Şimdi kontrol edebilirsiniz Amazon Sanal Özel Bulut (Amazon VPC) ve sizin için şifreleme ayarları Amazon Kavramak Kullanan API'ler AWS Kimlik ve Erişim Yönetimi (IAM) koşul anahtarlarını kullanın ve Amazon Comprehend özel modellerinizi müşteri tarafından yönetilen anahtarları (CMK) kullanarak şifreleyin: AWS Anahtar Yönetim Hizmeti (AWS KMS). IAM koşul anahtarları, bir IAM ilke bildiriminin geçerli olduğu koşulları daha da hassaslaştırmanıza olanak tanır. Zaman uyumsuz işler ve özel sınıflandırma veya özel varlık eğitimi işleri oluşturma izinleri verirken IAM politikalarındaki yeni koşul anahtarlarını kullanabilirsiniz.
Amazon Comprehend artık beş yeni koşul anahtarını destekliyor:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Anahtarlar, kullanıcıların yalnızca izin verilen VPC alt ağlarına ve güvenlik gruplarına bağlı işler gibi kuruluşunuzun güvenlik duruşunu karşılayan işler oluşturabilmesini sağlamanıza olanak tanır. Bu anahtarları, verilerin hesaplama için aşağı çekildiği depolama birimlerinin şifreleme ayarlarını zorunlu kılmak için de kullanabilirsiniz. Amazon Basit Depolama Hizmeti İşlem çıktısının depolandığı (Amazon S3) kovası. Kullanıcılar izin verilmeyen VPC ayarlarına veya şifreleme parametrelerine sahip bir API kullanmaya çalışırsa Amazon Comprehend, işlemi eşzamanlı olarak 403 Erişim Reddedildi istisnasıyla reddeder.
Çözüme genel bakış
Aşağıdaki diyagram, çözümümüzün mimarisini göstermektedir.
Aşağıdakileri yapmak için bir politika uygulamak istiyoruz:
- Tüm özel sınıflandırma eğitimi işlerinin VPC ayarlarıyla belirtildiğinden emin olun
- Sınıflandırıcı eğitim işi, sınıflandırıcı çıktısı ve Amazon Comprehend modeli için şifrelemeyi etkinleştirin
Bu şekilde, birisi özel bir sınıflandırma eğitimi işi başlattığında, Amazon S3'ten alınan eğitim verileri, belirtilen VPC alt ağlarınızdaki depolama birimlerine kopyalanır ve belirtilen şekilde şifrelenir. VolumeKmsKey
. Çözüm ayrıca, model eğitiminin sonuçlarının belirtilen şekilde şifrelenmesini sağlar. OutputKmsKey
. Son olarak Amazon Comprehend modelinin kendisi, VPC'de depolandığında kullanıcı tarafından belirtilen AWS KMS anahtarıyla şifrelenir. Çözüm, sırasıyla veri, çıktı ve model için üç farklı anahtar kullanır, ancak üç görev için de aynı anahtarı kullanmayı seçebilirsiniz.
Ek olarak, bu yeni işlevsellik, model kullanımını denetlemenizi sağlar. AWS CloudTrail model şifreleme anahtarı kullanımını izleyerek.
IAM politikalarıyla şifreleme
Aşağıdaki politika, kullanıcıların hem sınıflandırıcı hem de çıktı için VPC ayarları ve AWS KMS anahtarları için VPC alt ağları ve güvenlik grupları belirtmesi gerektiğinden emin olur:
Örneğin, aşağıdaki kodda Kullanıcı 1 hem VPC ayarlarını hem de şifreleme anahtarlarını sağlar ve işlemi başarıyla tamamlayabilir:
Diğer yandan, Kullanıcı 2, bu gerekli ayarların hiçbirini sağlamaz ve işlemi tamamlamasına izin verilmez:
Önceki kod örneklerinde, VPC ayarları ve şifreleme anahtarları ayarlandığı sürece, özel sınıflandırıcı eğitim işini çalıştırabilirsiniz. VPC ve şifreleme ayarlarının varsayılan durumlarında bırakılması, 403 Erişim Reddedildi istisnasına neden olur.
Bir sonraki örnekte, VPC ve şifreleme ayarlarını belirli alt ağları, güvenlik gruplarını ve KMS anahtarlarını da içerecek şekilde ayarlamamız gereken daha katı bir politika uyguluyoruz. Bu politika, yeni eşzamansız işler başlatan, özel sınıflandırıcılar oluşturan ve özel varlık tanıyıcılar oluşturan tüm Amazon Comprehend API'leri için bu kuralları uygular. Aşağıdaki koda bakın:
Sonraki örnekte, ilk olarak Amazon Comprehend konsolunda şifreleme seçeneğini belirtmeden özel bir sınıflandırıcı oluşturuyoruz. Politikada belirtilen IAM koşullarına sahip olduğumuz için işlem reddedildi.
Sınıflandırıcı şifrelemesini etkinleştirdiğinizde Amazon Comprehend, işiniz işlenirken depolama birimindeki verileri şifreler. Hesabınızdan AWS KMS müşteri tarafından yönetilen bir anahtar veya farklı bir hesap kullanabilirsiniz. Aşağıdaki ekran görüntüsündeki gibi özel sınıflandırıcı işi için şifreleme ayarlarını belirtebilirsiniz.
Çıktı şifreleme, Amazon Comprehend'in analizinizin çıktı sonuçlarını şifrelemesini sağlar. Amazon Comprehend iş şifrelemesine benzer şekilde, hesabınızdan veya başka bir hesaptan AWS KMS müşteri tarafından yönetilen bir anahtar kullanabilirsiniz.
Politikamız, VPC ve güvenlik grubu erişiminin etkinleştirilmesiyle başlatılacak işleri de zorunlu kıldığından, bu ayarları VPC ayarları Bölüm.
Amazon Comprehend API işlemleri ve IAM koşul anahtarları
Aşağıdaki tablo, Amazon Comprehend API işlemlerini ve bu yazı itibariyle desteklenen IAM koşul anahtarlarını listeler. Daha fazla bilgi için, bkz Amazon Comprehend için eylemler, kaynaklar ve durum anahtarları.
CMK ile model şifreleme
Eğitim verilerinizi şifrelemenin yanı sıra, artık özel modellerinizi Amazon Comprehend'de bir CMK kullanarak şifreleyebilirsiniz. Bu bölümde, bu özellik hakkında daha fazla ayrıntıya giriyoruz.
Önkoşullar
Bir müdürün CMK'ları kullanmasına veya yönetmesine izin vermek için bir IAM politikası eklemeniz gerekir. CMK'lar, politika bildiriminin Kaynak öğesinde belirtilir. Politika beyanlarınızı yazarken, bu bir En iyi uygulama müdürlere tüm CMK'lara erişim vermek yerine CMK'leri müdürlerin kullanması gerekenlerle sınırlamak.
Aşağıdaki örnekte, bir AWS KMS anahtarı (1234abcd-12ab-34cd-56ef-1234567890ab
) bir Amazon Comprehend özel modelini şifrelemek için.
AWS KMS şifrelemesini kullandığınızda, model şifrelemesi için kms: CreateGrant ve kms: RetireGrant izinleri gerekir.
Örneğin, Amazon Comprehend'e sağlanan dataAccessRole'unuzda bulunan aşağıdaki IAM ilke bildirimi, müdürün oluşturma işlemlerini yalnızca ilke bildiriminin Kaynak öğesinde listelenen CMK'larda çağırmasına olanak tanır:
En iyi uygulama olan ARN anahtarına göre CMK'lerin belirtilmesi, izinlerin yalnızca belirtilen CMK'larla sınırlı olmasını sağlar.
Model şifrelemeyi etkinleştir
Bu yazı itibariyle, özel model şifreleme yalnızca AWS Komut Satırı Arayüzü (AWS CLI). Aşağıdaki örnek, model şifrelemeli özel bir sınıflandırıcı oluşturur:
Sonraki örnek, model şifrelemeli bir özel varlık tanıyıcıyı eğitir:
Son olarak, özel modeliniz için şifreleme etkinleştirilmiş bir uç nokta da oluşturabilirsiniz:
Sonuç
Artık IAM koşul anahtarlarını kullanarak Amazon Comprehend işleriniz için şifreleme ve VPC ayarlarını etkinleştirme gibi güvenlik ayarlarını uygulayabilirsiniz. IAM koşul anahtarları tüm AWS Bölgeleri Amazon Comprehend'in mevcut olduğu yerlerde. Müşteri tarafından yönetilen anahtarları kullanarak Amazon Comprehend özel modellerini de şifreleyebilirsiniz.
Yeni koşul anahtarları hakkında daha fazla bilgi edinmek ve politika örneklerini görüntülemek için bkz. VPC ayarları için IAM koşul anahtarlarını kullanma ve Amazon Comprehend API'leri için Kaynak ve Koşullar. IAM koşul anahtarlarını kullanma hakkında daha fazla bilgi edinmek için bkz. IAM JSON politika öğeleri: Koşul.
Yazarlar Hakkında
Sam Palani AWS'de bir Yapay Zeka / Makine Öğrenimi Uzmanı Çözüm Mimarıdır. Makine öğrenimi çözümlerini geniş ölçekte tasarlamalarına yardımcı olmak için müşterilerle çalışmaktan hoşlanıyor. Müşterilere yardım etmediği zamanlarda, dışarıda okumaktan ve keşfetmekten hoşlanır.
Shanthan Kesharaju AWS ProServe ekibinde Kıdemli Mimar. Müşterilerimize yapay zeka / makine öğrenimi stratejisi, mimarisi ve bir amaca yönelik ürün geliştirme konusunda yardımcı oluyor. Shanthan, Duke Üniversitesi'nden Pazarlama alanında MBA ve Oklahoma Eyalet Üniversitesi'nden Yönetim Bilişim Sistemleri alanında Yüksek Lisans derecesine sahiptir.
Kaynak: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- erişim
- Hesap
- Action
- Amazon
- Amazon Kavramak
- analiz
- api
- API'ler
- mimari
- denetim
- AWS
- İYİ
- çağrı
- sınıflandırma
- kod
- Oluşturma
- Müşteriler
- veri
- azalmak
- ayrıntı
- evraklar
- Dük
- şifreleme
- Son nokta
- Özellikler(Hazırlık aşamasında)
- Nihayet
- Ad
- grup
- HTTPS
- IAM
- Kimlik
- bilgi
- İş
- Mesleki Öğretiler
- anahtar
- anahtarlar
- ÖĞRENİN
- öğrenme
- Sınırlı
- çizgi
- Listeler
- yer
- Uzun
- makine öğrenme
- yönetim
- Pazarlama
- model
- MS
- Oklahoma
- Operasyon
- seçenek
- Diğer
- açık havada
- politikaları
- politika
- özel
- Ürünler
- Okuma
- kaynak
- Kaynaklar
- Sonuçlar
- kurallar
- koşmak
- ölçek
- güvenlik
- set
- Basit
- Çözümler
- başlama
- Eyalet
- Açıklama
- hafızası
- Stratejileri
- destekli
- Destekler
- Sistemler
- Takip
- Eğitim
- trenler
- üniversite
- kullanıcılar
- Görüntüle
- Sanal
- hacim
- içinde
- yazı yazıyor