As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode proteger seus dados em repouso usando criptografia para recursos SageMaker geoespaciais. Por padrão, ele usa criptografia do lado do servidor com uma chave de propriedade SageMaker geoespacial da Amazon. SageMaker os recursos geoespaciais também oferecem suporte à opção de criptografia do lado do servidor com uma chave KMS gerenciada pelo cliente.
Criptografia do lado do servidor com chave gerenciada SageMaker geoespacial da Amazon (padrão)
SageMaker os recursos geoespaciais criptografam todos os seus dados, incluindo resultados computacionais de seus trabalhos de Observação da Terra (EOJ) e trabalhos de Enriquecimento Vetorial (VEJ), juntamente com todos os metadados de seu serviço. Não há dados armazenados em recursos SageMaker geoespaciais sem criptografia. Ele usa uma chave AWS própria padrão para criptografar todos os seus dados.
Criptografia do lado do servidor com chave do KMS gerenciada pelo cliente (Opcional)
SageMaker os recursos geoespaciais suportam o uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia sobre a criptografia existente AWS . Como você tem controle total dessa camada de criptografia, é possível realizar tarefas como:
Estabelecer e manter as políticas de chave
Estabelecer e manter subsídios e IAM policies
Habilitar e desabilitar políticas de chaves
Alternar os materiais de criptografia de chave
Adicionar etiquetas
Criar réplicas de chaves
Chaves de agendamento para exclusão
Para obter mais informações, consulte Customer managed keys no Guia do desenvolvedor do AWS Key Management Service .
Como os recursos SageMaker geoespaciais usam subsídios em AWS KMS
SageMaker os recursos geoespaciais exigem uma concessão para usar sua chave gerenciada pelo cliente. Quando você cria um EOJ ou um VEJ criptografado com uma chave gerenciada pelo cliente, os recursos SageMaker geoespaciais criam uma concessão em seu nome enviando uma CreateGrant solicitação para. AWS KMS As concessões AWS KMS são usadas para dar aos recursos SageMaker geoespaciais acesso a uma chave KMS em uma conta de cliente. É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, os recursos SageMaker geoespaciais não conseguirão acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados.
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs
Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para criar chaves KMS de criptografia simétrica no Guia do AWS Key Management Service desenvolvedor.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Determinando o acesso às AWS KMS chaves no Guia do AWS Key Management Service desenvolvedor.
Para usar sua chave gerenciada pelo cliente com seus recursos de recursos SageMaker geoespaciais, as seguintes operações de API devem ser permitidas na política de chaves. O principal para essas operações deve ser a função de execução que você fornece na solicitação de recursos SageMaker geoespaciais. SageMaker os recursos geoespaciais pressupõem a função de execução fornecida na solicitação para realizar essas operações do KMS.
kms:GenerateDataKeykms:Decryptkms:GenerateDataKeyWithoutPlaintext
A seguir estão exemplos de declarações de política que você pode adicionar para recursos SageMaker geoespaciais:
CreateGrant
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : "<Customer provided Execution Role ARN>"
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]Para obter mais informações sobre como especificar permissões em uma política, consulte Permissões do AWS KMS no Guia do Desenvolvedor do AWS Key Management Service . Para obter mais informações sobre solução de problemas, consulte Solucionar problemas de acesso à chave no Guia do desenvolvedor do AWS Key Management Service .
Se sua política de chaves não tiver sua conta raiz como administrador de chaves, você precisará adicionar as mesmas permissões do KMS no ARN do seu perfil de execução. Aqui está um exemplo de política que você pode adicionar ao perfil de execução:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"<KMS key Arn>"
],
"Effect": "Allow"
}
]
}Monitorando suas chaves de criptografia para recursos SageMaker geoespaciais
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos de capacidades SageMaker geoespaciais, você pode usar AWS CloudTrail o Amazon CloudWatch Logs para rastrear as solicitações que a SageMaker geospatial envia para. AWS KMS
Selecione uma guia na tabela a seguir para ver exemplos de AWS CloudTrail eventos para monitorar operações do KMS chamados por recursos SageMaker geoespaciais para acessar dados criptografados pela chave gerenciada pelo cliente.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}