U kunt nu het Amazon virtuele privécloud (Amazon VPC) en versleutelingsinstellingen voor uw Amazon begrijpt het API's die AWS Identiteits- en toegangsbeheer (IAM) -conditiesleutels en codeer uw Amazon Comprehend-aangepaste modellen met behulp van door de klant beheerde sleutels (CMK) via AWS Sleutelbeheerservice (AWS KMS). Met IAM-conditiesleutels kunt u de voorwaarden waaronder een IAM-beleidsverklaring van toepassing is, verder verfijnen. U kunt de nieuwe voorwaardesleutels in IAM-beleid gebruiken bij het verlenen van machtigingen om asynchrone taken te maken en aangepaste classificatie- of aangepaste entiteitstrainingstaken te maken.
Amazon Comprehend ondersteunt nu vijf nieuwe conditiesleutels:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Met de sleutels kunt u ervoor zorgen dat gebruikers alleen taken kunnen maken die voldoen aan de beveiligingsstatus van uw organisatie, zoals taken die zijn verbonden met de toegestane VPC-subnetten en beveiligingsgroepen. U kunt deze sleutels ook gebruiken om encryptie-instellingen af te dwingen voor de opslagvolumes waar de gegevens naar beneden worden gehaald voor berekening en op de Amazon eenvoudige opslagservice (Amazon S3) bucket waarin de output van de bewerking wordt opgeslagen. Als gebruikers een API proberen te gebruiken met VPC-instellingen of versleutelingsparameters die niet zijn toegestaan, weigert Amazon Comprehend de bewerking synchroon met een 403 Access Denied-uitzondering.
Overzicht oplossingen
Het volgende diagram illustreert de architectuur van onze oplossing.
We willen een beleid afdwingen om het volgende te doen:
- Zorg ervoor dat alle trainingstaken voor aangepaste classificatie zijn opgegeven met VPC-instellingen
- Zorg dat versleuteling is ingeschakeld voor de classificatietraining, de classificatie-uitvoer en het Amazon Comprehend-model
Op deze manier, wanneer iemand een trainingstaak voor aangepaste classificatie start, worden de trainingsgegevens die worden opgehaald uit Amazon S3 gekopieerd naar de opslagvolumes in uw gespecificeerde VPC-subnetten en gecodeerd met de gespecificeerde VolumeKmsKey
De oplossing zorgt er ook voor dat de resultaten van de modeltraining worden versleuteld met het opgegeven OutputKmsKey
Ten slotte wordt het Amazon Comprehend-model zelf gecodeerd met de AWS KMS-sleutel die door de gebruiker is opgegeven wanneer deze in de VPC wordt opgeslagen. De oplossing gebruikt drie verschillende sleutels voor respectievelijk de gegevens, uitvoer en het model, maar u kunt ervoor kiezen om dezelfde sleutel voor alle drie de taken te gebruiken.
Bovendien stelt deze nieuwe functionaliteit u in staat om het modelgebruik in AWS CloudTrail door het gebruik van de modelversleutelingssleutel bij te houden.
Versleuteling met IAM-beleid
Het volgende beleid zorgt ervoor dat gebruikers VPC-subnetten en beveiligingsgroepen moeten specificeren voor VPC-instellingen en AWS KMS-sleutels voor zowel de classificatie als de uitvoer:
In de volgende code biedt gebruiker 1 bijvoorbeeld zowel de VPC-instellingen als de coderingssleutels en kan de bewerking met succes worden voltooid:
Gebruiker 2 biedt daarentegen geen van deze vereiste instellingen en mag de bewerking niet voltooien:
In de voorgaande codevoorbeelden kunt u, zolang de VPC-instellingen en de coderingssleutels zijn ingesteld, de trainingstaak voor aangepaste classificatie uitvoeren. Als u de VPC- en coderingsinstellingen in hun standaardstatus laat, resulteert dit in een 403 Access Denied-uitzondering.
In het volgende voorbeeld dwingen we een nog strikter beleid af, waarbij we de VPC- en coderingsinstellingen zo moeten instellen dat ze ook specifieke subnetten, beveiligingsgroepen en KMS-sleutels bevatten. Dit beleid past deze regels toe op alle Amazon Comprehend-API's die nieuwe asynchrone taken starten, aangepaste classificaties maken en aangepaste entiteitsherkenners maken. Zie de volgende code:
In het volgende voorbeeld maken we eerst een aangepaste classificatie op de Amazon Comprehend-console zonder de coderingsoptie op te geven. Omdat we de IAM-voorwaarden hebben die in het beleid zijn gespecificeerd, wordt de bewerking geweigerd.
Wanneer u classificatieversleuteling inschakelt, versleutelt Amazon Comprehend de gegevens in het opslagvolume terwijl uw taak wordt verwerkt. U kunt een door de klant beheerde AWS KMS-sleutel van uw account of een ander account gebruiken. U kunt de coderingsinstellingen voor de aangepaste classificatietaak specificeren zoals in de volgende schermafbeelding.
Met outputcodering kan Amazon Comprehend de outputresultaten van je analyse coderen. Net als bij Amazon Comprehend-taakversleuteling, kunt u een door de klant beheerde AWS KMS-sleutel van uw account of een ander account gebruiken.
Omdat ons beleid ook afdwingt dat taken worden gestart met VPC en toegang tot beveiligingsgroepen ingeschakeld, kunt u deze instellingen specificeren in de VPC-instellingen pagina.
Amazon Comprehend API-bewerkingen en IAM-conditiesleutels
De volgende tabel geeft een overzicht van de Amazon Comprehend API-bewerkingen en de IAM-conditiesleutels die op het moment van schrijven worden ondersteund. Zie voor meer informatie Acties, bronnen en conditiesleutels voor Amazon Comprehend.
Modelversleuteling met een CMK
Naast het versleutelen van je trainingsgegevens, kun je nu je aangepaste modellen in Amazon Comprehend versleutelen met een CMK. In deze sectie gaan we dieper in op deze functie.
Voorwaarden
U moet een IAM-beleid toevoegen om een principal CMK's te laten gebruiken of beheren. CMK's worden gespecificeerd in het Resource-element van de beleidsverklaring. Bij het schrijven van uw beleidsverklaringen is het een best practice om CMK's te beperken tot die welke de principals moeten gebruiken, in plaats van de principals toegang te geven tot alle CMK's.
In het volgende voorbeeld gebruiken we een AWS KMS-sleutel (1234abcd-12ab-34cd-56ef-1234567890ab
) om een aangepast Amazon Comprehend-model te versleutelen.
Wanneer u AWS KMS-versleuteling gebruikt, zijn kms: CreateGrant en kms: RetireGrant-machtigingen vereist voor modelversleuteling.
De volgende IAM-beleidsverklaring in uw dataAccessRole die aan Amazon Comprehend wordt verstrekt, staat de opdrachtgever bijvoorbeeld toe om de create-bewerkingen alleen aan te roepen op de CMK's die worden vermeld in het Resource-element van de beleidsverklaring:
Door CMK's op te geven met sleutel ARN, wat een best practice is, zorgt u ervoor dat de machtigingen alleen zijn beperkt tot de opgegeven CMK's.
Schakel modelversleuteling in
Op het moment van schrijven is versleuteling van aangepaste modellen alleen beschikbaar via de AWS-opdrachtregelinterface (AWS CLI). In het volgende voorbeeld wordt een aangepaste classificatie gemaakt met modelversleuteling:
In het volgende voorbeeld wordt een aangepaste entiteitsherkenner getraind met modelversleuteling:
Ten slotte kunt u ook een eindpunt voor uw aangepaste model maken met versleuteling ingeschakeld:
Conclusie
U kunt nu beveiligingsinstellingen afdwingen, zoals het inschakelen van codering en VPC-instellingen voor uw Amazon Comprehend-taken met behulp van IAM-conditiesleutels. De IAM-conditiesleutels zijn in totaal beschikbaar AWS-regio's waar Amazon Comprehend beschikbaar is. U kunt de aangepaste modellen van Amazon Comprehend ook versleutelen met behulp van door de klant beheerde sleutels.
Zie voor meer informatie over de nieuwe voorwaardesleutels en het bekijken van beleidsvoorbeelden IAM-voorwaardenleutels gebruiken voor VPC-instellingen en Hulpbronnen en voorwaarden voor Amazon Comprehend API's Zie voor meer informatie over het gebruik van IAM-voorwaardesleutels IAM JSON-beleidselementen: voorwaarde.
Over de auteurs
Sam Palani is een AI / ML Specialist Solutions Architect bij AWS. Hij werkt graag samen met klanten om hen te helpen bij het ontwerpen van machine learning-oplossingen op grote schaal. Als hij geen klanten helpt, houdt hij van lezen en het buitenleven verkennen.
Shanthan Kesharaju is een Senior Architect in het AWS ProServe-team. Hij helpt onze klanten met AI / ML-strategie, architectuur en het ontwikkelen van producten met een doel. Shanthan heeft een MBA in Marketing van Duke University en een MS in Management Information Systems van Oklahoma State University.
Bron: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- toegang
- Account
- Actie
- Amazone
- Amazon begrijpt het
- analyse
- api
- APIs
- architectuur
- controleren
- AWS
- BEST
- Bellen
- classificatie
- code
- Wij creëren
- Klanten
- gegevens
- decoderen
- detail
- documenten
- Hertog
- encryptie
- Endpoint
- Kenmerk
- Tot slot
- Voornaam*
- Groep
- HTTPS
- IAM
- Identiteit
- informatie
- Jobomschrijving:
- Vacatures
- sleutel
- toetsen
- LEARN
- leren
- Beperkt
- Lijn
- lijsten
- plaats
- lang
- machine learning
- management
- Marketing
- model
- MS
- Oklahoma
- Operations
- Keuze
- Overige
- buiten
- beleidsmaatregelen door te lezen.
- beleidsmaatregelen
- privaat
- Producten
- lezing
- hulpbron
- Resources
- Resultaten
- reglement
- lopen
- Scale
- veiligheid
- reeks
- Eenvoudig
- Oplossingen
- begin
- Land
- Statement
- mediaopslag
- Strategie
- ondersteunde
- steunen
- Systems
- Tracking
- Trainingen
- treinen
- universiteit-
- gebruikers
- Bekijk
- Virtueel
- volume
- binnen
- het schrijven van