Теперь вы можете контролировать Виртуальное частное облако Amazon (Amazon VPC) и настройки шифрования для вашего Amazon Comprehend API, использующие Управление идентификацией и доступом AWS (IAM) и шифруйте пользовательские модели Amazon Comprehend с помощью ключей, управляемых клиентом (CMK), через Служба управления ключами AWS (АВС КМС). Ключи условий IAM позволяют уточнить условия, при которых применяется заявление политики IAM. Вы можете использовать новые ключи условий в политиках IAM при предоставлении разрешений на создание асинхронных заданий и создании заданий пользовательской классификации или обучения пользовательских сущностей.
Amazon Comprehend теперь поддерживает пять новых ключей условий:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Ключи позволяют вам гарантировать, что пользователи смогут создавать только задания, соответствующие уровню безопасности вашей организации, например задания, подключенные к разрешенным подсетям и группам безопасности VPC. Вы также можете использовать эти ключи для принудительного применения настроек шифрования для томов хранения, где данные извлекаются для вычислений, и на Простой сервис хранения Amazon (Amazon S3) сегмент, в котором сохраняются выходные данные операции. Если пользователи пытаются использовать API с запрещенными настройками VPC или параметрами шифрования, Amazon Comprehend синхронно отклоняет операцию с исключением 403 Access Denied.
Обзор решения
На следующей диаграмме показана архитектура нашего решения.
Мы хотим обеспечить соблюдение политики для выполнения следующих действий:
- Убедитесь, что все задания по обучению пользовательской классификации указаны с настройками VPC.
- Включите шифрование для задания обучения классификатора, выходных данных классификатора и модели Amazon Comprehend.
Таким образом, когда кто-то запускает задание по обучению пользовательской классификации, данные обучения, полученные из Amazon S3, копируются в тома хранения в указанных вами подсетях VPC и шифруются указанным ключом. VolumeKmsKey
. Решение также гарантирует, что результаты обучения модели зашифрованы с указанным OutputKmsKey
. Наконец, сама модель Amazon Comprehend шифруется с помощью ключа AWS KMS, указанного пользователем при ее хранении в VPC. В решении используются три разных ключа для данных, выходных данных и модели соответственно, но вы можете использовать один и тот же ключ для всех трех задач.
Кроме того, эта новая функциональность позволяет вам проверять использование модели в AWS CloudTrail отслеживая использование ключа шифрования модели.
Шифрование с помощью политик IAM
Следующая политика гарантирует, что пользователи должны указывать подсети VPC и группы безопасности для настроек VPC и ключей AWS KMS как для классификатора, так и для выходных данных:
Например, в следующем коде Пользователь 1 предоставляет как настройки VPC, так и ключи шифрования и может успешно завершить операцию:
С другой стороны, пользователь 2 не предоставляет ни одной из этих обязательных настроек и не имеет права завершить операцию:
В предыдущих примерах кода, если заданы параметры VPC и ключи шифрования, вы можете запустить задание обучения пользовательского классификатора. Если оставить параметры VPC и шифрования в состоянии по умолчанию, это приведет к исключению 403 Access Denied.
В следующем примере мы применяем еще более строгую политику, в которой нам необходимо настроить VPC и параметры шифрования, чтобы они также включали определенные подсети, группы безопасности и ключи KMS. Эта политика применяет эти правила ко всем API-интерфейсам Amazon Comprehend, которые запускают новые асинхронные задания, создают пользовательские классификаторы и специальные распознаватели сущностей. См. следующий код:
В следующем примере мы сначала создаем собственный классификатор в консоли Amazon Comprehend без указания параметра шифрования. Поскольку в политике указаны условия IAM, операция запрещена.
Когда вы включаете шифрование классификатора, Amazon Comprehend шифрует данные в томе хранилища во время обработки вашего задания. Вы можете использовать ключ, управляемый клиентом AWS KMS, из своей учетной записи или другой учетной записи. Вы можете указать параметры шифрования для задания пользовательского классификатора, как показано на следующем снимке экрана.
Шифрование выходных данных позволяет Amazon Comprehend шифровать выходные результаты вашего анализа. Подобно шифрованию заданий Amazon Comprehend, вы можете использовать ключ, управляемый клиентом AWS KMS, из своей учетной записи или другой учетной записи.
Поскольку наша политика также требует, чтобы задания запускались с включенным доступом к VPC и группам безопасности, вы можете указать эти параметры в Настройки VPC .
Операции Amazon Comprehend API и ключи условий IAM
В следующей таблице перечислены операции API Amazon Comprehend и ключи условий IAM, которые поддерживаются на момент написания этой статьи. Для получения дополнительной информации см. Действия, ресурсы и ключи условий для Amazon Comprehend.
Шифрование модели с помощью CMK
Помимо шифрования данных обучения, теперь вы можете зашифровать свои пользовательские модели в Amazon Comprehend с помощью CMK. В этом разделе мы более подробно расскажем об этой функции.
Предпосылки
Вам необходимо добавить политику IAM, чтобы разрешить принципалу использовать или управлять CMK. CMK указываются в элементе Resource заявления о политике. Когда вы пишете свои политические заявления, это лучшая практика ограничить CMK теми, которые принципалу необходимо использовать, вместо того, чтобы предоставлять принципалам доступ ко всем CMK.
В следующем примере мы используем ключ AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) для шифрования пользовательской модели Amazon Comprehend.
При использовании шифрования AWS KMS для шифрования модели требуются разрешения kms:CreateGrant и kms:RetireGrant.
Например, следующий оператор политики IAM в вашей роли dataAccessRole, предоставленной Amazon Comprehend, позволяет принципалу вызывать операции создания только для CMK, перечисленных в элементе Resource заявления о политике:
Указание CMK по ключу ARN (рекомендованный вариант) гарантирует, что разрешения будут ограничены только указанными CMK.
Включить шифрование модели
На момент написания этой статьи шифрование пользовательской модели доступно только через Интерфейс командной строки AWS (AWS CLI). В следующем примере создается пользовательский классификатор с шифрованием модели:
В следующем примере обучается пользовательский распознаватель объектов с шифрованием модели:
Наконец, вы также можете создать конечную точку для своей пользовательской модели с включенным шифрованием:
Заключение
Теперь вы можете применять такие настройки безопасности, как включение шифрования и настройки VPC, для ваших заданий Amazon Comprehend, используя ключи условий IAM. Ключи условий IAM доступны во всех AWS Регионы где доступен Amazon Comprehend. Вы также можете зашифровать пользовательские модели Amazon Comprehend с помощью ключей, управляемых клиентом.
Чтобы узнать больше о новых ключах условий и просмотреть примеры политик, см. Использование ключей условий IAM для настроек VPC и Ресурс и условия для API Amazon Comprehend. Дополнительные сведения об использовании ключей условий IAM см. Элементы политики IAM JSON: Условие.
Об авторах
Сэм Палани — специалист по архитектуре решений AI/ML в AWS. Ему нравится работать с клиентами, помогая им разрабатывать масштабные решения машинного обучения. Когда он не помогает клиентам, он любит читать и исследовать природу.
Шантан Кешараджу является старшим архитектором в команде AWS ProServe. Он помогает нашим клиентам в разработке стратегии, архитектуры и разработки продуктов в области искусственного интеллекта и машинного обучения. Шантан имеет степень магистра делового администрирования в области маркетинга в Университете Дьюка и степень магистра в области информационных систем управления в Университете штата Оклахома.
Источник: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- доступ
- Учетная запись
- Действие
- Amazon
- Amazon Comprehend
- анализ
- API
- API
- архитектура
- аудит
- AWS
- ЛУЧШЕЕ
- призывают
- классификация
- код
- Создающий
- Клиенты
- данным
- Decrypt
- подробность
- Документация
- Герцог
- шифрование
- Конечная точка
- Особенность
- в заключение
- First
- группы
- HTTPS
- IAM
- Личность
- информация
- работа
- Джобс
- Основные
- ключи
- УЧИТЬСЯ
- изучение
- Ограниченный
- линия
- Списки
- расположение
- Длинное
- обучение с помощью машины
- управление
- Маркетинг
- модель
- MS
- Оклахома
- Операционный отдел
- Опция
- Другие контрактные услуги
- на открытом воздухе
- сборах
- политика
- частная
- Продукция
- Reading
- ресурс
- Полезные ресурсы
- Итоги
- условиями,
- Run
- Шкала
- безопасность
- набор
- просто
- Решения
- Начало
- Область
- заявление
- диск
- Стратегия
- Поддержанный
- Поддержка
- системы
- Отслеживание
- Обучение
- поезда
- Университет
- пользователей
- Вид
- Виртуальный
- объем
- в
- письмо