Vous pouvez maintenant contrôler le Cloud privé virtuel Amazon (Amazon VPC) et les paramètres de chiffrement pour votre Amazon comprendre API utilisant Gestion des identités et des accès AWS (IAM) et chiffrez vos modèles personnalisés Amazon Comprehend à l'aide de clés gérées par le client (CMK) via Service de gestion des clés AWS (AWS KMS). Les clés de condition IAM vous permettent d'affiner davantage les conditions dans lesquelles une déclaration de stratégie IAM s'applique. Vous pouvez utiliser les nouvelles clés de condition dans les stratégies IAM lors de l'octroi d'autorisations pour créer des travaux asynchrones et la création de travaux de classification personnalisés ou de formation d'entités personnalisées.
Amazon Comprehend prend désormais en charge cinq nouvelles clés de condition:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Les clés vous permettent de vous assurer que les utilisateurs ne peuvent créer que des tâches répondant à l'état de sécurité de votre organisation, telles que des tâches connectées aux sous-réseaux VPC et groupes de sécurité autorisés. Vous pouvez également utiliser ces clés pour appliquer les paramètres de chiffrement pour les volumes de stockage où les données sont extraites pour le calcul et sur le Service de stockage simple Amazon (Amazon S3) dans lequel la sortie de l'opération est stockée. Si les utilisateurs essaient d'utiliser une API avec des paramètres VPC ou des paramètres de chiffrement qui ne sont pas autorisés, Amazon Comprehend rejette l'opération de manière synchrone avec une exception 403 Accès refusé.
Vue d'ensemble de la solution
Le schéma suivant illustre l'architecture de notre solution.
Nous voulons appliquer une politique pour faire ce qui suit:
- Assurez-vous que toutes les tâches de formation à la classification personnalisée sont spécifiées avec les paramètres VPC
- Avoir le chiffrement activé pour la tâche d'entraînement du classificateur, la sortie du classificateur et le modèle Amazon Comprehend
De cette façon, lorsqu'une personne démarre une tâche d'entraînement à la classification personnalisée, les données d'entraînement extraites d'Amazon S3 sont copiées vers les volumes de stockage de vos sous-réseaux VPC spécifiés et sont chiffrées avec VolumeKmsKey
. La solution s'assure également que les résultats de la formation du modèle sont chiffrés avec le OutputKmsKey
. Enfin, le modèle Amazon Comprehend lui-même est chiffré avec la clé AWS KMS spécifiée par l'utilisateur lorsqu'il est stocké dans le VPC. La solution utilise respectivement trois clés différentes pour les données, la sortie et le modèle, mais vous pouvez choisir d'utiliser la même clé pour les trois tâches.
De plus, cette nouvelle fonctionnalité vous permet d'auditer l'utilisation du modèle dans AWS CloudTrail en suivant l'utilisation de la clé de chiffrement du modèle.
Chiffrement avec les stratégies IAM
La stratégie suivante garantit que les utilisateurs doivent spécifier des sous-réseaux VPC et des groupes de sécurité pour les paramètres VPC et les clés AWS KMS pour le classificateur et la sortie:
Par exemple, dans le code suivant, l'utilisateur 1 fournit à la fois les paramètres VPC et les clés de chiffrement, et peut terminer l'opération avec succès:
L'utilisateur 2, en revanche, ne fournit aucun de ces paramètres requis et n'est pas autorisé à terminer l'opération:
Dans les exemples de code précédents, tant que les paramètres VPC et les clés de chiffrement sont définis, vous pouvez exécuter la tâche d'entraînement du classificateur personnalisé. Laisser le VPC et les paramètres de chiffrement dans leur état par défaut entraîne une exception 403 Accès refusé.
Dans l'exemple suivant, nous appliquons une politique encore plus stricte, dans laquelle nous devons définir le VPC et les paramètres de chiffrement pour inclure également des sous-réseaux, des groupes de sécurité et des clés KMS spécifiques. Cette stratégie applique ces règles à toutes les API Amazon Comprehend qui démarrent de nouvelles tâches asynchrones, créent des classificateurs personnalisés et créent des outils de reconnaissance d'entités personnalisés. Voir le code suivant:
Dans l'exemple suivant, nous créons d'abord un classificateur personnalisé sur la console Amazon Comprehend sans spécifier l'option de chiffrement. Étant donné que les conditions IAM sont spécifiées dans la stratégie, l'opération est refusée.
Lorsque vous activez le chiffrement du classificateur, Amazon Comprehend chiffre les données dans le volume de stockage pendant le traitement de votre tâche. Vous pouvez utiliser une clé gérée par le client AWS KMS à partir de votre compte ou d'un autre compte. Vous pouvez spécifier les paramètres de chiffrement pour le travail de classificateur personnalisé comme dans la capture d'écran suivante.
Le chiffrement de sortie permet à Amazon Comprehend de chiffrer les résultats de sortie de votre analyse. À l'instar du chiffrement de tâches Amazon Comprehend, vous pouvez utiliser une clé gérée par le client AWS KMS à partir de votre compte ou d'un autre compte.
Étant donné que notre politique applique également les tâches à lancer avec l'accès au VPC et au groupe de sécurité activé, vous pouvez spécifier ces paramètres dans Paramètres VPC .
Opérations d'API Amazon Comprehend et clés de condition IAM
Le tableau suivant répertorie les opérations d'API Amazon Comprehend et les clés de condition IAM prises en charge au moment de la rédaction de cet article. Pour plus d'informations, consultez Actions, ressources et clés de condition pour Amazon Comprehend.
Chiffrement du modèle avec une clé CMK
En plus de crypter vos données d'entraînement, vous pouvez désormais crypter vos modèles personnalisés dans Amazon Comprehend à l'aide d'une clé CMK. Dans cette section, nous allons plus en détail sur cette fonctionnalité.
Pré-requis
Vous devez ajouter une stratégie IAM pour permettre à un principal d'utiliser ou de gérer les clés CMK. Les clés CMK sont spécifiées dans l'élément Resource de la déclaration de stratégie. Lors de la rédaction de vos déclarations de politique, c'est meilleures pratiques pour limiter les clés CMK à celles que les principaux doivent utiliser, plutôt que de leur donner accès à toutes les clés CMK.
Dans l'exemple suivant, nous utilisons une clé AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) pour crypter un modèle personnalisé Amazon Comprehend.
Lorsque vous utilisez le chiffrement AWS KMS, les autorisations kms: CreateGrant et kms: RetireGrant sont requises pour le chiffrement du modèle.
Par exemple, la déclaration de stratégie IAM suivante dans votre dataAccessRole fournie à Amazon Comprehend permet au mandant d'appeler les opérations de création uniquement sur les clés CMK répertoriées dans l'élément Resource de la déclaration de stratégie:
La spécification des clés CMK par ARN de clé, ce qui est une bonne pratique, garantit que les autorisations sont limitées uniquement aux clés CMK spécifiées.
Activer le cryptage du modèle
Au moment d'écrire ces lignes, le chiffrement du modèle personnalisé n'est disponible que via le Interface de ligne de commande AWS (AWS CLI). L'exemple suivant crée un classificateur personnalisé avec un chiffrement de modèle:
L'exemple suivant entraîne un outil de reconnaissance d'entité personnalisé avec un chiffrement de modèle:
Enfin, vous pouvez également créer un point de terminaison pour votre modèle personnalisé avec le chiffrement activé:
Conclusion
Vous pouvez désormais appliquer des paramètres de sécurité tels que l'activation du chiffrement et des paramètres VPC pour vos tâches Amazon Comprehend à l'aide des clés de condition IAM. Les clés de condition IAM sont disponibles dans tous Régions AWS où Amazon Comprehend est disponible. Vous pouvez également chiffrer les modèles personnalisés Amazon Comprehend à l'aide de clés gérées par le client.
Pour en savoir plus sur les nouvelles clés de condition et afficher des exemples de stratégie, consultez Utilisation des clés de condition IAM pour les paramètres VPC ainsi que Ressource et conditions pour les API Amazon Comprehend. Pour en savoir plus sur l'utilisation des clés de condition IAM, consultez Éléments de stratégie IAM JSON: condition.
À propos des auteurs
Sam Palani est un architecte de solutions spécialisé AI / ML chez AWS. Il aime travailler avec les clients pour les aider à concevoir des solutions d'apprentissage automatique à grande échelle. Lorsqu'il n'aide pas les clients, il aime lire et explorer le plein air.
Shanthan Kesharaju est un architecte senior au sein de l'équipe AWS ProServe. Il aide nos clients avec la stratégie AI / ML, l'architecture et le développement de produits avec un objectif. Shanthan est titulaire d'un MBA en marketing de l'Université Duke et d'une maîtrise en systèmes d'information de gestion de l'Université d'État de l'Oklahoma.
Source : https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- accès
- Compte
- Action
- Amazon
- Amazon comprendre
- selon une analyse de l’Université de Princeton
- api
- Apis
- architecture
- audit
- AWS
- LES MEILLEURS
- Appelez-nous
- classification
- code
- La création
- Clients
- données
- Décrypter
- détail
- INSTITUTIONNELS
- Duc
- chiffrement
- Endpoint
- Fonctionnalité
- finalement
- Prénom
- Réservation de groupe
- HTTPS
- IAM
- Active
- d'information
- Emploi
- Emplois
- ACTIVITES
- clés
- APPRENTISSAGE
- apprentissage
- limité
- Gamme
- Liste
- emplacement
- Location
- machine learning
- gestion
- Stratégie
- modèle
- MS
- Oklahoma
- Opérations
- Option
- Autre
- l'extérieur
- politiques
- politique
- Privé
- Produits
- en cours
- ressource
- Ressources
- Résultats
- Courir
- Escaliers intérieurs
- sécurité
- set
- étapes
- Solutions
- Commencer
- Région
- Déclaration
- storage
- de Marketing
- Appareils
- Les soutiens
- Système
- Tracking
- Formation
- les trains
- université
- utilisateurs
- Voir
- Salle de conférence virtuelle
- le volume
- dans les
- écriture