Enkripsi KMS di Amazon Comprehend - Amazon Comprehend

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi KMS di Amazon Comprehend

Amazon Comprehend AWS Key Management Service bekerja AWS KMS dengan () untuk menyediakan enkripsi yang disempurnakan untuk data Anda. Amazon S3 sudah memungkinkan Anda mengenkripsi dokumen masukan saat membuat analisis teks, pemodelan topik, atau pekerjaan Amazon Comprehend khusus. Integrasi dengan AWS KMS memungkinkan Anda mengenkripsi data dalam volume penyimpanan untuk pekerjaan Start* dan Create*, dan mengenkripsi hasil output dari pekerjaan Start* menggunakan kunci KMS Anda sendiri.

Untuk ituAWS Management Console, Amazon Comprehend mengenkripsi model khusus dengan kunci KMS-nya sendiri. Untuk ituAWS CLI, Amazon Comprehend dapat mengenkripsi model kustom menggunakan kunci KMS sendiri atau kunci yang dikelola pelanggan (CMK) yang disediakan.

Enkripsi KMS menggunakan AWS Management Console

Dua opsi enkripsi tersedia saat menggunakan konsol:

  • Enkripsi volume

  • Enkripsi hasil keluaran

Untuk mengaktifkan enkripsi volume

  1. Di bawah Job Settings, pilih opsi Enkripsi Job.

    Enkripsi KMS Job di AWS Management Console

  2. Pilih apakah kunci yang dikelola pelanggan (CMK) KMS berasal dari akun yang sedang Anda gunakan atau dari akun lain. Jika Anda ingin menggunakan kunci dari akun saat ini, pilih alias kunci dari ID kunci KMS. Jika Anda menggunakan kunci dari akun lain, Anda harus memasukkan ARN kunci.

Untuk mengaktifkan enkripsi hasil keluaran

  1. Di bawah Pengaturan Keluaran, pilih opsi Enkripsi.

    Enkripsi hasil keluaran KMS di AWS Management Console

  2. Pilih apakah kunci yang dikelola pelanggan (CMK) berasal dari akun yang sedang Anda gunakan atau dari akun lain. Jika Anda ingin menggunakan kunci dari akun saat ini, pilih ID kunci dari ID kunci KMS. Jika Anda menggunakan kunci dari akun lain, Anda harus memasukkan ARN kunci.

Jika sebelumnya Anda telah mengatur enkripsi menggunakan SSE-KMS pada dokumen input S3 Anda, ini dapat memberi Anda keamanan tambahan. Namun, jika Anda melakukan ini, peran IAM yang digunakan harus memiliki kms:Decrypt izin untuk kunci KMS yang dengannya dokumen input dienkripsi. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk menggunakan enkripsi KMS.

Enkripsi KMS dengan operasi API

Semua operasi Start* Amazon Create* Comprehend dan API mendukung dokumen input terenkripsi KMS. Describe*dan operasi List* API mengembalikan KmsKeyId in OutputDataConfig jika pekerjaan asli telah KmsKeyId disediakan sebagai input. Jika tidak diberikan sebagai input, itu tidak dikembalikan.

Hal ini dapat dilihat pada contoh AWS CLI berikut menggunakan operasi: StartEntitiesDetectionJob

aws comprehend start-entities-detection-job \
     --region region \
     --data-access-role-arn "data access role arn" \    
     --entity-recognizer-arn "entity recognizer arn" \
     --input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \    
     --job-name job name \
     --language-code en \
     --output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
     --volumekmskeyid "Volume KMS key ID"
catatan

Contoh ini diformat untuk Unix, Linux, dan macOS. Untuk Windows, ganti karakter kelanjutan backslash (\) Unix di akhir setiap baris dengan tanda sisipan (^).

Enkripsi Customer Managed Key (CMK) dengan operasi API

Amazon Comprehend CreateEntityRecognizer operasi API model kustom,,, dan CreateDocumentClassifierCreateEndpoint, enkripsi dukungan menggunakan kunci yang dikelola pelanggan melalui. AWS CLI

Anda memerlukan kebijakan IAM untuk mengizinkan prinsipal menggunakan atau mengelola kunci yang dikelola pelanggan. Kunci-kunci ini ditentukan dalam Resource elemen pernyataan kebijakan. Sebagai praktik terbaik, batasi kunci yang dikelola pelanggan hanya untuk kunci yang harus digunakan oleh kepala sekolah dalam pernyataan kebijakan Anda.

Contoh AWS CLI berikut membuat pengenal entitas kustom dengan enkripsi model menggunakan operasi: CreateEntityRecognizer

aws comprehend create-entity-recognizer \
     --recognizer-name name \
     --data-access-role-arn data access role arn \    
     --language-code en \
     --model-kms-key-id Model KMS Key ID \ 
     --input-data-config file:///path/input-data-config.json
catatan

Contoh ini diformat untuk Unix, Linux, dan macOS. Untuk Windows, ganti karakter kelanjutan backslash (\) Unix di akhir setiap baris dengan tanda sisipan (^).