अब आप इसे नियंत्रित कर सकते हैं अमेज़ॅन वर्चुअल प्राइवेट क्लाउड (अमेज़ॅन वीपीसी) और आपके लिए एन्क्रिप्शन सेटिंग्स Amazon Comprehend एपीआई का उपयोग AWS पहचान और अभिगम प्रबंधन (IAM) कंडीशन कुंजियाँ, और ग्राहक प्रबंधित कुंजियों (CMK) का उपयोग करके अपने Amazon Comprehend कस्टम मॉडल को एन्क्रिप्ट करें AWS प्रमुख प्रबंधन सेवा (एडब्ल्यूएस केएमएस)। IAM शर्त कुंजियाँ आपको उन शर्तों को और परिशोधित करने में सक्षम बनाती हैं जिनके अंतर्गत IAM नीति कथन लागू होता है। एसिंक्रोनस जॉब बनाने और कस्टम वर्गीकरण या कस्टम एंटिटी ट्रेनिंग जॉब बनाने की अनुमति देते समय आप IAM नीतियों में नई कंडीशन कुंजियों का उपयोग कर सकते हैं।
अमेज़ॅन कॉम्प्रिहेंड अब पांच नई कंडीशन कुंजियों का समर्थन करता है:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
कुंजियाँ आपको यह सुनिश्चित करने की अनुमति देती हैं कि उपयोगकर्ता केवल आपके संगठन की सुरक्षा स्थिति को पूरा करने वाले कार्य बना सकते हैं, जैसे कि स्वीकृत VPC सबनेट और सुरक्षा समूहों से जुड़े कार्य। आप इन चाबियों का उपयोग स्टोरेज वॉल्यूम के लिए एन्क्रिप्शन सेटिंग्स को लागू करने के लिए भी कर सकते हैं जहां डेटा गणना के लिए नीचे खींचा जाता है और पर अमेज़न सरल भंडारण सेवा (अमेज़ॅन S3) बकेट जहां ऑपरेशन का आउटपुट स्टोर किया जाता है। यदि उपयोगकर्ता वीपीसी सेटिंग्स या एन्क्रिप्शन पैरामीटर के साथ एपीआई का उपयोग करने का प्रयास करते हैं जिनकी अनुमति नहीं है, तो अमेज़ॅन कॉम्प्रिहेंड 403 एक्सेस अस्वीकृत अपवाद के साथ सिंक्रोनस रूप से ऑपरेशन को अस्वीकार कर देता है।
समाधान अवलोकन
निम्नलिखित चित्र हमारे समाधान की वास्तुकला को दर्शाता है।
हम निम्नलिखित करने के लिए एक नीति लागू करना चाहते हैं:
- सुनिश्चित करें कि सभी कस्टम वर्गीकरण प्रशिक्षण कार्य VPC सेटिंग्स के साथ निर्दिष्ट हैं
- क्लासिफायर ट्रेनिंग जॉब, क्लासिफायर आउटपुट और अमेज़ॅन कॉम्प्रिहेंड मॉडल के लिए एन्क्रिप्शन सक्षम करें
इस तरह, जब कोई कस्टम वर्गीकरण प्रशिक्षण कार्य शुरू करता है, तो Amazon S3 से लिए गए प्रशिक्षण डेटा को आपके निर्दिष्ट VPC सबनेट में स्टोरेज वॉल्यूम में कॉपी किया जाता है और निर्दिष्ट के साथ एन्क्रिप्ट किया जाता है। VolumeKmsKey
. समाधान यह भी सुनिश्चित करता है कि मॉडल प्रशिक्षण के परिणाम निर्दिष्ट के साथ एन्क्रिप्ट किए गए हैं OutputKmsKey
. अंत में, अमेज़ॅन कॉम्प्रिहेंड मॉडल स्वयं उपयोगकर्ता द्वारा निर्दिष्ट एडब्ल्यूएस केएमएस कुंजी के साथ एन्क्रिप्ट किया गया है जब इसे वीपीसी के भीतर संग्रहीत किया जाता है। समाधान क्रमशः डेटा, आउटपुट और मॉडल के लिए तीन अलग-अलग कुंजियों का उपयोग करता है, लेकिन आप तीनों कार्यों के लिए एक ही कुंजी का उपयोग करना चुन सकते हैं।
इसके अतिरिक्त, यह नई कार्यक्षमता आपको मॉडल उपयोग का ऑडिट करने में सक्षम बनाती है AWS क्लाउडट्रिल मॉडल एन्क्रिप्शन कुंजी उपयोग को ट्रैक करके।
IAM नीतियों के साथ एन्क्रिप्शन
निम्नलिखित नीति सुनिश्चित करती है कि उपयोगकर्ताओं को वीपीसी सेटिंग्स के लिए वीपीसी सबनेट और सुरक्षा समूह और क्लासिफायरियर और आउटपुट दोनों के लिए एडब्ल्यूएस केएमएस कुंजी निर्दिष्ट करना होगा:
उदाहरण के लिए, निम्नलिखित कोड में, उपयोगकर्ता 1 वीपीसी सेटिंग्स और एन्क्रिप्शन कुंजी दोनों प्रदान करता है, और सफलतापूर्वक ऑपरेशन पूरा कर सकता है:
दूसरी ओर, उपयोगकर्ता 2 इनमें से कोई भी आवश्यक सेटिंग प्रदान नहीं करता है और उसे ऑपरेशन पूरा करने की अनुमति नहीं है:
पिछले कोड उदाहरणों में, जब तक वीपीसी सेटिंग्स और एन्क्रिप्शन कुंजी सेट की जाती हैं, तब तक आप कस्टम क्लासिफायरियर प्रशिक्षण कार्य चला सकते हैं। वीपीसी और एन्क्रिप्शन सेटिंग्स को उनकी डिफ़ॉल्ट स्थिति में छोड़ने से 403 एक्सेस अस्वीकृत अपवाद होता है।
अगले उदाहरण में, हम और भी सख्त नीति लागू करते हैं, जिसमें हमें विशिष्ट सबनेट, सुरक्षा समूह और KMS कुंजियों को शामिल करने के लिए VPC और एन्क्रिप्शन सेटिंग्स सेट करनी होती हैं। यह नीति इन नियमों को उन सभी Amazon Comprehend API पर लागू करती है जो नए एसिंक्रोनस कार्य शुरू करते हैं, कस्टम क्लासिफायर बनाते हैं, और कस्टम निकाय पहचानकर्ता बनाते हैं। निम्नलिखित कोड देखें:
अगले उदाहरण में, हम पहले एन्क्रिप्शन विकल्प निर्दिष्ट किए बिना Amazon Comprehend कंसोल पर एक कस्टम क्लासिफायरियर बनाते हैं। चूंकि हमारे पास नीति में निर्दिष्ट आईएएम शर्तें हैं, इसलिए ऑपरेशन अस्वीकार कर दिया गया है।
जब आप क्लासिफायर एन्क्रिप्शन को सक्षम करते हैं, तो Amazon Comprehend डेटा को स्टोरेज वॉल्यूम में एन्क्रिप्ट करता है, जबकि आपका काम संसाधित किया जा रहा है। आप या तो अपने खाते से AWS KMS ग्राहक प्रबंधित कुंजी का उपयोग कर सकते हैं या किसी अन्य खाते से। आप नीचे दिए गए स्क्रीनशॉट के अनुसार कस्टम क्लासिफायर जॉब के लिए एन्क्रिप्शन सेटिंग्स निर्दिष्ट कर सकते हैं।
आउटपुट एन्क्रिप्शन अमेज़ॅन कॉम्प्रिहेंड को आपके विश्लेषण से आउटपुट परिणामों को एन्क्रिप्ट करने में सक्षम बनाता है। अमेज़ॅन कॉम्प्रिहेंड जॉब एन्क्रिप्शन के समान, आप या तो अपने खाते या किसी अन्य खाते से एडब्ल्यूएस केएमएस ग्राहक प्रबंधित कुंजी का उपयोग कर सकते हैं।
चूंकि हमारी नीति वीपीसी और सुरक्षा समूह पहुंच सक्षम के साथ लॉन्च किए जाने वाले कार्यों को भी लागू करती है, आप इन सेटिंग्स को इसमें निर्दिष्ट कर सकते हैं वीपीसी सेटिंग्स अनुभाग।
अमेज़ॅन कॉम्प्रिहेंड एपीआई ऑपरेशंस और आईएएम कंडीशन कीज
निम्न तालिका Amazon Comprehend API संचालन और IAM कंडीशन कुंजियों को सूचीबद्ध करती है जो इस लेखन के रूप में समर्थित हैं। अधिक जानकारी के लिए देखें Amazon Comprehend के लिए कार्रवाइयां, संसाधन और कंडीशन कुंजियां.
CMK के साथ मॉडल एन्क्रिप्शन
अपने प्रशिक्षण डेटा को एन्क्रिप्ट करने के साथ-साथ, अब आप सीएमके का उपयोग करके अपने कस्टम मॉडल को अमेज़ॅन कॉम्प्रिहेंड में एन्क्रिप्ट कर सकते हैं। इस खंड में, हम इस सुविधा के बारे में अधिक विस्तार से जानेंगे।
.. पूर्वापेक्षाएँ
प्रिंसिपल को सीएमके का उपयोग या प्रबंधन करने की अनुमति देने के लिए आपको एक आईएएम नीति जोड़नी होगी। सीएमके नीति विवरण के संसाधन तत्व में निर्दिष्ट हैं। अपने पॉलिसी स्टेटमेंट लिखते समय, यह एक है सबसे अच्छा अभ्यास सीएमके को उन तक सीमित करने के लिए जो प्रिंसिपलों को सभी सीएमके तक पहुंच प्रदान करने के बजाय प्रिंसिपलों को उपयोग करने की आवश्यकता होती है।
निम्नलिखित उदाहरण में, हम AWS KMS कुंजी का उपयोग करते हैं (1234abcd-12ab-34cd-56ef-1234567890ab
) अमेज़ॅन कॉम्प्रिहेंड कस्टम मॉडल को एन्क्रिप्ट करने के लिए।
जब आप एडब्ल्यूएस केएमएस एन्क्रिप्शन का उपयोग करते हैं, तो किमी: क्रिएटग्रांट और किमी: मॉडल एन्क्रिप्शन के लिए रिटायरग्रांट अनुमतियों की आवश्यकता होती है।
उदाहरण के लिए, Amazon Comprehend को प्रदान किए गए आपके dataAccessRole में निम्नलिखित IAM पॉलिसी स्टेटमेंट प्रिंसिपल को पॉलिसी स्टेटमेंट के रिसोर्स एलिमेंट में सूचीबद्ध CMK पर ही क्रिएट ऑपरेशंस को कॉल करने की अनुमति देता है:
मुख्य एआरएन द्वारा सीएमके को निर्दिष्ट करना, जो एक सर्वोत्तम अभ्यास है, यह सुनिश्चित करता है कि अनुमतियां केवल निर्दिष्ट सीएमके तक ही सीमित हैं।
मॉडल एन्क्रिप्शन सक्षम करें
इस लेखन के समय, कस्टम मॉडल एन्क्रिप्शन केवल के माध्यम से उपलब्ध है AWS कमांड लाइन इंटरफ़ेस (एडब्ल्यूएस सीएलआई)। निम्न उदाहरण मॉडल एन्क्रिप्शन के साथ एक कस्टम क्लासिफायरियर बनाता है:
अगला उदाहरण मॉडल एन्क्रिप्शन के साथ एक कस्टम निकाय पहचानकर्ता को प्रशिक्षित करता है:
अंत में, आप एन्क्रिप्शन सक्षम के साथ अपने कस्टम मॉडल के लिए एक समापन बिंदु भी बना सकते हैं:
निष्कर्ष
अब आप IAM कंडीशन कुंजियों का उपयोग करके अपने Amazon Comprehend जॉब्स के लिए एन्क्रिप्शन और VPC सेटिंग्स को सक्षम करने जैसी सुरक्षा सेटिंग्स लागू कर सकते हैं। IAM कंडीशन कुंजियाँ सभी में उपलब्ध हैं AWS क्षेत्र जहां अमेज़न कॉम्प्रिहेंड उपलब्ध है। आप ग्राहक प्रबंधित कुंजियों का उपयोग करके Amazon Comprehend कस्टम मॉडल को एन्क्रिप्ट भी कर सकते हैं।
नई शर्त कुंजियों के बारे में अधिक जानने और नीति के उदाहरण देखने के लिए, देखें VPC सेटिंग्स के लिए IAM कंडीशन कुंजियों का उपयोग करना और अमेज़ॅन कॉम्प्रिहेंड एपीआई के लिए संसाधन और शर्तें. IAM कंडीशन कुंजियों का उपयोग करने के बारे में अधिक जानने के लिए, देखें IAM JSON नीति तत्व: शर्त.
लेखक के बारे में
सैम पलानी एडब्ल्यूएस में एआई/एमएल विशेषज्ञ समाधान आर्किटेक्ट हैं। उन्हें बड़े पैमाने पर मशीन लर्निंग सॉल्यूशंस को आर्किटेक्ट करने में मदद करने के लिए ग्राहकों के साथ काम करने में आनंद आता है। जब वह ग्राहकों की मदद नहीं कर रहा होता है, तो उसे बाहर पढ़ने और एक्सप्लोर करने में मज़ा आता है।
शांतन केशरजू AWS ProServe टीम में एक वरिष्ठ वास्तुकार है। वह एआई / एमएल रणनीति, वास्तुकला और विकासशील उत्पादों के साथ हमारे ग्राहकों की मदद करता है। शांतन ने ड्यूक विश्वविद्यालय से मार्केटिंग में एमबीए और ओक्लाहोमा स्टेट यूनिवर्सिटी से प्रबंधन सूचना प्रणाली में एमएस किया है।
स्रोत: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- पहुँच
- लेखा
- कार्य
- वीरांगना
- Amazon Comprehend
- विश्लेषण
- एपीआई
- एपीआई
- स्थापत्य
- आडिट
- एडब्ल्यूएस
- BEST
- कॉल
- वर्गीकरण
- कोड
- बनाना
- ग्राहक
- तिथि
- डिक्रिप्ट
- विस्तार
- दस्तावेजों
- ड्यूक
- एन्क्रिप्शन
- endpoint
- Feature
- अंत में
- प्रथम
- समूह
- HTTPS
- आई ए एम
- पहचान
- करें-
- काम
- नौकरियां
- कुंजी
- Instagram पर
- जानें
- सीख रहा हूँ
- सीमित
- लाइन
- सूचियाँ
- स्थान
- लंबा
- यंत्र अधिगम
- प्रबंध
- विपणन (मार्केटिंग)
- आदर्श
- MS
- ओक्लाहोमा
- संचालन
- विकल्प
- अन्य
- सड़क पर
- नीतियाँ
- नीति
- निजी
- उत्पाद
- पढ़ना
- संसाधन
- उपयुक्त संसाधन चुनें
- परिणाम
- नियम
- रन
- स्केल
- सुरक्षा
- सेट
- सरल
- समाधान ढूंढे
- प्रारंभ
- राज्य
- कथन
- भंडारण
- स्ट्रेटेजी
- समर्थित
- समर्थन करता है
- सिस्टम
- ट्रैकिंग
- प्रशिक्षण
- गाड़ियों
- विश्वविद्यालय
- उपयोगकर्ताओं
- देखें
- वास्तविक
- आयतन
- अंदर
- लिख रहे हैं