이제 제어 할 수 있습니다 아마존 가상 프라이빗 클라우드 (Amazon VPC) 및 암호화 설정 아마존 이해 사용하는 API AWS 자격 증명 및 액세스 관리 (IAM) 조건 키를 사용하고 다음을 통해 고객 관리 형 키 (CMK)를 사용하여 Amazon Comprehend 사용자 지정 모델을 암호화합니다. AWS 키 관리 서비스 (AWS KMS). IAM 조건 키를 사용하면 IAM 정책 설명이 적용되는 조건을 더욱 세분화 할 수 있습니다. 비동기 작업을 생성하고 사용자 지정 분류 또는 사용자 지정 엔터티 교육 작업을 생성 할 수있는 권한을 부여 할 때 IAM 정책에서 새 조건 키를 사용할 수 있습니다.
Amazon Comprehend는 이제 XNUMX 개의 새로운 조건 키를 지원합니다.
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
키를 사용하면 허용 된 VPC 서브넷 및 보안 그룹에 연결된 작업과 같이 사용자가 조직의 보안 상태를 충족하는 작업 만 생성 할 수 있습니다. 또한 이러한 키를 사용하여 데이터가 계산을 위해 풀다운되는 스토리지 볼륨에 대한 암호화 설정을 적용 할 수 있습니다. 아마존 단순 스토리지 서비스 (Amazon S3) 작업의 출력이 저장되는 버킷. 사용자가 허용되지 않는 VPC 설정 또는 암호화 파라미터가있는 API를 사용하려고하면 Amazon Comprehend는 403 액세스 거부 예외와 함께 작업을 동기식으로 거부합니다.
솔루션 개요
다음 다이어그램은 솔루션의 아키텍처를 보여줍니다.
다음을 수행하는 정책을 시행하려고합니다.
- 모든 사용자 지정 분류 훈련 작업이 VPC 설정으로 지정되었는지 확인
- 분류 자 훈련 작업, 분류 자 출력 및 Amazon Comprehend 모델에 대해 암호화를 활성화합니다.
이렇게하면 누군가 사용자 지정 분류 교육 작업을 시작할 때 Amazon S3에서 가져온 교육 데이터가 지정된 VPC 서브넷의 스토리지 볼륨으로 복사되고 지정된 VolumeKmsKey
. 이 솔루션은 또한 모델 학습 결과가 지정된 OutputKmsKey
. 마지막으로 Amazon Comprehend 모델 자체는 VPC 내에 저장 될 때 사용자가 지정한 AWS KMS 키로 암호화됩니다. 이 솔루션은 데이터, 출력 및 모델에 각각 세 가지 다른 키를 사용하지만 세 작업 모두에 동일한 키를 사용하도록 선택할 수 있습니다.
또한이 새로운 기능을 사용하면 다음에서 모델 사용을 감사 할 수 있습니다. AWS 클라우드 트레일 모델 암호화 키 사용을 추적합니다.
IAM 정책을 사용한 암호화
다음 정책은 사용자가 VPC 설정에 대해 VPC 서브넷 및 보안 그룹을 지정하고 분류 자와 출력 모두에 대해 AWS KMS 키를 지정해야합니다.
예를 들어 다음 코드에서 사용자 1은 VPC 설정과 암호화 키를 모두 제공하고 작업을 성공적으로 완료 할 수 있습니다.
반면 사용자 2는 이러한 필수 설정을 제공하지 않으며 작업을 완료 할 수 없습니다.
앞의 코드 예제에서 VPC 설정과 암호화 키가 설정되어 있으면 사용자 지정 분류 자 훈련 작업을 실행할 수 있습니다. VPC 및 암호화 설정을 기본 상태로두면 403 액세스 거부 예외가 발생합니다.
다음 예에서는 특정 서브넷, 보안 그룹 및 KMS 키도 포함하도록 VPC 및 암호화 설정을 설정해야하는 더 엄격한 정책을 시행합니다. 이 정책은 새로운 비동기 작업을 시작하고, 사용자 지정 분류자를 생성하고, 사용자 지정 엔터티 인식자를 생성하는 모든 Amazon Comprehend API에 이러한 규칙을 적용합니다. 다음 코드를 참조하십시오.
다음 예에서는 먼저 암호화 옵션을 지정하지 않고 Amazon Comprehend 콘솔에서 사용자 지정 분류자를 생성합니다. 정책에 지정된 IAM 조건이 있으므로 작업이 거부됩니다.
분류 자 암호화를 활성화하면 Amazon Comprehend는 작업이 처리되는 동안 스토리지 볼륨의 데이터를 암호화합니다. 계정 또는 다른 계정의 AWS KMS 고객 관리 키를 사용할 수 있습니다. 다음 스크린 샷과 같이 사용자 지정 분류 자 작업에 대한 암호화 설정을 지정할 수 있습니다.
출력 암호화를 사용하면 Amazon Comprehend에서 분석 결과를 암호화 할 수 있습니다. Amazon Comprehend 작업 암호화와 유사하게 계정 또는 다른 계정에서 AWS KMS 고객 관리 형 키를 사용할 수 있습니다.
또한 정책은 VPC 및 보안 그룹 액세스가 활성화 된 상태에서 시작될 작업을 강제하기 때문에 다음에서 이러한 설정을 지정할 수 있습니다. VPC 설정 안내
Amazon Comprehend API 작업 및 IAM 조건 키
다음 표에는이 문서 작성 시점에 지원되는 Amazon Comprehend API 작업과 IAM 조건 키가 나열되어 있습니다. 자세한 내용은 Amazon Comprehend에 대한 작업, 리소스 및 조건 키.
CMK를 사용한 모델 암호화
훈련 데이터 암호화와 함께 이제 CMK를 사용하여 Amazon Comprehend에서 사용자 지정 모델을 암호화 할 수 있습니다. 이 섹션에서는이 기능에 대해 자세히 설명합니다.
사전 조건
보안 주체가 CMK를 사용하거나 관리하도록 허용하려면 IAM 정책을 추가해야합니다. CMK는 정책 설명의 Resource 요소에 지정됩니다. 정책 설명을 작성할 때 가장 좋은 방법 주체에게 모든 CMK에 대한 액세스 권한을 부여하지 않고 주체가 사용해야하는 CMK로 제한합니다.
다음 예에서는 AWS KMS 키 (1234abcd-12ab-34cd-56ef-1234567890ab
)을 사용하여 Amazon Comprehend 사용자 지정 모델을 암호화합니다.
AWS KMS 암호화를 사용하는 경우 모델 암호화를 위해 kms : CreateGrant 및 kms : RetireGrant 권한이 필요합니다.
예를 들어 Amazon Comprehend에 제공된 dataAccessRole의 다음 IAM 정책 설명은 보안 주체가 정책 설명의 Resource 요소에 나열된 CMK에서만 생성 작업을 호출하도록 허용합니다.
모범 사례 인 키 ARN으로 CMK를 지정하면 권한이 지정된 CMK로만 제한됩니다.
모델 암호화 활성화
이 글을 쓰는 시점에서 커스텀 모델 암호화는 AWS 명령 줄 인터페이스 (AWS CLI). 다음 예제에서는 모델 암호화를 사용하여 사용자 지정 분류자를 만듭니다.
다음 예제에서는 모델 암호화를 사용하여 사용자 지정 엔터티 인식기를 학습합니다.
마지막으로 암호화가 활성화 된 사용자 지정 모델에 대한 엔드 포인트를 생성 할 수도 있습니다.
결론
이제 IAM 조건 키를 사용하여 Amazon Comprehend 작업에 대한 암호화 및 VPC 설정 활성화와 같은 보안 설정을 적용 할 수 있습니다. IAM 조건 키는 모든 AWS 리전 Amazon Comprehend를 사용할 수 있습니다. 고객 관리 키를 사용하여 Amazon Comprehend 사용자 지정 모델을 암호화 할 수도 있습니다.
새 조건 키에 대해 자세히 알아보고 정책 예제를 보려면 다음을 참조하십시오. VPC 설정에 IAM 조건 키 사용 와 Amazon Comprehend API에 대한 리소스 및 조건. IAM 조건 키 사용에 대한 자세한 내용은 IAM JSON 정책 요소 : 조건.
저자에 관하여
샘 팔 라니 AWS의 AI / ML Specialist Solutions Architect입니다. 그는 고객과 협력하여 대규모 기계 학습 솔루션을 설계하는 데 도움을줍니다. 고객을 돕지 않을 때는 독서와 야외 탐험을 즐깁니다.
샨탄 케샤 라주 AWS ProServe 팀의 선임 아키텍트입니다. 그는 AI / ML 전략, 아키텍처 및 목적이있는 제품 개발을 통해 고객을 돕습니다. Shanthan은 Duke University에서 마케팅 MBA를, Oklahoma State University에서 경영 정보 시스템 석사를 취득했습니다.
출처 : https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/