Τώρα μπορείτε να ελέγξετε το Εικονικό ιδιωτικό σύννεφο Amazon (Amazon VPC) και ρυθμίσεις κρυπτογράφησης για το δικό σας Κατανοήστε το Amazon API που χρησιμοποιούν Διαχείριση ταυτότητας και πρόσβασης AWS (IAM) πλήκτρα συνθηκών και κρυπτογραφήστε τα προσαρμοσμένα μοντέλα Amazon Comprehend χρησιμοποιώντας κλειδιά διαχειριζόμενα από τον πελάτη (CMK) μέσω Υπηρεσία διαχείρισης κλειδιών AWS (AWS KMS). Τα κλειδιά συνθηκών IAM σάς επιτρέπουν να βελτιώσετε περαιτέρω τους όρους υπό τους οποίους ισχύει μια δήλωση πολιτικής IAM. Μπορείτε να χρησιμοποιήσετε τα νέα κλειδιά συνθηκών στις πολιτικές IAM κατά τη χορήγηση αδειών για τη δημιουργία ασύγχρονων εργασιών και τη δημιουργία προσαρμοσμένων ταξινομήσεων ή προσαρμοσμένων εργασιών κατάρτισης οντοτήτων.
Το Amazon Comprehend υποστηρίζει τώρα πέντε νέα κλειδιά συνθηκών:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Τα πλήκτρα σάς επιτρέπουν να διασφαλίσετε ότι οι χρήστες μπορούν να δημιουργήσουν μόνο εργασίες που πληρούν τη στάση ασφαλείας του οργανισμού σας, όπως εργασίες που συνδέονται με τα επιτρεπόμενα υποδίκτυα VPC και ομάδες ασφαλείας. Μπορείτε επίσης να χρησιμοποιήσετε αυτά τα πλήκτρα για την επιβολή ρυθμίσεων κρυπτογράφησης για τους τόμους αποθήκευσης όπου τα δεδομένα τραβούν προς τα κάτω για υπολογισμό και Απλή υπηρεσία αποθήκευσης Amazon (Amazon S3) κάδος όπου αποθηκεύεται η έξοδος της λειτουργίας. Εάν οι χρήστες προσπαθούν να χρησιμοποιήσουν ένα API με ρυθμίσεις VPC ή παραμέτρους κρυπτογράφησης που δεν επιτρέπονται, το Amazon Comprehend απορρίπτει τη λειτουργία συγχρονισμένα με εξαίρεση 403 Access Denied.
Επισκόπηση λύσεων
Το παρακάτω διάγραμμα απεικονίζει την αρχιτεκτονική της λύσης μας.
Θέλουμε να εφαρμόσουμε μια πολιτική για να κάνουμε τα εξής:
- Βεβαιωθείτε ότι όλες οι προσαρμοσμένες εργασίες κατάρτισης ταξινόμησης καθορίζονται με τις ρυθμίσεις VPC
- Έχετε ενεργοποιήσει την κρυπτογράφηση για την εργασία εκπαίδευσης του ταξινομητή, την έξοδο του ταξινομητή και το μοντέλο Amazon Comprehend
Με αυτόν τον τρόπο, όταν κάποιος ξεκινά μια προσαρμοσμένη εργασία κατάρτισης ταξινόμησης, τα δεδομένα εκπαίδευσης που αντλούνται από το Amazon S3 αντιγράφονται στους τόμους αποθήκευσης στα καθορισμένα υποδίκτυα VPC και κρυπτογραφούνται με τα καθορισμένα VolumeKmsKey
. Η λύση διασφαλίζει επίσης ότι τα αποτελέσματα της προπόνησης του μοντέλου είναι κρυπτογραφημένα με το καθορισμένο OutputKmsKey
. Τέλος, το ίδιο το μοντέλο Amazon Comprehend κρυπτογραφείται με το κλειδί AWS KMS που καθορίζεται από το χρήστη όταν είναι αποθηκευμένο στο VPC. Η λύση χρησιμοποιεί τρία διαφορετικά πλήκτρα για τα δεδομένα, την έξοδο και το μοντέλο, αντίστοιχα, αλλά μπορείτε να επιλέξετε να χρησιμοποιήσετε το ίδιο κλειδί και για τις τρεις εργασίες.
Επιπλέον, αυτή η νέα λειτουργικότητα σάς δίνει τη δυνατότητα να ελέγχετε τη χρήση του μοντέλου στο AWS CloudTrail παρακολουθώντας τη χρήση του κλειδιού κρυπτογράφησης μοντέλου.
Κρυπτογράφηση με πολιτικές IAM
Η ακόλουθη πολιτική διασφαλίζει ότι οι χρήστες πρέπει να καθορίσουν υποδίκτυα VPC και ομάδες ασφαλείας για ρυθμίσεις VPC και κλειδιά AWS KMS τόσο για τον ταξινομητή όσο και για την έξοδο:
Για παράδειγμα, στον ακόλουθο κώδικα, ο Χρήστης 1 παρέχει τόσο τις ρυθμίσεις VPC όσο και τα κλειδιά κρυπτογράφησης και μπορεί να ολοκληρώσει με επιτυχία τη λειτουργία:
Ο χρήστης 2, από την άλλη πλευρά, δεν παρέχει καμία από αυτές τις απαιτούμενες ρυθμίσεις και δεν επιτρέπεται να ολοκληρώσει τη λειτουργία:
Στα προηγούμενα παραδείγματα κώδικα, αρκεί να έχουν ρυθμιστεί οι ρυθμίσεις VPC και τα κλειδιά κρυπτογράφησης, μπορείτε να εκτελέσετε την προσαρμοσμένη εργασία εκπαίδευσης ταξινομητή. Αν αφήσετε τις ρυθμίσεις VPC και κρυπτογράφησης στην προεπιλεγμένη τους κατάσταση, προκύπτει εξαίρεση 403 Access Denied.
Στο επόμενο παράδειγμα, εφαρμόζουμε μια ακόμη πιο αυστηρή πολιτική, στην οποία πρέπει να ορίσουμε τις ρυθμίσεις VPC και κρυπτογράφησης ώστε να περιλαμβάνουν επίσης συγκεκριμένα υποδίκτυα, ομάδες ασφαλείας και κλειδιά KMS. Αυτή η πολιτική εφαρμόζει αυτούς τους κανόνες για όλα τα API Amazon Comprehend που ξεκινούν νέες ασύγχρονες εργασίες, δημιουργούν προσαρμοσμένους ταξινομητές και δημιουργούν προσαρμοσμένα αναγνωριστικά οντοτήτων. Δείτε τον ακόλουθο κωδικό:
Στο επόμενο παράδειγμα, δημιουργούμε πρώτα έναν προσαρμοσμένο ταξινομητή στην κονσόλα Amazon Comprehend χωρίς να καθορίσουμε την επιλογή κρυπτογράφησης. Επειδή έχουμε τις προϋποθέσεις IAM που καθορίζονται στην πολιτική, η λειτουργία απορρίπτεται.
Όταν ενεργοποιείτε την κρυπτογράφηση ταξινομητή, το Amazon Comprehend κρυπτογραφεί τα δεδομένα στον τόμο αποθήκευσης κατά την επεξεργασία της εργασίας σας. Μπορείτε είτε να χρησιμοποιήσετε ένα κλειδί διαχειριζόμενου πελάτη AWS KMS από τον λογαριασμό σας είτε από διαφορετικό λογαριασμό. Μπορείτε να καθορίσετε τις ρυθμίσεις κρυπτογράφησης για την προσαρμοσμένη εργασία ταξινόμησης όπως στο παρακάτω στιγμιότυπο οθόνης.
Η κρυπτογράφηση εξόδου επιτρέπει στο Amazon Comprehend να κρυπτογραφεί τα αποτελέσματα εξόδου από την ανάλυσή σας. Παρόμοια με την κρυπτογράφηση εργασίας του Amazon Comprehend, μπορείτε είτε να χρησιμοποιήσετε ένα κλειδί διαχειριζόμενο από τον πελάτη AWS KMS από τον λογαριασμό σας είτε από έναν άλλο λογαριασμό.
Επειδή η πολιτική μας επιβάλλει επίσης τις εργασίες που θα ξεκινήσουν με ενεργοποιημένη την πρόσβαση VPC και την ομάδα ασφαλείας, μπορείτε να καθορίσετε αυτές τις ρυθμίσεις στο Ρυθμίσεις VPC τμήμα.
Λειτουργίες API Amazon Comprehend και πλήκτρα συνθήκης IAM
Ο παρακάτω πίνακας παραθέτει τις λειτουργίες του Amazon Comprehend API και τα πλήκτρα συνθήκης IAM που υποστηρίζονται από αυτήν τη γραφή. Για περισσότερες πληροφορίες, δείτε Ενέργειες, πόροι και κλειδιά συνθηκών για το Amazon Comprehend.
Μοντέλο κρυπτογράφησης με CMK
Μαζί με την κρυπτογράφηση των εκπαιδευτικών σας δεδομένων, μπορείτε πλέον να κρυπτογραφήσετε τα προσαρμοσμένα μοντέλα σας στο Amazon Comprehend χρησιμοποιώντας ένα CMK. Σε αυτήν την ενότητα, εξετάζουμε περισσότερες λεπτομέρειες σχετικά με αυτήν τη δυνατότητα.
Προϋποθέσεις
Πρέπει να προσθέσετε μια πολιτική IAM για να επιτρέψετε σε έναν κύριο να χρησιμοποιεί ή να διαχειρίζεται CMK. Τα CMK καθορίζονται στο στοιχείο Πόρος της δήλωσης πολιτικής. Κατά τη σύνταξη των δηλώσεων πολιτικής σας, είναι ένα βέλτιστων πρακτικών να περιορίσουν τα CMK σε εκείνα που πρέπει να χρησιμοποιούν οι κύριοι, και όχι να παρέχουν στους υπεύθυνους πρόσβαση σε όλα τα CMK.
Στο ακόλουθο παράδειγμα, χρησιμοποιούμε ένα κλειδί AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) για κρυπτογράφηση ενός προσαρμοσμένου μοντέλου Amazon Comprehend.
Όταν χρησιμοποιείτε κρυπτογράφηση AWS KMS, απαιτούνται δικαιώματα kms: CreateGrant και kms: RetireGrant για κρυπτογράφηση μοντέλου.
Για παράδειγμα, η ακόλουθη δήλωση πολιτικής IAM στα δεδομέναAccessRole που παρέχεται στο Amazon Comprehend επιτρέπει στον κύριο να καλεί τις λειτουργίες δημιουργίας μόνο στα CMK που αναφέρονται στο στοιχείο Πόρος της δήλωσης πολιτικής:
Ο καθορισμός CMK με βασικό ARN, η οποία είναι η βέλτιστη πρακτική, διασφαλίζει ότι τα δικαιώματα περιορίζονται μόνο στα καθορισμένα CMK.
Ενεργοποίηση κρυπτογράφησης μοντέλου
Από αυτήν τη συγγραφή, η προσαρμοσμένη κρυπτογράφηση μοντέλου είναι διαθέσιμη μόνο μέσω του Διεπαφή γραμμής εντολών AWS (AWS CLI). Το ακόλουθο παράδειγμα δημιουργεί έναν προσαρμοσμένο ταξινομητή με κρυπτογράφηση μοντέλου:
Το επόμενο παράδειγμα εκπαιδεύει ένα αναγνωριστικό προσαρμοσμένης οντότητας με κρυπτογράφηση μοντέλου:
Τέλος, μπορείτε επίσης να δημιουργήσετε ένα τελικό σημείο για το προσαρμοσμένο μοντέλο σας με ενεργοποιημένη την κρυπτογράφηση:
Συμπέρασμα
Τώρα μπορείτε να επιβάλλετε ρυθμίσεις ασφαλείας, όπως ενεργοποίηση κρυπτογράφησης και ρυθμίσεων VPC για τις εργασίες Amazon Comprehend, χρησιμοποιώντας πλήκτρα συνθήκης IAM. Τα κλειδιά συνθήκης IAM είναι διαθέσιμα σε όλα Περιοχές AWS όπου είναι διαθέσιμο το Amazon Comprehend. Μπορείτε επίσης να κρυπτογραφήσετε τα προσαρμοσμένα μοντέλα Amazon Comprehend χρησιμοποιώντας κλειδιά που διαχειρίζονται οι πελάτες.
Για να μάθετε περισσότερα σχετικά με τα νέα κλειδιά συνθηκών και να δείτε παραδείγματα πολιτικής, δείτε Χρήση πλήκτρων συνθήκης IAM για ρυθμίσεις VPC και Πόροι και Προϋποθέσεις για το API Comprehend API. Για να μάθετε περισσότερα σχετικά με τη χρήση των πλήκτρων συνθήκης IAM, δείτε Στοιχεία πολιτικής IAM JSON: Συνθήκη.
Σχετικά με τους Συγγραφείς
Σαμ Παλάνι είναι αρχιτέκτονας ειδικών λύσεων AI / ML στο AWS. Του αρέσει να συνεργάζεται με πελάτες για να τους βοηθήσει να δημιουργήσουν λύσεις μηχανικής μάθησης σε κλίμακα. Όταν δεν βοηθά τους πελάτες, του αρέσει να διαβάζει και να εξερευνά την ύπαιθρο.
Shanthan Kesharaju είναι ανώτερος αρχιτέκτονας στην ομάδα του AWS ProServe. Βοηθά τους πελάτες μας με στρατηγική AI / ML, αρχιτεκτονική και ανάπτυξη προϊόντων με σκοπό. Ο Shanthan έχει πτυχίο MBA στο Marketing από το Πανεπιστήμιο Duke και MS στα Συστήματα Πληροφορικής Διαχείρισης από το Πανεπιστήμιο της Οκλαχόμα.
Πηγή: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- πρόσβαση
- Λογαριασμός
- Ενέργειες
- Amazon
- Κατανοήστε το Amazon
- ανάλυση
- api
- APIs
- αρχιτεκτονική
- έλεγχος
- AWS
- ΚΑΛΎΤΕΡΟΣ
- κλήση
- ταξινόμηση
- κωδικός
- δημιουργία
- Πελάτες
- ημερομηνία
- Αποκρυπτογράφηση
- λεπτομέρεια
- έγγραφα
- Δούκας
- κρυπτογράφηση
- Τελικό σημείο
- Χαρακτηριστικό
- Τελικά
- Όνομα
- Group
- HTTPS
- IAM
- Ταυτότητα
- πληροφορίες
- Δουλειά
- Θέσεις εργασίας
- Κλειδί
- πλήκτρα
- ΜΑΘΑΊΝΩ
- μάθηση
- Περιωρισμένος
- γραμμή
- Λίστες
- τοποθεσία
- Μακριά
- μάθηση μηχανής
- διαχείριση
- Μάρκετινγκ
- μοντέλο
- MS
- Οκλαχόμα
- λειτουργίες
- Επιλογή
- ΑΛΛΑ
- ύπαιθρο
- Πολιτικές
- πολιτική
- ιδιωτικός
- Προϊόντα
- Ανάγνωση
- πόρος
- Υποστηρικτικό υλικό
- Αποτελέσματα
- κανόνες
- τρέξιμο
- Κλίμακα
- ασφάλεια
- σειρά
- Απλούς
- Λύσεις
- Εκκίνηση
- Κατάσταση
- Δήλωση
- χώρος στο δίσκο
- Στρατηγική
- υποστηριζόνται!
- Υποστηρίζει
- συστήματα
- Παρακολούθηση
- Εκπαίδευση
- τρένα
- πανεπιστήμιο
- Χρήστες
- Δες
- Πραγματικός
- τόμος
- εντός
- γραφή