Du kan nu styre Amazon Virtual Private Cloud (Amazon VPC) og krypteringsindstillinger for din Amazon Comprehend API'er ved hjælp af AWS identitets- og adgangsstyring (IAM) tilstandsnøgler, og krypter dine Amazon Comprehend brugerdefinerede modeller ved hjælp af kundeadministrerede nøgler (CMK) via AWS Key Management Service (AWS KMS). IAM-tilstandsnøgler giver dig mulighed for yderligere at finpudse de betingelser, hvorunder en IAM-politikerklæring gælder. Du kan bruge de nye betingelsesnøgler i IAM-politikker, når du giver tilladelser til at oprette asynkrone job og oprette tilpasset klassificering eller tilpasset enhedsoplæringsjob.
Amazon Comprehend understøtter nu fem nye tilstandsnøgler:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Nøglerne giver dig mulighed for at sikre, at brugere kun kan oprette job, der opfylder din organisations sikkerhedsposition, såsom job, der er forbundet til de tilladte VPC-undernet og sikkerhedsgrupper. Du kan også bruge disse nøgler til at gennemtvinge krypteringsindstillinger for de lagervolumener, hvor dataene trækkes ned til beregning og på Amazon Simple Storage Service (Amazon S3) spand, hvor outputtet af operationen er gemt. Hvis brugere forsøger at bruge en API med VPC-indstillinger eller krypteringsparametre, der ikke er tilladt, afviser Amazon Comprehend operationen synkront med en 403 Access Denied undtagelse.
Løsningsoversigt
Følgende diagram illustrerer vores løsnings arkitektur.
Vi ønsker at håndhæve en politik for at gøre følgende:
- Sørg for, at alle tilpassede klassificeringstræningsjob er specificeret med VPC-indstillinger
- Få kryptering aktiveret for klassificeringsoplæringsjobbet, klassificeringsoutputtet og Amazon Comprehend-modellen
På denne måde, når nogen starter et tilpasset klassificeringsoplæringsjob, kopieres træningsdataene, der trækkes ind fra Amazon S3, til lagervolumenerne i dine specificerede VPC-undernet og krypteres med det angivne VolumeKmsKey
. Løsningen sørger også for, at resultaterne af modeltræningen er krypteret med det angivne OutputKmsKey
. Endelig er selve Amazon Comprehend-modellen krypteret med AWS KMS-nøglen angivet af brugeren, når den er gemt i VPC'en. Løsningen bruger tre forskellige nøgler til henholdsvis data, output og model, men du kan vælge at bruge samme nøgle til alle tre opgaver.
Derudover giver denne nye funktion dig mulighed for at revidere modelbrug i AWS CloudTrail ved at spore brugen af modellens krypteringsnøgle.
Kryptering med IAM-politikker
Følgende politik sikrer, at brugere skal angive VPC-undernet og sikkerhedsgrupper for VPC-indstillinger og AWS KMS-nøgler for både klassificering og output:
For eksempel, i den følgende kode, giver bruger 1 både VPC-indstillingerne og krypteringsnøglerne og kan fuldføre handlingen med succes:
Bruger 2, på den anden side, giver ikke nogen af disse nødvendige indstillinger og har ikke tilladelse til at fuldføre handlingen:
I de foregående kodeeksempler, så længe VPC-indstillingerne og krypteringsnøglerne er indstillet, kan du køre det tilpassede klassificeringsoplæringsjob. Hvis du forlader VPC- og krypteringsindstillingerne i deres standardtilstand, resulterer det i en 403 Access Denied undtagelse.
I det næste eksempel håndhæver vi en endnu strengere politik, hvor vi skal indstille VPC- og krypteringsindstillingerne til også at inkludere specifikke undernet, sikkerhedsgrupper og KMS-nøgler. Denne politik anvender disse regler for alle Amazon Comprehend API'er, der starter nye asynkrone job, opretter brugerdefinerede klassificeringer og opretter brugerdefinerede enhedsgenkendere. Se følgende kode:
I det næste eksempel opretter vi først en brugerdefineret klassificering på Amazon Comprehend-konsollen uden at angive krypteringsindstillingen. Da vi har de IAM-betingelser, der er angivet i politikken, afvises handlingen.
Når du aktiverer klassificeringskryptering, krypterer Amazon Comprehend dataene i lagervolumen, mens dit job behandles. Du kan enten bruge en AWS KMS-kundeadministreret nøgle fra din konto eller en anden konto. Du kan angive krypteringsindstillingerne for det brugerdefinerede klassificeringsjob som i det følgende skærmbillede.
Outputkryptering gør det muligt for Amazon Comprehend at kryptere outputresultaterne fra din analyse. I lighed med Amazon Comprehend jobkryptering kan du enten bruge en AWS KMS-kundeadministreret nøgle fra din konto eller en anden konto.
Fordi vores politik også håndhæver de job, der skal lanceres med VPC og sikkerhedsgruppeadgang aktiveret, kan du angive disse indstillinger i VPC-indstillinger sektion.
Amazon Comprehend API-operationer og IAM-tilstandsnøgler
Følgende tabel viser Amazon Comprehend API-operationerne og IAM-tilstandsnøglerne, der er understøttet i skrivende stund. For mere information, se Handlinger, ressourcer og tilstandsnøgler til Amazon Comprehend.
Modelkryptering med en CMK
Ud over at kryptere dine træningsdata kan du nu kryptere dine tilpassede modeller i Amazon Comprehend ved hjælp af en CMK. I dette afsnit kommer vi nærmere ind på denne funktion.
Forudsætninger
Du skal tilføje en IAM-politik for at tillade en principal at bruge eller administrere CMK'er. CMK'er er specificeret i ressourceelementet i politikerklæringen. Når du skriver dine politikerklæringer, er det en bedste praksis at begrænse CMK'er til dem, som rektorerne skal bruge, i stedet for at give rektorerne adgang til alle CMK'er.
I det følgende eksempel bruger vi en AWS KMS-nøgle (1234abcd-12ab-34cd-56ef-1234567890ab
) for at kryptere en tilpasset Amazon Comprehend-model.
Når du bruger AWS KMS-kryptering, kræves kms:CreateGrant- og kms:RetireGrant-tilladelser til modelkryptering.
For eksempel tillader følgende IAM-politikerklæring i din dataAccessRole, som leveres til Amazon Comprehend, principalen kun at kalde oprettelsesoperationerne på de CMK'er, der er angivet i ressourceelementet i politikerklæringen:
Angivelse af CMK'er med nøgle ARN, hvilket er en bedste praksis, sikrer, at tilladelserne kun er begrænset til de specificerede CMK'er.
Aktiver modelkryptering
Når dette skrives, er brugerdefineret modelkryptering kun tilgængelig via AWS kommandolinjegrænseflade (AWS CLI). Følgende eksempel opretter en brugerdefineret klassificering med modelkryptering:
Det næste eksempel træner en brugerdefineret enhedsgenkendelse med modelkryptering:
Endelig kan du også oprette et slutpunkt til din brugerdefinerede model med kryptering aktiveret:
Konklusion
Du kan nu håndhæve sikkerhedsindstillinger som aktivering af kryptering og VPC-indstillinger for dine Amazon Comprehend-job ved hjælp af IAM-tilstandsnøgler. IAM-tilstandsnøglerne er tilgængelige i alle AWS-regioner hvor Amazon Comprehend er tilgængelig. Du kan også kryptere de tilpassede Amazon Comprehend-modeller ved hjælp af kundeadministrerede nøgler.
For at lære mere om de nye betingelsesnøgler og se politikeksempler, se Brug af IAM-tilstandsnøgler til VPC-indstillinger , Ressource og betingelser for Amazon Comprehend API'er. For at lære mere om brug af IAM-tilstandsnøgler, se IAM JSON-politikelementer: Betingelse.
Om forfatterne
Sam Palani er AI/ML Specialist Solutions Architect hos AWS. Han nyder at arbejde med kunder for at hjælpe dem med at udvikle maskinlæringsløsninger i stor skala. Når han ikke hjælper kunder, nyder han at læse og udforske naturen.
Shanthan Kesharaju er seniorarkitekt i AWS ProServe-teamet. Han hjælper vores kunder med AI/ML strategi, arkitektur og udvikling af produkter med et formål. Shanthan har en MBA i marketing fra Duke University og en MS i Management Information Systems fra Oklahoma State University.
Kilde: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- adgang
- Konto
- Handling
- Amazon
- Amazon Comprehend
- analyse
- api
- API'er
- arkitektur
- revision
- AWS
- BEDSTE
- ringe
- klassificering
- kode
- Oprettelse af
- Kunder
- data
- Dekryptér
- detail
- dokumenter
- Duke
- kryptering
- Endpoint
- Feature
- Endelig
- Fornavn
- gruppe
- HTTPS
- IAM
- Identity
- oplysninger
- Job
- Karriere
- Nøgle
- nøgler
- LÆR
- læring
- Limited
- Line (linje)
- Lister
- placering
- Lang
- machine learning
- ledelse
- Marketing
- model
- MS
- Oklahoma
- Produktion
- Option
- Andet
- udendørs
- politikker
- politik
- private
- Produkter
- Læsning
- ressource
- Ressourcer
- Resultater
- regler
- Kør
- Scale
- sikkerhed
- sæt
- Simpelt
- Løsninger
- starte
- Tilstand
- Statement
- opbevaring
- Strategi
- Understøttet
- Understøtter
- Systemer
- Sporing
- Kurser
- tog
- universitet
- brugere
- Specifikation
- Virtual
- bind
- inden for
- skrivning