Amazon Comprehend 中的 KMS 加密

Amazon Comprehend 可與 AWS Key Management Service (AWS KMS) 搭配使用，為您的資料提供增強的加密功能。Amazon S3 已讓您在建立文字分析、主題建模或自訂 Amazon Comprehend 任務時加密輸入文件。與整合AWS KMS可讓您針對 Start* 和 Create* 工作加密儲存磁碟區中的資料，並使用您自己的 KMS 金鑰加密 Start* 任務的輸出結果。

對於AWS Management Console，亞馬遜使用自己的 KMS 金鑰加密自訂模型。對於AWS CLI，Amazon Comprehend 可以使用自己的 KMS 金鑰或提供的客戶受管金鑰 (CMK) 來加密自訂模型。

使用 KMS 加密 AWS Management Console

使用控制台時有兩個加密選項可用：

如果您先前已在 S3 輸入文件上使用 SSE-KMS 設定加密，這可以為您提供額外的安全性。不過，如果您這麼做，所使用的 IAM 角色必須具有用來加密輸入文件之 KMS 金鑰的kms:Decrypt權限。如需詳細資訊，請參閱 使用KMS加密所需的許可。

使用 API 作業進行 KMS 加密

所有 Amazon Comprehend Start* 和 Create* API 操作都支援 KMS 加密的輸入文件。 Describe*和 List* API 操作返回，OutputDataConfig如果原始作業KmsKeyId提供作為輸入。KmsKeyId如果未將其作為輸入提供，則不會返回。

這可以在使用StartEntitiesDetectionJob操作的以下 AWS CLI 示例中看到：

aws comprehend start-entities-detection-job \
     --region region \
     --data-access-role-arn "data access role arn" \    
     --entity-recognizer-arn "entity recognizer arn" \
     --input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \    
     --job-name job name \
     --language-code en \
     --output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
     --volumekmskeyid "Volume KMS key ID" 

使用 API 作業的客戶管理金鑰 (CMK) 加密

Amazon Comprehend 自訂模型 API 操作和支援使用客戶受管金鑰的加密CreateEndpoint，透過. CreateEntityRecognizer CreateDocumentClassifier AWS CLI

您需要 IAM 政策來允許主體使用或管理客戶受管金鑰。這些索引鍵會在原則陳述式的Resource項目中指定。最佳作法是將客戶管理的金鑰限制為只有主體必須在您的政策陳述式中使用的金鑰。

下列 AWS CLI 範例會使用CreateEntityRecognizer作業建立具有模型加密的自訂實體辨識器：

aws comprehend create-entity-recognizer \
     --recognizer-name name \
     --data-access-role-arn data access role arn \    
     --language-code en \
     --model-kms-key-id Model KMS Key ID \ 
     --input-data-config file:///path/input-data-config.json