Nüüd saate kontrollida Amazoni virtuaalne privaatpilv (Amazon VPC) ja teie jaoks krüpteerimisseaded Amazoni mõistmine API-sid kasutavad AWS-i identiteedi- ja juurdepääsuhaldus (IAM) tingimusvõtmed ja krüptige oma Amazon Comprehendi kohandatud mudelid, kasutades kliendi hallatavaid võtmeid (CMK) AWS-i võtmehaldusteenus (AWS KMS). IAM-i tingimuste võtmed võimaldavad teil veelgi täpsustada tingimusi, mille korral IAM-i poliitikaavaldus kehtib. Asünkroonsete tööde loomiseks ja kohandatud klassifikatsiooni või kohandatud olemi koolitustööde loomisel lubade andmisel saate kasutada IAM-poliitika uusi tingimusvõtmeid.
Amazon Comprehend toetab nüüd viit uut tingimusklahvi:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Võtmed võimaldavad teil tagada, et kasutajad saavad luua ainult teie organisatsiooni turbeasendile vastavaid töid, näiteks töid, mis on ühendatud lubatud VPC alamvõrkude ja turberühmadega. Neid võtmeid saate kasutada ka nende salvestusmahtude krüpteerimisseadete jõustamiseks, kus andmed arvutamiseks alla tõmmatakse ja Amazoni lihtne salvestusteenus (Amazon S3) ämber, kuhu salvestatakse operatsiooni väljund. Kui kasutajad proovivad kasutada API-d VPC sätete või krüpteerimisparameetritega, mis pole lubatud, lükkab Amazon Comprehend toimingu sünkroonselt tagasi erandiga 403 Access Denied.
Lahenduse ülevaade
Järgmine diagramm illustreerib meie lahenduse arhitektuuri.
Soovime jõustada poliitikat, et teha järgmist.
- Veenduge, et kõik kohandatud klassifikatsiooni koolitustööd on määratud VPC sätetega
- Klassifikaatori koolitustöö, klassifikaatori väljundi ja Amazon Comprehendi mudeli krüpteerimine on lubatud
Sel viisil, kui keegi alustab kohandatud klassifikatsiooni koolitustööd, kopeeritakse Amazon S3-st sisse võetud koolitusandmed teie määratud VPC alamvõrkude salvestusmahtudesse ja krüpteeritakse määratud parameetritega. VolumeKmsKey
. Lahendus tagab ka mudelitreeningu tulemuste krüpteerimise täpsustatuga OutputKmsKey
. Lõpuks krüpteeritakse Amazon Comprehendi mudel ise AWS KMS-võtmega, mille kasutaja määrab, kui see VPC-sse salvestatakse. Lahendus kasutab andmete, väljundi ja mudeli jaoks vastavalt kolme erinevat võtit, kuid saate valida kõigi kolme ülesande jaoks sama klahvi kasutamise.
Lisaks võimaldab see uus funktsioon teil kontrollida mudeli kasutamist AWS CloudTrail jälgides mudeli krüpteerimisvõtme kasutamist.
Krüpteerimine IAM-i poliitikatega
Järgmine reegel tagab, et kasutajad peavad määrama VPC alamvõrgud ja turvarühmad VPC sätete jaoks ning AWS KMS-võtmed nii klassifikaatori kui ka väljundi jaoks.
Näiteks järgmises koodis annab kasutaja 1 nii VPC sätted kui ka krüpteerimisvõtmed ning saab toimingu edukalt lõpule viia:
Teisest küljest ei paku kasutaja 2 ühtegi neist nõutavatest sätetest ja tal ei ole lubatud toimingut lõpule viia:
Eelnevates koodinäidetes saate kohandatud klassifikaatori koolitustööd käitada seni, kuni VPC sätted ja krüpteerimisvõtmed on seadistatud. VPC ja krüpteerimisseadete vaikeolekusse jätmine toob kaasa erandi 403 juurdepääs keelatud.
Järgmises näites rakendame veelgi rangemat poliitikat, mille kohaselt peame määrama VPC ja krüptimise seaded, et need hõlmaksid ka konkreetseid alamvõrke, turvarühmi ja KMS-i võtmeid. See reegel rakendab neid reegleid kõigi Amazon Comprehend API-de jaoks, mis käivitavad uusi asünkroonseid töid, loovad kohandatud klassifikaatoreid ja kohandatud olemituvastajaid. Vaadake järgmist koodi:
Järgmises näites loome esmalt Amazon Comprehendi konsoolis kohandatud klassifikaatori ilma krüpteerimisvalikut määramata. Kuna meil on poliitikas määratud IAM-i tingimused, on toiming keelatud.
Kui lubate klassifikaatori krüptimise, krüpteerib Amazon Comprehend teie töö töötlemise ajal salvestusmahus olevad andmed. Saate kasutada oma kontolt või mõnelt muult kontolt pärinevat AWS KMS-i kliendi hallatavat võtit. Saate määrata kohandatud klassifikaatori töö krüptimise sätted nagu järgmisel ekraanipildil.
Väljundi krüptimine võimaldab Amazon Comprehendil teie analüüsi väljundtulemusi krüptida. Sarnaselt Amazon Comprehendi töö krüptimisele saate kasutada oma kontolt või mõnelt teiselt kontolt pärinevat AWS KMS-i kliendi hallatavat võtit.
Kuna meie eeskirjad jõustavad ka VPC ja turvagrupi juurdepääsuga lubatud tööde käivitamist, saate need seaded määrata VPC seaded sektsiooni.
Amazon Comprehend API toimingud ja IAM-i tingimuste võtmed
Järgmises tabelis on loetletud Amazon Comprehend API toimingud ja IAM-i tingimusvõtmed, mida selle kirjutamise seisuga toetatakse. Lisateabe saamiseks vt Amazon Comprehendi toimingud, ressursid ja tingimuste võtmed.
Mudeli krüpteerimine CMK-ga
Lisaks treeningandmete krüptimisele saate nüüd ka oma kohandatud mudeleid Amazon Comprehendis CMK abil krüptida. Selles jaotises käsitleme seda funktsiooni üksikasjalikumalt.
Eeldused
Peate lisama IAM-poliitika, et lubada printsipaalil kasutada või hallata CMK-sid. CMK-d on täpsustatud poliitikaavalduse elemendis Ressurs. Kui kirjutate oma poliitikaavaldusi, on see a parimate tavade piirata CMK-sid nendega, mida käsundiandjad peavad kasutama, selle asemel, et anda käsundiandjatele juurdepääs kõigile CMK-dele.
Järgmises näites kasutame AWS KMS-võtit (1234abcd-12ab-34cd-56ef-1234567890ab
) Amazon Comprehendi kohandatud mudeli krüpteerimiseks.
Kui kasutate AWS KMS-krüptimist, on mudeli krüptimiseks vajalikud kms:CreateGrant ja kms:RetireGrant load.
Näiteks järgmine IAM-i poliitikaavaldus teie dataAccessRole'is, mis on esitatud Amazon Comprehendile, võimaldab printsipaalil kutsuda loomistoiminguid ainult nende CMK-de puhul, mis on loetletud poliitikaavalduse elemendis Ressurs.
CMK-de määramine võtme ARN-i järgi, mis on parim tava, tagab, et õigused on piiratud ainult määratud CMK-dega.
Luba mudeli krüpteerimine
Selle kirjutamise seisuga on kohandatud mudeli krüptimine saadaval ainult rakenduse kaudu AWS-i käsurea liides (AWS CLI). Järgmine näide loob kohandatud klassifikaatori mudeli krüptimisega:
Järgmine näide õpetab kohandatud olemi tuvastajat mudeli krüptimisega:
Lõpuks saate oma kohandatud mudelile luua ka lõpp-punkti, kus krüptimine on lubatud.
Järeldus
Nüüd saate IAM-i tingimusvõtmete abil jõustada turvasätteid, nagu krüptimise ja VPC-sätete lubamine oma Amazon Comprehendi töödele. IAM-i tingimuste võtmed on saadaval kõigis AWS-i piirkonnad kus Amazon Comprehend on saadaval. Samuti saate Amazon Comprehendi kohandatud mudeleid krüptida kliendi hallatavate võtmete abil.
Uute tingimusvõtmete kohta lisateabe saamiseks ja poliitikanäidete vaatamiseks vt IAM-i tingimusklahvide kasutamine VPC sätete jaoks ja Amazon Comprehend API-de ressurss ja tingimused. IAM-i tingimusvõtmete kasutamise kohta lisateabe saamiseks vt IAM JSON-i poliitikaelemendid: tingimus.
Autoritest
Sam Palani on AWS-i AI/ML-i spetsialistilahenduste arhitekt. Talle meeldib teha koostööd klientidega, et aidata neil ulatuslikke masinõppelahendusi välja töötada. Kui kliente ei aita, meeldib talle lugeda ja õues uudistada.
Shanthan Kesharaju on AWS ProServe meeskonna vanemarhitekt. Ta aitab meie kliente AI/ML strateegia, arhitektuuri ja eesmärgiga toodete arendamisel. Shanthanil on Duke'i ülikoolist turunduse magistrikraad ja Oklahoma osariigi ülikoolist juhtimisinfosüsteemide magistrikraad.
Allikas: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- juurdepääs
- konto
- tegevus
- Amazon
- Amazoni mõistmine
- analüüs
- API
- API-liidesed
- arhitektuur
- audit
- AWS
- BEST
- helistama
- klassifikatsioon
- kood
- loomine
- Kliendid
- andmed
- Avaldage lahti
- detail
- dokumendid
- Hertsog
- krüpteerimist
- Lõpp-punkt
- tunnusjoon
- Lõpuks
- esimene
- Grupp
- HTTPS
- IAM
- Identity
- info
- töö
- Tööturg
- Võti
- võtmed
- Õppida
- õppimine
- piiratud
- joon
- Nimekirjad
- liising
- Pikk
- masinõpe
- juhtimine
- Turundus
- mudel
- MS
- Oklahoma
- Operations
- valik
- Muu
- väljas
- Poliitika
- poliitika
- era-
- Toodet
- Lugemine
- ressurss
- Vahendid
- Tulemused
- eeskirjade
- jooks
- Skaala
- turvalisus
- komplekt
- lihtne
- Lahendused
- algus
- riik
- väljavõte
- ladustamine
- Strateegia
- Toetatud
- Toetab
- süsteemid
- Jälgimine
- koolitus
- rongid
- Ülikool
- Kasutajad
- vaade
- virtuaalne
- maht
- jooksul
- kirjutamine