يمكنك الآن التحكم في ملف سحابة أمازون الافتراضية الخاصة (Amazon VPC) وإعدادات التشفير الخاصة بك فهم الأمازون استخدام واجهات برمجة التطبيقات إدارة الهوية والوصول AWS (IAM) ، وقم بتشفير نماذج Amazon Comprehend المخصصة باستخدام المفاتيح المُدارة بواسطة العميل (CMK) عبر خدمة إدارة مفتاح AWS (AWS KMS). تمكنك مفاتيح شرط IAM من تحسين الشروط التي بموجبها ينطبق بيان سياسة IAM. يمكنك استخدام مفاتيح الشروط الجديدة في سياسات IAM عند منح أذونات لإنشاء وظائف غير متزامنة وإنشاء تصنيف مخصص أو وظائف تدريب كيان مخصص.
يدعم Amazon Comprehend الآن خمسة مفاتيح شروط جديدة:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
تسمح لك المفاتيح بالتأكد من أن المستخدمين يمكنهم فقط إنشاء الوظائف التي تتوافق مع الوضع الأمني لمؤسستك ، مثل الوظائف المتصلة بشبكات VPC الفرعية ومجموعات الأمان المسموح بها. يمكنك أيضًا استخدام هذه المفاتيح لفرض إعدادات التشفير لوحدات التخزين حيث يتم سحب البيانات لأسفل للحساب وعلى خدمة تخزين أمازون البسيطة (Amazon S3) حيث يتم تخزين ناتج العملية. إذا حاول المستخدمون استخدام واجهة برمجة تطبيقات مع إعدادات VPC أو معلمات تشفير غير مسموح بها ، فإن Amazon Comprehend يرفض العملية بشكل متزامن مع استثناء 403 تم رفض الوصول.
حل نظرة عامة
يوضح الرسم البياني التالي بنية الحل الذي نقدمه.
نريد تطبيق سياسة للقيام بما يلي:
- تأكد من تحديد جميع وظائف التدريب على التصنيف المخصص باستخدام إعدادات VPC
- تمكين التشفير لوظيفة تدريب المصنف وإخراج المصنف ونموذج Amazon Comprehend
بهذه الطريقة ، عندما يبدأ شخص ما وظيفة تدريب تصنيف مخصصة ، يتم نسخ بيانات التدريب التي يتم سحبها من Amazon S3 إلى وحدات تخزين التخزين في شبكات VPC الفرعية المحددة الخاصة بك ويتم تشفيرها باستخدام المحدد. VolumeKmsKey
. يتأكد الحل أيضًا من أن نتائج تدريب النموذج مشفرة بالملف OutputKmsKey
. أخيرًا ، يتم تشفير نموذج Amazon Comprehend نفسه باستخدام مفتاح AWS KMS الذي يحدده المستخدم عند تخزينه في VPC. يستخدم الحل ثلاثة مفاتيح مختلفة للبيانات والإخراج والنموذج ، على التوالي ، ولكن يمكنك اختيار استخدام نفس المفتاح لجميع المهام الثلاث.
بالإضافة إلى ذلك ، تتيح لك هذه الوظيفة الجديدة تدقيق استخدام النموذج بتنسيق أوس كلاود تريل من خلال تتبع استخدام مفتاح تشفير النموذج.
التشفير مع سياسات IAM
تتأكد السياسة التالية من أنه يجب على المستخدمين تحديد شبكات VPC الفرعية ومجموعات الأمان لإعدادات VPC ومفاتيح AWS KMS لكل من المصنف والمخرجات:
على سبيل المثال ، في الكود التالي ، يوفر المستخدم 1 كلاً من إعدادات VPC ومفاتيح التشفير ، ويمكنه إكمال العملية بنجاح:
من ناحية أخرى ، لا يوفر المستخدم 2 أيًا من هذه الإعدادات المطلوبة ولا يُسمح له بإكمال العملية:
في أمثلة التعليمات البرمجية السابقة ، طالما تم تعيين إعدادات VPC ومفاتيح التشفير ، يمكنك تشغيل وظيفة تدريب المصنف المخصص. يؤدي ترك إعدادات VPC والتشفير في حالتها الافتراضية إلى استثناء 403 تم رفض الوصول.
في المثال التالي ، نفرض سياسة أكثر صرامة ، حيث يتعين علينا تعيين إعدادات VPC والتشفير لتشمل أيضًا شبكات فرعية ومجموعات أمان ومفاتيح KMS محددة. تطبق هذه السياسة هذه القواعد على جميع واجهات برمجة تطبيقات Amazon Comprehend API التي تبدأ وظائف جديدة غير متزامنة وإنشاء مصنفات مخصصة وإنشاء أدوات التعرف على الكيانات المخصصة. انظر الكود التالي:
في المثال التالي ، قمنا أولاً بإنشاء مصنف مخصص على وحدة تحكم Amazon Comprehend دون تحديد خيار التشفير. نظرًا لأن لدينا شروط IAM المحددة في السياسة ، تم رفض العملية.
عندما تقوم بتمكين تشفير المصنف ، تقوم خدمة Amazon Comprehend بتشفير البيانات الموجودة في وحدة التخزين أثناء معالجة وظيفتك. يمكنك إما استخدام مفتاح AWS KMS المُدار من قبل العميل من حسابك أو من حساب مختلف. يمكنك تحديد إعدادات التشفير لوظيفة المصنف المخصص كما في لقطة الشاشة التالية.
يمكّن تشفير الإخراج Amazon Comprehend من تشفير نتائج الإخراج من تحليلك. على غرار تشفير الوظائف Amazon Comprehend ، يمكنك إما استخدام مفتاح AWS KMS المُدار بواسطة العميل من حسابك أو من حساب آخر.
نظرًا لأن سياستنا تفرض أيضًا الوظائف التي سيتم إطلاقها مع تمكين الوصول إلى VPC ومجموعة الأمان ، يمكنك تحديد هذه الإعدادات في ملف إعدادات VPC والقسم الخاص به.
عمليات Amazon Comprehend API ومفاتيح شروط IAM
يسرد الجدول التالي عمليات Amazon Comprehend API ومفاتيح شرط IAM المدعومة حتى كتابة هذه السطور. لمزيد من المعلومات، راجع الإجراءات والموارد ومفاتيح الشروط لتطبيق Amazon Comprehend.
نموذج التشفير باستخدام CMK
إلى جانب تشفير بيانات التدريب الخاصة بك ، يمكنك الآن تشفير نماذجك المخصصة في Amazon Comprehend باستخدام CMK. في هذا القسم ، ندخل في مزيد من التفاصيل حول هذه الميزة.
المتطلبات الأساسية المسبقة
تحتاج إلى إضافة سياسة IAM للسماح للمدير باستخدام CMK أو إدارتها. يتم تحديد CMKs في عنصر Resource لبيان السياسة. عند كتابة بيانات السياسة الخاصة بك ، يكون ملف أفضل الممارسات لقصر CMK على تلك التي يحتاج المديرون إلى استخدامها ، بدلاً من منحهم حق الوصول إلى جميع CMKs.
في المثال التالي ، نستخدم مفتاح AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) لتشفير نموذج مخصص من Amazon Comprehend.
عند استخدام تشفير AWS KMS ، فإن kms: CreateGrant و kms: أذونات RetireGrant مطلوبة لتشفير النموذج.
على سبيل المثال ، يسمح بيان سياسة IAM التالي في dataAccessRole المقدم إلى Amazon Comprehend للمدير باستدعاء عمليات الإنشاء فقط على CMKs المدرجة في عنصر Resource في بيان السياسة:
يؤدي تحديد CMKs عن طريق مفتاح ARN ، وهو أفضل ممارسة ، إلى التأكد من أن الأذونات تقتصر فقط على CMKs المحددة.
تفعيل نموذج التشفير
حتى كتابة هذه السطور ، يتوفر تشفير النموذج المخصص فقط عبر ملف واجهة سطر الأوامر AWS (AWS CLI). ينشئ المثال التالي مصنفًا مخصصًا بتشفير النموذج:
المثال التالي يقوم بتدريب أداة التعرف على الكيانات المخصصة باستخدام نموذج التشفير:
أخيرًا ، يمكنك أيضًا إنشاء نقطة نهاية لنموذجك المخصص مع تمكين التشفير:
وفي الختام
يمكنك الآن فرض إعدادات الأمان مثل تمكين إعدادات التشفير و VPC لوظائف Amazon Comprehend الخاصة بك باستخدام مفاتيح شرط IAM. مفاتيح حالة IAM متوفرة في الكل مناطق AWS حيث يتوفر Amazon Comprehend. يمكنك أيضًا تشفير نماذج Amazon Comprehend المخصصة باستخدام مفاتيح يديرها العميل.
لمعرفة المزيد حول مفاتيح الشروط الجديدة وعرض أمثلة السياسة ، راجع استخدام مفاتيح شرط IAM لإعدادات VPC و الموارد والشروط لواجهات برمجة تطبيقات Amazon Comprehend. لمعرفة المزيد حول استخدام مفاتيح حالة IAM ، راجع عناصر سياسة IAM JSON: الحالة.
حول المؤلف
سام بالاني هو مهندس حلول متخصص في الذكاء الاصطناعي / التعلم الآلي في AWS. إنه يستمتع بالعمل مع العملاء لمساعدتهم على تصميم حلول التعلم الآلي على نطاق واسع. عندما لا يساعد العملاء ، فإنه يستمتع بالقراءة واستكشاف الأماكن الخارجية.
شانتان كيشارجو هو مهندس معماري أول في فريق AWS ProServe. إنه يساعد عملائنا في استراتيجية الذكاء الاصطناعي / التعلم الآلي ، والهندسة المعمارية ، وتطوير المنتجات لغرض ما. شانتان حاصل على ماجستير في إدارة الأعمال في التسويق من جامعة ديوك وماجستير في نظم المعلومات الإدارية من جامعة ولاية أوكلاهوما.
المصدر: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- الوصول
- حسابي
- اكشن
- أمازون
- فهم الأمازون
- تحليل
- API
- واجهات برمجة التطبيقات
- هندسة معمارية
- التدقيق
- AWS
- أفضل
- دعوة
- تصنيف
- الكود
- خلق
- العملاء
- البيانات
- فك تشفير
- التفاصيل
- وثائق
- دوق
- التشفير
- نقطة النهاية
- الميزات
- أخيرا
- الاسم الأول
- تجمع
- HTTPS
- IAM
- هوية
- معلومات
- وظيفة
- المشــاريــع
- القفل
- مفاتيح
- تعلم
- تعلم
- محدود
- خط
- قوائم
- موقع
- طويل
- آلة التعلم
- إدارة
- التسويق
- نموذج
- MS
- أوكلاهوما
- عمليات
- خيار
- أخرى
- في الهواء الطلق
- سياسات الخصوصية والبيع
- سياسة
- خاص
- المنتجات
- نادي القراءة
- مورد
- الموارد
- النتائج
- القواعد
- يجري
- حجم
- أمن
- طقم
- الاشارات
- الحلول
- بداية
- الولايه او المحافظه
- ملخص الحساب
- تخزين
- الإستراتيجيات
- مدعومة
- الدعم
- أنظمة
- تتبع الشحنة
- قادة الإيمان
- القطارات
- جامعة
- المستخدمين
- المزيد
- افتراضي
- حجم
- في غضون
- جاري الكتابة