Nyt voit hallita Amazonin virtuaalinen yksityinen pilvi (Amazon VPC) ja salauksen asetukset Amazonin käsitys Sovellusliittymät AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) -avaimet ja salaa Amazon Comprehend -mallisi käyttämällä asiakkaan hallitsemia avaimia (CMK) AWS-avainhallintapalvelu (AWS KMS). IAM-ehtonäppäinten avulla voit tarkentaa ehtoja, joissa IAM-käytäntölausunto on voimassa. Voit käyttää IAM-käytäntöjen uusia ehtoavaimia, kun annat käyttöoikeuksia asynkronisten työpaikkojen luomiseen ja muokatun luokituksen tai mukautetun entiteetin koulutustöiden luomiseen.
Amazon Comprehend tukee nyt viittä uutta ehtoavainta:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Avainten avulla voit varmistaa, että käyttäjät voivat luoda vain työpaikkoja, jotka vastaavat organisaatiosi turvallisuusasentoa, kuten töitä, jotka on kytketty sallittuihin VPC-aliverkkoihin ja suojausryhmiin. Voit käyttää näitä avaimia myös pakottaaksesi salausasetukset tallennusvälineille, joissa tiedot vedetään alas laskemista varten, ja Amazonin yksinkertainen tallennuspalvelu (Amazon S3) -säiliö, johon toiminnon tulos tallennetaan. Jos käyttäjät yrittävät käyttää sovellusliittymää VPC-asetusten tai salausparametrien kanssa, jotka eivät ole sallittuja, Amazon Comprehend hylkää toiminnon synkronisesti 403 Access Denied -poikkeuksella.
Ratkaisun yleiskatsaus
Seuraava kaavio kuvaa ratkaisumme arkkitehtuuria.
Haluamme noudattaa käytäntöä, jolla tehdään seuraavat toimet:
- Varmista, että kaikki mukautetun luokittelun harjoittelutyöt on määritetty VPC-asetuksilla
- Ota salaus käyttöön luokittelijan koulutustyössä, luokittelulähdössä ja Amazon Comprehend -mallissa
Tällä tavalla, kun joku aloittaa mukautetun luokitustyön, Amazon S3: sta vedetyt harjoitustiedot kopioidaan määritettyjen VPC-aliverkkojen tallennusvälineisiin ja salataan määritetyllä VolumeKmsKey
. Ratkaisu varmistaa myös, että mallikoulutuksen tulokset salataan määritetyllä OutputKmsKey
. Lopuksi Amazon Comprehend -malli salataan käyttäjän määrittelemällä AWS KMS -avaimella, kun se on tallennettu VPC: hen. Ratkaisu käyttää kolmea erilaista avainta tiedoille, tulostukselle ja mallille, mutta voit käyttää samaa avainta kaikkiin kolmeen tehtävään.
Tämän uuden toiminnallisuuden avulla voit myös tarkastaa mallin käytön vuonna AWS CloudTrail seuraamalla mallin salausavaimen käyttöä.
Salaus IAM-käytäntöjen avulla
Seuraava käytäntö varmistaa, että käyttäjien on määritettävä VPC-aliverkot ja suojausryhmät VPC-asetuksille ja AWS KMS -avaimet sekä luokittelijalle että ulostulolle:
Esimerkiksi seuraavassa koodissa käyttäjä 1 antaa sekä VPC-asetukset että salausavaimet ja voi suorittaa toiminnon loppuun:
Käyttäjä 2 ei toisaalta anna mitään näistä vaadituista asetuksista, eikä hän saa suorittaa toimintoa loppuun:
Edellisissä koodiesimerkkeissä, kunhan VPC-asetukset ja salausavaimet on määritetty, voit suorittaa mukautetun luokittelijan koulutustyön. VPC- ja salausasetusten jättäminen oletusasetuksiinsa johtaa 403 Access Denied -poikkeukseen.
Seuraavassa esimerkissä noudatamme vielä tiukempaa käytäntöä, jossa meidän on määritettävä VPC- ja salausasetukset sisällyttämään myös tietyt aliverkot, suojausryhmät ja KMS-avaimet. Tämä käytäntö soveltaa näitä sääntöjä kaikkiin Amazon Comprehend -sovellusliittymiin, jotka aloittavat uusia asynkronisia töitä, luovat mukautettuja luokittelijoita ja luovat mukautettuja entiteettitunnistimia. Katso seuraava koodi:
Seuraavassa esimerkissä luomme ensin mukautetun luokittelijan Amazon Comprehend -konsoliin määrittelemättä salausvaihtoehtoa. Koska meillä on käytännössä määritetyt IAM-ehdot, toiminto evätään.
Kun otat luokittelusalauksen käyttöön, Amazon Comprehend salaa tallennusvälineessä olevat tiedot työsi käsittelyn aikana. Voit joko käyttää AWS KMS -asiakkaan hallinnoimaa avainta tililtäsi tai toisella tilillä. Voit määrittää mukautetun luokittelijan työn salausasetukset seuraavassa kuvakaappauksessa.
Lähdön salaus antaa Amazon Comprehendille mahdollisuuden salata analyysisi tulos. Samoin kuin Amazon Comprehend -työsalaus, voit joko käyttää AWS KMS -asiakkaan hallitsemaa avainta tililtäsi tai muulta tililtä.
Koska käytäntömme pakottaa myös käynnistettävät työt VPC: n ja suojausryhmien käytön ollessa käytössä, voit määrittää nämä asetukset VPC-asetukset osiossa.
Amazon ymmärtää API-toiminnot ja IAM-kunnon avaimet
Seuraavassa taulukossa luetellaan Amazon Comprehend -sovellusliittymäoperaatiot ja IAM-ehtonäppäimet, joita tuetaan tämän kirjoituksen jälkeen. Katso lisätietoja Amazon Comprehendin toiminnot, resurssit ja ehtoavaimet.
Malli salaus CMK: lla
Harjoitustietojesi salaamisen lisäksi voit nyt salata mukautetut mallit Amazon Comprehendissa CMK: n avulla. Tässä osiossa käsitellään tarkemmin tätä ominaisuutta.
Edellytykset
Sinun on lisättävä IAM-käytäntö, jotta päämies voi käyttää tai hallita CMK: ita. CMK: t määritetään käytäntölausunnon Resource-elementissä. Kun kirjoitat käytäntölausuntoja, se on a parhaiden käytäntöjen rajoittaa CMK: t vain niihin, joita päämiesten on käytettävä, sen sijaan, että annettaisiin päämiehille pääsy kaikkiin CMK: iin.
Seuraavassa esimerkissä käytämme AWS KMS -avainta (1234abcd-12ab-34cd-56ef-1234567890ab
) salataksesi mukautetun Amazon Comprehend -mallin.
Kun käytät AWS KMS -salausmenetelmää, kms: CreateGrant ja kms: RetireGrant -oikeudet vaaditaan mallisalaukseen.
Esimerkiksi seuraava Amazon Comprehendille toimitettu dataAccessRole-IAM-käytäntölauseke sallii päämiehen kutsua luomistoimintoja vain käytäntölausekkeen Resurssi-elementissä luetelluille CMK: lle:
CMK: n määritteleminen avaimen ARN: n avulla, mikä on paras käytäntö, varmistaa, että käyttöoikeudet rajoitetaan vain määritettyihin CMK: iin.
Ota mallin salaus käyttöön
Tämän kirjoituksen jälkeen mukautetun mallin salaus on käytettävissä vain AWS-komentoriviliitäntä (AWS CLI). Seuraava esimerkki luo mukautetun luokittelun mallin salauksella:
Seuraava esimerkki kouluttaa mukautetun entiteetin tunnistimen mallisalauksella:
Lopuksi voit myös luoda päätepisteen mukautetulle mallillesi salauksen ollessa käytössä:
Yhteenveto
Voit nyt pakottaa suojausasetukset, kuten salauksen ja VPC-asetusten käyttöönoton Amazon Comprehend -työsi yhteydessä, käyttämällä IAM-kunnon avaimia. IAM-kunnon avaimet ovat saatavilla kaikissa AWS-alueet missä Amazon Comprehend on saatavana. Voit myös salata mukautetut Amazon Comprehend -mallit asiakkaan hallinnoimilla avaimilla.
Lisätietoja uusista ehtoavaimista ja käytäntöesimerkkejä on artikkelissa IAM-ehtonäppäinten käyttäminen VPC-asetuksissa ja Amazon Comprehend -sovellusliittymien resurssit ja ehdot. Lisätietoja IAM-ehtonäppäinten käytöstä on ohjeaiheessa IAM JSON -käytännön elementit: Ehto.
Tietoja Tekijät
Sam Palani on AWS: n AI / ML-asiantuntijaratkaisujen arkkitehti. Hän nauttii työskentelystä asiakkaiden kanssa auttaakseen heitä suunnittelemaan koneoppimisen ratkaisuja mittakaavassa. Kun hän ei auta asiakkaita, hän nauttii lukemisesta ja ulkoilusta.
Shanthan Kesharaju on vanhempi arkkitehti AWS ProServe -tiimissä. Hän auttaa asiakkaitamme tekoälyn / ML-strategian, arkkitehtuurin ja tuotteiden kehittämisessä tarkoituksella. Shanthanilla on kauppatieteiden maisteri Duke-yliopistosta ja MS johtamistietojärjestelmistä Oklahoman osavaltion yliopistosta.
Lähde: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- pääsy
- Tili
- Toiminta
- Amazon
- Amazonin käsitys
- analyysi
- api
- API
- arkkitehtuuri
- tilintarkastus
- AWS
- PARAS
- soittaa
- luokittelu
- koodi
- Luominen
- Asiakkaat
- tiedot
- Pura
- yksityiskohta
- asiakirjat
- Herttua
- salaus
- päätepiste
- Ominaisuus
- Vihdoin
- Etunimi
- Ryhmä
- HTTPS
- IAM
- Identiteetti
- tiedot
- Job
- Työpaikat
- avain
- avaimet
- OPPIA
- oppiminen
- rajallinen
- linja
- Listat
- sijainti
- Pitkät
- koneoppiminen
- johto
- Marketing
- malli
- MS
- Oklahoma
- Operations
- Vaihtoehto
- Muut
- ulkona
- politiikkaa
- politiikka
- yksityinen
- Tuotteemme
- Lukeminen
- resurssi
- Esittelymateriaalit
- tulokset
- säännöt
- ajaa
- Asteikko
- turvallisuus
- setti
- Yksinkertainen
- Ratkaisumme
- Alkaa
- Osavaltio
- Lausunto
- Levytila
- Strategia
- Tuetut
- Tukee
- järjestelmät
- Seuranta
- koulutus
- junat
- yliopisto
- Käyttäjät
- Näytä
- Virtual
- tilavuus
- sisällä
- kirjoittaminen