Agora você pode controlar o Nuvem virtual privada da Amazon (Amazon VPC) e configurações de criptografia para o seu Amazon Comprehend APIs usando Gerenciamento de acesso e identidade da AWS (IAM) chaves de condição e criptografar seus modelos personalizados Amazon Comprehend usando chaves gerenciadas pelo cliente (CMK) via Serviço de gerenciamento de chaves AWS (AWS KMS). As chaves de condição do IAM permitem que você refine ainda mais as condições sob as quais uma declaração de política do IAM se aplica. Você pode usar as novas chaves de condição nas políticas do IAM ao conceder permissões para criar trabalhos assíncronos e criar classificação personalizada ou trabalhos de treinamento de entidade personalizados.
O Amazon Comprehend agora oferece suporte a cinco novas chaves de condição:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
As chaves permitem que você garanta que os usuários só possam criar trabalhos que atendam à postura de segurança da sua organização, como trabalhos que estão conectados às sub-redes VPC e grupos de segurança permitidos. Você também pode usar essas chaves para impor configurações de criptografia para os volumes de armazenamento onde os dados são puxados para baixo para computação e no Serviço de armazenamento simples da Amazon (Amazon S3) bucket onde a saída da operação é armazenada. Se os usuários tentarem usar uma API com configurações de VPC ou parâmetros de criptografia não permitidos, o Amazon Comprehend rejeitará a operação de forma síncrona com uma exceção 403 Acesso negado.
Visão geral da solução
O diagrama a seguir ilustra a arquitetura de nossa solução.
Queremos aplicar uma política para fazer o seguinte:
- Certifique-se de que todos os jobs de treinamento de classificação personalizada sejam especificados com as configurações de VPC
- Ter a criptografia ativada para o trabalho de treinamento do classificador, a saída do classificador e o modelo Amazon Comprehend
Dessa forma, quando alguém inicia um trabalho de treinamento de classificação personalizada, os dados de treinamento extraídos do Amazon S3 são copiados para os volumes de armazenamento em suas sub-redes VPC especificadas e são criptografados com o especificado VolumeKmsKey
. A solução também garante que os resultados do treinamento do modelo sejam criptografados com o OutputKmsKey
. Finalmente, o próprio modelo Amazon Comprehend é criptografado com a chave AWS KMS especificada pelo usuário quando é armazenado no VPC. A solução usa três chaves diferentes para os dados, saída e modelo, respectivamente, mas você pode escolher usar a mesma chave para todas as três tarefas.
Além disso, esta nova funcionalidade permite auditar o uso do modelo em AWS CloudTrail rastreando o uso da chave de criptografia do modelo.
Criptografia com políticas IAM
A política a seguir garante que os usuários devem especificar sub-redes VPC e grupos de segurança para configurações de VPC e chaves AWS KMS para o classificador e saída:
Por exemplo, no código a seguir, o usuário 1 fornece as configurações de VPC e as chaves de criptografia e pode concluir a operação com êxito:
O usuário 2, por outro lado, não fornece nenhuma dessas configurações obrigatórias e não tem permissão para concluir a operação:
Nos exemplos de código anteriores, contanto que as configurações de VPC e as chaves de criptografia estejam definidas, você pode executar o job de treinamento do classificador personalizado. Deixar as configurações de VPC e criptografia em seu estado padrão resulta em uma exceção 403 Acesso negado.
No próximo exemplo, aplicamos uma política ainda mais rígida, na qual temos que definir as configurações de VPC e criptografia para incluir também sub-redes específicas, grupos de segurança e chaves KMS. Esta política aplica essas regras para todas as APIs do Amazon Comprehend que iniciam novos trabalhos assíncronos, criam classificadores personalizados e criam reconhecedores de entidade personalizados. Veja o seguinte código:
No próximo exemplo, primeiro criamos um classificador personalizado no console do Amazon Comprehend sem especificar a opção de criptografia. Como temos as condições do IAM especificadas na política, a operação foi negada.
Quando você ativa a criptografia do classificador, o Amazon Comprehend criptografa os dados no volume de armazenamento enquanto seu trabalho está sendo processado. Você pode usar uma chave gerenciada de cliente AWS KMS de sua conta ou de uma conta diferente. Você pode especificar as configurações de criptografia para o trabalho do classificador personalizado como na captura de tela a seguir.
A criptografia de saída permite que o Amazon Comprehend criptografe os resultados de saída de sua análise. Semelhante à criptografia de trabalho do Amazon Comprehend, você pode usar uma chave gerenciada do cliente AWS KMS de sua conta ou de outra conta.
Como nossa política também impõe que os trabalhos sejam iniciados com VPC e acesso ao grupo de segurança habilitado, você pode especificar essas configurações no Configurações de VPC seção.
Operações de API do Amazon Comprehend e chaves de condição IAM
A tabela a seguir lista as operações da API do Amazon Comprehend e as chaves de condição do IAM com suporte até o momento desta escrita. Para mais informações, veja Ações, recursos e chaves de condição para Amazon Comprehend.
Criptografia de modelo com um CMK
Além de criptografar seus dados de treinamento, agora você pode criptografar seus modelos personalizados no Amazon Comprehend usando um CMK. Nesta seção, entraremos em mais detalhes sobre esse recurso.
Pré-requisitos
Você precisa adicionar uma política IAM para permitir que um principal use ou gerencie CMKs. CMKs são especificados no elemento Resource da declaração de política. Ao escrever suas declarações de política, é um melhores práticas para limitar os CMKs àqueles que os principais precisam usar, em vez de dar aos principais acesso a todos os CMKs.
No exemplo a seguir, usamos uma chave AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) para criptografar um modelo personalizado do Amazon Comprehend.
Ao usar a criptografia AWS KMS, as permissões kms: CreateGrant e kms: RetireGrant são necessárias para a criptografia do modelo.
Por exemplo, a seguinte declaração de política IAM em seu dataAccessRole fornecida ao Amazon Comprehend permite que o principal chame as operações de criação apenas nos CMKs listados no elemento Resource da declaração de política:
Especificar CMKs por ARN de chave, que é uma prática recomendada, garante que as permissões sejam limitadas apenas aos CMKs especificados.
Habilitar criptografia de modelo
No momento em que este livro foi escrito, a criptografia de modelo personalizado está disponível apenas por meio do Interface de linha de comando da AWS (AWS CLI). O exemplo a seguir cria um classificador personalizado com criptografia de modelo:
O próximo exemplo treina um reconhecedor de entidade personalizado com criptografia de modelo:
Por fim, você também pode criar um endpoint para seu modelo personalizado com a criptografia habilitada:
Conclusão
Agora você pode aplicar configurações de segurança como habilitar a criptografia e as configurações de VPC para seus trabalhos do Amazon Comprehend usando chaves de condição IAM. As chaves de condição IAM estão disponíveis em todos Regiões AWS onde o Amazon Comprehend está disponível. Você também pode criptografar os modelos personalizados da Amazon Comprehend usando chaves gerenciadas pelo cliente.
Para saber mais sobre as novas chaves de condição e ver exemplos de política, consulte Usando chaves de condição IAM para configurações de VPC e Recursos e condições para APIs do Amazon Comprehend. Para saber mais sobre como usar as chaves de condição IAM, consulte Elementos da política IAM JSON: Condição.
Sobre os autores
Sam Palani é arquiteto de soluções especialista em AI / ML na AWS. Ele gosta de trabalhar com os clientes para ajudá-los a arquitetar soluções de aprendizado de máquina em escala. Quando não está ajudando os clientes, ele gosta de ler e explorar o ar livre.
Shanthan Kesharaju é arquiteto sênior na equipe AWS ProServe. Ele ajuda nossos clientes com estratégia, arquitetura e desenvolvimento de produtos de IA / ML com um propósito. Shanthan possui MBA em Marketing pela Duke University e mestrado em Management Information Systems pela Oklahoma State University.
Fonte: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- Acesso
- Conta
- Açao Social
- Amazon
- Amazon Comprehend
- análise
- api
- APIs
- arquitetura
- auditor
- AWS
- MELHOR
- chamada
- classificação
- código
- Criar
- Clientes
- dados,
- Descifrar
- detalhe
- INSTITUCIONAIS
- Duque
- criptografia
- Ponto final
- Característica
- Finalmente
- Primeiro nome
- Grupo
- HTTPS
- IAM
- Dados de identificação:
- INFORMAÇÕES
- Trabalho
- Empregos
- Chave
- chaves
- APRENDER
- aprendizagem
- Limitado
- Line
- listas
- localização
- longo
- aprendizado de máquina
- de grupos
- Marketing
- modelo
- MS
- Oklahoma
- Operações
- Opção
- Outros
- ao ar livre
- políticas
- Privacidade
- privado
- Produtos
- Leitura
- recurso
- Recursos
- Resultados
- regras
- Execute
- Escala
- segurança
- conjunto
- simples
- Soluções
- começo
- Estado
- Declaração
- armazenamento
- Estratégia
- Suportado
- suportes
- sistemas
- Rastreamento
- Training
- trens
- universidade
- usuários
- Ver
- Virtual
- volume
- dentro
- escrita