Segurança e controle de acesso - Amazon SageMaker

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança e controle de acesso

A Amazon SageMaker Feature Store permite que você crie dois tipos de lojas: uma loja online ou uma loja offline. O armazenamento on-line é usado para casos de uso de inferência em tempo real de baixa latência, e o armazenamento offline é usado para casos de uso de treinamento e inferência em lote. Ao criar um grupo de recursos para uso on-line ou off-line, você pode fornecer uma chave gerenciada pelo AWS Key Management Service cliente para criptografar todos os seus dados em repouso. Caso você não forneça uma AWS KMS chave, garantimos que seus dados sejam criptografados no lado do servidor usando uma chave AWS própria ou uma AWS KMS AWS KMS chave AWS gerenciada. Ao criar um grupo de recursos, você pode selecionar o tipo de armazenamento e, opcionalmente, fornecer uma AWS KMS chave para criptografar dados e, em seguida, chamar vários APIs para gerenciamento de dadosPutRecord, como,,GetRecord. DeleteRecord

O Feature Store permite que você conceda ou negue acesso a indivíduos no nível do grupo de recursos e permite o acesso entre contas ao Feature Store. Por exemplo, você pode configurar contas de desenvolvedor para acessar o armazenamento off-line para treinamento e exploração de modelos que não tenham acesso de gravação às contas de produção. Você pode configurar contas de produção para acessar armazenamentos on-line e offline. A Feature Store usa AWS KMS chaves de cliente exclusivas para criptografia de dados em repouso da loja online e offline. O controle de acesso é ativado por meio de ambos API e do acesso por AWS KMS chave. Você também pode criar controle de acesso em nível de grupo de recursos.

Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente. Para obter mais informações sobre AWS KMS, consulte AWS KMS.

Usando AWS KMS permissões para a Amazon SageMaker Feature Store

A criptografia em repouso protege o Feature Store sob uma chave gerenciada pelo AWS KMS cliente. Por padrão, ele usa uma chave AWS própria gerenciada pelo cliente OnlineStore e uma chave AWS gerenciada pelo cliente para OfflineStore. O Feature Store é compatível com a opção de criptografar seu armazenamento on-line ou offline com a chave gerenciada pelo cliente. Você pode selecionar a chave gerenciada pelo cliente para o Feature Store ao criar seu armazenamento on-line ou offline, e elas podem ser diferentes para cada armazenamento.

O Feature Store é compatível somente com as chaves simétricas gerenciadas pelo cliente. Não é possível usar uma chave assimétrica gerenciada pelo cliente para criptografar os dados no armazenamento on-line ou offline. Para obter ajuda para determinar se uma chave gerenciada pelo cliente é simétrica ou assimétrica, consulte Identificar chaves simétricas e assimétricas gerenciadas pelo cliente.

Ao usar uma chave gerenciada pelo cliente, você pode aproveitar os seguintes recursos:

Você não paga uma taxa mensal pelas chaves AWS próprias gerenciadas pelo cliente. As chaves gerenciadas pelo cliente incorrerão em uma cobrança por cada API chamada e as AWS Key Management Service cotas se aplicarão a cada chave gerenciada pelo cliente.

Como autorizar o uso de uma chave gerenciada pelo cliente para seu armazenamento on-line

Se você usar uma chave gerenciada pelo cliente para proteger seu armazenamento on-line , as políticas dessa chave deve conceder ao Feature Store permissão para usá-la em seu nome. Você tem controle total sobre as políticas e concessões em uma chave gerenciada pelo cliente.

A Feature Store não precisa de autorização adicional para usar a KMSchave de AWS propriedade padrão para proteger suas lojas online ou offline em sua AWS conta.

Política de chaves gerenciada pelo cliente

Ao escolher uma chave gerenciada pelo cliente para proteger seu armazenamento on-line, o Feature Store obtém permissão para usá-la em nome da entidade principal que faz a escolha. Essa entidade principal, um usuário ou um perfil, deve ter as permissões em uma chave gerenciada pelo cliente exigida pelo Feature Store. Você pode fornecer essas permissões em uma política de chaves, uma IAMpolítica ou uma concessão. No mínimo, o Feature Store exige as seguintes permissões em uma chave gerenciada pelo cliente:

  • “KMS:Encrypt”, “KMS:DECRYPT”, “kms: “, “kms: DescribeKey “, “kms: CreateGrant “, “kms: RetireGrant “, “kms: “, “kms: ReEncryptFrom “, “kms: ReEncryptTo “, “kms:GenerateDataKey” ListAliases ListGrants RevokeGrant

Por exemplo, a política de chaves de exemplo a seguir fornece somente as permissões necessárias. A política tem os seguintes efeitos:

  • Permite que o Feature Store use a chave gerenciada pelo cliente em operações criptográficas e cria concessões, mas somente quando está atuando em nome de entidades principais na conta que tem permissão para usar o Feature Store. Se as entidades principais especificadas na declaração de política não tiverem permissão para usar o Feature Store, a chamada falhará, mesmo se vier do serviço do Feature Store.

  • A chave de ViaService condição kms: permite as permissões somente quando a solicitação vem FeatureStore em nome dos principais listados na declaração de política. Essas entidades principais não podem chamar essas operações diretamente. O valor da kms:ViaService deve ser sagemaker.*.amazonaws.com.

    nota

    A chave de kms:ViaService condição só pode ser usada para a AWS KMS chave gerenciada pelo cliente da loja virtual e não pode ser usada para a loja offline. Se você adicionar essa condição especial à sua chave gerenciada pelo cliente e usar a mesma AWS KMS chave para a loja on-line e off-line, a CreateFeatureGroup API operação falhará.

  • Concede aos administradores da chave gerenciada pelo cliente acesso somente leitura à chave gerenciada pelo cliente e permissão para revogar concessões, incluindo as concessões que o Feature Store usa para proteger seus dados.

Antes de usar um exemplo de política de chaves, substitua os diretores de exemplo pelos diretores reais da sua AWS conta.

{"Id": "key-policy-feature-store", "Version":"2012-10-17", "Statement": [ {"Sid" : "Allow access through Amazon SageMaker Feature Store for all principals in the account that are authorized to use Amazon SageMaker Feature Store", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKey", "kms:ListAliases", "kms:ListGrants" ], "Resource": "*", "Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com" } } }, {"Sid": "Allow administrators to view the customer managed key and revoke grants", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" }, {"Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789:root" }, "Action": "kms:*", "Resource": "*" } ] }

Usar concessões para autorizar o Feature Store

Além de políticas de chaves, o Feature Store usa concessões para definir permissões em uma chave gerenciada pelo cliente. Para visualizar as concessões em uma chave gerenciada pelo cliente na sua conta, use a operação ListGrants. O Feature Store não precisa de concessões ou permissões adicionais para usar a chave gerenciada pelo cliente de propriedade da AWS para proteger seu armazenamento on-line.

O Feature Store usa as permissões de concessão ao executar manutenção do sistema e tarefas de proteção de dados contínua em segundo plano.

Cada concessão é específica a um armazenamento on-line. Se a conta incluir vários armazenamentos criptografados sob a mesma chave gerenciada pelo cliente, haverá concessões exclusivas por FeatureGroup usando a mesma chave gerenciada pelo cliente.

A política de chaves também pode permitir que a conta revogue a concessão da chave gerenciada pelo cliente. No entanto, se você revogar a concessão em um armazenamento on-line criptografado ativo, o Feature Store não poderá proteger e manter o armazenamento.

Monitorando a interação da Feature Store com AWS KMS

Se você usa uma chave gerenciada pelo cliente para proteger sua loja online ou offline, você pode usar AWS CloudTrail registros para rastrear as solicitações que a Feature Store envia AWS KMS em seu nome.

Acessar dados em seu armazenamento on-line

O chamador (usuário ou função) para ALL DataPlane as operações (Put, Get, DeleteRecord) deve ter as permissões abaixo na chave gerenciada pelo cliente:

"kms:Decrypt"

Autorizar o uso de uma chave gerenciada pelo cliente para seu armazenamento offline

O roleArnque é passado como parâmetro createFeatureGroup deve ter as permissões abaixo para OfflineStore KmsKeyId:

"kms:GenerateDataKey"
nota

A política de chaves do armazenamento on-line também funciona para o armazenamento offline, somente quando a condição kms:ViaService não é especificada.

Importante

Você pode especificar uma chave de AWS KMS criptografia para criptografar a localização do Amazon S3 usada para sua feature store offline ao criar um grupo de recursos. Se a chave de AWS KMS criptografia não for especificada, por padrão, criptografamos todos os dados em repouso usando a AWS KMS chave. Ao definir sua chave em nível de bucket paraSSE, você pode reduzir os custos de AWS KMS solicitações em até 99%.