Du kan nå kontrollere Amazon Virtual Private Cloud (Amazon VPC) og krypteringsinnstillinger for din Amazon Comprehend APIer som bruker AWS identitets- og tilgangsadministrasjon (IAM) tilstandsnøkler, og krypter dine egendefinerte Amazon Comprehend-modeller ved å bruke kundeadministrerte nøkler (CMK) via AWS nøkkelstyringstjeneste (AWS KMS). IAM-betingelsesnøkler gjør at du kan avgrense betingelsene for en IAM-policyerklæring ytterligere. Du kan bruke de nye betingelsesnøklene i IAM-policyer når du gir tillatelser til å opprette asynkrone jobber og opprette tilpassede klassifiserings- eller tilpassede enhetertreningsjobber.
Amazon Comprehend støtter nå fem nye tilstandsnøkler:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Nøklene lar deg sikre at brukere bare kan opprette jobber som oppfyller organisasjonens sikkerhetsstilling, for eksempel jobber som er koblet til de tillatte VPC-undernettene og sikkerhetsgruppene. Du kan også bruke disse nøklene til å håndheve krypteringsinnstillinger for lagringsvolumene der dataene trekkes ned for beregning og på Amazon enkel lagringstjeneste (Amazon S3) bøtte hvor produksjonen av operasjonen er lagret. Hvis brukere prøver å bruke et API med VPC-innstillinger eller krypteringsparametere som ikke er tillatt, avviser Amazon Comprehend operasjonen synkront med et 403 Access Denied-unntak.
Løsningsoversikt
Følgende diagram illustrerer arkitekturen til løsningen vår.
Vi ønsker å håndheve en policy for å gjøre følgende:
- Sørg for at alle tilpassede klassifiseringsopplæringsjobber er spesifisert med VPC-innstillinger
- Ha kryptering aktivert for klassifiseringsopplæringsjobben, klassifiseringsutgangen og Amazon Comprehend-modellen
På denne måten, når noen starter en tilpasset klassifiseringsopplæringsjobb, kopieres treningsdataene som hentes inn fra Amazon S3 til lagringsvolumene i de spesifiserte VPC-undernettene og krypteres med de spesifiserte VolumeKmsKey
. Løsningen sørger også for at resultatene av modellopplæringen er kryptert med spesifisert OutputKmsKey
. Til slutt er selve Amazon Comprehend-modellen kryptert med AWS KMS-nøkkelen spesifisert av brukeren når den er lagret i VPC. Løsningen bruker tre forskjellige nøkler for henholdsvis data, utdata og modell, men du kan velge å bruke samme nøkkel for alle tre oppgavene.
I tillegg lar denne nye funksjonaliteten deg overvåke modellbruk i AWS CloudTrail ved å spore bruken av modellens krypteringsnøkkel.
Kryptering med IAM-policyer
Følgende policy sørger for at brukere må spesifisere VPC-undernett og sikkerhetsgrupper for VPC-innstillinger og AWS KMS-nøkler for både klassifisereren og utgangen:
For eksempel, i følgende kode, gir bruker 1 både VPC-innstillingene og krypteringsnøklene, og kan fullføre operasjonen:
Bruker 2, på den annen side, gir ingen av disse nødvendige innstillingene og har ikke lov til å fullføre operasjonen:
I de foregående kodeeksemplene, så lenge VPC-innstillingene og krypteringsnøklene er angitt, kan du kjøre opplæringsjobben for tilpasset klassifisering. Å la VPC- og krypteringsinnstillingene være i standardtilstanden resulterer i et 403 Access Denied-unntak.
I det neste eksemplet håndhever vi en enda strengere policy, der vi må sette VPC- og krypteringsinnstillingene til også å inkludere spesifikke undernett, sikkerhetsgrupper og KMS-nøkler. Denne policyen bruker disse reglene for alle Amazon Comprehend API-er som starter nye asynkrone jobber, oppretter tilpassede klassifiseringer og oppretter egendefinerte enhetsgjenkjennere. Se følgende kode:
I det neste eksemplet lager vi først en tilpasset klassifisering på Amazon Comprehend-konsollen uten å spesifisere krypteringsalternativet. Fordi vi har IAM-betingelsene spesifisert i policyen, nektes operasjonen.
Når du aktiverer klassifiseringskryptering, krypterer Amazon Comprehend dataene i lagringsvolumet mens jobben din behandles. Du kan enten bruke en AWS KMS-kundeadministrert nøkkel fra kontoen din eller en annen konto. Du kan spesifisere krypteringsinnstillingene for den tilpassede klassifiseringsjobben som i følgende skjermbilde.
Utdatakryptering gjør det mulig for Amazon Comprehend å kryptere utdataresultatene fra analysen din. I likhet med Amazon Comprehend jobbkryptering kan du enten bruke en AWS KMS kundeadministrert nøkkel fra kontoen din eller en annen konto.
Fordi policyen vår også håndhever jobbene som skal lanseres med VPC og sikkerhetsgruppetilgang aktivert, kan du spesifisere disse innstillingene i VPC-innstillinger seksjon.
Amazon Comprehend API-operasjoner og IAM-tilstandsnøkler
Følgende tabell viser Amazon Comprehend API-operasjoner og IAM-tilstandsnøkler som støttes når dette skrives. For mer informasjon, se Handlinger, ressurser og tilstandsnøkler for Amazon Comprehend.
Modellkryptering med en CMK
Sammen med kryptering av treningsdataene dine, kan du nå kryptere de tilpassede modellene dine i Amazon Comprehend ved hjelp av en CMK. I denne delen går vi nærmere inn på denne funksjonen.
Forutsetninger
Du må legge til en IAM-policy for å tillate en rektor å bruke eller administrere CMK-er. CMK-er er spesifisert i ressurselementet i policyerklæringen. Når du skriver policyerklæringene dine, er det en beste praksis å begrense CMK-er til de rektorene trenger å bruke, i stedet for å gi rektorene tilgang til alle CMK-er.
I følgende eksempel bruker vi en AWS KMS-nøkkel (1234abcd-12ab-34cd-56ef-1234567890ab
) for å kryptere en tilpasset Amazon Comprehend-modell.
Når du bruker AWS KMS-kryptering, kreves tillatelser kms:CreateGrant og kms:RetireGrant for modellkryptering.
Følgende IAM-policyerklæring i dataAccessRole gitt til Amazon Comprehend lar for eksempel oppdragsgiveren kalle opprettingsoperasjonene bare på CMK-ene som er oppført i ressurselementet i policyerklæringen:
Ved å spesifisere CMK-er med nøkkel-ARN, som er en beste praksis, sikrer du at tillatelsene bare er begrenset til de spesifiserte CMK-ene.
Aktiver modellkryptering
Når dette skrives, er tilpasset modellkryptering kun tilgjengelig via AWS kommandolinjegrensesnitt (AWS CLI). Følgende eksempel oppretter en tilpasset klassifisering med modellkryptering:
Det neste eksemplet trener en tilpasset enhetsgjenkjenner med modellkryptering:
Til slutt kan du også opprette et endepunkt for din egendefinerte modell med kryptering aktivert:
konklusjonen
Du kan nå håndheve sikkerhetsinnstillinger som å aktivere kryptering og VPC-innstillinger for Amazon Comprehend-jobbene dine ved å bruke IAM-tilstandsnøkler. IAM-tilstandsnøklene er tilgjengelige i alle AWS-regioner hvor Amazon Comprehend er tilgjengelig. Du kan også kryptere de tilpassede Amazon Comprehend-modellene ved å bruke kundeadministrerte nøkler.
For å lære mer om de nye betingelsesnøklene og se policyeksempler, se Bruke IAM-tilstandsnøkler for VPC-innstillinger og Ressurs og betingelser for Amazon Comprehend APIer. For å lære mer om bruk av IAM-tilstandsnøkler, se IAM JSON-policyelementer: Tilstand.
Om forfatterne
Sam Palani er AI/ML Specialist Solutions Architect hos AWS. Han liker å jobbe med kunder for å hjelpe dem med å bygge maskinlæringsløsninger i stor skala. Når han ikke hjelper kunder, liker han å lese og utforske naturen.
Shanthan Kesharaju er seniorarkitekt i AWS ProServe-teamet. Han hjelper våre kunder med AI/ML-strategi, arkitektur og utvikling av produkter med et formål. Shanthan har en MBA i markedsføring fra Duke University og en MS i Management Information Systems fra Oklahoma State University.
Kilde: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- adgang
- Logg inn
- Handling
- Amazon
- Amazon Comprehend
- analyse
- api
- APIer
- arkitektur
- revisjon
- AWS
- BEST
- ring
- klassifisering
- kode
- Opprette
- Kunder
- dato
- dekryptere
- detalj
- dokumenter
- Duke
- kryptering
- Endpoint
- Trekk
- Endelig
- Først
- Gruppe
- HTTPS
- IAM
- Identitet
- informasjon
- Jobb
- Jobb
- nøkkel
- nøkler
- LÆRE
- læring
- Begrenset
- linje
- lister
- plassering
- Lang
- maskinlæring
- ledelse
- Marketing
- modell
- MS
- Oklahoma
- Drift
- Alternativ
- Annen
- utendørs
- Politikk
- politikk
- privat
- Produkter
- Lesning
- ressurs
- Ressurser
- Resultater
- regler
- Kjør
- Skala
- sikkerhet
- sett
- Enkelt
- Solutions
- Begynn
- Tilstand
- Uttalelse
- lagring
- Strategi
- Støttes
- Støtter
- Systemer
- Sporing
- Kurs
- Togene
- universitet
- Brukere
- Se
- virtuelle
- volum
- innenfor
- skriving