Ahora puede controlar el Nube privada virtual de Amazon (Amazon VPC) y la configuración de cifrado para su Amazon Comprehend API que utilizan Gestión de identidades y accesos de AWS (IAM) condiciona las claves y cifra sus modelos personalizados de Amazon Comprehend utilizando claves administradas por el cliente (CMK) a través de Servicio de administración de claves de AWS (AWS KMS). Las claves de condición de IAM le permiten refinar aún más las condiciones bajo las cuales se aplica una declaración de política de IAM. Puede usar las nuevas claves de condición en las políticas de IAM al otorgar permisos para crear trabajos asincrónicos y crear clasificaciones personalizadas o trabajos de entrenamiento de entidades personalizados.
Amazon Comprehend ahora admite cinco claves de condición nuevas:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Las claves le permiten asegurarse de que los usuarios solo puedan crear trabajos que cumplan con la postura de seguridad de su organización, como trabajos que estén conectados a las subredes y grupos de seguridad de VPC permitidos. También puede utilizar estas claves para aplicar la configuración de cifrado para los volúmenes de almacenamiento donde los datos se extraen para el cálculo y en el Servicio de almacenamiento simple de Amazon (Amazon S3) en el que se almacena el resultado de la operación. Si los usuarios intentan utilizar una API con una configuración de VPC o parámetros de cifrado que no están permitidos, Amazon Comprehend rechaza la operación de forma sincrónica con una excepción 403 de acceso denegado.
Resumen de la solución
El siguiente diagrama ilustra la arquitectura de nuestra solución.
Queremos hacer cumplir una política para hacer lo siguiente:
- Asegúrese de que todos los trabajos de entrenamiento de clasificación personalizados se especifiquen con la configuración de VPC
- Tener habilitado el cifrado para el trabajo de entrenamiento del clasificador, la salida del clasificador y el modelo de Amazon Comprehend
De esta manera, cuando alguien inicia un trabajo de entrenamiento de clasificación personalizado, los datos de entrenamiento que se extraen de Amazon S3 se copian en los volúmenes de almacenamiento en las subredes de VPC especificadas y se cifran con el valor especificado. VolumeKmsKey
. La solución también se asegura de que los resultados del entrenamiento del modelo estén encriptados con la especificación OutputKmsKey
. Por último, el modelo de Amazon Comprehend en sí se cifra con la clave de AWS KMS especificada por el usuario cuando se almacena dentro de la VPC. La solución utiliza tres claves diferentes para los datos, la salida y el modelo, respectivamente, pero puede optar por utilizar la misma clave para las tres tareas.
Además, esta nueva funcionalidad le permite auditar el uso del modelo en Seguimiento de la nube de AWS mediante el seguimiento del uso de la clave de cifrado del modelo.
Cifrado con políticas de IAM
La siguiente política asegura que los usuarios deben especificar subredes de VPC y grupos de seguridad para la configuración de VPC y claves de AWS KMS tanto para el clasificador como para la salida:
Por ejemplo, en el siguiente código, el usuario 1 proporciona tanto la configuración de la VPC como las claves de cifrado, y puede completar correctamente la operación:
El usuario 2, por otro lado, no proporciona ninguna de estas configuraciones requeridas y no tiene permitido completar la operación:
En los ejemplos de código anteriores, siempre que se establezcan la configuración de VPC y las claves de encriptación, puede ejecutar el trabajo de entrenamiento del clasificador personalizado. Dejar la VPC y la configuración de cifrado en su estado predeterminado da como resultado una excepción 403 Acceso denegado.
En el siguiente ejemplo, aplicamos una política aún más estricta, en la que tenemos que configurar la VPC y la configuración de cifrado para incluir también subredes específicas, grupos de seguridad y claves KMS. Esta política aplica estas reglas para todas las API de Amazon Comprehend que inician nuevos trabajos asincrónicos, crean clasificadores personalizados y crean reconocedores de entidades personalizados. Vea el siguiente código:
En el siguiente ejemplo, primero creamos un clasificador personalizado en la consola de Amazon Comprehend sin especificar la opción de cifrado. Debido a que tenemos las condiciones de IAM especificadas en la política, se deniega la operación.
Cuando habilita el cifrado de clasificador, Amazon Comprehend cifra los datos en el volumen de almacenamiento mientras se procesa su trabajo. Puede utilizar una clave administrada por el cliente de AWS KMS desde su cuenta o una cuenta diferente. Puede especificar la configuración de cifrado para el trabajo del clasificador personalizado como se muestra en la siguiente captura de pantalla.
El cifrado de salida permite a Amazon Comprehend cifrar los resultados de salida de su análisis. Al igual que en el cifrado de trabajos de Amazon Comprehend, puede utilizar una clave administrada por el cliente de AWS KMS desde su cuenta o desde otra cuenta.
Debido a que nuestra política también exige que los trabajos se lancen con VPC y el acceso al grupo de seguridad habilitado, puede especificar esta configuración en el Configuración de VPC .
Operaciones de la API de Amazon Comprehend y claves de condición de IAM
La siguiente tabla enumera las operaciones de la API de Amazon Comprehend y las claves de condición de IAM que se admiten en el momento de redactar este documento. Para más información, ver Acciones, recursos y claves de condición para Amazon Comprehend.
Modele el cifrado con una CMK
Además de cifrar sus datos de entrenamiento, ahora puede cifrar sus modelos personalizados en Amazon Comprehend utilizando una CMK. En esta sección, entramos en más detalles sobre esta función.
Requisitos previos
Debe agregar una política de IAM para permitir que un principal use o administre las CMK. Las CMK se especifican en el elemento Resource de la declaración de política. Al escribir sus declaraciones de póliza, es un las mejores prácticas para limitar las CMK a aquellas que los principales necesitan usar, en lugar de darles acceso a todas las CMK.
En el siguiente ejemplo, usamos una clave de AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) para cifrar un modelo personalizado de Amazon Comprehend.
Cuando utiliza el cifrado de AWS KMS, los permisos kms: CreateGrant y kms: RetireGrant son necesarios para el cifrado del modelo.
Por ejemplo, la siguiente declaración de política de IAM en su dataAccessRole proporcionada a Amazon Comprehend permite al principal llamar a las operaciones de creación solo en las CMK enumeradas en el elemento Resource de la declaración de política:
La especificación de las CMK por ARN clave, que es una práctica recomendada, asegura que los permisos estén limitados solo a las CMK especificadas.
Habilitar el cifrado del modelo
En el momento de redactar este documento, el cifrado de modelo personalizado solo está disponible a través del Interfaz de línea de comandos de AWS (AWS CLI). El siguiente ejemplo crea un clasificador personalizado con cifrado de modelo:
El siguiente ejemplo entrena un reconocedor de entidades personalizado con cifrado de modelo:
Finalmente, también puede crear un punto final para su modelo personalizado con el cifrado habilitado:
Conclusión
Ahora puede aplicar configuraciones de seguridad como habilitar el cifrado y la configuración de VPC para sus trabajos de Amazon Comprehend utilizando claves de condición de IAM. Las claves de condición de IAM están disponibles en todos Regiones de AWS donde Amazon Comprehend está disponible. También puede cifrar los modelos personalizados de Amazon Comprehend mediante claves administradas por el cliente.
Para obtener más información sobre las nuevas claves de condición y ver ejemplos de políticas, consulte Usar claves de condición de IAM para la configuración de VPC y Recurso y condiciones para las API de Amazon Comprehend. Para obtener más información sobre el uso de claves de condición de IAM, consulte Elementos de la política JSON de IAM: Condición.
Acerca de los autores
Sam Palani es un arquitecto de soluciones especializado en IA / ML en AWS. Le gusta trabajar con los clientes para ayudarlos a diseñar soluciones de aprendizaje automático a escala. Cuando no está ayudando a los clientes, le gusta leer y explorar el aire libre.
shanthan kesharaju es un arquitecto sénior en el equipo de AWS ProServe. Ayuda a nuestros clientes con la estrategia, la arquitectura y el desarrollo de productos de IA / ML con un propósito. Shanthan tiene una maestría en marketing de la Universidad de Duke y una maestría en sistemas de información gerencial de la Universidad Estatal de Oklahoma.
Fuente: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- de la máquina
- Mi Cuenta
- la columna Acción
- Amazon
- Amazon Comprehend
- análisis
- abejas
- API
- arquitectura
- auditoría
- AWS
- MEJOR
- llamar al
- clasificación
- código
- Creamos
- Clientes
- datos
- Descifrar
- detalle
- documentos
- Duque
- cifrado
- Punto final
- Feature
- Finalmente
- Nombre
- Grupo procesos
- HTTPS
- AMI
- Identidad
- información
- Trabajos
- Empleo
- Clave
- claves
- APRENDE:
- aprendizaje
- Limitada
- línea
- Listas
- Ubicación
- Largo
- máquina de aprendizaje
- Management
- Marketing
- modelo
- MS
- Oklahoma
- Operaciones
- Optión
- Otro
- al exterior
- políticas
- política
- privada
- Productos
- Reading
- Recurso
- Recursos
- Resultados
- reglas
- Ejecutar
- Escala
- EN LINEA
- set
- sencillos
- Soluciones
- comienzo
- Estado
- Posicionamiento
- STORAGE
- Estrategia
- Soportado
- soportes
- Todas las funciones a su disposición
- Seguimiento
- Formación
- trenes
- universidad
- usuarios
- Ver
- Virtual
- volumen
- dentro de
- la escritura