Criptografe seus dados do SageMaker Canvas com AWS KMS - Amazon SageMaker
Criptografe seus dados no Canvas SageMaker Importar conjuntos de dados criptografados do Amazon S3FAQs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografe seus dados do SageMaker Canvas com AWS KMS

Você pode ter dados que deseja criptografar ao usar o Amazon SageMaker Canvas, como informações privadas da sua empresa ou dados de clientes. SageMaker O Canvas usa AWS Key Management Service para proteger seus dados. AWS KMS é um serviço que você pode usar para criar e gerenciar chaves criptográficas para criptografar seus dados. Para obter mais informações sobre AWS KMS, consulte AWS Key Management Serviceo Guia do AWS KMS desenvolvedor.

O Amazon SageMaker Canvas oferece várias opções para criptografar seus dados. SageMaker O Canvas fornece criptografia padrão dentro do aplicativo para tarefas como criar seu modelo e gerar insights. Você também pode optar por criptografar os dados armazenados no Amazon S3 para proteger seus dados em repouso. SageMaker O Canvas suporta a importação de conjuntos de dados criptografados, para que você possa estabelecer um fluxo de trabalho criptografado. As seções a seguir descrevem como você pode usar a AWS KMS criptografia para proteger seus dados ao criar modelos com o SageMaker Canvas.

Criptografe seus dados no Canvas SageMaker

Com o SageMaker Canvas, você pode usar duas chaves de AWS KMS criptografia diferentes para criptografar seus dados no SageMaker Canvas, que você pode especificar ao configurar seu domínio usando a configuração de domínio padrão. Essas chaves são especificadas nas seguintes etapas de configuração do domínio:

  • Etapa 3: Configurar aplicativos - (opcional) - Ao configurar a seção de configuração de armazenamento do Canvas, você pode especificar uma chave de criptografia. Essa é uma KMS chave que o SageMaker Canvas usa para armazenamento a longo prazo de objetos de modelo e conjuntos de dados, que são armazenados no bucket Amazon S3 fornecido para seu domínio. Se estiver criando um aplicativo Canvas com o CreateAppAPI, use o S3KMSKeyId campo para especificar essa chave.

  • Etapa 6: Configurar o armazenamento — O SageMaker Canvas usa uma chave para criptografar o espaço privado do Amazon SageMaker Studio criado para seu aplicativo Canvas, que inclui armazenamento temporário de aplicativos, visualizações e trabalhos computacionais (como criar modelos). Você pode usar a chave AWS gerenciada padrão ou especificar a sua própria. Se você especificar sua AWS KMS chave, os dados armazenados no /home/sagemaker-user diretório serão criptografados com sua chave. Se você não especificar uma AWS KMS chave, os dados contidos nela serão /home/sagemaker-user criptografados com uma chave AWS gerenciada. Independentemente de você especificar uma AWS KMS chave, todos os dados fora do diretório de trabalho são criptografados com uma chave AWS gerenciada. Para saber mais sobre o espaço do Studio e o armazenamento do seu aplicativo Canvas, consulteArmazene dados do aplicativo SageMaker Canvas em seu próprio SageMaker espaço. Se estiver criando um aplicativo Canvas com o CreateAppAPI, use o KmsKeyID campo para especificar essa chave.

As teclas anteriores podem ser iguais ou diferentesKMS.

Pré-requisitos

Para usar sua própria KMS chave para qualquer uma das finalidades descritas anteriormente, você deve primeiro conceder permissão à IAM função de usuário para usar a chave. Em seguida, você pode especificar a KMS chave ao configurar seu domínio.

A maneira mais simples de conceder permissão à sua função para usar a chave é modificar a política de chave. Use o procedimento a seguir para conceder ao seu perfil as permissões necessárias.

  1. Abra o console de AWS KMS.

  2. Na seção Key Policy (Política de chave), selecione Switch to policy view (Alternar para visualização de política).

  3. Modifique a política da chave para conceder permissões kms:GenerateDataKey e kms:Decrypt ações à IAM função. Além disso, se você estiver modificando a política de chaves que criptografa o armazenamento do seu aplicativo Canvas no espaço do Studio, conceda a kms:CreateGrant ação. É possível adicionar uma instrução semelhante à seguinte:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Escolha Salvar alterações.

O método menos preferido é modificar a IAM função do usuário para conceder ao usuário permissões para usar ou gerenciar a KMS chave. Se você usar esse método, a política de KMS chaves também deverá permitir o gerenciamento de acessoIAM. Para saber como conceder permissão a uma KMS chave por meio da IAM função do usuário, consulte Especificação de KMS chaves em declarações IAM de política no Guia do AWS KMS desenvolvedor.

Pré-requisitos para a previsão de séries temporais

Para usar sua AWS KMS chave para criptografar modelos de previsão de séries temporais no SageMaker Canvas, você deve modificar a política de chaves para a KMS chave usada para armazenar objetos no Amazon S3. Sua política de chaves deve conceder permissões aoAmazonSageMakerCanvasForecastRole, o que é SageMaker criado quando você concede permissões de previsão de séries temporais para seus usuários. O Amazon Forecast usa o AmazonSageMakerCanvasForecastRole para realizar operações de previsão de séries temporais no SageMaker Canvas. Sua KMS chave deve conceder permissões para essa função para garantir que os dados sejam criptografados para a previsão de séries temporais.

Para modificar as permissões da sua política de KMS chaves para permitir a previsão criptografada de séries temporais, faça o seguinte.

  1. Abra o console de AWS KMS.

  2. Na seção Key Policy (Política de chave), selecione Switch to policy view (Alternar para visualização de política).

  3. Modifique a política da chave para que as permissões sejam especificadas no exemplo a seguir:

    {
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:RetireGrant",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlainText",
                "kms:Decrypt"
            ],
            "Resource": "*"
}

  4. Escolha Salvar alterações.

Agora você pode usar sua KMS chave para criptografar operações de previsão de séries temporais no SageMaker Canvas.

nota

As permissões a seguir são necessárias somente se você estiver usando o método de configuração de IAM função para configurar a previsão de séries temporais. Adicione a seguinte política de permissões à sua IAM função de usuário. Você também deve atualizar a política de chave com as políticas atualizadas necessárias para o Amazon Forecast. Para obter mais informações sobre as permissões necessárias para a previsão de séries temporais, consulte Conceder aos seus usuários permissões para realizar previsões de séries temporais.

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Criptografe seus dados no aplicativo SageMaker Canvas

A primeira KMS chave que você pode usar no SageMaker Canvas é usada para criptografar dados de aplicativos armazenados nos volumes do Amazon Elastic Block Store (AmazonEBS) e no Amazon Elastic File System que SageMaker cria em seu domínio. SageMaker O Canvas criptografa seus dados com essa chave no aplicativo subjacente e nos sistemas de armazenamento temporário criados ao usar instâncias de computação para criar modelos e gerar insights. SageMaker O Canvas passa a chave para outros AWS serviços, como o Autopilot, sempre que o SageMaker Canvas inicia trabalhos com eles para processar seus dados.

Você pode especificar essa chave definindo o KmsKeyID na CreateDomain API chamada ou ao fazer a configuração do domínio padrão no console. Se você não especificar sua própria KMS chave, SageMaker usa uma KMS chave AWS gerenciada padrão para criptografar seus dados no aplicativo SageMaker Canvas.

Para especificar sua própria KMS chave para uso no aplicativo SageMaker Canvas por meio do console, primeiro configure seu SageMaker domínio da Amazon usando a configuração padrão. Use o procedimento a seguir para concluir a seção Rede e Armazenamento do domínio.

  1. Preencha as VPC configurações desejadas da Amazon.

  2. Em Chave de criptografia, escolha Inserir uma KMS chave ARN.

  3. Para KMSARN, insira a ARN KMS chave, que deve ter um formato semelhante ao seguinte: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Criptografe seus dados do SageMaker Canvas salvos no Amazon S3

A segunda KMS chave que você pode especificar é usada para dados que o SageMaker Canvas armazena no Amazon S3. Essa KMS chave é especificada no S3KMSKeyId campo da CreateDomain API chamada ou ao fazer a configuração de domínio padrão no SageMaker console. SageMaker O Canvas salva duplicatas de seus conjuntos de dados de entrada, dados de aplicativos e modelos e dados de saída no bucket SageMaker S3 padrão da região para sua conta. O padrão de nomenclatura para esse bucket és3://sagemaker-{Region}-{your-account-id}, e o SageMaker Canvas armazena dados na Canvas/ pasta.

  1. Ative a opção Habilitar compartilhamento de recursos do caderno.

  2. Para Local do S3 para recursos compartilháveis do caderno, deixe o caminho padrão do Amazon S3. Observe que o SageMaker Canvas não usa esse caminho do Amazon S3; esse caminho do Amazon S3 é usado para notebooks Studio Classic.

  3. Em Chave de criptografia, escolha Inserir uma KMS chave ARN.

  4. Para KMSARN, insira a ARN KMS chave, que deve ter um formato semelhante ao seguinte: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importar conjuntos de dados criptografados do Amazon S3

Seus usuários podem ter conjuntos de dados criptografados com uma KMS chave. Embora a seção anterior mostre como criptografar dados no SageMaker Canvas e dados armazenados no Amazon S3, você deve conceder permissões adicionais à sua função de usuário se quiser importar dados IAM do Amazon S3 que já estejam criptografados com. AWS KMS

Para conceder permissões de usuário para importar conjuntos de dados criptografados do Amazon S3 SageMaker para o Canvas, adicione as seguintes permissões à IAM função de execução que você usou para o perfil de usuário.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Para saber como editar as IAM permissões de uma função, consulte Adicionar e remover permissões de IAM identidade no Guia do IAM usuário. Para obter mais informações sobre KMS chaves, consulte Políticas de chaves AWS Key Management Service no Guia do AWS KMS desenvolvedor.

FAQs

Consulte os FAQ itens a seguir para obter respostas às perguntas mais frequentes sobre o AWS KMS suporte do SageMaker Canvas.

R: Não. SageMaker O Canvas pode armazenar temporariamente sua chave em cache ou passá-la para outros AWS serviços (como o Autopilot), mas o SageMaker Canvas não retém sua KMS chave.

R: A IAM função do seu usuário pode não ter permissões para usar essa KMS chave. Para conceder permissões de usuário, consulte os Pré-requisitos. Outro possível erro é que você tem uma política de bucket em seu bucket do Amazon S3 que exige o uso de uma KMS chave específica que não corresponde à KMS chave especificada em seu domínio. Certifique-se de especificar a mesma KMS chave para seu bucket do Amazon S3 e seu domínio.

R: O bucket padrão do Amazon S3 segue o padrão de nomenclatura s3://sagemaker-{Region}-{your-account-id}. A Canvas/ pasta nesse bucket armazena os dados do seu aplicativo SageMaker Canvas.

R: Não, SageMaker cria esse bucket para você.

R: O SageMaker Canvas usa o bucket padrão do SageMaker Amazon S3 para armazenar duplicatas de seus conjuntos de dados de entrada, artefatos do modelo e saídas do modelo.

R: Com o SageMaker Canvas, você pode usar suas próprias chaves de criptografia AWS KMS para criar modelos de regressão, classificação binária e multiclasse e previsão de séries temporais, bem como para inferência em lote com seu modelo.

R: Sim. Você deve conceder permissões adicionais à sua KMS chave para realizar uma previsão criptografada de séries temporais. Para obter mais informações sobre como modificar a política da sua chave para conceder permissões de previsão de séries temporais, consulte Pré-requisitos para a previsão de séries temporais.