これで、 アマゾン バーチャル プライベート クラウド (Amazon VPC)と暗号化設定 Amazon Comprehend を使用するAPI AWS IDおよびアクセス管理 (IAM)条件キー、および顧客管理キー(CMK)を使用してAmazonComprehendカスタムモデルを暗号化します。 AWSキー管理サービス (AWS KMS)。 IAM条件キーを使用すると、IAMポリシーステートメントが適用される条件をさらに絞り込むことができます。 非同期ジョブを作成する権限を付与し、カスタム分類またはカスタムエンティティトレーニングジョブを作成するときに、IAMポリシーで新しい条件キーを使用できます。
Amazon Comprehendは、XNUMXつの新しい条件キーをサポートするようになりました。
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
キーを使用すると、許可されたVPCサブネットやセキュリティグループに接続されているジョブなど、ユーザーが組織のセキュリティポスチャを満たすジョブのみを作成できるようにすることができます。 これらのキーを使用して、データが計算のためにプルダウンされるストレージボリュームの暗号化設定を適用することもできます。 Amazon シンプル ストレージ サービス (Amazon S3)操作の出力が保存されるバケット。 ユーザーが許可されていないVPC設定または暗号化パラメーターを使用してAPIを使用しようとすると、Amazon Comprehendは、403 AccessDenied例外を使用して操作を同期的に拒否します。
ソリューションの概要
次の図は、ソリューションのアーキテクチャを示しています。
次のことを行うためのポリシーを適用する必要があります。
- すべてのカスタム分類トレーニングジョブがVPC設定で指定されていることを確認してください
- 分類子トレーニングジョブ、分類子出力、およびAmazonComprehendモデルの暗号化を有効にします
このように、誰かがカスタム分類トレーニングジョブを開始すると、Amazon S3からプルされたトレーニングデータが指定されたVPCサブネットのストレージボリュームにコピーされ、指定されたもので暗号化されます VolumeKmsKey
。 このソリューションでは、モデルトレーニングの結果が指定されたもので暗号化されていることも確認します OutputKmsKey
。 最後に、Amazon Comprehendモデル自体は、VPC内に保存されるときにユーザーが指定したAWSKMSキーで暗号化されます。 このソリューションでは、データ、出力、モデルにそれぞれXNUMXつの異なるキーを使用しますが、XNUMXつのタスクすべてに同じキーを使用することを選択できます。
さらに、この新機能により、モデルの使用状況を監査できます。 AWS クラウドトレイル モデルの暗号化キーの使用状況を追跡します。
IAMポリシーによる暗号化
次のポリシーでは、ユーザーがVPC設定にVPCサブネットとセキュリティグループを指定し、分類子と出力の両方にAWSKMSキーを指定する必要があることを確認します。
たとえば、次のコードでは、ユーザー1がVPC設定と暗号化キーの両方を提供し、操作を正常に完了できます。
一方、ユーザー2は、これらの必要な設定を提供せず、操作を完了することを許可されていません。
上記のコード例では、VPC設定と暗号化キーが設定されている限り、カスタム分類子トレーニングジョブを実行できます。 VPCと暗号化の設定をデフォルトの状態のままにしておくと、403 AccessDenied例外が発生します。
次の例では、さらに厳格なポリシーを適用します。このポリシーでは、VPCと暗号化の設定を設定して、特定のサブネット、セキュリティグループ、およびKMSキーも含める必要があります。 このポリシーは、新しい非同期ジョブを開始し、カスタム分類子を作成し、カスタムエンティティレコグナイザーを作成するすべてのAmazon ComprehendAPIにこれらのルールを適用します。 次のコードを参照してください。
次の例では、最初に、暗号化オプションを指定せずに、AmazonComprehendコンソールでカスタム分類子を作成します。 ポリシーでIAM条件が指定されているため、操作は拒否されます。
分類子の暗号化を有効にすると、Amazon Comprehendは、ジョブの処理中にストレージボリューム内のデータを暗号化します。 アカウントまたは別のアカウントのAWSKMSカスタマーマネージドキーを使用できます。 次のスクリーンショットのように、カスタム分類ジョブの暗号化設定を指定できます。
出力暗号化により、AmazonComprehendは分析からの出力結果を暗号化できます。 Amazon Comprehendジョブの暗号化と同様に、自分のアカウントまたは別のアカウントからAWSKMSカスタマーマネージドキーを使用できます。
ポリシーでは、VPCとセキュリティグループアクセスを有効にしてジョブを起動することも強制されているため、これらの設定は VPC設定 のセクションから無料でダウンロードできます。
Amazon ComprehendAPIオペレーションとIAM条件キー
次の表に、この記事の執筆時点でサポートされているAmazon ComprehendAPIオペレーションとIAM条件キーを示します。 詳細については、を参照してください。 Amazon Comprehendのアクション、リソース、条件キー.
CMKによるモデル暗号化
トレーニングデータの暗号化に加えて、CMKを使用してAmazonComprehendでカスタムモデルを暗号化できるようになりました。 このセクションでは、この機能について詳しく説明します。
前提条件
プリンシパルがCMKを使用または管理できるようにするには、IAMポリシーを追加する必要があります。 CMKは、ポリシーステートメントのResource要素で指定されます。 ポリシーステートメントを書くとき、それは ベストプラクティス プリンシパルにすべてのCMKへのアクセスを許可するのではなく、CMKをプリンシパルが使用する必要のあるものに制限します。
次の例では、AWS KMSキーを使用します(1234abcd-12ab-34cd-56ef-1234567890ab
)AmazonComprehendカスタムモデルを暗号化します。
AWS KMS暗号化を使用する場合、モデルの暗号化にはkms:CreateGrantおよびkms:RetireGrantのアクセス許可が必要です。
たとえば、Amazon Comprehendに提供されたdataAccessRole内の次のIAMポリシーステートメントを使用すると、プリンシパルは、ポリシーステートメントのResource要素にリストされているCMKに対してのみcreate操作を呼び出すことができます。
キーARNでCMKを指定することは、ベストプラクティスであり、アクセス許可が指定されたCMKのみに制限されていることを確認します。
モデルの暗号化を有効にする
この記事の執筆時点では、カスタムモデルの暗号化は AWSコマンドラインインターフェイス (AWS CLI)。 次の例では、モデル暗号化を使用してカスタム分類子を作成します。
次の例では、モデル暗号化を使用してカスタムエンティティレコグナイザーをトレーニングします。
最後に、暗号化を有効にしてカスタムモデルのエンドポイントを作成することもできます。
まとめ
IAM条件キーを使用してAmazonComprehendジョブの暗号化やVPC設定を有効にするなどのセキュリティ設定を適用できるようになりました。 IAM条件キーはすべてで利用可能です AWSリージョン AmazonComprehendが利用できる場所。 顧客が管理するキーを使用して、AmazonComprehendカスタムモデルを暗号化することもできます。
新しい条件キーの詳細とポリシーの例を表示するには、を参照してください。 VPC設定にIAM条件キーを使用する & Amazon ComprehendAPIのリソースと条件。 IAM条件キーの使用の詳細については、を参照してください。 IAM JSONポリシー要素:条件.
著者について
サムパラニ AWSのAI / MLスペシャリストソリューションアーキテクトです。 彼は顧客と協力して、大規模な機械学習ソリューションの設計を支援することを楽しんでいます。 顧客を助けていないときは、屋外で読書や探索を楽しんでいます。
シャンタン・ケシャラジュ AWSProServeチームのシニアアーキテクトです。 彼は、AI / ML戦略、アーキテクチャ、および目的を持った製品の開発でお客様を支援します。 シャンサンは、デューク大学でマーケティングのMBAを取得し、オクラホマ州立大学で経営情報システムの修士号を取得しています。
ソース:https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- アクセス
- Action
- Amazon
- Amazon Comprehend
- 分析
- API
- API
- 建築
- 監査
- AWS
- BEST
- コール
- 分類
- コード
- 作成
- Customers
- データ
- 解読する
- 詳細
- ドキュメント
- デューク
- 暗号化
- エンドポイント
- 特徴
- 最後に
- 名
- グループ
- HTTPS
- IAM
- アイデンティティ
- 情報
- ジョブ
- Jobs > Create New Job
- キー
- キー
- LEARN
- 学習
- 限定的
- LINE
- リスト
- 場所
- 長い
- 機械学習
- 管理
- マーケティング
- MS
- オクラホマ州
- 業務執行統括
- オプション
- その他
- 屋外で
- ポリシー
- 方針
- プライベート
- 製品
- リーディング
- リソースを追加する。
- リソース
- 結果
- ルール
- ラン
- 規模
- セキュリティ
- セッションに
- 簡単な拡張で
- ソリューション
- start
- 都道府県
- ステートメント
- ストレージ利用料
- 戦略
- サポート
- サポート
- システム
- 追跡
- トレーニング
- 列車
- 大学
- users
- 詳しく見る
- バーチャル
- ボリューム
- 以内
- 書き込み