Możesz teraz kontrolować Wirtualna prywatna chmura Amazon (Amazon VPC) i ustawienia szyfrowania dla Twojego Amazon Comprehend Interfejsy API używające AWS Zarządzanie tożsamością i dostępem (IAM) i szyfruj niestandardowe modele Amazon Comprehend za pomocą kluczy zarządzanych przez klienta (CMK) za pośrednictwem Usługa zarządzania kluczami AWS (AWS KMS). Klucze warunków uprawnień umożliwiają dalsze doprecyzowanie warunków, na których mają zastosowanie zasady dotyczące uprawnień. Możesz używać nowych kluczy warunków w zasadach IAM podczas przyznawania uprawnień do tworzenia asynchronicznych zadań i tworzenia niestandardowej klasyfikacji lub zadań szkolenia niestandardowych encji.
Amazon Comprehend obsługuje teraz pięć nowych kluczy warunków:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Klucze pozwalają zagwarantować, że użytkownicy mogą tworzyć tylko te zadania, które spełniają wymagania bezpieczeństwa organizacji, takie jak zadania połączone z dozwolonymi podsieciami VPC i grupami zabezpieczeń. Możesz również użyć tych kluczy, aby wymusić ustawienia szyfrowania dla woluminów pamięci masowej, z których dane są pobierane do obliczeń i na Usługa Amazon Simple Storage (Amazon S3) zasobnik, w którym przechowywane są dane wyjściowe operacji. Jeśli użytkownicy próbują użyć interfejsu API z ustawieniami VPC lub parametrami szyfrowania, które są niedozwolone, Amazon Comprehend odrzuca operację synchronicznie z wyjątkiem 403 odmowy dostępu.
Omówienie rozwiązania
Poniższy diagram ilustruje architekturę naszego rozwiązania.
Chcemy egzekwować politykę, aby wykonać następujące czynności:
- Upewnij się, że wszystkie zadania szkoleniowe dotyczące klasyfikacji niestandardowej są określone w ustawieniach VPC
- Włącz szyfrowanie dla zadania szkoleniowego klasyfikatora, danych wyjściowych klasyfikatora i modelu Amazon Comprehend
W ten sposób, gdy ktoś rozpoczyna zadanie szkolenia niestandardowej klasyfikacji, dane szkoleniowe pobierane z Amazon S3 są kopiowane do woluminów pamięci w określonych podsieciach VPC i szyfrowane za pomocą określonego VolumeKmsKey
. Rozwiązanie zapewnia również, że wyniki szkolenia modelu są szyfrowane przy użyciu określonego OutputKmsKey
. Wreszcie sam model Amazon Comprehend jest szyfrowany kluczem AWS KMS określonym przez użytkownika, gdy jest przechowywany w VPC. Rozwiązanie wykorzystuje trzy różne klucze odpowiednio do danych, danych wyjściowych i modelu, ale możesz użyć tego samego klucza do wszystkich trzech zadań.
Ponadto ta nowa funkcja umożliwia inspekcję użycia modelu w programie Chmura AWS śledząc model użycia klucza szyfrującego.
Szyfrowanie z zasadami uprawnień
Poniższa zasada zapewnia, że użytkownicy muszą określić podsieci VPC i grupy zabezpieczeń dla ustawień VPC i kluczy AWS KMS zarówno dla klasyfikatora, jak i danych wyjściowych:
Na przykład w poniższym kodzie Użytkownik 1 podaje zarówno ustawienia VPC, jak i klucze szyfrowania, i może pomyślnie ukończyć operację:
Z drugiej strony użytkownik 2 nie udostępnia żadnych z tych wymaganych ustawień i nie może ukończyć operacji:
W poprzednich przykładach kodu, o ile ustawienia VPC i klucze szyfrowania są ustawione, można uruchomić zadanie szkolenia klasyfikatora niestandardowego. Pozostawienie VPC i ustawień szyfrowania w ich stanie domyślnym powoduje wyjątek 403 Odmowa dostępu.
W następnym przykładzie wymuszamy jeszcze bardziej rygorystyczne zasady, w których musimy ustawić VPC i ustawienia szyfrowania, aby uwzględnić również określone podsieci, grupy zabezpieczeń i klucze KMS. Ta zasada stosuje te reguły do wszystkich interfejsów API Amazon Comprehend, które uruchamiają nowe zadania asynchroniczne, tworzą niestandardowe klasyfikatory i tworzą niestandardowe urządzenia rozpoznające encje. Zobacz poniższy kod:
W następnym przykładzie najpierw tworzymy niestandardowy klasyfikator na konsoli Amazon Comprehend bez określania opcji szyfrowania. Ponieważ mamy warunki uprawnień określone w zasadach, operacja została odrzucona.
Po włączeniu szyfrowania klasyfikatora Amazon Comprehend szyfruje dane w wolumenie pamięci podczas przetwarzania zadania. Możesz użyć klucza zarządzanego przez klienta AWS KMS ze swojego konta lub innego konta. Możesz określić ustawienia szyfrowania dla zadania klasyfikatora niestandardowego, jak na poniższym zrzucie ekranu.
Szyfrowanie danych wyjściowych umożliwia Amazon Comprehend szyfrowanie wyników analizy. Podobnie jak w przypadku szyfrowania zadań Amazon Comprehend, możesz użyć klucza zarządzanego przez klienta AWS KMS ze swojego konta lub innego konta.
Ponieważ nasze zasady wymuszają również uruchamianie zadań z włączonym VPC i dostępem do grupy zabezpieczeń, możesz określić te ustawienia w Ustawienia VPC
Operacje Amazon Comprehend API i klucze warunków IAM
W poniższej tabeli wymieniono operacje interfejsu API Amazon Comprehend i klucze warunków IAM, które są obsługiwane w chwili pisania tego tekstu. Aby uzyskać więcej informacji, zapoznaj się z sekcją Akcje, zasoby i klucze warunków dla Amazon Comprehend.
Szyfrowanie modelu za pomocą CMK
Oprócz szyfrowania danych treningowych możesz teraz szyfrować własne modele w Amazon Comprehend za pomocą CMK. W tej sekcji omówimy bardziej szczegółowo tę funkcję.
Wymagania wstępne
Musisz dodać zasady IAM, aby umożliwić jednostce głównej korzystanie z CMK lub zarządzanie nimi. Zestawy CMK są określone w elemencie Resource instrukcji zasad. Pisząc oświadczenia o polityce, jest to plik najlepsze praktyki ograniczyć CMK do tych, których muszą używać jednostki główne, zamiast dawać im dostęp do wszystkich CMK.
W poniższym przykładzie używamy klucza AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
), aby zaszyfrować niestandardowy model Amazon Comprehend.
W przypadku korzystania z szyfrowania AWS KMS do szyfrowania modelu wymagane są uprawnienia kms: CreateGrant i kms: RetireGrant.
Na przykład następująca instrukcja polityki IAM w Twojej dataAccessRole przekazana do Amazon Comprehend umożliwia jednostce głównej wywoływanie operacji tworzenia tylko na zestawach CMK wymienionych w elemencie zasobów w oświadczeniu zasad:
Określanie CMK za pomocą klucza ARN, co jest najlepszą praktyką, zapewnia, że uprawnienia są ograniczone tylko do określonych CMK.
Włącz szyfrowanie modelu
W chwili pisania tego tekstu szyfrowanie modelu niestandardowego jest dostępne tylko za pośrednictwem Interfejs wiersza poleceń AWS (AWS CLI). Poniższy przykład tworzy klasyfikator niestandardowy z szyfrowaniem modelu:
Następny przykład szkoli moduł rozpoznawania jednostek niestandardowych z szyfrowaniem modelu:
Na koniec możesz również utworzyć punkt końcowy dla swojego modelu niestandardowego z włączonym szyfrowaniem:
Wnioski
Możesz teraz wymusić ustawienia bezpieczeństwa, takie jak włączanie ustawień szyfrowania i VPC dla zadań Amazon Comprehend, używając kluczy warunków IAM. Klucze warunków IAM są dostępne we wszystkich Regiony AWS gdzie Amazon Comprehend jest dostępny. Możesz również zaszyfrować niestandardowe modele Amazon Comprehend za pomocą kluczy zarządzanych przez klienta.
Aby dowiedzieć się więcej o nowych kluczach warunków i wyświetlić przykłady zasad, zobacz Używanie kluczy warunków uprawnień do ustawień VPC i Zasoby i warunki dotyczące interfejsów API Amazon Comprehend. Aby dowiedzieć się więcej o używaniu kluczy warunkowych uprawnień, zobacz Elementy zasad IAM JSON: stan.
O autorach
Sama Palaniego jest specjalistą ds. rozwiązań AI / ML w AWS. Lubi pracować z klientami, pomagając im w projektowaniu rozwiązań uczenia maszynowego na dużą skalę. Kiedy nie pomaga klientom, lubi czytać i odkrywać na świeżym powietrzu.
Shanthan Kesharaju jest starszym architektem w zespole AWS ProServe. Pomaga naszym klientom w strategii AI / ML, architekturze i opracowywaniu produktów w określonym celu. Shanthan ma tytuł MBA z marketingu na Uniwersytecie Duke oraz tytuł magistra w zakresie systemów informacji zarządczej na Uniwersytecie Stanowym Oklahoma.
Źródło: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- dostęp
- Konto
- Działania
- Amazonka
- Amazon Comprehend
- analiza
- api
- Pszczoła
- architektura
- Audyt
- AWS
- BEST
- wezwanie
- klasyfikacja
- kod
- Tworzenie
- Klientów
- dane
- Odszyfruj
- detal
- dokumenty
- Książę
- szyfrowanie
- Punkt końcowy
- Cecha
- W końcu
- i terminów, a
- Zarządzanie
- HTTPS
- IAM
- tożsamość
- Informacja
- Praca
- Oferty pracy
- Klawisz
- Klawisze
- UCZYĆ SIĘ
- nauka
- Ograniczony
- Linia
- wykazy
- lokalizacja
- długo
- uczenie maszynowe
- i konserwacjami
- Marketing
- model
- MS
- Oklahoma
- operacje
- Option
- Inne
- na zewnątrz
- polityka
- polityka
- prywatny
- Produkty
- Czytający
- Zasób
- Zasoby
- Efekt
- reguły
- run
- Skala
- bezpieczeństwo
- zestaw
- Prosty
- Rozwiązania
- początek
- Stan
- Zestawienie sprzedaży
- przechowywanie
- Strategia
- Utrzymany
- podpory
- systemy
- Śledzenie
- Trening
- pociągi
- uniwersytet
- Użytkownicy
- Zobacz i wysłuchaj
- Wirtualny
- Tom
- w ciągu
- pisanie