Acum puteți controla Cloud virtual virtual Amazon (Amazon VPC) și setări de criptare pentru dvs Amazon Comprehend API-uri care folosesc Gestionarea identității și accesului AWS (IAM) și criptați modelele personalizate Amazon Comprehend folosind chei gestionate de client (CMK) prin AWS Service Management Service (AWS KMS). Cheile de condiție IAM vă permit să rafinați și mai mult condițiile în care se aplică o declarație de politică IAM. Puteți utiliza noile chei de condiție din politicile IAM atunci când acordați permisiuni pentru a crea joburi asincrone și pentru a crea joburi personalizate de clasificare sau de formare a entităților personalizate.
Amazon Comprehend acceptă acum cinci chei de condiție noi:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Cheile vă permit să vă asigurați că utilizatorii pot crea numai locuri de muncă care îndeplinesc postura de securitate a organizației dvs., cum ar fi locuri de muncă care sunt conectate la subrețelele VPC și grupurile de securitate permise. De asemenea, puteți utiliza aceste chei pentru a aplica setările de criptare pentru volumele de stocare în care datele sunt trase în jos pentru calcul și pe Serviciul Amazon de stocare simplă (Amazon S3) găleată în care este stocată rezultatul operațiunii. Dacă utilizatorii încearcă să folosească un API cu setări VPC sau parametri de criptare care nu sunt permisi, Amazon Comprehend respinge operațiunea în mod sincron cu o excepție 403 Acces refuzat.
Prezentare generală a soluțiilor
Următoarea diagramă ilustrează arhitectura soluției noastre.
Dorim să aplicăm o politică pentru a face următoarele:
- Asigurați-vă că toate joburile de instruire personalizate de clasificare sunt specificate cu setările VPC
- Aveți activată criptarea pentru jobul de instruire a clasificatorului, ieșirea clasificatorului și modelul Amazon Comprehend
În acest fel, atunci când cineva începe o lucrare de instruire personalizată de clasificare, datele de instruire care sunt extrase din Amazon S3 sunt copiate în volumele de stocare din subrețelele VPC specificate și sunt criptate cu datele specificate. VolumeKmsKey
. Soluția se asigură, de asemenea, că rezultatele antrenamentului modelului sunt criptate cu specificația OutputKmsKey
. În cele din urmă, modelul Amazon Comprehend în sine este criptat cu cheia AWS KMS specificată de utilizator atunci când este stocat în VPC. Soluția folosește trei chei diferite pentru date, ieșire și, respectiv, model, dar puteți alege să utilizați aceeași cheie pentru toate cele trei sarcini.
În plus, această nouă funcționalitate vă permite să auditați utilizarea modelului în AWS CloudTrail prin urmărirea utilizării cheii de criptare a modelului.
Criptare cu politici IAM
Următoarea politică se asigură că utilizatorii trebuie să specifice subrețelele VPC și grupurile de securitate pentru setările VPC și cheile AWS KMS atât pentru clasificator, cât și pentru ieșire:
De exemplu, în următorul cod, utilizatorul 1 furnizează atât setările VPC, cât și cheile de criptare și poate finaliza cu succes operația:
Utilizatorul 2, pe de altă parte, nu furnizează niciuna dintre aceste setări necesare și nu are voie să finalizeze operația:
În exemplele de cod anterioare, atâta timp cât setările VPC și cheile de criptare sunt setate, puteți rula sarcina de instruire a clasificatorului personalizat. Lăsarea VPC-ului și a setărilor de criptare în starea lor implicită are ca rezultat o excepție 403 Acces refuzat.
În exemplul următor, aplicăm o politică și mai strictă, în care trebuie să setăm setările VPC și de criptare pentru a include și anumite subrețele, grupuri de securitate și chei KMS. Această politică aplică aceste reguli pentru toate API-urile Amazon Comprehend care pornesc noi lucrări asincrone, creează clasificatoare personalizate și creează recunoașteri de entități personalizate. Vezi următorul cod:
În exemplul următor, mai întâi creăm un clasificator personalizat pe consola Amazon Comprehend fără a specifica opțiunea de criptare. Deoarece avem condițiile IAM specificate în politică, operațiunea este refuzată.
Când activați criptarea clasificatorului, Amazon Comprehend criptează datele din volumul de stocare în timp ce lucrarea dvs. este procesată. Puteți utiliza fie o cheie gestionată de client AWS KMS din contul dvs., fie un alt cont. Puteți specifica setările de criptare pentru jobul de clasificator personalizat ca în următoarea captură de ecran.
Criptarea rezultatelor permite Amazon Comprehend să cripteze rezultatele analizei dvs. Similar cu criptarea jobului Amazon Comprehend, puteți fie să utilizați o cheie gestionată de client AWS KMS din contul dvs. sau din alt cont.
Deoarece politica noastră impune, de asemenea, ca joburile să fie lansate cu accesul VPC și la grupul de securitate activat, puteți specifica aceste setări în setări VPC secţiune.
Operațiunile API Amazon Comprehend și cheile de condiție IAM
Următorul tabel listează operațiunile Amazon Comprehend API și cheile de condiție IAM care sunt acceptate la momentul scrierii acestui articol. Pentru mai multe informații, consultați Acțiuni, resurse și chei de condiție pentru Amazon Comprehend.
Model de criptare cu un CMK
Pe lângă criptarea datelor de antrenament, acum puteți cripta modelele personalizate în Amazon Comprehend folosind un CMK. În această secțiune, intrăm în mai multe detalii despre această caracteristică.
Cerințe preliminare
Trebuie să adăugați o politică IAM pentru a permite unui principal să utilizeze sau să gestioneze CMK. CMK-urile sunt specificate în elementul Resource al declarației de politică. Când scrieți declarațiile dvs. de politică, este a cele mai bune practici să limiteze CMK-urile la cele pe care directorii trebuie să le folosească, mai degrabă decât să le ofere directorilor acces la toate CMK-urile.
În exemplul următor, folosim o cheie AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) pentru a cripta un model personalizat Amazon Comprehend.
Când utilizați criptarea AWS KMS, permisiunile kms:CreateGrant și kms:RetireGrant sunt necesare pentru criptarea modelului.
De exemplu, următoarea declarație de politică IAM din dataAccessRole furnizată Amazon Comprehend permite principalului să apeleze operațiunile de creare numai pe CMK-urile enumerate în elementul Resource din declarația de politică:
Specificarea CMK-urilor după ARN cheie, care este o bună practică, asigură că permisiunile sunt limitate numai la CMK-urile specificate.
Activați criptarea modelului
În momentul scrierii acestui articol, criptarea modelului personalizat este disponibilă numai prin intermediul Interfața liniei de comandă AWS (AWS CLI). Următorul exemplu creează un clasificator personalizat cu criptare model:
Următorul exemplu antrenează un dispozitiv de recunoaștere personalizat de entități cu criptare model:
În cele din urmă, puteți crea și un punct final pentru modelul dvs. personalizat cu criptarea activată:
Concluzie
Acum puteți aplica setări de securitate, cum ar fi activarea setărilor de criptare și VPC pentru joburile dvs. Amazon Comprehend folosind cheile de condiție IAM. Cheile de stare IAM sunt disponibile în toate Regiunile AWS unde este disponibil Amazon Comprehend. De asemenea, puteți cripta modelele personalizate Amazon Comprehend folosind chei gestionate de client.
Pentru a afla mai multe despre noile chei de condiție și pentru a vedea exemple de politici, consultați Utilizarea cheilor de condiție IAM pentru setările VPC și Resurse și condiții pentru API-urile Amazon Comprehend. Pentru a afla mai multe despre utilizarea cheilor de condiție IAM, consultați Elemente de politică IAM JSON: Condiție.
Despre Autori
Sam Palani este arhitect specializat în soluții AI/ML la AWS. Îi place să lucreze cu clienții pentru a-i ajuta să proiecteze soluții de învățare automată la scară. Când nu ajută clienții, îi place să citească și să exploreze în aer liber.
Shanthan Kesharaju este arhitect senior în echipa AWS ProServe. El ne ajută clienții cu strategia AI / ML, arhitectura și dezvoltarea de produse cu un scop. Shanthan are un MBA în Marketing de la Duke University și un MS în Management Information Systems de la Oklahoma State University.
Sursa: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- acces
- Cont
- Acțiune
- Amazon
- Amazon Comprehend
- analiză
- api
- API-uri
- arhitectură
- de audit
- AWS
- CEL MAI BUN
- apel
- clasificare
- cod
- Crearea
- clienţii care
- de date
- decriptaţi
- detaliu
- documente
- Duce
- criptare
- Punct final
- Caracteristică
- În cele din urmă
- First
- grup
- HTTPS
- IAM
- Identitate
- informații
- Loc de munca
- Locuri de munca
- Cheie
- chei
- AFLAȚI
- învăţare
- Limitat
- Linie
- liste
- locaţie
- Lung
- masina de învățare
- administrare
- Marketing
- model
- MS
- Oklahoma
- Operațiuni
- Opțiune
- Altele
- în aer liber
- Politicile
- Politica
- privat
- Produse
- Citind
- resursă
- Resurse
- REZULTATE
- norme
- Alerga
- Scară
- securitate
- set
- simplu
- soluţii
- Începe
- Stat
- Declarație
- depozitare
- Strategie
- Suportat
- Sprijină
- sisteme
- Urmărire
- Pregătire
- trenuri
- universitate
- utilizatorii
- Vizualizare
- Virtual
- volum
- în
- scris