ตอนนี้คุณสามารถควบคุม คลาวด์ส่วนตัวเสมือนของ Amazon (Amazon VPC) และการตั้งค่าการเข้ารหัสสำหรับ .ของคุณ เข้าใจ Amazon API ที่ใช้ AWS Identity และการจัดการการเข้าถึง คีย์เงื่อนไข (IAM) และเข้ารหัสโมเดลแบบกำหนดเองของ Amazon Comprehend โดยใช้คีย์ที่จัดการโดยลูกค้า (CMK) ผ่าน บริการจัดการคีย์ AWS (AWS KMS). คีย์เงื่อนไข IAM ช่วยให้คุณสามารถปรับแต่งเงื่อนไขเพิ่มเติมภายใต้การใช้คำสั่งนโยบาย IAM คุณสามารถใช้คีย์เงื่อนไขใหม่ในนโยบาย IAM เมื่อให้สิทธิ์ในการสร้างงานแบบอะซิงโครนัสและสร้างการจัดประเภทแบบกำหนดเองหรืองานฝึกอบรมเอนทิตีแบบกำหนดเอง
ตอนนี้ Amazon Comprehend รองรับคีย์เงื่อนไขใหม่ห้าคีย์:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
คีย์ช่วยให้คุณมั่นใจได้ว่าผู้ใช้จะสามารถสร้างงานที่ตรงตามระดับความปลอดภัยขององค์กรเท่านั้น เช่น งานที่เชื่อมต่อกับซับเน็ต VPC และกลุ่มความปลอดภัยที่อนุญาต คุณยังสามารถใช้คีย์เหล่านี้เพื่อบังคับใช้การตั้งค่าการเข้ารหัสสำหรับโวลุ่มการจัดเก็บข้อมูลที่ข้อมูลถูกดึงลงมาเพื่อการคำนวณและบน บริการจัดเก็บข้อมูลอย่างง่ายของ Amazon บัคเก็ต (Amazon S3) ที่เก็บเอาต์พุตของการดำเนินการ หากผู้ใช้พยายามใช้ API ที่มีการตั้งค่า VPC หรือพารามิเตอร์การเข้ารหัสที่ไม่ได้รับอนุญาต Amazon Comprehend จะปฏิเสธการดำเนินการพร้อมกันโดยมีข้อยกเว้น 403 Access Denied
ภาพรวมโซลูชัน
ไดอะแกรมต่อไปนี้แสดงสถาปัตยกรรมของโซลูชันของเรา
เราต้องการบังคับใช้นโยบายเพื่อทำสิ่งต่อไปนี้:
- ตรวจสอบให้แน่ใจว่าได้ระบุงานการฝึกอบรมการจัดหมวดหมู่แบบกำหนดเองทั้งหมดด้วยการตั้งค่า VPC
- เปิดใช้งานการเข้ารหัสสำหรับงานฝึกตัวแยกประเภท เอาต์พุตตัวแยกประเภท และโมเดล Amazon Comprehend
ด้วยวิธีนี้ เมื่อมีคนเริ่มงานการฝึกจำแนกประเภทแบบกำหนดเอง ข้อมูลการฝึกที่ดึงมาจาก Amazon S3 จะถูกคัดลอกไปยังไดรฟ์ข้อมูลพื้นที่จัดเก็บในเครือข่ายย่อย VPC ที่คุณระบุและเข้ารหัสด้วยข้อมูลที่ระบุ VolumeKmsKey
. โซลูชันนี้ยังช่วยให้แน่ใจว่าผลลัพธ์ของการฝึกโมเดลได้รับการเข้ารหัสด้วยค่าที่ระบุ OutputKmsKey
. สุดท้าย โมเดล Amazon Comprehend นั้นได้รับการเข้ารหัสด้วยคีย์ AWS KMS ที่ผู้ใช้ระบุเมื่อจัดเก็บไว้ภายใน VPC โซลูชันใช้คีย์ที่แตกต่างกันสามคีย์สำหรับข้อมูล เอาต์พุต และโมเดล ตามลำดับ แต่คุณสามารถเลือกที่จะใช้คีย์เดียวกันสำหรับทั้งสามงานได้
นอกจากนี้ ฟังก์ชันใหม่นี้ยังช่วยให้คุณสามารถตรวจสอบการใช้งานโมเดลใน AWS CloudTrail โดยการติดตามการใช้คีย์การเข้ารหัสโมเดล
การเข้ารหัสด้วยนโยบาย IAM
นโยบายต่อไปนี้ทำให้แน่ใจว่าผู้ใช้ต้องระบุซับเน็ต VPC และกลุ่มความปลอดภัยสำหรับการตั้งค่า VPC และคีย์ AWS KMS สำหรับทั้งตัวแยกประเภทและเอาต์พุต:
ตัวอย่างเช่น ในรหัสต่อไปนี้ ผู้ใช้ 1 มีทั้งการตั้งค่า VPC และคีย์การเข้ารหัส และสามารถดำเนินการได้สำเร็จ:
ในทางกลับกัน ผู้ใช้ 2 ไม่ได้ให้การตั้งค่าที่จำเป็นเหล่านี้และไม่ได้รับอนุญาตให้ดำเนินการให้เสร็จสิ้น:
ในตัวอย่างโค้ดก่อนหน้านี้ ตราบใดที่การตั้งค่า VPC และคีย์การเข้ารหัสถูกตั้งค่าไว้ คุณสามารถเรียกใช้งานการฝึกตัวแยกประเภทแบบกำหนดเองได้ การปล่อยให้การตั้งค่า VPC และการเข้ารหัสอยู่ในสถานะเริ่มต้นจะส่งผลให้เกิดข้อยกเว้นการเข้าถึง 403 ถูกปฏิเสธ
ในตัวอย่างถัดไป เราบังคับใช้นโยบายที่เข้มงวดยิ่งขึ้นไปอีก ซึ่งเราต้องตั้งค่า VPC และการเข้ารหัสให้รวมซับเน็ตเฉพาะ กลุ่มความปลอดภัย และคีย์ KMS ด้วย นโยบายนี้ใช้กฎเหล่านี้กับ Amazon Comprehend API ทั้งหมดที่เริ่มงานแบบอะซิงโครนัสใหม่ สร้างตัวแยกประเภทแบบกำหนดเอง และสร้างตัวจำแนกเอนทิตีแบบกำหนดเอง ดูรหัสต่อไปนี้:
ในตัวอย่างถัดไป ก่อนอื่น เราสร้างตัวแยกประเภทแบบกำหนดเองบนคอนโซล Amazon Comprehend โดยไม่ระบุตัวเลือกการเข้ารหัส เนื่องจากเรามีเงื่อนไข IAM ระบุไว้ในนโยบาย การดำเนินการจึงถูกปฏิเสธ
เมื่อคุณเปิดใช้งานการเข้ารหัสตัวแยกประเภท Amazon Comprehend จะเข้ารหัสข้อมูลในโวลุ่มพื้นที่จัดเก็บในขณะที่งานของคุณกำลังถูกประมวลผล คุณสามารถใช้คีย์ที่จัดการโดยลูกค้า AWS KMS จากบัญชีของคุณหรือบัญชีอื่น คุณสามารถระบุการตั้งค่าการเข้ารหัสสำหรับงานตัวแยกประเภทที่กำหนดเองได้ดังในภาพหน้าจอต่อไปนี้
การเข้ารหัสเอาต์พุตช่วยให้ Amazon Comprehend เข้ารหัสผลลัพธ์เอาต์พุตจากการวิเคราะห์ของคุณ เช่นเดียวกับการเข้ารหัสงาน Amazon Comprehend คุณสามารถใช้คีย์ที่มีการจัดการโดยลูกค้า AWS KMS จากบัญชีของคุณหรือบัญชีอื่น
เนื่องจากนโยบายของเรายังบังคับใช้งานที่จะเปิดตัวด้วยการเปิดใช้งาน VPC และการเข้าถึงกลุ่มความปลอดภัย คุณจึงสามารถระบุการตั้งค่าเหล่านี้ใน การตั้งค่า VPC มาตรา.
การทำงานของ Amazon Comprehend API และคีย์เงื่อนไข IAM
ตารางต่อไปนี้แสดงรายการการทำงานของ Amazon Comprehend API และคีย์เงื่อนไข IAM ที่ได้รับการสนับสนุนในขณะที่เขียนนี้ ดูข้อมูลเพิ่มเติมได้ที่ การดำเนินการ ทรัพยากร และคีย์เงื่อนไขสำหรับ Amazon Comprehend.
การเข้ารหัสแบบจำลองด้วย CMK
นอกจากการเข้ารหัสข้อมูลการฝึกของคุณแล้ว คุณยังสามารถเข้ารหัสโมเดลแบบกำหนดเองของคุณใน Amazon Comprehend โดยใช้ CMK ได้อีกด้วย ในส่วนนี้ เราจะลงรายละเอียดเพิ่มเติมเกี่ยวกับคุณลักษณะนี้
เบื้องต้น
คุณต้องเพิ่มนโยบาย IAM เพื่ออนุญาตให้ตัวการหลักใช้หรือจัดการ CMK CMK ถูกระบุในองค์ประกอบทรัพยากรของคำสั่งนโยบาย เมื่อเขียนคำชี้แจงนโยบายของคุณ จะเป็น ปฏิบัติที่ดีที่สุด เพื่อจำกัด CMK ไว้เฉพาะที่ผู้ใช้หลักจำเป็นต้องใช้ แทนที่จะให้สิทธิ์หลักในการเข้าถึง CMK ทั้งหมด
ในตัวอย่างต่อไปนี้ เราใช้คีย์ AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) เพื่อเข้ารหัสโมเดลแบบกำหนดเองของ Amazon Comprehend
เมื่อคุณใช้การเข้ารหัส AWS KMS คุณต้องมีสิทธิ์ kms:CreateGrant และ kms:RetireGrant สำหรับการเข้ารหัสโมเดล
ตัวอย่างเช่น คำชี้แจงนโยบาย IAM ต่อไปนี้ใน dataAccessRole ของคุณที่ให้ไว้กับ Amazon Comprehend อนุญาตให้ตัวการเรียกใช้การดำเนินการสร้างเฉพาะใน CMK ที่ระบุไว้ในองค์ประกอบทรัพยากรของคำสั่งนโยบายเท่านั้น:
การระบุ CMK ด้วยคีย์ ARN ซึ่งเป็นแนวทางปฏิบัติที่ดีที่สุด ตรวจสอบให้แน่ใจว่าการอนุญาตนั้นจำกัดเฉพาะ CMK ที่ระบุเท่านั้น
เปิดใช้งานการเข้ารหัสโมเดล
ในขณะที่เขียนนี้ การเข้ารหัสโมเดลแบบกำหนดเองจะใช้ได้ผ่านทาง .เท่านั้น อินเทอร์เฟซบรรทัดคำสั่ง AWS AWS (AWS CLI). ตัวอย่างต่อไปนี้สร้างตัวแยกประเภทแบบกำหนดเองพร้อมการเข้ารหัสโมเดล:
ตัวอย่างต่อไปจะฝึกตัวจำแนกเอนทิตีแบบกำหนดเองด้วยการเข้ารหัสแบบจำลอง:
สุดท้ายนี้ คุณยังสามารถสร้างปลายทางสำหรับโมเดลที่กำหนดเองโดยเปิดใช้งานการเข้ารหัส:
สรุป
ตอนนี้คุณสามารถบังคับใช้การตั้งค่าความปลอดภัย เช่น การเปิดใช้งานการเข้ารหัสและการตั้งค่า VPC สำหรับงาน Amazon Comprehend ของคุณโดยใช้คีย์เงื่อนไข IAM คีย์เงื่อนไข IAM มีให้ทั้งหมด ภูมิภาค AWS ที่ซึ่ง Amazon Comprehend พร้อมให้บริการ คุณยังสามารถเข้ารหัสโมเดลแบบกำหนดเองของ Amazon Comprehend โดยใช้คีย์ที่ลูกค้าจัดการ
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับคีย์เงื่อนไขใหม่และดูตัวอย่างนโยบาย โปรดดูที่ การใช้คีย์เงื่อนไข IAM สำหรับการตั้งค่า VPC และ ทรัพยากรและเงื่อนไขสำหรับ Amazon Comprehend APIs. หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้คีย์เงื่อนไข IAM โปรดดูที่ องค์ประกอบนโยบาย IAM JSON: เงื่อนไข.
เกี่ยวกับผู้เขียน
แซม ปาลานี เป็นสถาปนิก AI/ML Specialist Solutions Architect ที่ AWS เขาสนุกกับการทำงานร่วมกับลูกค้าเพื่อช่วยออกแบบโซลูชันแมชชีนเลิร์นนิงในวงกว้าง เมื่อไม่ได้ช่วยเหลือลูกค้า เขาชอบอ่านหนังสือและสำรวจพื้นที่กลางแจ้ง
ศานธาน เกศราจู เป็นสถาปนิกอาวุโสในทีม AWS ProServe เขาช่วยลูกค้าของเราด้วยกลยุทธ์ AI/ML สถาปัตยกรรม และการพัฒนาผลิตภัณฑ์โดยมีจุดประสงค์ Shanthan มีปริญญาโทด้านการตลาดจาก Duke University และ MS ด้าน Management Information Systems จาก Oklahoma State University
ที่มา: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- เข้า
- ลงชื่อเข้าใช้
- การกระทำ
- อเมซอน
- เข้าใจ Amazon
- การวิเคราะห์
- API
- APIs
- สถาปัตยกรรม
- การตรวจสอบบัญชี
- AWS
- ที่ดีที่สุด
- โทรศัพท์
- การจัดหมวดหมู่
- รหัส
- การสร้าง
- ลูกค้า
- ข้อมูล
- ถอดรหัส
- รายละเอียด
- เอกสาร
- ดยุค
- การเข้ารหัสลับ
- ปลายทาง
- ลักษณะ
- ในที่สุด
- ชื่อจริง
- บัญชีกลุ่ม
- HTTPS
- AMI
- เอกลักษณ์
- ข้อมูล
- การสัมภาษณ์
- งาน
- คีย์
- กุญแจ
- เรียนรู้
- การเรียนรู้
- ถูก จำกัด
- Line
- รายการ
- ที่ตั้ง
- นาน
- เรียนรู้เครื่อง
- การจัดการ
- การตลาด
- แบบ
- MS
- โอกลาโฮมา
- การดำเนินการ
- ตัวเลือกเสริม (Option)
- อื่นๆ
- กลางแจ้ง
- นโยบาย
- นโยบาย
- ส่วนตัว
- ผลิตภัณฑ์
- การอ่าน
- ทรัพยากร
- แหล่งข้อมูล
- ผลสอบ
- กฎระเบียบ
- วิ่ง
- ขนาด
- ความปลอดภัย
- ชุด
- ง่าย
- โซลูชัน
- เริ่มต้น
- สถานะ
- คำแถลง
- การเก็บรักษา
- กลยุทธ์
- ที่สนับสนุน
- รองรับ
- ระบบ
- การติดตาม
- การฝึกอบรม
- รถไฟ
- มหาวิทยาลัย
- ผู้ใช้
- รายละเอียด
- เสมือน
- ปริมาณ
- ภายใน
- การเขียน