Sekarang Anda dapat mengontrol file Cloud Pribadi Virtual Amazon (Amazon VPC) dan pengaturan enkripsi untuk Amazon Comprehend API menggunakan Identitas AWS dan Manajemen Akses (IAM) condition key, dan mengenkripsi model kustom Amazon Comprehend Anda menggunakan kunci yang dikelola pelanggan (CMK) melalui Layanan Manajemen Kunci AWS (AWS KMS). Kunci kondisi IAM memungkinkan Anda untuk lebih menyempurnakan kondisi di mana pernyataan kebijakan IAM berlaku. Anda dapat menggunakan kunci kondisi baru dalam kebijakan IAM saat memberikan izin untuk membuat pekerjaan asinkron dan membuat klasifikasi khusus atau pekerjaan pelatihan entitas khusus.
Amazon Comprehend sekarang mendukung lima kunci kondisi baru:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Kunci tersebut memungkinkan Anda memastikan bahwa pengguna hanya dapat membuat pekerjaan yang sesuai dengan kondisi keamanan organisasi Anda, seperti pekerjaan yang terhubung ke subnet VPC dan grup keamanan yang diizinkan. Anda juga dapat menggunakan kunci ini untuk menerapkan pengaturan enkripsi untuk volume penyimpanan di mana datanya ditarik untuk komputasi dan pada Layanan Penyimpanan Sederhana Amazon (Amazon S3) tempat output operasi disimpan. Jika pengguna mencoba menggunakan API dengan pengaturan VPC atau parameter enkripsi yang tidak diizinkan, Amazon Comprehend menolak operasi secara sinkron dengan pengecualian 403 Access Denied.
Ikhtisar solusi
Diagram berikut menggambarkan arsitektur solusi kami.
Kami ingin menegakkan kebijakan untuk melakukan hal berikut:
- Pastikan semua tugas pelatihan klasifikasi kustom ditentukan dengan setelan VPC
- Mengaktifkan enkripsi untuk tugas pelatihan pengklasifikasi, keluaran pengklasifikasi, dan model Amazon Comprehend
Dengan cara ini, ketika seseorang memulai pekerjaan pelatihan klasifikasi khusus, data pelatihan yang ditarik dari Amazon S3 disalin ke volume penyimpanan di subnet VPC yang Anda tentukan dan dienkripsi dengan yang ditentukan VolumeKmsKey
. Solusi tersebut juga memastikan bahwa hasil pelatihan model dienkripsi dengan yang ditentukan OutputKmsKey
. Terakhir, model Amazon Comprehend sendiri dienkripsi dengan kunci AWS KMS yang ditentukan oleh pengguna saat disimpan dalam VPC. Solusinya menggunakan tiga kunci berbeda untuk data, keluaran, dan model, masing-masing, tetapi Anda dapat memilih untuk menggunakan kunci yang sama untuk ketiga tugas tersebut.
Selain itu, fungsionalitas baru ini memungkinkan Anda untuk mengaudit penggunaan model di AWS CloudTrail dengan melacak penggunaan kunci enkripsi model.
Enkripsi dengan kebijakan IAM
Kebijakan berikut memastikan bahwa pengguna harus menentukan subnet VPC dan grup keamanan untuk setelan VPC dan kunci AWS KMS untuk pengklasifikasi dan keluaran:
Misalnya, dalam kode berikut, Pengguna 1 menyediakan setelan VPC dan kunci enkripsi, dan berhasil menyelesaikan operasi:
Pengguna 2, di sisi lain, tidak menyediakan salah satu dari pengaturan yang diperlukan ini dan tidak diizinkan untuk menyelesaikan operasi:
Dalam contoh kode sebelumnya, selama setelan VPC dan kunci enkripsi ditetapkan, Anda dapat menjalankan tugas pelatihan pengklasifikasi kustom. Membiarkan setelan VPC dan enkripsi dalam keadaan defaultnya menghasilkan pengecualian 403 Access Denied.
Pada contoh berikutnya, kami menerapkan kebijakan yang lebih ketat lagi, di mana kami harus menyetel setelan VPC dan enkripsi untuk juga menyertakan subnet, grup keamanan, dan kunci KMS tertentu. Kebijakan ini menerapkan aturan ini untuk semua Amazon Comprehend API yang memulai pekerjaan asinkron baru, membuat pengklasifikasi kustom, dan membuat pengenal entitas kustom. Lihat kode berikut:
Dalam contoh berikutnya, pertama-tama kami membuat pengklasifikasi khusus di konsol Amazon Comprehend tanpa menentukan opsi enkripsi. Karena kami memiliki ketentuan IAM yang ditentukan dalam kebijakan, operasi ditolak.
Saat Anda mengaktifkan enkripsi pengklasifikasi, Amazon Comprehend mengenkripsi data dalam volume penyimpanan saat pekerjaan Anda sedang diproses. Anda dapat menggunakan kunci yang dikelola pelanggan AWS KMS dari akun Anda atau akun lain. Anda dapat menentukan pengaturan enkripsi untuk pekerjaan pengklasifikasi kustom seperti pada gambar layar berikut.
Enkripsi keluaran memungkinkan Amazon Comprehend mengenkripsi hasil keluaran dari analisis Anda. Mirip dengan enkripsi pekerjaan Amazon Comprehend, Anda dapat menggunakan kunci yang dikelola pelanggan AWS KMS dari akun Anda atau akun lain.
Karena kebijakan kami juga memberlakukan tugas yang akan diluncurkan dengan VPC dan akses grup keamanan diaktifkan, Anda dapat menentukan setelan ini di Pengaturan VPC bagian.
Operasi Amazon Comprehend API dan kunci kondisi IAM
Tabel berikut mencantumkan operasi API Amazon Comprehend dan kunci kondisi IAM yang didukung saat penulisan ini. Untuk informasi lebih lanjut, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon Comprehend.
Model enkripsi dengan CMK
Bersamaan dengan mengenkripsi data pelatihan Anda, Anda sekarang dapat mengenkripsi model kustom Anda di Amazon Comprehend menggunakan CMK. Di bagian ini, kami membahas lebih detail tentang fitur ini.
Prasyarat
Anda perlu menambahkan kebijakan IAM agar prinsipal dapat menggunakan atau mengelola CMK. CMK ditentukan dalam elemen Resource pada pernyataan kebijakan. Saat menulis pernyataan kebijakan Anda, itu a praktek terbaik untuk membatasi CMK ke CMK yang perlu digunakan oleh prinsipal, bukan memberikan akses kepada semua CMK kepada prinsipal.
Dalam contoh berikut, kami menggunakan kunci AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) untuk mengenkripsi model kustom Amazon Comprehend.
Saat Anda menggunakan enkripsi AWS KMS, kms: CreateGrant dan kms: Izin RetireGrant diperlukan untuk enkripsi model.
Misalnya, pernyataan kebijakan IAM berikut di dataAccessRole Anda yang diberikan ke Amazon Comprehend memungkinkan kepala sekolah untuk memanggil operasi pembuatan hanya di CMK yang tercantum di elemen Sumber daya pernyataan kebijakan:
Menentukan CMK berdasarkan kunci ARN, yang merupakan praktik terbaik, memastikan bahwa izin dibatasi hanya untuk CMK yang ditentukan.
Aktifkan enkripsi model
Saat tulisan ini dibuat, enkripsi model kustom hanya tersedia melalui Antarmuka Baris Perintah AWS (AWS CLI). Contoh berikut membuat pengklasifikasi khusus dengan enkripsi model:
Contoh berikutnya melatih pengenal entitas kustom dengan enkripsi model:
Terakhir, Anda juga dapat membuat titik akhir untuk model kustom Anda dengan enkripsi diaktifkan:
Kesimpulan
Anda sekarang dapat menerapkan pengaturan keamanan seperti mengaktifkan enkripsi dan pengaturan VPC untuk pekerjaan Amazon Comprehend Anda menggunakan kunci kondisi IAM. Kunci kondisi IAM tersedia di semua Wilayah AWS di mana Amazon Comprehend tersedia. Anda juga dapat mengenkripsi model kustom Amazon Comprehend menggunakan kunci yang dikelola pelanggan.
Untuk mempelajari lebih lanjut tentang kunci kondisi baru dan melihat contoh kebijakan, lihat Menggunakan kunci kondisi IAM untuk setelan VPC dan Sumber Daya dan Ketentuan untuk API Amazon Comprehend. Untuk mempelajari lebih lanjut tentang menggunakan kunci kondisi IAM, lihat Elemen kebijakan IAM JSON: Kondisi.
Tentang Penulis
Sam Palani adalah Arsitek Solusi Spesialis AI / ML di AWS. Dia senang bekerja dengan pelanggan untuk membantu mereka merancang solusi pembelajaran mesin dalam skala besar. Saat tidak membantu pelanggan, dia suka membaca dan menjelajahi alam bebas.
Shanthan Kesharaju adalah Arsitek Senior di tim AWS ProServe. Dia membantu pelanggan kami dengan strategi AI / ML, arsitektur, dan mengembangkan produk dengan suatu tujuan. Shanthan memiliki gelar MBA di bidang Pemasaran dari Duke University dan MS dalam Sistem Informasi Manajemen dari Oklahoma State University.
Sumber: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- mengakses
- Akun
- Tindakan
- Amazon
- Amazon Comprehend
- analisis
- api
- Lebah
- arsitektur
- Audit
- AWS
- TERBAIK
- panggilan
- klasifikasi
- kode
- membuat
- pelanggan
- data
- Dekripsi
- rinci
- dokumen
- Duke
- enkripsi
- Titik akhir
- Fitur
- Akhirnya
- Pertama
- Kelompok
- HTTPS
- IAM
- identitas
- informasi
- Pekerjaan
- Jobs
- kunci
- kunci-kunci
- BELAJAR
- pengetahuan
- Terbatas
- baris
- daftar
- tempat
- Panjang
- Mesin belajar
- pengelolaan
- Marketing
- model
- MS
- Oklahoma
- Operasi
- pilihan
- Lainnya
- di luar rumah
- Kebijakan
- kebijaksanaan
- swasta
- Produk
- Bacaan
- sumber
- Sumber
- Hasil
- aturan
- Run
- Skala
- keamanan
- set
- Sederhana
- Solusi
- awal
- Negara
- Pernyataan
- penyimpanan
- Penyelarasan
- Didukung
- Mendukung
- sistem
- Pelacakan
- Pelatihan
- kereta
- universitas
- Pengguna
- View
- maya
- volume
- dalam
- penulisan