選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

使用 加密 SageMaker Canvas 資料 AWS KMS

PDF
RSS
焦點模式
使用 加密 SageMaker Canvas 資料 AWS KMS - Amazon SageMaker AI
在 Canvas 中加密您的資料從 Amazon S3 匯入加密資料集常見問答集

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon SageMaker Canvas 時,您可能會擁有想要加密的資料,例如您的私人公司資訊或客戶資料。SageMaker Canvas AWS Key Management Service 用來保護您的資料。 AWS KMS 是一項服務,可用來建立和管理加密資料的密碼編譯金鑰。如需詳細資訊 AWS KMS,請參閱《 AWS KMS 開發人員指南AWS Key Management Service》中的 。

Amazon SageMaker Canvas 為您提供數個加密資料的選項。SageMaker Canvas 會在應用程式內為建立模型和產生深入解析等工作提供預設加密。您也可以選擇加密 Amazon S3 中存放的資料,以保護靜態資料。SageMaker Canvas 支援匯入加密的資料集,因此您可以建立加密的工作流程。下列各節說明如何使用 AWS KMS 加密來保護資料,同時使用 SageMaker Canvas 建置模型。

在 Canvas 中加密您的資料

透過 SageMaker Canvas,您可以使用兩個不同的 AWS KMS 加密金鑰來加密 SageMaker Canvas 中的資料,您可以在使用標準網域設定設定網域時指定此金鑰。這些金鑰會在下列網域設定步驟中指定:

  • 步驟 3:設定應用程式 - (選用) – 設定 Canvas 儲存組態區段時,您可以指定加密金鑰。這是 SageMaker Canvas 用於長期儲存模型物件和資料集的 KMS 金鑰,這些物件和資料集存放在您網域的 Amazon S3 儲存貯體中。如果使用 CreateApp API 建立 Canvas 應用程式,請使用 S3KMSKeyId 欄位來指定此金鑰。

  • 步驟 6:設定儲存 – SageMaker Canvas 使用一個金鑰來加密為 Canvas 應用程式建立的 Amazon SageMaker Studio 私有空間,其中包括暫時性應用程式儲存、視覺化和運算任務 (例如建置模型)。您可以使用預設 AWS 受管金鑰或指定自己的金鑰。如果您指定 AWS KMS 金鑰,儲存在 /home/sagemaker-user目錄中的資料會使用金鑰加密。如果您未指定 AWS KMS 金鑰,則會使用 AWS 受管金鑰/home/sagemaker-user加密內部的資料。無論您是否指定 AWS KMS 金鑰,工作目錄以外的所有資料都會使用 AWS 受管金鑰加密。若要進一步了解 Studio 空間和 Canvas 應用程式儲存體,請參閱將 SageMaker Canvas 應用程式資料存放在您自己的 SageMaker AI 空間。如果使用 CreateApp API 建立 Canvas 應用程式,請使用 KmsKeyID 欄位來指定此金鑰。

上述金鑰可以是相同或不同的 KMS 金鑰。

先決條件

若要將自己的 KMS 金鑰用於上述任一目的,您必須先授予使用者的 IAM 角色許可才能使用金鑰。然後,您可以在設定網域時指定 KMS 金鑰。

授予角色使用金鑰的最簡單方法是修改金鑰政策。使用以下處理程序為您的角色授予必要的許可。

  1. 開啟 AWS KMS 主控台

  2. 金鑰政策區段中,選擇切換為政策檢視

  3. 修改金鑰政策,授予 IAM 角色 kms:GenerateDataKeykms:Decrypt 動作的許可。此外,如果您要修改金鑰政策來加密 Studio 空間中的 Canvas 應用程式儲存體,請授予 kms:CreateGrant動作。您可以新增類似以下的陳述式:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. 選擇儲存變更

較不偏好的方法是修改使用者的 IAM 角色,以授予使用者使用或管理 KMS 金鑰的許可。如果您使用此方法,KMS 金鑰政策也必須允許透過 IAM 進行存取管理。若要了解如何透過使用者的 IAM 角色授予 KMS 金鑰的許可,請參閱 AWS KMS 開發人員指南中的 IAM 政策陳述式中指定 KMS 金鑰

在 Canvas 應用程式中 SageMaker 密您的資料

您可以在 SageMaker Canvas 中使用的第一個 KMS 金鑰,用於加密存放在 Amazon Elastic Block Store (Amazon EBS) 磁碟區和 SageMaker AI 在您的網域中建立的 Amazon Elastic File System 中的應用程式資料。SageMaker Canvas 在使用計算執行個體建立模型和產生深入解析時所建立的基礎應用程式和臨時儲存系統中,使用此金鑰加密您的資料。每當 SageMaker Canvas 啟動任務以處理您的資料時,SageMaker Canvas 都會將金鑰傳遞給其他 AWS 服務,例如 Autopilot。

您可以在 CreateDomain API 呼叫KmsKeyID中設定 或在主控台中執行標準網域設定時指定此金鑰。如果您未指定自己的 KMS 金鑰,SageMaker AI 會使用預設 AWS 的受管 KMS 金鑰來加密 SageMaker Canvas 應用程式中的資料。

若要透過主控台指定自己的 KMS 金鑰,以便在 SageMaker Canvas 應用程式中使用,請先使用標準設定來設定 Amazon SageMaker AI 網域。使用下列程序來完成網域的網路和儲存區段

  1. 填寫您想要的 Amazon VPC 設定。

  2. 對於加密金鑰,請選擇輸入 KMS 金鑰 ARN

  3. 針對 KMS ARN,請輸入 KMS 金鑰的 ARN,其格式應類似下列:arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

加密儲存在 Amazon S3 中的 SageMaker Canvas 資料

您可以指定的第二個 KMS 金鑰會用於 SageMaker Canvas 存放到 Amazon S3 的資料。此 KMS 金鑰是在 CreateDomain API 呼叫的 S3KMSKeyId 欄位中指定,或在 SageMaker AI 主控台中執行標準網域設定時指定。SageMaker Canvas 會將您輸入資料集、應用程式和模型資料的複本,以及輸出資料儲存至您帳戶的區域預設 SageMaker AI S3 儲存貯體。此儲存貯體的命名模式為 s3://sagemaker-{Region}-{your-account-id},而 SageMaker Canvas 會將資料儲存在 Canvas/ 資料夾中。

  1. 開啟啟用筆記本資源共用

  2. 對於可共用筆記本資源的 S3 位置,請保留預設的 Amazon S3 路徑。請注意,SageMaker Canvas 不會使用此 Amazon S3 路徑;此 Amazon S3 路徑用於 Studio Classic 筆記本。

  3. 對於加密金鑰,請選擇輸入 KMS 金鑰 ARN

  4. 針對 KMS ARN,請輸入 KMS 金鑰的 ARN,其格式應類似下列:arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

從 Amazon S3 匯入加密資料集

您的使用者可能擁有已使用 KMS 金鑰加密的資料集。雖然上一節說明如何加密 SageMaker Canvas 中的資料和存放到 Amazon S3 的資料,但如果您要從已加密的 Amazon S3 匯入資料,則必須授予使用者的 IAM 角色額外許可 AWS KMS。

若要授予使用者從 Amazon S3 將加密資料集匯入 SageMaker Canvas 的許可,請將下列許可新增至您用於使用者設定檔的 IAM 執行角色。


      "kms:Decrypt",
      "kms:GenerateDataKey"

如需有關如何編輯管理許可的相關資訊,請參閱 IAM 使用者指南中的新增和移除 IAM 身分許可。如需 KMS 金鑰的詳細資訊,請參閱 AWS KMS 開發人員指南中的 AWS Key Management Service的金鑰政策

常見問答集

如需有關 SageMaker Canvas AWS KMS 支援的常見問題解答,請參閱下列常見問題集項目。

答:否。SageMaker Canvas 可能會暫時快取您的金鑰或將其傳遞給其他 AWS 服務 (例如 Autopilot),但 SageMaker Canvas 不會保留您的 KMS 金鑰。

問:SageMaker Canvas 會保留我的 KMS 金鑰?

答:否。SageMaker Canvas 可能會暫時快取您的金鑰或將其傳遞給其他 AWS 服務 (例如 Autopilot),但 SageMaker Canvas 不會保留您的 KMS 金鑰。

答:您的使用者的 IAM 角色可能沒有使用該 KMS 金鑰的許可。若要授予您的使用者許可,請參閱先決條件。另一個可能的錯誤是,您的 Amazon S3 儲存貯體上有儲存貯體政策,需要使用與您在網域中指定的 KMS 金鑰不相符的特定 KMS 金鑰。請務必為 Amazon S3 儲存貯體和網域指定相同的 KMS 金鑰。

答:您的使用者的 IAM 角色可能沒有使用該 KMS 金鑰的許可。若要授予您的使用者許可,請參閱先決條件。另一個可能的錯誤是,您的 Amazon S3 儲存貯體上有儲存貯體政策,需要使用與您在網域中指定的 KMS 金鑰不相符的特定 KMS 金鑰。請務必為 Amazon S3 儲存貯體和網域指定相同的 KMS 金鑰。

答:預設的 Amazon S3 儲存貯體遵循命名模式 s3://sagemaker-{Region}-{your-account-id}。此儲存貯體中的 Canvas/ 資料夾會儲存您的 SageMaker Canvas 應用程式資料。

答:預設的 Amazon S3 儲存貯體遵循命名模式 s3://sagemaker-{Region}-{your-account-id}。此儲存貯體中的 Canvas/ 資料夾會儲存您的 SageMaker Canvas 應用程式資料。

答:否,SageMaker AI 會為您建立此儲存貯體。

答:否,SageMaker AI 會為您建立此儲存貯體。

答:SageMaker Canvas 使用預設的 SageMaker AI Amazon S3 儲存貯體來存放輸入資料集、模型成品和模型輸出的複本。

答:SageMaker Canvas 使用預設的 SageMaker AI Amazon S3 儲存貯體來存放輸入資料集、模型成品和模型輸出的複本。

答:使用 SageMaker Canvas,您可以將自己的加密金鑰與 搭配使用 AWS KMS ,以建置迴歸、二進位和多類別分類、時間序列預測模型,以及使用模型進行批次推論。

答:使用 SageMaker Canvas,您可以將自己的加密金鑰與 搭配使用 AWS KMS ,以建置迴歸、二進位和多類別分類、時間序列預測模型,以及使用模型進行批次推論。

在本頁面

Related resources

Amazon SageMaker AI API 參考
AWS CLI 的 命令 Amazon SageMaker AI
SDK 與工具 

Related resources

Amazon SageMaker AI API 參考
AWS CLI 的 命令 Amazon SageMaker AI
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。