Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Il se peut que vous souhaitiez chiffrer certaines données lorsque vous utilisez Amazon SageMaker Canvas, telles que les informations de votre entreprise privée ou les données de vos clients. SageMaker Canvas les utilise AWS Key Management Service pour protéger vos données. AWS KMS est un service que vous pouvez utiliser pour créer et gérer des clés cryptographiques afin de chiffrer vos données. Pour plus d'informations à ce sujet AWS KMS, consultez AWS Key Management Servicele guide du AWS KMS développeur.
Amazon SageMaker Canvas vous propose plusieurs options pour chiffrer vos données. SageMaker Canvas fournit un chiffrement par défaut dans l'application pour des tâches telles que la création de votre modèle et la génération d'informations. Vous pouvez également choisir de chiffrer les données stockées dans Amazon S3 pour protéger vos données au repos. SageMaker Canvas prend en charge l'importation de jeux de données chiffrés afin que vous puissiez établir un flux de travail chiffré. Les sections suivantes décrivent comment utiliser le AWS KMS chiffrement pour protéger vos données lors de la création de modèles avec SageMaker Canvas.
Chiffrez vos données dans Canvas SageMaker
Avec SageMaker Canvas, vous pouvez utiliser deux clés de AWS KMS chiffrement différentes pour chiffrer vos données dans SageMaker Canvas, que vous pouvez spécifier lors de la configuration de votre domaine à l'aide de la configuration de domaine standard. Ces clés sont spécifiées dans les étapes de configuration de domaine suivantes :
-
Étape 3 : Configuration des applications - (Facultatif) — Lors de la configuration de la section de configuration du stockage Canvas, vous pouvez spécifier une clé de chiffrement. Il s'agit d'une clé KMS que SageMaker Canvas utilise pour le stockage à long terme des objets du modèle et des ensembles de données, qui sont stockés dans le compartiment Amazon S3 fourni pour votre domaine. Si vous créez une application Canvas avec l'CreateAppAPI, utilisez le
S3KMSKeyIdchamp pour spécifier cette clé. -
Étape 6 : Configuration du stockage — SageMaker Canvas utilise une clé pour chiffrer l'espace privé Amazon SageMaker Studio créé pour votre application Canvas, qui inclut le stockage temporaire des applications, les visualisations et les tâches de calcul (telles que la création de modèles). Vous pouvez utiliser la clé AWS gérée par défaut ou spécifier la vôtre. Si vous spécifiez votre AWS KMS clé, les données stockées dans le
/home/sagemaker-userrépertoire sont cryptées avec votre clé. Si vous ne spécifiez aucune AWS KMS clé, les données qu'elles contiennent/home/sagemaker-usersont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée. Pour en savoir plus sur l'espace Studio et le stockage de votre application Canvas, consultezStockez les données de l'application SageMaker Canvas dans votre propre espace d' SageMaker IA. Si vous créez une application Canvas avec l'CreateAppAPI, utilisez leKmsKeyIDchamp pour spécifier cette clé.
Les clés précédentes peuvent être des clés KMS identiques ou différentes.
Prérequis
Pour utiliser votre propre clé KMS à l'une des fins décrites précédemment, vous devez d'abord autoriser le rôle IAM de votre utilisateur à utiliser la clé. Vous pouvez ensuite spécifier la clé KMS lors de la configuration de votre domaine.
Le moyen le plus simple de donner à votre rôle l'autorisation d'utiliser la clé est de modifier la politique de clé. Utilisez la procédure suivante pour accorder à votre rôle les autorisations nécessaires.
-
Ouvrez la console AWS KMS
. -
Dans la section Politique de clé, choisissez Passer à la vue de la politique.
-
Modifiez la politique de la clé afin d'accorder des autorisations pour les actions
kms:GenerateDataKeyetkms:Decryptau rôle IAM. De plus, si vous modifiez la politique clé qui chiffre le stockage de votre application Canvas dans l'espace Studio, autorisez l'kms:CreateGrantaction. Vous pouvez ajouter une instruction similaire à ce qui suit :{ "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
Sélectionnez Enregistrer les modifications.
La méthode la moins recommandée consiste à modifier le rôle IAM de l'utilisateur afin de lui donner les autorisations nécessaires pour utiliser ou gérer la clé KMS. Si vous utilisez cette méthode, la politique de clé KMS doit également autoriser la gestion des accès via IAM. Pour savoir comment autoriser une clé KMS via le rôle IAM de l'utilisateur, consultez Spécification de clés KMS dans les instructions de politique IAM dans le Guide du développeur AWS KMS .
Conditions préalables aux prédictions de séries temporelles
Pour utiliser votre AWS KMS clé pour chiffrer les modèles de prévision de séries chronologiques dans SageMaker Canvas, vous devez modifier la politique de clé relative à la clé KMS utilisée pour stocker des objets sur Amazon S3. Votre politique clé doit accorder des autorisations auAmazonSageMakerCanvasForecastRole, que l' SageMaker IA crée lorsque vous accordez des autorisations de prévision de séries chronologiques à vos utilisateurs. Amazon Forecast utilise le AmazonSageMakerCanvasForecastRole pour effectuer des opérations de prévision de séries chronologiques dans SageMaker Canvas. Votre clé KMS doit accorder des autorisations à ce rôle afin de garantir le chiffrement des données pour les prédictions de séries temporelles.
Pour modifier les autorisations de votre politique de clé KMS afin d'autoriser des prédictions de séries temporelles chiffrées, procédez comme suit.
-
Ouvrez la console AWS KMS
. -
Dans la section Politique de clé, choisissez Passer à la vue de la politique.
-
Modifiez la politique de la clé pour obtenir les autorisations spécifiées dans l'exemple suivant :
{ "Sid": "Enable IAM Permissions for Amazon Forecast KMS access", "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:Decrypt" ], "Resource": "*" } -
Sélectionnez Enregistrer les modifications.
Vous pouvez désormais utiliser votre clé KMS pour chiffrer les opérations de prévision de séries chronologiques dans SageMaker Canvas.
Note
Les autorisations suivantes ne sont requises que si vous utilisez la méthode de configuration du rôle IAM pour configurer les prédictions de séries temporelles. Ajoutez la politique d'autorisation suivante à votre rôle IAM d'utilisateur. Vous devez également mettre à jour la politique de clé avec les politiques mises à jour requises pour Amazon Forecast. Pour plus d'informations sur les autorisations requises pour les prédictions de séries temporelles, consultez Autorisation de vos utilisateurs à effectuer des prédictions de séries temporelles.
{
"Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
"Effect": "Allow",
"Principal": {
"AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:GenerateDataKey"
"kms:GenerateDataKeyWithoutPlainText",
],
"Resource": "*"
}Chiffrez vos données dans l'application SageMaker Canvas
La première clé KMS que vous pouvez utiliser dans SageMaker Canvas est utilisée pour chiffrer les données d'application stockées sur les volumes Amazon Elastic Block Store (Amazon EBS) et dans l'Amazon Elastic File System créé par l' SageMaker IA dans votre domaine. SageMaker Canvas chiffre vos données avec cette clé dans l'application sous-jacente et les systèmes de stockage temporaires créés lors de l'utilisation d'instances de calcul pour créer des modèles et générer des informations. SageMaker Canvas transmet la clé à d'autres AWS services, tels que Autopilot, chaque fois que SageMaker Canvas lance des tâches avec eux pour traiter vos données.
Vous pouvez spécifier cette clé en la définissant KmsKeyID dans l'appel CreateDomain d'API ou lors de la configuration de domaine standard dans la console. Si vous ne spécifiez pas votre propre clé KMS, SageMaker AI utilise une clé KMS AWS gérée par défaut pour chiffrer vos données dans l'application SageMaker Canvas.
Pour spécifier votre propre clé KMS à utiliser dans l'application SageMaker Canvas via la console, configurez d'abord votre domaine Amazon SageMaker AI à l'aide de la configuration standard. Suivez la procédure ci-dessous pour compléter la section Réseau et stockage du domaine.
-
Remplissez les paramètres Amazon VPC souhaités.
-
Pour la Clé de chiffrement, choisissez Saisissez l'ARN de la clé KMS.
-
Pour l'ARN de KMS, saisissez l'ARN de votre clé KMS, dont le format doit être similaire à ce qui suit :
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Chiffrez vos données SageMaker Canvas enregistrées dans Amazon S3
La deuxième clé KMS que vous pouvez spécifier est utilisée pour les données que SageMaker Canvas stocke sur Amazon S3. Cette clé KMS est spécifiée dans le S3KMSKeyId champ de l'appel d'CreateDomainAPI ou lors de la configuration standard du domaine dans la console SageMaker AI. SageMaker Canvas enregistre des doublons de vos ensembles de données d'entrée, des données d'application et de modèle, ainsi que des données de sortie dans le compartiment SageMaker AI S3 par défaut de la région pour votre compte. Le modèle de dénomination de ce compartiment ests3://sagemaker-, et SageMaker Canvas stocke les données dans le {Region}-{your-account-id}Canvas/ dossier.
-
Activez Activer le partage des ressources des ordinateurs.
-
Pour l'Emplacement S3 pour les ressources d'ordinateurs portables partageables, conservez le chemin d'accès Amazon S3 par défaut. Notez que SageMaker Canvas n'utilise pas ce chemin Amazon S3 ; ce chemin Amazon S3 est utilisé pour les blocs-notes Studio Classic.
-
Pour la Clé de chiffrement, choisissez Saisissez l'ARN de la clé KMS.
-
Pour l'ARN de KMS, saisissez l'ARN de votre clé KMS, dont le format doit être similaire à ce qui suit :
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Importer des jeux de données chiffrés d'Amazon S3
Vos utilisateurs peuvent avoir des jeux de données chiffrés avec une clé KMS. La section précédente explique comment chiffrer les données dans SageMaker Canvas et les données stockées dans Amazon S3, mais vous devez accorder des autorisations supplémentaires au rôle IAM de votre utilisateur si vous souhaitez importer des données depuis Amazon S3 déjà chiffrées avec. AWS KMS
Pour accorder à votre utilisateur l'autorisation d'importer des ensembles de données chiffrés depuis Amazon S3 dans SageMaker Canvas, ajoutez les autorisations suivantes au rôle d'exécution IAM que vous avez utilisé pour le profil utilisateur.
"kms:Decrypt",
"kms:GenerateDataKey"
Pour savoir comment modifier les autorisations IAM pour un rôle, consulter Ajout et suppression d'autorisations basées sur l'identité IAM dans le Guide d'utilisateur IAM. Pour de plus amples informations sur les clés KMS, veuillez consulter la section Politiques de clé dans AWS Key Management Service du Guide du développeur AWS KMS .
FAQs
Consultez les éléments de FAQ suivants pour obtenir des réponses aux questions fréquemment posées sur le AWS KMS support SageMaker Canvas.
R : Non. SageMaker Canvas peut temporairement mettre en cache votre clé ou la transmettre à d'autres AWS services (tels que le pilote automatique), mais SageMaker Canvas ne conserve pas votre clé KMS.
R : Le rôle IAM de votre utilisateur n'est peut-être pas autorisé à utiliser cette clé KMS. Pour accorder des autorisations à vos utilisateurs, consultez les Prérequis. Une autre erreur possible est que vous avez une politique de compartiment sur votre compartiment Amazon S3 qui exige l'utilisation d'une clé KMS spécifique qui ne correspond pas à la clé KMS que vous avez spécifiée dans votre domaine. Assurez-vous de spécifier la même clé KMS pour votre compartiment Amazon S3 et votre domaine.
R : Le compartiment Amazon S3 par défaut suit le modèle de dénomination s3://sagemaker-. Le {Region}-{your-account-id}Canvas/ dossier de ce compartiment stocke les données de votre application SageMaker Canvas.
R : Non, SageMaker l'IA crée ce compartiment pour vous.
R : SageMaker Canvas utilise le compartiment SageMaker AI Amazon S3 par défaut pour stocker des doublons de vos ensembles de données d'entrée, des artefacts de modèle et des sorties de modèles.
R : Avec SageMaker Canvas, vous pouvez utiliser vos propres clés de chiffrement AWS KMS pour créer des modèles de régression, de classification binaire et multiclasse, de prévision de séries chronologiques, ainsi que pour l'inférence par lots avec votre modèle.
A : Oui. Vous devez accorder à votre clé KMS des autorisations supplémentaires pour effectuer des prédictions de séries temporelles chiffrées. Pour plus d'informations sur comment modifier la politique de votre clé afin d'accorder des autorisations de prédictions de séries temporelles, consultez Conditions préalables aux prédictions de séries temporelles.
