Bây giờ bạn có thể kiểm soát Đám mây riêng ảo Amazon (Amazon VPC) và cài đặt mã hóa cho Amazon hiểu API sử dụng Quản lý truy cập và nhận dạng AWS (IAM) khóa điều kiện và mã hóa các mô hình tùy chỉnh của Amazon Toàn diện của bạn bằng cách sử dụng khóa do khách hàng quản lý (CMK) thông qua Dịch vụ quản lý khóa AWS (AWS KMS). Các khóa điều kiện IAM cho phép bạn tinh chỉnh thêm các điều kiện áp dụng tuyên bố chính sách IAM. Bạn có thể sử dụng các khóa điều kiện mới trong chính sách IAM khi cấp quyền để tạo công việc không đồng bộ và tạo công việc phân loại tùy chỉnh hoặc đào tạo thực thể tùy chỉnh.
Hiện tại Amazon Comprehend hỗ trợ năm khóa điều kiện mới:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Các khóa cho phép bạn đảm bảo rằng người dùng chỉ có thể tạo các công việc đáp ứng tình trạng bảo mật của tổ chức của bạn, chẳng hạn như các công việc được kết nối với mạng con VPC và nhóm bảo mật được phép. Bạn cũng có thể sử dụng các khóa này để thực thi cài đặt mã hóa cho các ổ lưu trữ nơi dữ liệu được kéo xuống để tính toán và trên Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3) thùng chứa đầu ra của hoạt động. Nếu người dùng cố gắng sử dụng API có cài đặt VPC hoặc thông số mã hóa không được phép, Amazon Comprehend sẽ đồng bộ từ chối thao tác với ngoại lệ 403 Access Denied.
Tổng quan về giải pháp
Sơ đồ sau minh họa kiến trúc của giải pháp của chúng tôi.
Chúng tôi muốn thực thi một chính sách để thực hiện những điều sau:
- Đảm bảo rằng tất cả các công việc đào tạo phân loại tùy chỉnh được chỉ định với cài đặt VPC
- Đã bật mã hóa cho công việc đào tạo trình phân loại, đầu ra trình phân loại và mô hình Toàn diện của Amazon
Bằng cách này, khi ai đó bắt đầu công việc đào tạo phân loại tùy chỉnh, dữ liệu đào tạo được lấy từ Amazon S3 sẽ được sao chép vào khối lượng lưu trữ trong các mạng con VPC được chỉ định của bạn và được mã hóa với các VolumeKmsKey
. Giải pháp cũng đảm bảo rằng kết quả của quá trình đào tạo mô hình được mã hóa với OutputKmsKey
. Cuối cùng, bản thân mô hình Toàn diện Amazon được mã hóa bằng khóa AWS KMS do người dùng chỉ định khi nó được lưu trữ trong VPC. Giải pháp sử dụng ba khóa khác nhau cho dữ liệu, đầu ra và mô hình tương ứng, nhưng bạn có thể chọn sử dụng cùng một khóa cho cả ba tác vụ.
Ngoài ra, chức năng mới này cho phép bạn kiểm tra việc sử dụng mô hình trong Đường mòn đám mây AWS bằng cách theo dõi việc sử dụng khóa mã hóa mô hình.
Mã hóa với các chính sách IAM
Chính sách sau đây đảm bảo rằng người dùng phải chỉ định mạng con VPC và nhóm bảo mật cho cài đặt VPC và khóa AWS KMS cho cả trình phân loại và đầu ra:
Ví dụ: trong đoạn mã sau, Người dùng 1 cung cấp cả cài đặt VPC và khóa mã hóa và có thể hoàn tất thành công thao tác:
Mặt khác, người dùng 2 không cung cấp bất kỳ cài đặt bắt buộc nào sau đây và không được phép hoàn tất hoạt động:
Trong các ví dụ mã trước, miễn là cài đặt VPC và khóa mã hóa được đặt, bạn có thể chạy công việc đào tạo trình phân loại tùy chỉnh. Để lại VPC và cài đặt mã hóa ở trạng thái mặc định của chúng dẫn đến ngoại lệ 403 Access Denied.
Trong ví dụ tiếp theo, chúng tôi thực thi một chính sách thậm chí còn nghiêm ngặt hơn, trong đó chúng tôi phải đặt cài đặt VPC và mã hóa để cũng bao gồm các mạng con, nhóm bảo mật và khóa KMS cụ thể. Chính sách này áp dụng các quy tắc này cho tất cả các API toàn diện của Amazon bắt đầu các công việc không đồng bộ mới, tạo bộ phân loại tùy chỉnh và tạo bộ nhận dạng thực thể tùy chỉnh. Xem đoạn mã sau:
Trong ví dụ tiếp theo, trước tiên, chúng tôi tạo một bộ phân loại tùy chỉnh trên bảng điều khiển Toàn diện Amazon mà không chỉ định tùy chọn mã hóa. Bởi vì chúng tôi có các điều kiện IAM được chỉ định trong chính sách, hoạt động bị từ chối.
Khi bạn bật mã hóa trình phân loại, Amazon Comprehend sẽ mã hóa dữ liệu trong dung lượng lưu trữ trong khi công việc của bạn đang được xử lý. Bạn có thể sử dụng khóa khách hàng AWS KMS được quản lý từ tài khoản của mình hoặc một tài khoản khác. Bạn có thể chỉ định cài đặt mã hóa cho công việc phân loại tùy chỉnh như trong ảnh chụp màn hình sau.
Mã hóa đầu ra cho phép Amazon Comprehend mã hóa kết quả đầu ra từ phân tích của bạn. Tương tự như mã hóa công việc Toàn diện của Amazon, bạn có thể sử dụng khóa do khách hàng AWS KMS quản lý từ tài khoản của mình hoặc tài khoản khác.
Bởi vì chính sách của chúng tôi cũng thực thi các công việc sẽ được khởi chạy với VPC và quyền truy cập nhóm bảo mật được bật, bạn có thể chỉ định các cài đặt này trong Cài đặt VPC phần.
Hoạt động API toàn diện của Amazon và khóa điều kiện IAM
Bảng sau liệt kê các hoạt động API Toàn diện của Amazon và các khóa điều kiện IAM được hỗ trợ trong quá trình viết này. Để biết thêm thông tin, hãy xem Các hành động, tài nguyên và khóa điều kiện cho Amazon Toàn diện.
Mã hóa mô hình bằng CMK
Cùng với việc mã hóa dữ liệu đào tạo, giờ đây bạn có thể mã hóa các mô hình tùy chỉnh của mình trong Amazon Comprehend bằng CMK. Trong phần này, chúng ta đi tìm hiểu chi tiết hơn về tính năng này.
Điều kiện tiên quyết
Bạn cần thêm chính sách IAM để cho phép hiệu trưởng sử dụng hoặc quản lý CMK. CMK được chỉ định trong phần tử Tài nguyên của tuyên bố chính sách. Khi viết các tuyên bố chính sách của bạn, đó là thực hành tốt nhất để giới hạn CMK ở những người mà hiệu trưởng cần sử dụng, thay vì cấp cho hiệu trưởng quyền truy cập vào tất cả CMK.
Trong ví dụ sau, chúng tôi sử dụng khóa AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) để mã hóa mô hình tùy chỉnh Toàn diện của Amazon.
Khi bạn sử dụng mã hóa AWS KMS, cần có quyền kms: CreateGrant và kms: RetireGrant để mã hóa mô hình.
Ví dụ: tuyên bố chính sách IAM sau đây trong dataAccessRole của bạn được cung cấp cho Amazon Comprehend cho phép hiệu trưởng chỉ gọi các hoạt động tạo trên CMK được liệt kê trong phần tử Tài nguyên của tuyên bố chính sách:
Chỉ định CMK theo ARN chính, đây là phương pháp hay nhất, đảm bảo rằng các quyền chỉ được giới hạn ở các CMK được chỉ định.
Bật mã hóa mô hình
Kể từ khi viết bài này, mã hóa mô hình tùy chỉnh chỉ có sẵn thông qua Giao diện dòng lệnh AWS (AWS CLI). Ví dụ sau tạo bộ phân loại tùy chỉnh với mã hóa mô hình:
Ví dụ tiếp theo đào tạo một trình nhận dạng thực thể tùy chỉnh với mã hóa mô hình:
Cuối cùng, bạn cũng có thể tạo một điểm cuối cho mô hình tùy chỉnh của mình với mã hóa được bật:
Kết luận
Giờ đây, bạn có thể thực thi các cài đặt bảo mật như bật mã hóa và cài đặt VPC cho các công việc Toàn diện Amazon của mình bằng cách sử dụng khóa điều kiện IAM. Các khóa điều kiện IAM có sẵn trong tất cả Khu vực AWS nơi có sẵn Amazon Comprehend. Bạn cũng có thể mã hóa các mô hình tùy chỉnh của Amazon Toàn diện bằng cách sử dụng các khóa do khách hàng quản lý.
Để tìm hiểu thêm về các khóa điều kiện mới và xem các ví dụ về chính sách, hãy xem Sử dụng khóa điều kiện IAM cho cài đặt VPC và Tài nguyên và Điều kiện cho API Toàn diện của Amazon. Để tìm hiểu thêm về cách sử dụng khóa điều kiện IAM, hãy xem Các yếu tố chính sách IAM JSON: Điều kiện.
Về các tác giả
Sam Palani là Kiến trúc sư Giải pháp Chuyên gia về AI / ML tại AWS. Anh ấy thích làm việc với khách hàng để giúp họ kiến trúc các giải pháp máy học trên quy mô lớn. Khi không giúp đỡ khách hàng, anh ấy thích đọc sách và khám phá ngoài trời.
Shanthan Kesharaju là Kiến trúc sư cao cấp trong nhóm AWS ProServe. Anh ấy giúp khách hàng của chúng tôi về chiến lược, kiến trúc AI / ML và phát triển sản phẩm có mục đích. Shanthan có bằng Thạc sĩ Quản trị Kinh doanh về Tiếp thị của Đại học Duke và bằng Thạc sĩ về Hệ thống Thông tin Quản lý của Đại học Bang Oklahoma.
Nguồn: https://aws.amazon.com/blogs/machine-learning/enforce-vpc-rules-for-amazon-comprehend-jobs-and-cmk-encryption-for-custom-models/- truy cập
- Tài khoản
- Hoạt động
- đàn bà gan dạ
- Amazon hiểu
- phân tích
- api
- API
- kiến trúc
- kiểm toán
- AWS
- BEST
- cuộc gọi
- phân loại
- mã
- Tạo
- khách hàng
- dữ liệu
- Giải mã
- chi tiết
- tài liệu
- Duke
- mã hóa
- Điểm cuối
- Đặc tính
- Cuối cùng
- Tên
- Nhóm
- HTTPS
- IAM
- Bản sắc
- thông tin
- Việc làm
- việc làm
- Key
- phím
- LEARN
- học tập
- Hạn chế
- Dòng
- Chức năng
- địa điểm thư viện nào
- dài
- học máy
- quản lý
- Marketing
- kiểu mẫu
- MS
- Oklahoma
- Hoạt động
- Tùy chọn
- Nền tảng khác
- ngoài trời
- Chính sách
- điều luật
- riêng
- Sản phẩm
- Reading
- tài nguyên
- Thông tin
- Kết quả
- quy tắc
- chạy
- Quy mô
- an ninh
- định
- Đơn giản
- Giải pháp
- Bắt đầu
- Tiểu bang
- Tuyên bố
- là gắn
- Chiến lược
- Hỗ trợ
- Hỗ trợ
- hệ thống
- Theo dõi
- Hội thảo
- tàu hỏa
- trường đại học
- Người sử dụng
- Xem
- ảo
- khối lượng
- ở trong
- viết