Most már irányíthatja a Amazon Virtual Private Cloud (Amazon VPC) és titkosítási beállítások az Ön számára Amazon Comprehend API-kat használ AWS Identity and Access Management (IAM) feltételkulcsokat, és titkosítsa Amazon Comprehend egyedi modelljeit ügyfél által kezelt kulcsokkal (CMK) keresztül AWS kulcskezelési szolgáltatás (AWS KMS). Az IAM-feltételkulcsok segítségével tovább finomíthatja azokat a feltételeket, amelyek mellett az IAM-irányelv-nyilatkozat vonatkozik. Használhatja az új feltételkulcsokat az IAM-házirendekben, amikor engedélyeket ad aszinkron jobok létrehozására, valamint egyéni besorolási vagy egyéni entitásoktatási feladatokat.
Az Amazon Comprehend mostantól öt új feltételkulcsot támogat:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
A kulcsok lehetővé teszik annak biztosítását, hogy a felhasználók csak olyan feladatokat hozzanak létre, amelyek megfelelnek a szervezet biztonsági helyzetének, például olyan feladatokat, amelyek kapcsolódnak az engedélyezett VPC-alhálózatokhoz és biztonsági csoportokhoz. Ezekkel a kulcsokkal kényszerítheti a titkosítási beállításokat azokra a tárolókötetekre vonatkozóan, amelyekre az adatokat le kell húzni a számításhoz és a Amazon egyszerű tárolási szolgáltatás (Amazon S3) vödör, ahol a művelet kimenete tárolódik. Ha a felhasználók nem engedélyezett VPC-beállításokkal vagy titkosítási paraméterekkel próbálnak meg API-t használni, az Amazon Comprehend szinkronban elutasítja a műveletet a 403-as hozzáférés megtagadva kivétellel.
Megoldás áttekintése
Az alábbi ábra szemlélteti megoldásunk felépítését.
A következőkre vonatkozó irányelvet szeretnénk érvényesíteni:
- Győződjön meg arról, hogy minden egyéni osztályozási képzési feladat meg van adva a VPC-beállításokkal
- Engedélyezze a titkosítást az osztályozó képzési munkához, az osztályozó kimenetéhez és az Amazon Comprehend modellhez
Ily módon, amikor valaki egyéni besorolási betanítási feladatot kezd, az Amazon S3-ból begyűjtött betanítási adatok átmásolódnak a megadott VPC-alhálózatok tárolóköteteire, és titkosítva lesznek a megadottal. VolumeKmsKey
. A megoldás gondoskodik arról is, hogy a modelltanítás eredményei a megadottal titkosítva legyenek OutputKmsKey
. Végül maga az Amazon Comprehend modell is titkosítva van a felhasználó által megadott AWS KMS kulccsal, amikor azt a VPC-n belül tárolják. A megoldás három különböző kulcsot használ az adatokhoz, a kimenethez és a modellhez, de választhatja ugyanazt a kulcsot mindhárom feladathoz.
Ezenkívül ez az új funkció lehetővé teszi a modellhasználat ellenőrzését AWS CloudTrail a modell titkosítási kulcshasználatának nyomon követésével.
Titkosítás IAM házirendekkel
A következő házirend biztosítja, hogy a felhasználóknak meg kell adniuk VPC-alhálózatokat és biztonsági csoportokat a VPC-beállításokhoz, valamint az AWS KMS-kulcsokat mind az osztályozóhoz, mind a kimenethez:
Például a következő kódban az 1. felhasználó megadja a VPC-beállításokat és a titkosítási kulcsokat is, és sikeresen végrehajthatja a műveletet:
A 2. felhasználó viszont nem biztosítja a szükséges beállítások egyikét sem, és nem hajthatja végre a műveletet:
Az előző kódpéldákban mindaddig, amíg a VPC-beállítások és a titkosítási kulcsok be vannak állítva, futtathatja az egyéni osztályozó betanítási feladatot. A VPC és a titkosítási beállítások alapértelmezett állapotában hagyása 403-as hozzáférés megtagadva kivételt eredményez.
A következő példában egy még szigorúbb házirendet érvényesítünk, amelyben a VPC és a titkosítási beállításokat úgy kell megadnunk, hogy az adott alhálózatokat, biztonsági csoportokat és KMS-kulcsokat is tartalmazzon. Ez a házirend ezeket a szabályokat minden olyan Amazon Comprehend API-ra alkalmazza, amely új aszinkron feladatokat indít, egyéni osztályozókat hoz létre és egyéni entitásfelismerőket. Lásd a következő kódot:
A következő példában először létrehozunk egy egyéni osztályozót az Amazon Comprehend konzolon a titkosítási beállítás megadása nélkül. Mivel a házirendben meghatározott IAM-feltételekkel rendelkezünk, a művelet meg van tagadva.
Ha engedélyezi az osztályozó titkosítását, az Amazon Comprehend titkosítja a tárolókötetben lévő adatokat a feladat feldolgozása közben. Használhat egy AWS KMS-ügyfél által kezelt kulcsot a fiókjából vagy egy másik fiókból. Megadhatja az egyéni osztályozó feladat titkosítási beállításait az alábbi képernyőképen látható módon.
A kimeneti titkosítás lehetővé teszi az Amazon Comprehend számára, hogy titkosítsa az elemzés kimeneti eredményeit. Az Amazon Comprehend feladattitkosításhoz hasonlóan használhat egy AWS KMS-ügyfél által kezelt kulcsot a fiókjából vagy egy másik fiókból.
Mivel házirendünk a VPC és a biztonsági csoport hozzáférés engedélyezésével indítandó feladatokat is kikényszeríti, ezeket a beállításokat a VPC beállítások szakasz.
Amazon Comprehend API műveletek és IAM feltételkulcsok
Az alábbi táblázat felsorolja az Amazon Comprehend API-műveleteket és az IAM-feltételkulcsokat, amelyek jelenleg támogatottak. További információkért lásd Műveletek, erőforrások és feltételkulcsok az Amazon Comprehendhez.
Modell titkosítás CMK-val
Az edzési adatok titkosítása mellett mostantól titkosíthatja egyéni modelljeit az Amazon Comprehendben egy CMK segítségével. Ebben a részben részletesebben foglalkozunk ezzel a funkcióval.
Előfeltételek
Hozzá kell adnia egy IAM-házirendet, hogy engedélyezze a megbízó számára a CMK-k használatát vagy kezelését. A CMK-kat a szabályzati nyilatkozat Erőforrás eleme határozza meg. A politikai nyilatkozatok írásakor ez a legjobb gyakorlat a CMK-k korlátozása azokra, amelyeket a megbízóknak használniuk kell, ahelyett, hogy hozzáférést biztosítanának az összes CMK-hoz.
A következő példában egy AWS KMS kulcsot használunk (1234abcd-12ab-34cd-56ef-1234567890ab
) egy Amazon Comprehend egyedi modell titkosításához.
Ha AWS KMS-titkosítást használ, akkor a kms:CreateGrant és kms:RetireGrant engedélyekre van szükség a modelltitkosításhoz.
Például az Amazon Comprehend számára biztosított dataAccessRole következő IAM-irányelv-utasítása lehetővé teszi a megbízó számára, hogy a létrehozási műveleteket csak a szabályzatnyilatkozat Erőforrás elemében felsorolt CMK-kon hívja meg:
A CMK-k kulcs ARN-nel történő megadása, ami egy bevált gyakorlat, biztosítja, hogy az engedélyek csak a megadott CMK-kra korlátozódjanak.
Modell titkosítás engedélyezése
Jelen pillanatban az egyéni modelltitkosítás csak a következőn keresztül érhető el AWS parancssori interfész (AWS CLI). A következő példa egy egyéni osztályozót hoz létre modelltitkosítással:
A következő példa egy egyéni entitásfelismerőt tanít modelltitkosítással:
Végül létrehozhat egy végpontot az egyéni modellhez, amelyen a titkosítás engedélyezett:
Következtetés
Az IAM feltételkulcsok segítségével immár kényszerítheti a biztonsági beállításokat, például a titkosítás és a VPC-beállítások engedélyezését az Amazon Comprehend-feladatokhoz. Az IAM feltételkulcsok mindegyikben rendelkezésre állnak AWS régiók ahol az Amazon Comprehend elérhető. Titkosíthatja az Amazon Comprehend egyéni modelleket is az ügyfél által kezelt kulcsokkal.
Ha többet szeretne megtudni az új feltételkulcsokról, és megtekintheti a házirend-példákat, lásd: IAM feltételkulcsok használata a VPC-beállításokhoz és a Az Amazon Comprehend API-k erőforrásai és feltételei. Ha többet szeretne megtudni az IAM feltételkulcsok használatáról, lásd: IAM JSON házirend elemei: Feltétel.
A szerzőkről
Sam Palani AI/ML Specialist Solutions Architect az AWS-nél. Szívesen dolgozik az ügyfelekkel, hogy segítsen nekik széles körű gépi tanulási megoldásokat kidolgozni. Amikor nem segít az ügyfeleknek, szeret olvasni és felfedezni a szabadban.
Shanthan Kesharaju vezető építész az AWS ProServe csapatában. Segíti ügyfeleinket az AI/ML stratégiában, architektúrában és célzott termékek fejlesztésében. Shanthan marketingből MBA diplomát szerzett a Duke Egyetemen és MS diplomát vezetői információs rendszerekből az Oklahoma State University-n.
Forrás: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- hozzáférés
- Fiók
- Akció
- amazon
- Amazon Comprehend
- elemzés
- api
- API-k
- építészet
- könyvvizsgálat
- AWS
- BEST
- hívás
- besorolás
- kód
- létrehozása
- Ügyfelek
- dátum
- visszafejtése
- részlet
- dokumentumok
- Herceg
- titkosítás
- Endpoint
- Funkció
- Végül
- vezetéknév
- Csoport
- HTTPS
- IAM
- Identitás
- információ
- Munka
- Állások
- Kulcs
- kulcsok
- TANUL
- tanulás
- Korlátozott
- vonal
- listák
- elhelyezkedés
- Hosszú
- gépi tanulás
- vezetés
- Marketing
- modell
- MS
- Oklahoma
- Művelet
- opció
- Más
- szabadban
- Politikák
- politika
- magán
- Termékek
- Olvasás
- forrás
- Tudástár
- Eredmények
- szabályok
- futás
- Skála
- biztonság
- készlet
- Egyszerű
- Megoldások
- kezdet
- Állami
- nyilatkozat
- tárolás
- Stratégia
- Támogatott
- Támogatja
- Systems
- Csomagkövetés
- Képzések
- vonatok
- egyetemi
- Felhasználók
- Megnézem
- Tényleges
- kötet
- belül
- írás