As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode ter dados que deseja criptografar ao usar o Amazon SageMaker Canvas, como informações privadas da sua empresa ou dados de clientes. SageMaker O Canvas usa AWS Key Management Service para proteger seus dados. AWS KMS é um serviço que você pode usar para criar e gerenciar chaves criptográficas para criptografar seus dados. Para obter mais informações sobre AWS KMS, consulte AWS Key Management Serviceo Guia do AWS KMS desenvolvedor.
O Amazon SageMaker Canvas oferece várias opções para criptografar seus dados. SageMaker O Canvas fornece criptografia padrão dentro do aplicativo para tarefas como criar seu modelo e gerar insights. Você também pode optar por criptografar os dados armazenados no Amazon S3 para proteger seus dados em repouso. SageMaker O Canvas suporta a importação de conjuntos de dados criptografados, para que você possa estabelecer um fluxo de trabalho criptografado. As seções a seguir descrevem como você pode usar a AWS KMS criptografia para proteger seus dados ao criar modelos com o SageMaker Canvas.
Criptografe seus dados no Canvas SageMaker
Com o SageMaker Canvas, você pode usar duas chaves de AWS KMS criptografia diferentes para criptografar seus dados no SageMaker Canvas, que você pode especificar ao configurar seu domínio usando a configuração de domínio padrão. Essas chaves são especificadas nas seguintes etapas de configuração do domínio:
-
Etapa 3: configurar aplicações - (opcional) - Ao configurar a seção de configuração de armazenamento do Canvas, você pode especificar uma chave de criptografia. Essa é uma chave KMS que o SageMaker Canvas usa para armazenamento a longo prazo de objetos de modelo e conjuntos de dados, que são armazenados no bucket Amazon S3 fornecido para seu domínio. Se estiver criando um aplicativo Canvas com a CreateAppAPI, use o
S3KMSKeyIdcampo para especificar essa chave. -
Etapa 6: Configurar o armazenamento — O SageMaker Canvas usa uma chave para criptografar o espaço privado do Amazon SageMaker Studio criado para seu aplicativo Canvas, que inclui armazenamento temporário de aplicativos, visualizações e trabalhos computacionais (como criar modelos). Você pode usar a chave AWS gerenciada padrão ou especificar a sua própria. Se você especificar sua AWS KMS chave, os dados armazenados no
/home/sagemaker-userdiretório serão criptografados com sua chave. Se você não especificar uma AWS KMS chave, os dados internos/home/sagemaker-userserão criptografados com uma chave AWS gerenciada. Independentemente de você especificar uma AWS KMS chave, todos os dados fora do diretório de trabalho são criptografados com uma chave AWS gerenciada. Para saber mais sobre o espaço do Studio e o armazenamento da sua aplicação Canvas, consulteArmazene dados do aplicativo SageMaker Canvas em seu próprio espaço de SageMaker IA. Se estiver criando um aplicativo Canvas com a CreateAppAPI, use oKmsKeyIDcampo para especificar essa chave.
As chaves anteriores podem ser iguais ou diferentes chaves KMS.
Pré-requisitos
Para usar sua própria chave do KMS para qualquer uma das finalidades descritas anteriormente, você deve primeiro conceder permissão ao perfil do IAM do usuário para usar a chave. Em seguida, você pode especificar a chave do KMS ao configurar seu domínio.
A maneira mais simples de conceder permissão à sua função para usar a chave é modificar a política de chave. Use o procedimento a seguir para conceder ao seu perfil as permissões necessárias.
-
Abra o console de AWS KMS
. -
Na seção Política de chave, selecione Alternar para visualização de política.
-
Modifique a política da chave para conceder permissões para as ações
kms:GenerateDataKeyekms:Decryptao perfil do IAM. Além disso, se você estiver modificando a política de chaves que criptografa o armazenamento da sua aplicação Canvas no espaço do Studio, conceda akms:CreateGrantação. É possível adicionar uma instrução semelhante à seguinte:{ "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
Escolha Salvar alterações.
O método menos preferido é modificar o perfil do IAM do usuário para conceder ao usuário permissões para usar ou gerenciar a chave do KMS. Se você usar esse método, a política de chave do KMS também deverá permitir o gerenciamento de acesso por meio do IAM. Para saber como conceder permissão a uma chave do KMS por meio do perfil do IAM do usuário, consulte Especificar chaves do KMS nas declarações de política do IAM no Guia do desenvolvedor do AWS KMS .
Criptografe seus dados no aplicativo SageMaker Canvas
A primeira chave KMS que você pode usar no SageMaker Canvas é usada para criptografar dados de aplicativos armazenados nos volumes do Amazon Elastic Block Store (Amazon EBS) e no Amazon Elastic File System SageMaker que a IA cria em seu domínio. SageMaker O Canvas criptografa seus dados com essa chave no aplicativo subjacente e nos sistemas de armazenamento temporário criados ao usar instâncias de computação para criar modelos e gerar insights. SageMaker O Canvas passa a chave para outros AWS serviços, como o Autopilot, sempre que o SageMaker Canvas inicia trabalhos com eles para processar seus dados.
Você pode especificar essa chave definindo o KmsKeyID na chamada de API CreateDomain ou ao fazer a configuração do domínio padrão no console. Se você não especificar sua própria chave KMS, a SageMaker AI usa uma chave KMS AWS gerenciada padrão para criptografar seus dados no SageMaker aplicativo Canvas.
Para especificar sua própria chave KMS para uso no aplicativo SageMaker Canvas por meio do console, primeiro configure seu domínio Amazon SageMaker AI usando a configuração padrão. Use o procedimento a seguir para concluir a Seção de rede e armazenamento do domínio.
-
Preencha as configurações desejadas da Amazon VPC.
-
Em Chave de criptografia, escolha Inserir um ARN da chave do KMS.
-
Para ARN do KMS, insira o ARN da sua chave do KMS, que deve ter um formato semelhante ao seguinte:
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Criptografe seus dados do SageMaker Canvas salvos no Amazon S3
A segunda chave KMS que você pode especificar é usada para dados que o SageMaker Canvas armazena no Amazon S3. Essa chave KMS é especificada no S3KMSKeyId campo na chamada da CreateDomain API ou ao fazer a configuração de domínio padrão no console de SageMaker IA. SageMaker O Canvas salva duplicatas de seus conjuntos de dados de entrada, dados de aplicativos e modelos e dados de saída no bucket SageMaker AI S3 padrão da região para sua conta. O padrão de nomenclatura para esse bucket és3://sagemaker-, e o SageMaker Canvas armazena dados na {Region}-{your-account-id}Canvas/ pasta.
-
Ative a opção Habilitar compartilhamento de recursos do caderno.
-
Para Local do S3 para recursos compartilháveis do caderno, deixe o caminho padrão do Amazon S3. Observe que o SageMaker Canvas não usa esse caminho do Amazon S3; esse caminho do Amazon S3 é usado para notebooks Studio Classic.
-
Em Chave de criptografia, escolha Inserir um ARN da chave do KMS.
-
Para ARN do KMS, insira o ARN da sua chave do KMS, que deve ter um formato semelhante ao seguinte:
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Importar conjuntos de dados criptografados do Amazon S3
Seus usuários podem ter conjuntos de dados criptografados com uma chave do KMS. Embora a seção anterior mostre como criptografar dados no SageMaker Canvas e dados armazenados no Amazon S3, você deve conceder permissões adicionais à função IAM do seu usuário se quiser importar dados do Amazon S3 que já estejam criptografados com. AWS KMS
Para conceder permissões ao usuário para importar conjuntos de dados criptografados do Amazon S3 SageMaker para o Canvas, adicione as seguintes permissões à função de execução do IAM que você usou para o perfil do usuário.
"kms:Decrypt",
"kms:GenerateDataKey"
Para saber como editar as permissões do IAM para um perfil, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM. Para obter mais informações sobre chaves do KMS, consulte Políticas de chave no AWS Key Management Service no Guia do desenvolvedor do AWS KMS .
FAQs
Consulte os seguintes itens de perguntas frequentes para obter respostas às perguntas mais frequentes sobre o AWS KMS suporte do SageMaker Canvas.
R: Não. SageMaker O Canvas pode armazenar temporariamente sua chave em cache ou passá-la para outros AWS serviços (como o Autopilot), mas o SageMaker Canvas não retém sua chave KMS.
R: O perfil do IAM do seu usuário pode não ter permissões para usar essa chave do KMS. Para conceder permissões de usuário, consulte os Pré-requisitos. Outro possível erro é que você tem uma política de bucket em seu bucket do Amazon S3 que exige o uso de uma chave do KMS específica que não corresponde à chave do KMS especificada em seu domínio. Certifique-se de especificar a mesma chave do KMS para seu bucket Amazon S3 e seu domínio.
R: O bucket padrão do Amazon S3 segue o padrão de nomenclatura s3://sagemaker-. A {Region}-{your-account-id}Canvas/ pasta nesse bucket armazena os dados do seu aplicativo SageMaker Canvas.
R: Não, a SageMaker IA cria esse bucket para você.
R: O SageMaker Canvas usa o bucket SageMaker AI Amazon S3 padrão para armazenar duplicatas de seus conjuntos de dados de entrada, artefatos do modelo e saídas do modelo.
R: Com o SageMaker Canvas, você pode usar suas próprias chaves de criptografia AWS KMS para criar modelos de regressão, classificação binária e multiclasse e previsão de séries temporais, bem como para inferência em lote com seu modelo.
