기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SageMaker 지리 공간 기능의 암호화를 사용하여 저장된 데이터를 보호할 수 있습니다. 기본적으로 Amazon SageMaker 지리 공간 소유 키와 함께 서버 측 암호화를 사용합니다. SageMaker 지리 공간 기능은 고객 관리형 KMS 키를 사용한 서버 측 암호화 옵션도 지원합니다.
Amazon SageMaker 지리 공간 관리형 키를 사용한 서버 측 암호화(기본값)
SageMaker 지리 공간 기능은 모든 서비스 메타데이터와 함께 지구 관측 작업(EOJ) 및 벡터 강화 작업(VEJ)의 계산 결과를 포함한 모든 데이터를 암호화합니다. SageMaker 지리 공간 기능 내에 암호화되지 않은 상태로 저장된 데이터는 없습니다. 기본 AWS 소유 키를 사용하여 모든 데이터를 암호화합니다.
고객 관리 KMS 키를 사용한 서버 측 암호화(선택 사항)
SageMaker 지리 공간 기능은 사용자가 생성, 소유 및 관리하는 대칭 고객 관리형 키를 사용하여 기존 AWS 소유 암호화에 대한 두 번째 암호화 계층을 추가할 수 있도록 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
키 정책 수립 및 유지
IAM 정책 및 권한 부여 수립 및 유지
키 정책 활성화 및 비활성화
키 암호화 자료 교체
태그 추가
키 별칭 만들기
삭제를 위한 스케줄 키
자세한 내용은 AWS Key Management Service 개발자 안내서의 고객 관리형 키를 참조하십시오.
SageMaker 지리 공간 기능이에서 권한 부여를 사용하는 방법 AWS KMS
SageMaker 지리 공간 기능을 사용하려면 고객 관리형 키를 사용할 수 있는 권한이 필요합니다. 고객 관리형 키로 암호화된 EOJ 또는 VEJ를 생성하면 SageMaker 지리 공간 기능은 CreateGrant 요청을에 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 SageMaker 지리 공간 기능에 고객 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다. 언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 SageMaker 지리 공간 기능이 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다.
고객 관리형 키를 생성하려면
AWS 관리 콘솔 또는 AWS KMS APIs.
대칭 고객 관리형 키를 만들려면
AWS Key Management Service 개발자 안내서의 대칭 암호화 KMS 키 생성 단계를 따릅니다.
키 정책
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS KMS 키에 대한 액세스 결정을 참조하세요.
SageMaker 지리 공간 기능 리소스와 함께 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다. 이러한 작업의 주체는 SageMaker 지리 공간 기능 요청에서 제공하는 실행 역할이어야 합니다. SageMaker 지리 공간 기능은 이러한 KMS 작업을 수행하기 위한 요청에서 제공된 실행 역할을 맡습니다.
kms:GenerateDataKeykms:Decryptkms:GenerateDataKeyWithoutPlaintext
다음은 SageMaker 지리 공간 기능에 추가할 수 있는 정책 설명 예제입니다.
CreateGrant
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : "<Customer provided Execution Role ARN>"
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]정책에서의 권한 지정에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS KMS 권한을 참조하세요. 문제 해결에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 액세스 문제 해결을 참조하세요.
키 정책에 계정 루트가 키 관리자로 포함되어 있지 않은 경우 실행 역할 ARN에 동일한 KMS 권한을 추가해야 합니다. 실행 역할에 추가할 수 있는 샘플 정책은 다음과 같습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"<KMS key Arn>"
],
"Effect": "Allow"
}
]
}SageMaker 지리 공간 기능을 위한 암호화 키 모니터링
SageMaker 지리 공간 기능 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 SageMaker 지리 공간이 보내는 요청을 추적할 수 있습니다 AWS KMS.
다음 표에서 탭을 선택하여 고객 관리형 키로 암호화된 데이터에 액세스하기 위해 SageMaker 지리 공간 기능이 호출하는 KMS 작업을 모니터링하는 AWS CloudTrail 이벤트의 예를 확인합니다.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}