כעת אתה יכול לשלוט ב ענן וירטואלי פרטי של אמזון (Amazon VPC) והגדרות הצפנה עבורך אמזון להתבונן ממשקי API באמצעות AWS זהות וניהול גישה מפתחות תנאי (IAM), והצפין את הדגמים המותאמים אישית של Amazon Comprehend באמצעות מפתחות מנוהלים על ידי לקוחות (CMK) באמצעות שירות ניהול מפתח AWS (AWS KMS). מפתחות תנאי IAM מאפשרים לך לחדד עוד יותר את התנאים שבהם חלה הצהרת מדיניות IAM. אתה יכול להשתמש במפתחות התנאים החדשים במדיניות IAM בעת הענקת הרשאות ליצירת עבודות אסינכרוניות ויצירת עבודות סיווג מותאם אישית או הדרכה מותאמת אישית של ישות.
Amazon Comprehend תומך כעת בחמישה מפתחות מצב חדשים:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
המפתחות מאפשרים לך להבטיח שמשתמשים יכולים ליצור רק משרות העומדות בעמדת האבטחה של הארגון שלך, כגון משרות המחוברות לרשתות המשנה של VPC ולקבוצות האבטחה המותרות. אתה יכול גם להשתמש במפתחות אלה כדי לאכוף הגדרות הצפנה עבור נפחי האחסון שבהם הנתונים נמשכים למטה לצורך חישוב וב- שירות אחסון פשוט של אמזון (Amazon S3) דלי שבו מאוחסן הפלט של הפעולה. אם משתמשים מנסים להשתמש ב-API עם הגדרות VPC או פרמטרי הצפנה שאינם מורשים, Amazon Comprehend דוחה את הפעולה באופן סינכרוני עם חריג 403 Access Denied.
סקירת פתרונות
התרשים הבא ממחיש את הארכיטקטורה של הפתרון שלנו.
אנו רוצים לאכוף מדיניות לביצוע הפעולות הבאות:
- ודא שכל עבודות ההדרכה בסיווג מותאם אישית מצוינות עם הגדרות VPC
- הפעלת הצפנה עבור עבודת ההדרכה של המסווגים, פלט המסווגים ומודל Amazon Comprehend
בדרך זו, כאשר מישהו מתחיל עבודת אימון סיווג מותאם אישית, נתוני ההדרכה שנשלפים מאמזון S3 מועתקים לנפחי האחסון ברשתות המשנה VPC שצוינו ומוצפנות עם VolumeKmsKey
. הפתרון גם מוודא שתוצאות אימון המודל מוצפנות עם המצוין OutputKmsKey
. לבסוף, מודל Amazon Comprehend עצמו מוצפן עם מפתח AWS KMS שצוין על ידי המשתמש כאשר הוא מאוחסן בתוך ה-VPC. הפתרון משתמש בשלושה מפתחות שונים עבור הנתונים, הפלט והמודל, בהתאמה, אך אתה יכול לבחור להשתמש באותו מפתח עבור כל שלוש המשימות.
בנוסף, פונקציונליות חדשה זו מאפשרת לך לבקר את השימוש במודלים AWS CloudTrail על ידי מעקב אחר השימוש במפתח ההצפנה של הדגם.
הצפנה עם מדיניות IAM
המדיניות הבאה מוודאת שמשתמשים חייבים לציין רשתות משנה וקבוצות אבטחה של VPC עבור הגדרות VPC ומפתחות AWS KMS הן עבור המסווג והן עבור הפלט:
לדוגמה, בקוד הבא, משתמש 1 מספק גם את הגדרות ה-VPC וגם את מפתחות ההצפנה, ויכול להשלים את הפעולה בהצלחה:
משתמש 2, לעומת זאת, אינו מספק אף אחת מההגדרות הנדרשות הללו ואינו מורשה להשלים את הפעולה:
בדוגמאות הקוד הקודמות, כל עוד הגדרות ה-VPC ומפתחות ההצפנה מוגדרים, אתה יכול להפעיל את עבודת ההדרכה המותאמת לסיווג. השארת הגדרות ה-VPC וההצפנה במצב ברירת המחדל שלהן גורמת לחריג 403 Access Denied.
בדוגמה הבאה, אנו אוכפים מדיניות מחמירה עוד יותר, שבה עלינו להגדיר את הגדרות ה-VPC וההצפנה כך שיכללו גם רשתות משנה ספציפיות, קבוצות אבטחה ומפתחות KMS. מדיניות זו מיישמת את הכללים הללו עבור כל ממשקי ה-API של Amazon Comprehend שמתחילים עבודות אסינכרוניות חדשות, יוצרים מסווגים מותאמים אישית ויוצרים מזהי ישויות מותאמים אישית. ראה את הקוד הבא:
בדוגמה הבאה, אנו יוצרים תחילה מסווג מותאם אישית בקונסולת Amazon Comprehend מבלי לציין את אפשרות ההצפנה. מכיוון שיש לנו את תנאי IAM המפורטים בפוליסה, הפעולה נדחתה.
כאשר אתה מפעיל הצפנת מסווג, Amazon Comprehend מצפינה את הנתונים בנפח האחסון בזמן שהעבודה שלך מעובדת. אתה יכול להשתמש במפתח מנוהל ללקוח AWS KMS מחשבונך או מחשבון אחר. אתה יכול לציין את הגדרות ההצפנה עבור עבודת הסיווג המותאמת אישית כמו בצילום המסך הבא.
הצפנת פלט מאפשרת ל- Amazon Comprehend להצפין את תוצאות הפלט מהניתוח שלך. בדומה להצפנת עבודה של Amazon Comprehend, אתה יכול להשתמש במפתח מנוהל ללקוח AWS KMS מחשבונך או מחשבון אחר.
מכיוון שהמדיניות שלנו אוכפת גם את העבודות שיושקו עם VPC וגישה לקבוצת אבטחה מופעלת, אתה יכול לציין הגדרות אלה ב- הגדרות VPC סָעִיף.
Amazon Comprehend API פעולות ומפתחות תנאי IAM
הטבלה הבאה מפרטת את פעולות ה-API של Amazon Comprehend ואת מפתחות התנאי של IAM הנתמכים נכון לכתיבת שורות אלה. למידע נוסף, ראה פעולות, משאבים ומפתחות תנאים עבור Amazon Comprehend.
הצפנת דגם עם CMK
יחד עם הצפנת נתוני האימון שלך, כעת תוכל להצפין את הדגמים המותאמים אישית שלך ב- Amazon Comprehend באמצעות CMK. בסעיף זה נפרט יותר על תכונה זו.
תנאים מוקדמים
עליך להוסיף מדיניות IAM כדי לאפשר למנהל להשתמש או לנהל CMKs. CMKs מצוינים ברכיב Resource של הצהרת המדיניות. בעת כתיבת הצהרות המדיניות שלך, זה א התרגול הטוב ביותר להגביל את ה-CMK לאלו שהמנהלים צריכים להשתמש בהם, במקום לתת למנהלים גישה לכל ה-CMKs.
בדוגמה הבאה, אנו משתמשים במפתח AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) כדי להצפין מודל מותאם אישית של Amazon Comprehend.
כאשר אתה משתמש בהצפנת AWS KMS, נדרשות הרשאות kms:CreateGrant ו-kms:RetireGrant להצפנת המודל.
לדוגמה, הצהרת המדיניות הבאה של IAM ב-dataAccessRole שלך שסופקה ל-Amazon Comprehend מאפשרת למנהל לקרוא לפעולות היצירה רק ב-CMKs המפורטים ברכיב Resource של הצהרת המדיניות:
ציון CMKs על ידי מפתח ARN, שהוא שיטה מומלצת, מוודא שההרשאות מוגבלות רק ל-CMKs שצוינו.
אפשר הצפנת דגם
נכון לכתיבת שורות אלו, הצפנת מודל מותאם אישית זמינה רק דרך ה ממשק שורת הפקודה של AWS (AWS CLI). הדוגמה הבאה יוצרת מסווג מותאם אישית עם הצפנת מודל:
הדוגמה הבאה מכשירה מזהה ישויות מותאם אישית עם הצפנת מודל:
לבסוף, אתה יכול גם ליצור נקודת קצה עבור המודל המותאם אישית שלך כשההצפנה מופעלת:
סיכום
כעת אתה יכול לאכוף הגדרות אבטחה כמו הפעלת הצפנה והגדרות VPC עבור עבודות Amazon Comprehend שלך באמצעות מפתחות תנאי IAM. מפתחות תנאי IAM זמינים בכל אזורי AWS איפה Amazon Comprehend זמין. אתה יכול גם להצפין את המודלים המותאמים אישית של Amazon Comprehend באמצעות מפתחות מנוהלים על ידי לקוחות.
למידע נוסף על מפתחות התנאים החדשים ולהצגת דוגמאות מדיניות, ראה שימוש במפתחות תנאי IAM עבור הגדרות VPC ו משאבים ותנאים עבור ממשקי API של Amazon Comprehend. למידע נוסף על שימוש במפתחות תנאי IAM, ראה מרכיבי מדיניות IAM JSON: מצב.
על הכותבים
סם פלאני הוא אדריכל פתרונות AI/ML מומחה ב-AWS. הוא נהנה לעבוד עם לקוחות כדי לעזור להם לבנות פתרונות למידת מכונה בקנה מידה. כשהוא לא עוזר ללקוחות, הוא נהנה לקרוא ולחקור את החוץ.
שאנטאן קשרג'ו הוא אדריכל בכיר בצוות AWS ProServe. הוא עוזר ללקוחות שלנו באסטרטגיית AI / ML, ארכיטקטורה ופיתוח מוצרים עם מטרה. לשנתן תואר שני במנהל שיווק מאוניברסיטת דיוק ותואר שני במערכות מידע ניהוליות מאוניברסיטת אוקלהומה סטייט.
מקור: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- גישה
- חֶשְׁבּוֹן
- פעולה
- אמזון בעברית
- אמזון להתבונן
- אנליזה
- API
- ממשקי API
- ארכיטקטורה
- בדיקה
- AWS
- הטוב ביותר
- שיחה
- מיון
- קוד
- יוצרים
- לקוחות
- נתונים
- פענוח
- פרט
- מסמכים
- דוכס
- הצף
- נקודת קצה
- מאפיין
- בסופו של דבר
- ראשון
- קְבוּצָה
- HTTPS
- IAM
- זהות
- מידע
- עבודה
- מקומות תעסוקה
- מפתח
- מפתחות
- לִלמוֹד
- למידה
- מוגבל
- קו
- רשימות
- מיקום
- ארוך
- למידת מכונה
- ניהול
- שיווק
- מודל
- MS
- אוקלהומה
- תפעול
- אפשרות
- אחר
- בחוץ
- מדיניות
- מדיניות
- פְּרָטִי
- מוצרים
- קריאה
- משאב
- משאבים
- תוצאות
- כללי
- הפעלה
- סולם
- אבטחה
- סט
- פָּשׁוּט
- פתרונות
- התחלה
- מדינה
- הצהרה
- אחסון
- אִסטרָטֶגִיָה
- נתמך
- תומך
- מערכות
- מעקב
- הדרכה
- רכבות
- אוניברסיטה
- משתמשים
- לצפיה
- וירטואלי
- כֶּרֶך
- בתוך
- כתיבה