اکنون می توانید کنترل کنید ابر خصوصی مجازی آمازون (Amazon VPC) و تنظیمات رمزگذاری برای شما درک آمازون استفاده از API ها هویت AWS و مدیریت دسترسی کلیدهای شرط (IAM) و رمزگذاری مدل های سفارشی Amazon Comprehend با استفاده از کلیدهای مدیریت شده توسط مشتری (CMK) از طریق سرویس مدیریت کلید AWS (AWS KMS). کلیدهای شرط IAM شما را قادر می سازد تا شرایطی را که تحت آن بیانیه خط مشی IAM اعمال می شود، اصلاح کنید. هنگام اعطای مجوز برای ایجاد مشاغل ناهمزمان و ایجاد طبقه بندی سفارشی یا مشاغل آموزشی موجودیت سفارشی، می توانید از کلیدهای شرط جدید در خط مشی های IAM استفاده کنید.
Amazon Comprehend اکنون از پنج کلید شرط جدید پشتیبانی می کند:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
کلیدها به شما این امکان را می دهند که اطمینان حاصل کنید که کاربران فقط می توانند مشاغلی ایجاد کنند که با وضعیت امنیتی سازمان شما مطابقت دارند، مانند مشاغلی که به زیرشبکه های مجاز VPC و گروه های امنیتی متصل هستند. همچنین میتوانید از این کلیدها برای اعمال تنظیمات رمزگذاری برای حجمهای ذخیرهسازی که در آن دادهها برای محاسبات پایین کشیده میشوند، استفاده کنید. سرویس ذخیره سازی ساده آمازون سطل (Amazon S3) که در آن خروجی عملیات ذخیره می شود. اگر کاربران سعی کنند از یک API با تنظیمات VPC یا پارامترهای رمزگذاری غیرمجاز استفاده کنند، آمازون Comprehend عملیات را به طور همزمان با یک استثنا 403 Access Denied رد می کند.
بررسی اجمالی راه حل
نمودار زیر معماری راه حل ما را نشان می دهد.
ما می خواهیم سیاستی را برای انجام موارد زیر اعمال کنیم:
- مطمئن شوید که تمام کارهای آموزش طبقه بندی سفارشی با تنظیمات VPC مشخص شده اند
- رمزگذاری را برای کار آموزش طبقه بندی کننده، خروجی طبقه بندی کننده و مدل آمازون Comprehend فعال کنید
به این ترتیب، زمانی که شخصی یک کار آموزشی طبقهبندی سفارشی را شروع میکند، دادههای آموزشی که از آمازون S3 خارج میشود در حجمهای ذخیرهسازی در زیرشبکههای VPC مشخصشده شما کپی میشود و با موارد مشخص شده رمزگذاری میشود. VolumeKmsKey
. راه حل همچنین اطمینان حاصل می کند که نتایج آموزش مدل با موارد مشخص شده رمزگذاری شده است OutputKmsKey
. در نهایت، خود مدل آمازون Comprehend با کلید AWS KMS که توسط کاربر در هنگام ذخیره در VPC مشخص شده رمزگذاری میشود. این راه حل به ترتیب از سه کلید مختلف برای داده، خروجی و مدل استفاده می کند، اما می توانید انتخاب کنید که برای هر سه کار از یک کلید استفاده کنید.
علاوه بر این، این عملکرد جدید شما را قادر می سازد تا استفاده از مدل را در آن بررسی کنید AWS CloudTrail با ردیابی استفاده از کلید رمزگذاری مدل.
رمزگذاری با سیاست های IAM
خطمشی زیر مطمئن میشود که کاربران باید زیرشبکههای VPC و گروههای امنیتی را برای تنظیمات VPC و کلیدهای AWS KMS برای طبقهبندیکننده و خروجی مشخص کنند:
به عنوان مثال، در کد زیر، کاربر 1 هم تنظیمات VPC و هم کلیدهای رمزگذاری را ارائه می دهد و می تواند عملیات را با موفقیت انجام دهد:
از طرف دیگر، کاربر 2 هیچ یک از این تنظیمات مورد نیاز را ارائه نمی دهد و مجاز به تکمیل عملیات نیست:
در مثالهای کد قبلی، تا زمانی که تنظیمات VPC و کلیدهای رمزگذاری تنظیم شدهاند، میتوانید کار آموزش طبقهبندیکننده سفارشی را اجرا کنید. رها کردن VPC و تنظیمات رمزگذاری در حالت پیشفرض، منجر به یک استثنا 403 Access Denied میشود.
در مثال بعدی، ما یک سیاست حتی سختگیرانهتر را اعمال میکنیم، که در آن باید تنظیمات VPC و رمزگذاری را طوری تنظیم کنیم که شامل زیرشبکههای خاص، گروههای امنیتی و کلیدهای KMS نیز باشد. این خطمشی این قوانین را برای همه APIهای آمازون Comprehend اعمال میکند که کارهای ناهمزمان جدیدی را شروع میکنند، طبقهبندیکنندههای سفارشی ایجاد میکنند و شناسههای موجودیت سفارشی ایجاد میکنند. کد زیر را ببینید:
در مثال بعدی، ابتدا یک طبقه بندی سفارشی در کنسول آمازون Comprehend بدون تعیین گزینه رمزگذاری ایجاد می کنیم. از آنجا که شرایط IAM مشخص شده در خط مشی را داریم، عملیات رد می شود.
وقتی رمزگذاری طبقهبندیکننده را فعال میکنید، Amazon Comprehend دادهها را در حجم ذخیرهسازی رمزگذاری میکند، در حالی که کار شما در حال پردازش است. می توانید از یک کلید مدیریت شده توسط مشتری AWS KMS از حساب خود یا یک حساب دیگر استفاده کنید. می توانید تنظیمات رمزگذاری را برای کار طبقه بندی کننده سفارشی مانند تصویر زیر مشخص کنید.
رمزگذاری خروجی به Amazon Comprehend امکان می دهد تا نتایج خروجی تجزیه و تحلیل شما را رمزگذاری کند. مشابه رمزگذاری کار آمازون Comprehend، می توانید از یک کلید مدیریت شده توسط مشتری AWS KMS از حساب خود یا حساب دیگری استفاده کنید.
از آنجایی که خطمشی ما کارهایی را که باید با VPC و دسترسی گروه امنیتی فعال باشد، اجرا میکند، میتوانید این تنظیمات را در تنظیمات VPC بخش.
عملیات آمازون Comprehend API و کلیدهای شرط IAM
جدول زیر عملیات آمازون Comprehend API و کلیدهای شرط IAM را که تا زمان نوشتن این مقاله پشتیبانی میشوند، فهرست میکند. برای اطلاعات بیشتر ببین اقدامات، منابع، و کلیدهای شرط برای آمازون درک.
رمزگذاری مدل با CMK
همراه با رمزگذاری داده های آموزشی خود، اکنون می توانید مدل های سفارشی خود را در Amazon Comprehend با استفاده از CMK رمزگذاری کنید. در این بخش به جزئیات بیشتری در مورد این ویژگی می پردازیم.
پیش نیازها
باید یک خط مشی IAM اضافه کنید تا به یک مدیر اجازه استفاده یا مدیریت CMKها را بدهد. CMK ها در عنصر Resource بیانیه سیاست مشخص شده اند. هنگام نوشتن بیانیه های خط مشی خود، این یک است بهترین تمرین برای محدود کردن CMKها به آنهایی که مدیران باید از آنها استفاده کنند، به جای اینکه به مدیران اصلی دسترسی به همه CMKها بدهند.
در مثال زیر، ما از یک کلید AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) برای رمزگذاری یک مدل سفارشی Amazon Comprehend.
وقتی از رمزگذاری AWS KMS استفاده میکنید، مجوزهای kms:CreateGrant و kms:RetireGrant برای رمزگذاری مدل مورد نیاز است.
به عنوان مثال، بیانیه خط مشی IAM زیر در dataAccessRole شما ارائه شده به Amazon Comprehend به مدیر اجازه می دهد تا عملیات ایجاد را فقط در CMK های فهرست شده در عنصر Resource بیانیه سیاست فراخوانی کند:
تعیین CMK توسط کلید ARN، که بهترین روش است، اطمینان حاصل می کند که مجوزها فقط به CMK های مشخص شده محدود می شوند.
رمزگذاری مدل را فعال کنید
از زمان نوشتن این مقاله، رمزگذاری مدل سفارشی فقط از طریق در دسترس است رابط خط فرمان AWS (AWS CLI). مثال زیر یک طبقه بندی سفارشی با رمزگذاری مدل ایجاد می کند:
مثال بعدی یک شناسایی کننده موجودیت سفارشی را با رمزگذاری مدل آموزش می دهد:
در نهایت، شما همچنین می توانید یک نقطه پایانی برای مدل سفارشی خود با فعال بودن رمزگذاری ایجاد کنید:
نتیجه
اکنون می توانید تنظیمات امنیتی مانند فعال کردن رمزگذاری و تنظیمات VPC را برای کارهای Amazon Comprehend خود با استفاده از کلیدهای شرط IAM اعمال کنید. کلیدهای وضعیت IAM در همه موجود هستند مناطق AWS جایی که Amazon Comprehend در دسترس است. همچنین می توانید مدل های سفارشی Amazon Comprehend را با استفاده از کلیدهای مدیریت شده توسط مشتری رمزگذاری کنید.
برای کسب اطلاعات بیشتر در مورد کلیدهای شرط جدید و مشاهده نمونه های خط مشی، رجوع کنید استفاده از کلیدهای شرط IAM برای تنظیمات VPC و منابع و شرایط برای آمازون Comprehend API. برای کسب اطلاعات بیشتر در مورد استفاده از کلیدهای شرط IAM، مراجعه کنید عناصر خط مشی IAM JSON: شرط.
درباره نویسنده
سام پالانی یک معمار راه حل های تخصصی AI/ML در AWS است. او از کار با مشتریان برای کمک به آنها در طراحی راه حل های یادگیری ماشین در مقیاس لذت می برد. وقتی به مشتریان کمک نمی کند، از خواندن و کاوش در فضای باز لذت می برد.
شانتان کشاراجو یک معمار ارشد در تیم AWS ProServe است. او با استراتژی هوش مصنوعی/ML، معماری و توسعه محصولات با هدف به مشتریان ما کمک می کند. شانتان دارای مدرک MBA در بازاریابی از دانشگاه دوک و کارشناسی ارشد در سیستم های اطلاعات مدیریت از دانشگاه ایالتی اوکلاهاما است.
منبع: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- دسترسی
- حساب
- عمل
- آمازون
- درک آمازون
- تحلیل
- API
- رابط های برنامه کاربردی
- معماری
- حسابرسی
- AWS
- بهترین
- صدا
- طبقه بندی
- رمز
- ایجاد
- مشتریان
- داده ها
- رمزگشایی کنید
- جزئیات
- اسناد و مدارک
- دوک
- رمزگذاری
- نقطه پایانی
- ویژگی
- سرانجام
- نام خانوادگی
- گروه
- HTTPS
- IAM
- هویت
- اطلاعات
- کار
- شغل ها
- کلید
- کلید
- یاد گرفتن
- یادگیری
- محدود شده
- لاین
- لیست
- محل
- طولانی
- فراگیری ماشین
- مدیریت
- بازار یابی (Marketing)
- مدل
- MS
- اوکلاهما
- عملیات
- گزینه
- دیگر
- خارج از منزل
- سیاست
- سیاست
- خصوصی
- محصولات
- مطالعه
- منابع
- منابع
- نتایج
- قوانین
- دویدن
- مقیاس
- تیم امنیت لاتاری
- تنظیم
- ساده
- مزایا
- شروع
- دولت
- بیانیه
- ذخیره سازی
- استراتژی
- پشتیبانی
- پشتیبانی از
- سیستم های
- پیگردی
- آموزش
- قطار
- دانشگاه
- کاربران
- چشم انداز
- مجازی
- حجم
- در داخل
- نوشته