Du kan nu styra Amazon Virtual Private Cloud (Amazon VPC) och krypteringsinställningar för din Amazon Comprehend API: er som använder AWS identitets- och åtkomsthantering (IAM) tillståndsnycklar och kryptera dina Amazon Comprehend-anpassade modeller med kundhanterade nycklar (CMK) via AWS nyckelhanteringstjänst (AWS KMS). Med IAM-tillståndsnycklarna kan du ytterligare förfina de villkor under vilka ett IAM-policyuttalande gäller. Du kan använda de nya villkorstangenterna i IAM-principer när du beviljar behörigheter för att skapa asynkrona jobb och skapa anpassade klassificerings- eller anpassade utbildningsjobb för enheter.
Amazon Comprehend stöder nu fem nya tillståndsnycklar:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Med tangenterna kan du säkerställa att användare bara kan skapa jobb som uppfyller din organisations säkerhetsställning, till exempel jobb som är anslutna till de tillåtna VPC-undernäten och säkerhetsgrupper. Du kan också använda dessa nycklar för att genomföra krypteringsinställningar för lagringsvolymer där data dras ner för beräkning och på Amazon enkel lagringstjänst (Amazon S3) hink där utdata från operationen lagras. Om användare försöker använda ett API med VPC-inställningar eller krypteringsparametrar som inte är tillåtna, avvisar Amazon Comprehend operationen synkront med ett 403 Access Denied-undantag.
Lösningsöversikt
Följande diagram illustrerar arkitekturen för vår lösning.
Vi vill genomföra en policy för att göra följande:
- Se till att alla anpassade utbildningsjobb för klassificering anges med VPC-inställningar
- Har kryptering aktiverad för klassificeringsutbildningsjobbet, klassificeringsutgången och Amazon Comprehend-modellen
När någon startar ett anpassat klassificeringsutbildningsjobb kopieras utbildningsdata som hämtas från Amazon S3 till lagringsvolymerna i dina angivna VPC-undernät och krypteras med det angivna VolumeKmsKey
. Lösningen ser också till att resultaten av modellutbildningen krypteras med det angivna OutputKmsKey
. Slutligen krypteras Amazon Comprehend-modellen med AWS KMS-nyckeln som anges av användaren när den lagras i VPC. Lösningen använder tre olika nycklar för data, utdata respektive modell, men du kan välja att använda samma nyckel för alla tre uppgifterna.
Dessutom möjliggör den här nya funktionen att granska modellanvändningen i AWS CloudTrail genom att spåra användning av modellkrypteringsnycklar.
Kryptering med IAM-policyer
Följande policy säkerställer att användare måste ange VPC-undernät och säkerhetsgrupper för VPC-inställningar och AWS KMS-nycklar för både klassificeraren och utdata:
Till exempel, i följande kod tillhandahåller användare 1 både VPC-inställningarna och krypteringsnycklarna och kan framgångsrikt slutföra åtgärden:
Användare 2 å andra sidan tillhandahåller inte någon av dessa nödvändiga inställningar och får inte slutföra åtgärden:
I de föregående kodexemplen, så länge VPC-inställningarna och krypteringsnycklarna är inställda, kan du köra det anpassade klassificeringsutbildningsjobbet. Att lämna VPC och krypteringsinställningarna i standardläge resulterar i ett 403 Access Denied-undantag.
I nästa exempel verkställer vi en ännu strängare policy, där vi måste ställa in VPC och krypteringsinställningarna så att de också inkluderar specifika undernät, säkerhetsgrupper och KMS-nycklar. Denna policy tillämpar dessa regler för alla Amazon Comprehend API: er som startar nya asynkrona jobb, skapar anpassade klassificeringsapparater och skapar anpassade enhetsigenkännare. Se följande kod:
I nästa exempel skapar vi först en anpassad klassificering på Amazon Comprehend-konsolen utan att specificera krypteringsalternativet. Eftersom vi har de IAM-villkor som anges i policyn nekas operationen.
När du aktiverar klassificeringskryptering krypterar Amazon Comprehend data i lagringsvolymen medan ditt jobb bearbetas. Du kan antingen använda en AWS KMS kundhanterad nyckel från ditt konto eller ett annat konto. Du kan ange krypteringsinställningarna för det anpassade klassificeringsjobbet som i följande skärmdump.
Utdata-kryptering gör det möjligt för Amazon Comprehend att kryptera utdata från din analys. På samma sätt som Amazon Comprehend-jobbkryptering kan du antingen använda en AWS KMS kundhanterad nyckel från ditt konto eller ett annat konto.
Eftersom vår policy också tvingar de jobb som ska startas med VPC och säkerhetsgruppsåtkomst aktiverad kan du ange dessa inställningar i VPC-inställningar sektion.
Amazon Comprehend API-operationer och IAM-tillståndsnycklar
Följande tabell visar Amazon Comprehend API-åtgärder och IAM-tillståndsnycklar som stöds när detta skrivs. För mer information, se Åtgärder, resurser och tillståndsnycklar för Amazon Comprehend.
Modellkryptering med en CMK
Tillsammans med att kryptera dina träningsdata kan du nu kryptera dina anpassade modeller i Amazon Comprehend med hjälp av en CMK. I det här avsnittet går vi närmare in på denna funktion.
Förutsättningar
Du måste lägga till en IAM-policy för att en huvudman ska kunna använda eller hantera CMK: er. CMK: er anges i resurselementet i policydeklarationen. När du skriver dina policyuttalanden är det ett bästa praxis för att begränsa CMK: er till de som rektorerna behöver använda, snarare än att ge rektorerna åtkomst till alla CMK: er.
I följande exempel använder vi en AWS KMS-nyckel (1234abcd-12ab-34cd-56ef-1234567890ab
) för att kryptera en anpassad Amazon Comprehend-modell.
När du använder AWS KMS-kryptering krävs km: CreateGrant och km: RetireGrant-behörighet för modellkryptering.
Följande IAM-policyuttalande i dina dataAccessRole tillhandahållna till Amazon Comprehend tillåter till exempel att huvudmannen endast anropar skapande operationer på de CMK: er som anges i resurselementet i policydeklarationen:
Att specificera CMK: er med nyckeln ARN, vilket är en bästa praxis, ser till att behörigheterna endast är begränsade till de angivna CMK: erna.
Aktivera modellkryptering
Från och med detta skrivande är anpassad modellkryptering endast tillgänglig via AWS-kommandoradsgränssnitt (AWS CLI). I följande exempel skapas en anpassad klassificerare med modellkryptering:
Nästa exempel utbildar en anpassad enhetsigenkännare med modellkryptering:
Slutligen kan du också skapa en slutpunkt för din anpassade modell med kryptering aktiverad:
Slutsats
Du kan nu genomdriva säkerhetsinställningar som att aktivera kryptering och VPC-inställningar för dina Amazon Comprehend-jobb med IAM-tillståndsnycklar. IAM-tillståndsnycklarna finns i alla AWS-regioner där Amazon Comprehend är tillgängligt. Du kan också kryptera Amazon Comprehend anpassade modeller med kundhanterade nycklar.
Mer information om de nya villkorstangenterna och visa principexempel finns i Använda IAM-tillståndsknappar för VPC-inställningar och Resurs och villkor för Amazon Comprehend API: er. Mer information om hur du använder IAM-tillståndsnycklar finns i IAM JSON-policyelement: villkor.
Om författarna
Sam Palani är AI / ML Specialist Solutions Architect på AWS. Han tycker om att arbeta med kunderna för att hjälpa dem att arkitektera maskininlärningslösningar i stor skala. När han inte hjälper kunder tycker han om att läsa och utforska utomhus.
Shanthan Kesharaju är seniorarkitekt i AWS ProServe-teamet. Han hjälper våra kunder med AI / ML-strategi, arkitektur och utveckling av produkter med ett syfte. Shanthan har en MBA i marknadsföring från Duke University och en MS i Management Information Systems från Oklahoma State University.
Källa: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- tillgång
- Konto
- Handling
- amason
- Amazon Comprehend
- analys
- api
- API: er
- arkitektur
- revision
- AWS
- BÄST
- Ring
- klassificering
- koda
- Skapa
- Kunder
- datum
- Avkryptera
- detalj
- dokument
- Duke
- kryptering
- Slutpunkt
- Leverans
- Slutligen
- Förnamn
- Grupp
- HTTPS
- IAM
- Identitet
- informationen
- Jobb
- Lediga jobb
- Nyckel
- nycklar
- LÄRA SIG
- inlärning
- Begränsad
- linje
- listor
- läge
- Lång
- maskininlärning
- ledning
- Marknadsföring
- modell
- MS
- Oklahoma
- Verksamhet
- Alternativet
- Övriga
- utomhus
- Strategier
- policy
- privat
- Produkter
- Läsning
- resurs
- Resurser
- Resultat
- regler
- Körning
- Skala
- säkerhet
- in
- Enkelt
- Lösningar
- starta
- Ange
- .
- förvaring
- Strategi
- Som stöds
- Stöder
- System
- Spårning
- Utbildning
- tåg
- universitet
- användare
- utsikt
- Virtuell
- volym
- inom
- skrivning