Тепер ви можете контролювати Віртуальна приватна хмара Amazon (Amazon VPC) і налаштування шифрування для вашого «Амазонка» Використання API Управління ідентифікацією та доступом AWS (IAM) умовні ключі та шифруйте власні моделі Amazon Comprehend за допомогою керованих клієнтом ключів (CMK) через Служба управління ключами AWS (AWS KMS). Ключі умов IAM дозволяють додатково уточнити умови, за яких застосовується положення політики IAM. Ви можете використовувати нові ключі умов у політиках IAM під час надання дозволів на створення асинхронних завдань і створення настроюваних завдань класифікації чи навчання настроюваних сутностей.
Тепер Amazon Comprehend підтримує п’ять нових ключів умов:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Ключі дозволяють переконатися, що користувачі можуть створювати лише ті завдання, які відповідають вимогам безпеки вашої організації, наприклад завдання, підключені до дозволених підмереж і груп безпеки VPC. Ви також можете використовувати ці ключі, щоб примусово застосувати параметри шифрування для томів сховища, з яких дані витягуються для обчислень, і на Служба простого зберігання Amazon (Amazon S3), де зберігаються результати операції. Якщо користувачі намагаються використати API із недозволеними налаштуваннями VPC або параметрами шифрування, Amazon Comprehend синхронно відхиляє операцію з винятком 403 Access Denied.
Огляд рішення
Наступна діаграма ілюструє архітектуру нашого рішення.
Ми хочемо запровадити політику, щоб зробити наступне:
- Переконайтеся, що всі навчальні завдання спеціальної класифікації вказано в налаштуваннях VPC
- Увімкніть шифрування для завдання навчання класифікатора, вихідних даних класифікатора та моделі Amazon Comprehend
Таким чином, коли хтось починає навчальну роботу спеціальної класифікації, навчальні дані, отримані з Amazon S3, копіюються в томи зберігання у вказаних вами підмережах VPC і шифруються за допомогою вказаної VolumeKmsKey
. Рішення також гарантує, що результати навчання моделі зашифровані за допомогою зазначеного OutputKmsKey
. Зрештою, сама модель Amazon Comprehend зашифрована за допомогою ключа AWS KMS, указаного користувачем під час зберігання в VPC. Рішення використовує три різні ключі для даних, вихідних даних і моделі, відповідно, але ви можете використовувати той самий ключ для всіх трьох завдань.
Крім того, ця нова функція дає змогу перевіряти використання моделі в AWS CloudTrail шляхом відстеження використання ключа шифрування моделі.
Шифрування за допомогою політик IAM
Наступна політика гарантує, що користувачі повинні вказувати підмережі та групи безпеки VPC для налаштувань VPC та ключів AWS KMS як для класифікатора, так і для вихідних даних:
Наприклад, у наведеному нижче коді користувач 1 надає параметри VPC і ключі шифрування та може успішно завершити операцію:
З іншого боку, користувач 2 не надає жодних із цих необхідних налаштувань і не має права завершити операцію:
У попередніх прикладах коду, якщо встановлено параметри VPC і ключі шифрування, ви можете запустити завдання навчання спеціального класифікатора. Залишення параметрів VPC і шифрування в стані за замовчуванням призводить до виключення 403 Access Denied.
У наступному прикладі ми застосовуємо ще суворішу політику, у якій ми маємо налаштувати параметри VPC та шифрування, щоб також включати певні підмережі, групи безпеки та ключі KMS. Ця політика застосовує ці правила для всіх API Amazon Comprehend, які запускають нові асинхронні завдання, створюють спеціальні класифікатори та створюють спеціальні засоби розпізнавання сутностей. Перегляньте наступний код:
У наступному прикладі ми спочатку створюємо спеціальний класифікатор на консолі Amazon Comprehend, не вказуючи параметр шифрування. Оскільки ми маємо умови IAM, указані в політиці, операцію відхилено.
Коли ви вмикаєте шифрування класифікатора, Amazon Comprehend шифрує дані в тому сховища під час обробки вашого завдання. Ви можете використовувати керований клієнтом ключ AWS KMS зі свого облікового запису або іншого облікового запису. Ви можете вказати параметри шифрування для спеціального завдання класифікатора, як показано на наступному знімку екрана.
Шифрування вихідних даних дозволяє Amazon Comprehend шифрувати вихідні результати вашого аналізу. Подібно до шифрування завдань Amazon Comprehend, ви можете використовувати керований клієнтом ключ AWS KMS зі свого або іншого облікового запису.
Оскільки наша політика також вимагає, щоб завдання запускалися з увімкненим доступом до VPC та групи безпеки, ви можете вказати ці налаштування в Налаштування VPC .
Операції API Amazon Comprehend і ключі умов IAM
У наведеній нижче таблиці наведено операції API Amazon Comprehend і ключі умов IAM, які підтримуються на момент написання цієї статті. Для отримання додаткової інформації див Дії, ресурси та ключі умов для Amazon Comprehend.
Модель шифрування за допомогою CMK
Окрім шифрування ваших тренувальних даних, тепер ви можете шифрувати власні моделі в Amazon Comprehend за допомогою CMK. У цьому розділі ми детальніше розглянемо цю функцію.
Передумови
Потрібно додати політику IAM, щоб дозволити принципалу використовувати або керувати CMK. CMK указано в елементі Resource заяви про політику. Під час написання своїх політичних заяв це a краща практика обмежити CMK тими, які повинні використовувати принципали, замість того, щоб надавати принципалам доступ до всіх CMK.
У наступному прикладі ми використовуємо ключ AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
), щоб зашифрувати спеціальну модель Amazon Comprehend.
Якщо ви використовуєте шифрування AWS KMS, для шифрування моделі потрібні дозволи kms:CreateGrant і kms:RetireGrant.
Наприклад, наведена нижче заява політики IAM у вашій dataAccessRole, наданій Amazon Comprehend, дозволяє принципалу викликати операції створення лише для CMK, перелічених в елементі Resource заяви політики:
Зазначення CMK за ключем ARN, що є найкращою практикою, гарантує, що дозволи обмежуються лише вказаними CMK.
Увімкнути шифрування моделі
На момент написання цієї статті шифрування спеціальної моделі доступне лише через Інтерфейс командного рядка AWS (AWS CLI). У наступному прикладі створюється спеціальний класифікатор із шифруванням моделі:
У наступному прикладі навчається настроюваний розпізнавач сутностей із шифруванням моделі:
Нарешті, ви також можете створити кінцеву точку для своєї спеціальної моделі з увімкненим шифруванням:
Висновок
Тепер ви можете застосувати параметри безпеки, як-от увімкнути шифрування та налаштування VPC для завдань Amazon Comprehend, використовуючи ключі умов IAM. Ключі умови IAM доступні в усіх Регіони AWS де доступний Amazon Comprehend. Ви також можете зашифрувати спеціальні моделі Amazon Comprehend за допомогою ключів, керованих клієнтом.
Щоб дізнатися більше про ключі нових умов і переглянути приклади політики, див Використання ключів умов IAM для налаштувань VPC та Ресурс і умови для API Amazon Comprehend. Щоб дізнатися більше про використання ключів умов IAM, див Елементи політики IAM JSON: умова.
Про авторів
Сем Палані є архітектором спеціалістів із штучного інтелекту та ML в AWS. Йому подобається працювати з клієнтами, допомагаючи їм розробляти масштабні рішення машинного навчання. Коли він не допомагає клієнтам, він любить читати та досліджувати природу.
Шантан Кешараджу є старшим архітектором у команді AWS ProServe. Він допомагає нашим клієнтам зі стратегією AI/ML, архітектурою та розробкою продуктів з певною метою. Шантан має ступінь MBA з маркетингу в Університеті Дьюка і магістра в галузі інформаційних систем управління в Університеті штату Оклахома.
Джерело: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- доступ
- рахунки
- дію
- Amazon
- «Амазонка»
- аналіз
- API
- Інтерфейси
- архітектура
- аудит
- AWS
- КРАЩЕ
- call
- класифікація
- код
- створення
- Клієнти
- дані
- Розшифрувати
- деталь
- документація
- Герцог
- шифрування
- Кінцева точка
- особливість
- в кінці кінців
- Перший
- Group
- HTTPS
- IAM
- Особистість
- інформація
- робота
- Джобс
- ключ
- ключі
- УЧИТЬСЯ
- вивчення
- обмеженою
- Лінія
- списки
- розташування
- Довго
- навчання за допомогою машини
- управління
- Маркетинг
- модель
- MS
- Оклахома
- операції
- варіант
- Інше
- на відкритому повітрі
- Політика
- політика
- приватний
- Продукти
- читання
- ресурс
- ресурси
- результати
- Правила
- прогін
- шкала
- безпеку
- комплект
- простий
- Рішення
- старт
- стан
- Заява
- зберігання
- Стратегія
- Підтриманий
- Опори
- Systems
- Відстеження
- Навчання
- поїзда
- університет
- користувачі
- вид
- Віртуальний
- обсяг
- в
- лист