭제할 수 있습니다.
-
가져온 키 구성 요소가 있는 고객 관리형 키를 사용하거나 고객이 소유하고 관리하는 사용자 지정 키 스토어에서 고객 관리형 키를 사용할 수 있습니다.
-
AWS CloudTrail 로그 AWS KMS 에서에 대한 API 호출을 검사하여 온라인 또는 오프라인 스토어의 암호화 및 복호화를 감사할 수 있습니다.
AWS 소유 고객 관리형 키에 대해서는 월별 요금을 지불하지 않습니다. 고객 관리형 키에는 각 API 호출에 대한 요금이 부과
온라인 저장소의 고객 관리형 키 사용 권한 부여
고객 관리형 키를 사용하여 온라인 저장소를 보호하는 경우 해당 고객 관리형 키 에 대한 정책에 따라 특성 저장소 를 대신하여 키를 사용할 수 있는 권한을 제공해야 합니다. 사용자는 고객 관리형 키에 대한 정책 및 권한 부여를 완벽하게 제어할 수 있습니다.
특성 저장소는 AWS 계정의 온라인 또는 오프라인 저장소를 보호하기 위해 기본 AWS 소유 KMS 키를 사용하는 데 추가 권한이 필요하지 않습니다.
고객 관리형 키 정책
온라인 저장소를 보호하기 위해 고객 관리형 키를 선택하면 특성 저장소는 선택하는 보안 주체를 대신하여 고객 관리형 키를 사용할 수 있는 권한이 있어야 합니다. 해당 보안 주체, 즉 사용자 또는 역할은 특성 저장소에 필요한 고객 관리형 키에 대한 권한이 있어야 합니다. 키 정책, IAM 정책 또는 권한 부여에 이러한 권한을 제공할 수 있습니다. 특성 저장소는 고객 관리형 키에 대해 최소한 다음 권한이 있어야 합니다.
-
"kms:Encrypt", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:ListAliases", "kms:ListGrants", "kms:RevokeGrant"
예를 들어 다음 예제 키 정책은 필수 권한만 제공합니다. 이 정책에는 다음과 같은 효과가 있습니다.
-
특성 저장소가 암호화 작업에 고객 관리형 키를 사용하고 권한 부여를 생성하도록 허용합니다.단, 특성 저장소를 사용할 권한이 있는 계정의 보안 주체를 대신해 동작하는 경우에 한합니다. 정책 설명에 지정된 보안 주체가 특성 저장소를 사용할 권한이 없는 경우, 특성 저장소 서비스에서 오는 경우에도 호출이 실패합니다.
-
kms:ViaService 조건 키는 특성 저장소가 정책 설명에 나열된 보안 주체를 대신하여 요청을 보낸 경우에만 사용 권한을 허용합니다. 이러한 보안 주체는 이러한 작업을 직접 호출 할 수 없습니다.
kms:ViaService의 기본값은sagemaker.*.amazonaws.com입니다.참고
kms:ViaService조건 키는 온라인 스토어 고객 관리 AWS KMS 형 키에만 사용할 수 있으며 오프라인 스토어에는 사용할 수 없습니다. 이 특수 조건을 고객 관리형 키에 추가하고 온라인 및 오프라인 스토어 모두에 동일한 AWS KMS 키를 사용하면CreateFeatureGroupAPI 작업이 실패합니다. -
고객 관리형 키 관리자에게 고객 관리형 키에 대한 읽기 전용 액세스와 데이터를 보호하기 위해 특성 저장소가 사용하는 권한 부여를 포함하여 권한 부여를 취소할 수 있는 권한을 제공합니다.
예제 키 정책을 사용하기 전에 예제 보안 주체를 AWS 계정의 실제 보안 주체로 바꿉니다.
{"Id": "key-policy-feature-store",
"Version":"2012-10-17",
"Statement": [
{"Sid" : "Allow access through Amazon SageMaker AI Feature Store for all principals in the account that are authorized to use Amazon SageMaker AI Feature Store",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey",
"kms:ListAliases",
"kms:ListGrants"
],
"Resource": "*",
"Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com"
}
}
},
{"Sid": "Allow administrators to view the customer managed key and revoke grants",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
},
{"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::123456789:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
권한 부여를 사용하여 특성 스토어 승인
키 정책 이외에 특성 저장소는 권한 부여를 사용하여 고객 관리형 키에 대한 권한을 설정합니다. 계정에서 고객 관리형 키에 대한 권한 부여를 보려면 ListGrants작업을 사용합니다. 특성 저장소는 AWS 자체 고객 관리형 키를 사용하여 온라인 저장소를 보호하기 위해 권한 부여나 추가 권한이 필요하지 않습니다.
특성 저장소는 배경 시스템 유지 관리 및 연속 데이터 보호 작업을 수행할 때 권한 부여 권한을 사용합니다.
각 권한 부여는 온라인 저장소에만 적용됩니다. 계정에 동일한 고객 관리형 키로 암호화된 여러 저장소가 포함된 경우 동일한 고객 관리형 키를 사용할 때 FeatureGroup마다 고유한 권한이 부여됩니다.
이 키 정책은 계정이 고객 관리형 키에 대한 권한 부여를 취소하도록 허용할 수도 있습니다. 단, 활성 상태인 암호화된 온라인 저장소에 대한 권한 부여를 취소할 경우 특성 저장소는 저장소를 보호하고 유지하지 못합니다.
와의 특성 저장소 상호 작용 모니터링 AWS KMS
고객 관리형 키를 사용하여 온라인 또는 오프라인 스토어를 보호하는 경우 AWS CloudTrail 로그를 사용하여 특성 저장소가 사용자를 대신하여에 보내는 요청을 추적할 수 AWS KMS 있습니다.
온라인 저장소의 데이터 액세스
모든 DataPlane 작업(Put, Get, DeleteRecord)의 발신자 (사용자 또는 역할)는 고객 관리형 키에 대해 다음과 같은 권한을 가져야 합니다.
"kms:Decrypt"오프라인 저장소의 고객 관리형 키 사용 권한 부여
createFeatureGroup에 파라미터로 전달되는 역할 ARN은 OfflineStore KmsKeyId에 대해 다음과 같은 권한을 가지고 합니다.
"kms:GenerateDataKey"참고
온라인 저장소의 키 정책은 kms:ViaService조건이 지정되지 않은 경우에만 오프라인 저장소에도 적용됩니다.
중요
특성 그룹을 생성할 때 오프라인 특성 저장소에 사용되는 Amazon S3 위치를 암호화하는 AWS KMS 암호화 키를 지정할 수 있습니다. AWS KMS 암호화 키가 지정되지 않은 경우 기본적으로 AWS KMS 키를 사용하여 저장된 모든 데이터를 암호화합니다. SSE에 대한 버킷 수준 키를 정의하면 AWS KMS 요청 비용을 최대 99%까지 줄일 수 있습니다.
