Sie können jetzt die steuern Amazon Virtual Private Cloud (Amazon VPC) und Verschlüsselungseinstellungen für Ihre Amazon verstehen APIs mit AWS Identity and Access Management and (IAM) Bedingungsschlüssel und verschlüsseln Sie Ihre benutzerdefinierten Amazon Comprehend-Modelle mithilfe von vom Kunden verwalteten Schlüsseln (CMK) über AWS-Schlüsselverwaltungsservice (AWS KMS). Mit IAM-Bedingungsschlüsseln können Sie die Bedingungen, unter denen eine IAM-Richtlinienanweisung gilt, weiter verfeinern. Sie können die neuen Bedingungsschlüssel in IAM-Richtlinien verwenden, wenn Sie Berechtigungen zum Erstellen asynchroner Jobs und zum Erstellen benutzerdefinierter Klassifizierungs- oder Entitätsschulungsjobs erteilen.
Amazon Comprehend unterstützt jetzt fünf neue Bedingungsschlüssel:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Mit den Schlüsseln können Sie sicherstellen, dass Benutzer nur Jobs erstellen können, die der Sicherheitslage Ihres Unternehmens entsprechen, z. B. Jobs, die mit den zulässigen VPC-Subnetzen und Sicherheitsgruppen verbunden sind. Sie können diese Schlüssel auch verwenden, um die Verschlüsselungseinstellungen für die Speichervolumes zu erzwingen, auf denen die Daten zur Berechnung und auf dem Computer abgerufen werden Amazon Simple Storage-Service (Amazon S3) Bucket, in dem die Ausgabe der Operation gespeichert wird. Wenn Benutzer versuchen, eine API mit nicht zulässigen VPC-Einstellungen oder Verschlüsselungsparametern zu verwenden, lehnt Amazon Comprehend den Vorgang synchron mit einer Ausnahme von 403 Access Denied ab.
Lösungsüberblick
Das folgende Diagramm zeigt die Architektur unserer Lösung.
Wir möchten eine Richtlinie durchsetzen, um Folgendes zu tun:
- Stellen Sie sicher, dass alle benutzerdefinierten Klassifizierungstrainingsjobs mit den VPC-Einstellungen angegeben sind
- Aktivieren Sie die Verschlüsselung für den Klassifizierer-Schulungsjob, die Klassifiziererausgabe und das Amazon Comprehend-Modell
Auf diese Weise werden beim Starten eines benutzerdefinierten Klassifizierungstrainings die von Amazon S3 abgerufenen Trainingsdaten auf die Speichervolumes in den angegebenen VPC-Subnetzen kopiert und mit den angegebenen verschlüsselt VolumeKmsKey
. Die Lösung stellt außerdem sicher, dass die Ergebnisse des Modelltrainings mit den angegebenen Werten verschlüsselt werden OutputKmsKey
. Schließlich wird das Amazon Comprehend-Modell selbst mit dem AWS KMS-Schlüssel verschlüsselt, den der Benutzer beim Speichern in der VPC angegeben hat. Die Lösung verwendet drei verschiedene Schlüssel für die Daten, die Ausgabe und das Modell. Sie können jedoch für alle drei Aufgaben denselben Schlüssel verwenden.
Darüber hinaus können Sie mit dieser neuen Funktion die Modellnutzung in überwachen AWS CloudTrail durch Verfolgen der Verwendung des Modellverschlüsselungsschlüssels.
Verschlüsselung mit IAM-Richtlinien
Die folgende Richtlinie stellt sicher, dass Benutzer VPC-Subnetze und Sicherheitsgruppen für VPC-Einstellungen und AWS KMS-Schlüssel sowohl für den Klassifizierer als auch für die Ausgabe angeben müssen:
Im folgenden Code stellt Benutzer 1 beispielsweise sowohl die VPC-Einstellungen als auch die Verschlüsselungsschlüssel bereit und kann den Vorgang erfolgreich abschließen:
Benutzer 2 stellt andererseits keine dieser erforderlichen Einstellungen bereit und darf den Vorgang nicht abschließen:
In den vorhergehenden Codebeispielen können Sie den benutzerdefinierten Klassifizierer-Schulungsjob ausführen, solange die VPC-Einstellungen und die Verschlüsselungsschlüssel festgelegt sind. Wenn Sie die VPC- und Verschlüsselungseinstellungen im Standardzustand belassen, wird die Ausnahme 403 Access Denied angezeigt.
Im nächsten Beispiel erzwingen wir eine noch strengere Richtlinie, in der wir die VPC- und Verschlüsselungseinstellungen so einstellen müssen, dass sie auch bestimmte Subnetze, Sicherheitsgruppen und KMS-Schlüssel enthalten. Diese Richtlinie wendet diese Regeln für alle Amazon Comprehend-APIs an, die neue asynchrone Jobs starten, benutzerdefinierte Klassifizierer erstellen und benutzerdefinierte Entitätserkenner erstellen. Siehe folgenden Code:
Im nächsten Beispiel erstellen wir zunächst einen benutzerdefinierten Klassifizierer auf der Amazon Comprehend-Konsole, ohne die Verschlüsselungsoption anzugeben. Da wir die in der Richtlinie angegebenen IAM-Bedingungen haben, wird der Vorgang abgelehnt.
Wenn Sie die Klassifiziererverschlüsselung aktivieren, verschlüsselt Amazon Comprehend die Daten auf dem Speichervolume, während Ihr Job verarbeitet wird. Sie können entweder einen vom Kunden verwalteten AWS KMS-Schlüssel aus Ihrem Konto oder ein anderes Konto verwenden. Sie können die Verschlüsselungseinstellungen für den benutzerdefinierten Klassifiziererjob wie im folgenden Screenshot festlegen.
Durch die Ausgabeverschlüsselung kann Amazon Comprehend die Ausgabeergebnisse Ihrer Analyse verschlüsseln. Ähnlich wie bei der Amazon Comprehend-Jobverschlüsselung können Sie entweder einen vom Kunden verwalteten AWS KMS-Schlüssel aus Ihrem Konto oder einem anderen Konto verwenden.
Da unsere Richtlinie auch das Starten von Jobs erzwingt, die mit aktiviertem VPC- und Sicherheitsgruppenzugriff gestartet werden sollen, können Sie diese Einstellungen im Feld angeben VPC-Einstellungen .
Amazon Comprehend API-Vorgänge und IAM-Bedingungsschlüssel
In der folgenden Tabelle sind die Amazon Comprehend-API-Vorgänge und die IAM-Bedingungsschlüssel aufgeführt, die zum jetzigen Zeitpunkt unterstützt werden. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Comprehend.
Modellverschlüsselung mit einem CMK
Neben der Verschlüsselung Ihrer Trainingsdaten können Sie jetzt Ihre benutzerdefinierten Modelle in Amazon Comprehend mit einem CMK verschlüsseln. In diesem Abschnitt werden wir näher auf diese Funktion eingehen.
Voraussetzungen:
Sie müssen eine IAM-Richtlinie hinzufügen, damit ein Principal CMKs verwenden oder verwalten kann. CMKs werden im Resource-Element der Richtlinienanweisung angegeben. Wenn Sie Ihre Richtlinienerklärungen schreiben, ist es a best Practices CMKs auf diejenigen zu beschränken, die die Principals verwenden müssen, anstatt den Principals Zugriff auf alle CMKs zu gewähren.
Im folgenden Beispiel verwenden wir einen AWS KMS-Schlüssel (1234abcd-12ab-34cd-56ef-1234567890ab
), um ein benutzerdefiniertes Amazon Comprehend-Modell zu verschlüsseln.
Wenn Sie die AWS KMS-Verschlüsselung verwenden, sind für die Modellverschlüsselung die Berechtigungen kms: CreateGrant und kms: RetireGrant erforderlich.
Mit der folgenden IAM-Richtlinienanweisung in Ihrer für Amazon Comprehend bereitgestellten dataAccessRole kann der Principal die Erstellungsvorgänge nur für die CMKs aufrufen, die im Resource-Element der Richtlinienanweisung aufgeführt sind:
Durch die Angabe von CMKs nach Schlüssel-ARN, die eine bewährte Methode ist, wird sichergestellt, dass die Berechtigungen nur auf die angegebenen CMKs beschränkt sind.
Aktivieren Sie die Modellverschlüsselung
Zum jetzigen Zeitpunkt ist die benutzerdefinierte Modellverschlüsselung nur über das verfügbar AWS-Befehlszeilenschnittstelle (AWS CLI). Im folgenden Beispiel wird ein benutzerdefinierter Klassifizierer mit Modellverschlüsselung erstellt:
Im nächsten Beispiel wird ein benutzerdefinierter Entitätserkenner mit Modellverschlüsselung trainiert:
Schließlich können Sie auch einen Endpunkt für Ihr benutzerdefiniertes Modell mit aktivierter Verschlüsselung erstellen:
Zusammenfassung
Sie können jetzt Sicherheitseinstellungen wie das Aktivieren der Verschlüsselung und der VPC-Einstellungen für Ihre Amazon Comprehend-Jobs mithilfe von IAM-Bedingungsschlüsseln erzwingen. Die IAM-Bedingungsschlüssel sind in allen verfügbar AWS-Regionen wo Amazon Comprehend verfügbar ist. Sie können die benutzerdefinierten Modelle von Amazon Comprehend auch mit vom Kunden verwalteten Schlüsseln verschlüsseln.
Weitere Informationen zu den neuen Bedingungsschlüsseln und zum Anzeigen von Richtlinienbeispielen finden Sie unter Verwenden von IAM-Bedingungsschlüsseln für VPC-Einstellungen und Ressourcen und Bedingungen für Amazon Comprehend-APIs. Weitere Informationen zur Verwendung von IAM-Bedingungsschlüsseln finden Sie unter IAM JSON-Richtlinienelemente: Bedingung.
Über die Autoren
Sam Palani ist AI / ML Specialist Solutions Architect bei AWS. Er arbeitet gerne mit Kunden zusammen, um ihnen dabei zu helfen, Lösungen für maschinelles Lernen in großem Maßstab zu entwickeln. Wenn er Kunden nicht hilft, liest er gerne und erkundet die Natur.
Shanthan Kesharaju ist Senior Architect im AWS ProServe-Team. Er hilft unseren Kunden bei der AI / ML-Strategie, der Architektur und der Entwicklung von Produkten mit einem bestimmten Zweck. Shanthan hat einen MBA in Marketing von der Duke University und einen MS in Management Information Systems von der Oklahoma State University.
Quelle: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- Zugang
- Konto
- Action
- Amazon
- Amazon verstehen
- Analyse
- Bienen
- APIs
- Architektur
- Prüfung
- AWS
- BESTE
- rufen Sie uns an!
- Einstufung
- Code
- Erstellen
- Kunden
- technische Daten
- Entschlüsseln
- Detail
- Unterlagen
- Herzog
- Verschlüsselung
- Endpunkt
- Merkmal
- Endlich
- Vorname
- Gruppe an
- HTTPS
- IAM
- Identitätsschutz
- Information
- Job
- Jobs
- Wesentliche
- Tasten
- LERNEN
- lernen
- Limitiert
- Line
- Listen
- Standorte
- Lang
- Maschinelles Lernen
- Management
- Marketing
- Modell
- MS
- Oklahoma
- Einkauf & Prozesse
- Option
- Andere
- im Freien
- Politik durchzulesen
- Datenschutzrichtlinien
- privat
- Produkte
- Lesebrillen
- Ressourcen
- Downloads
- Die Ergebnisse
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- Führen Sie
- Skalieren
- Sicherheitdienst
- kompensieren
- Einfacher
- Lösungen
- Anfang
- Bundesstaat
- Erklärung
- Lagerung
- Strategie
- Unterstützte
- Unterstützt
- Systeme und Techniken
- Tracking
- Ausbildung
- schult Ehrenamtliche
- Universität
- Nutzer
- Anzeigen
- Assistent
- Volumen
- .
- Schreiben