Zdaj lahko nadzirate Navidezni zasebni oblak Amazon (Amazon VPC) in nastavitve šifriranja za vaš Amazonsko razumevanje Uporaba API-jev AWS upravljanje identitete in dostopa (IAM) in šifrirajte svoje modele po meri Amazon Comprehend s ključi, ki jih upravlja stranka (CMK) prek AWS Service Key Management (AWS KMS). Ključi pogojev IAM vam omogočajo, da dodatno izboljšate pogoje, pod katerimi velja izjava o pravilniku IAM. Nove ključe pogojev lahko uporabite v pravilnikih IAM, ko dodeljujete dovoljenja za ustvarjanje asinhronih opravil in ustvarjanje opravil klasifikacije po meri ali usposabljanja entitet po meri.
Amazon Comprehend zdaj podpira pet novih ključev pogojev:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Ključi vam omogočajo, da zagotovite, da lahko uporabniki ustvarijo samo opravila, ki ustrezajo varnostni drži vaše organizacije, kot so opravila, ki so povezana z dovoljenimi podomrežji VPC in varnostnimi skupinami. Te ključe lahko uporabite tudi za uveljavitev nastavitev šifriranja za količine shranjevanja, kjer se podatki potegnejo navzdol za izračun in na Preprosta storitev shranjevanja Amazon (Amazon S3), kjer je shranjen rezultat operacije. Če uporabniki poskušajo uporabiti API z nastavitvami VPC ali parametri šifriranja, ki niso dovoljeni, Amazon Comprehend sinhrono zavrne operacijo z izjemo 403 Access Denied.
Pregled rešitev
Naslednji diagram prikazuje arhitekturo naše rešitve.
Želimo uveljaviti politiko za naslednje:
- Prepričajte se, da so vsa opravila usposabljanja za klasifikacijo po meri določena z nastavitvami VPC
- Imejte omogočeno šifriranje za opravilo usposabljanja klasifikatorja, izhod klasifikatorja in model Amazon Comprehend
Na ta način, ko nekdo začne opravilo usposabljanja za klasifikacijo po meri, se podatki o usposabljanju, ki so potegnjeni iz Amazona S3, prekopirajo v prostore za shranjevanje v vaših določenih podomrežjih VPC in so šifrirani z navedenim VolumeKmsKey
. Rešitev prav tako poskrbi, da so rezultati usposabljanja modela šifrirani s podanim OutputKmsKey
. Končno je sam model Amazon Comprehend šifriran s ključem AWS KMS, ki ga določi uporabnik, ko je shranjen v VPC. Rešitev uporablja tri različne ključe za podatke, izhod in model, vendar se lahko odločite za uporabo istega ključa za vse tri naloge.
Poleg tega vam ta nova funkcionalnost omogoča nadzor nad uporabo modela v AWS CloudTrail s sledenjem uporabe šifrirnega ključa modela.
Šifriranje s pravilniki IAM
Naslednji pravilnik zagotavlja, da morajo uporabniki določiti podomrežja VPC in varnostne skupine za nastavitve VPC in ključe AWS KMS za klasifikator in izhod:
Na primer, v naslednji kodi uporabnik 1 zagotovi tako nastavitve VPC kot šifrirne ključe in lahko uspešno zaključi operacijo:
Uporabnik 2 na drugi strani ne zagotovi nobene od teh zahtevanih nastavitev in mu ni dovoljeno dokončati operacije:
V prejšnjih primerih kode, dokler so nastavitve VPC in šifrirni ključi nastavljeni, lahko izvajate opravilo usposabljanja klasifikatorja po meri. Če pustite VPC in nastavitve šifriranja v privzetem stanju, pride do izjeme 403 Access Denied.
V naslednjem primeru uveljavimo še strožjo politiko, v kateri moramo nastavitve VPC in šifriranja nastaviti tako, da vključujejo tudi določena podomrežja, varnostne skupine in ključe KMS. Ta pravilnik uporablja ta pravila za vse API-je Amazon Comprehend, ki zaženejo nova asinhrona opravila, ustvarijo klasifikatorje po meri in prepoznavalce entitet po meri. Oglejte si naslednjo kodo:
V naslednjem primeru najprej ustvarimo klasifikator po meri na konzoli Amazon Comprehend, ne da bi določili možnost šifriranja. Ker imamo v pravilniku določene pogoje IAM, je operacija zavrnjena.
Ko omogočite šifriranje klasifikatorja, Amazon Comprehend šifrira podatke v nosilcu za shranjevanje med obdelavo vašega opravila. Uporabite lahko ključ, ki ga upravlja stranka AWS KMS, iz vašega računa ali drugega računa. Določite lahko nastavitve šifriranja za opravilo klasifikatorja po meri, kot je prikazano na naslednjem posnetku zaslona.
Šifriranje izhoda omogoča Amazon Comprehend šifriranje izhodnih rezultatov vaše analize. Podobno kot pri šifriranju opravil Amazon Comprehend lahko uporabite ključ AWS KMS, ki ga upravlja stranka, iz vašega računa ali drugega računa.
Ker naš pravilnik prav tako vsiljuje, da se opravila zaženejo z omogočenim dostopom VPC in varnostne skupine, lahko te nastavitve določite v nastavitve VPC oddelek.
Operacije Amazon Comprehend API in ključi pogojev IAM
Naslednja tabela navaja operacije Amazon Comprehend API in ključe pogojev IAM, ki so podprti od tega pisanja. Za več informacij glejte Dejanja, viri in ključi pogojev za Amazon Comprehend.
Šifriranje modela s CMK
Poleg šifriranja vaših podatkov o usposabljanju lahko zdaj šifrirate svoje modele po meri v Amazon Comprehend z uporabo CMK. V tem razdelku gremo podrobneje o tej funkciji.
Predpogoji
Dodati morate pravilnik IAM, da omogočite principalu uporabo ali upravljanje CMK-jev. CMK-ji so navedeni v elementu vira izjave o pravilniku. Ko pišete svoje izjave o politiki, je a najboljša praksa omejiti CMK na tiste, ki jih morajo uporabljati ravnatelji, namesto da bi ravnateljem omogočili dostop do vseh CMK.
V naslednjem primeru uporabljamo ključ AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) za šifriranje modela po meri Amazon Comprehend.
Ko uporabljate šifriranje AWS KMS, sta za šifriranje modela potrebni dovoljenji kms:CreateGrant in kms:RetireGrant.
Na primer, naslednja izjava o pravilniku IAM v vaši dataAccessRole, posredovani Amazon Comprehend, dovoljuje principalu, da pokliče operacije ustvarjanja samo na CMK-jih, navedenih v elementu vira izjave o pravilniku:
Določanje CMK-jev s ključem ARN, kar je najboljša praksa, zagotavlja, da so dovoljenja omejena samo na navedene CMK-je.
Omogoči šifriranje modela
Od tega pisanja je šifriranje modela po meri na voljo samo prek Vmesnik ukazne vrstice AWS (AWS CLI). Naslednji primer ustvari klasifikator po meri s šifriranjem modela:
Naslednji primer usposablja prepoznavanje entitet po meri s šifriranjem modela:
Končno lahko ustvarite tudi končno točko za svoj model po meri z omogočenim šifriranjem:
zaključek
Zdaj lahko uveljavite varnostne nastavitve, kot je omogočanje šifriranja in nastavitev VPC za vaša opravila Amazon Comprehend z uporabo ključev pogojev IAM. Ključi stanja IAM so na voljo v vseh AWS Regije kjer je na voljo Amazon Comprehend. Modele po meri Amazon Comprehend lahko šifrirate tudi s ključi, ki jih upravlja stranka.
Če želite izvedeti več o novih ključih pogojev in si ogledati primere pravilnikov, glejte Uporaba ključev pogojev IAM za nastavitve VPC in Vir in pogoji za API-je Amazon Comprehend. Če želite izvedeti več o uporabi ključev pogojev IAM, glejte Elementi pravilnika IAM JSON: Pogoj.
O avtorjih
Sam Palani je specialist za rešitve AI/ML pri AWS. Uživa v delu s strankami in jim pomaga pri načrtovanju rešitev strojnega učenja v velikem obsegu. Ko ne pomaga strankam, rad bere in raziskuje na prostem.
Shanthan Kesharaju je višji arhitekt v skupini AWS ProServe. Kupcem pomaga pri strategiji umetne inteligence / ML, arhitekturi in razvoju izdelkov z namenom. Shanthan je diplomiral iz trženja na univerzi Duke in magistriral iz informacijskih sistemov za upravljanje na Oklahoma State University.
Vir: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- dostop
- Račun
- Ukrep
- Amazon
- Amazonsko razumevanje
- Analiza
- API
- API-ji
- Arhitektura
- Revizija
- AWS
- BEST
- klic
- Razvrstitev
- Koda
- Ustvarjanje
- Stranke, ki so
- datum
- Dešifriraj
- Podatki
- Dokumenti
- Duke
- šifriranje
- Končna točka
- Feature
- končno
- prva
- skupina
- HTTPS
- IAM
- identiteta
- Podatki
- Job
- Delovna mesta
- Ključne
- tipke
- UČITE
- učenje
- Limited
- vrstica
- seznami
- kraj aktivnosti
- Long
- strojno učenje
- upravljanje
- Trženje
- Model
- MS
- Oklahoma
- operacije
- Možnost
- Ostalo
- na prostem
- politike
- politika
- zasebna
- Izdelki
- reading
- vir
- viri
- Rezultati
- pravila
- Run
- Lestvica
- varnost
- nastavite
- Enostavno
- rešitve
- Začetek
- Država
- Izjava
- shranjevanje
- Strategija
- Podprti
- Podpira
- sistemi
- Sledenje
- usposabljanje
- vlaki
- univerza
- Uporabniki
- Poglej
- Virtual
- Obseg
- v
- pisanje