Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografa i tuoi dati Canvas con SageMaker AWS KMS
Potresti avere dati che desideri crittografare durante l'utilizzo di Amazon SageMaker Canvas, come le informazioni private della tua azienda o i dati dei clienti. SageMaker Canvas utilizza AWS Key Management Service per proteggere i tuoi dati. AWS KMS è un servizio che puoi utilizzare per creare e gestire chiavi crittografiche per la crittografia dei dati. Per ulteriori informazioni AWS Key Management Servicein merito AWS KMS, consulta la Guida per gli AWS KMS sviluppatori.
Amazon SageMaker Canvas offre diverse opzioni per crittografare i dati. SageMaker Canvas fornisce la crittografia predefinita all'interno dell'applicazione per attività come la creazione di un modello e la generazione di approfondimenti. Puoi anche scegliere di crittografare i dati archiviati in Amazon S3 per proteggere i dati archiviati. SageMaker Canvas supporta l'importazione di set di dati crittografati, in modo da poter stabilire un flusso di lavoro crittografato. Le sezioni seguenti descrivono come utilizzare la AWS KMS crittografia per proteggere i dati durante la creazione di modelli con SageMaker Canvas.
Crittografa i tuoi dati in Canvas SageMaker
Con SageMaker Canvas, puoi utilizzare due diverse chiavi di AWS KMS crittografia per crittografare i tuoi dati in SageMaker Canvas, che puoi specificare durante la configurazione del dominio. Queste due chiavi possono essere uguali o diverse. SageMaker Canvas utilizza una chiave per l'archiviazione temporanea delle applicazioni, le visualizzazioni o per scopi di calcolo (come la creazione di modelli). Puoi utilizzare la chiave gestita predefinita AWS o specificarne una personalizzata. Puoi anche specificare una chiave opzionale che SageMaker Canvas utilizza per l'archiviazione a lungo termine di oggetti del modello e set di dati, che vengono archiviati nel bucket SageMaker S3 predefinito della regione per il tuo account.
Prerequisiti
Per utilizzare la tua chiave KMS per uno degli scopi descritti in precedenza, devi innanzitutto concedere al ruolo IAM dell'utente l'autorizzazione a utilizzare la chiave. Quindi, puoi specificare la chiave KMS durante la configurazione del dominio.
Il modo più semplice per concedere al tuo ruolo il permesso di utilizzare la chiave è modificare la policy della chiave. Utilizza la procedura seguente per concedere al tuo ruolo le autorizzazioni necessarie.
-
Apri la AWS KMS console
. -
Nella sezione Policy della chiave, scegli Passa alla visualizzazione della policy.
-
Modifica la policy della chiave per concedere le autorizzazioni
kms:GenerateDataKeye le azionikms:Decryptal ruolo IAM. Puoi aggiungere un'istruzione simile alla seguente:{ "Sid": "ExampleStmt", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
Seleziona Salvataggio delle modifiche.
Il metodo meno consigliato consiste nel modificare il ruolo IAM dell'utente per concedere all'utente le autorizzazioni per utilizzare o gestire la chiave KMS. Se utilizzi questo metodo, la policy della chiave KMS deve consentire anche la gestione degli accessi tramite IAM. Per sapere come concedere l'autorizzazione a una chiave KMS tramite il ruolo IAM dell'utente, consulta Specifying KMS keys in IAM policy statements in AWS KMS Guida per gli sviluppatori.
Prerequisiti per la previsione di serie temporali
Per utilizzare la tua AWS KMS chiave per crittografare i modelli di previsione delle serie temporali in SageMaker Canvas, devi modificare la policy chiave per la chiave KMS utilizzata per archiviare oggetti su Amazon S3. La tua policy chiave deve concedere le autorizzazioni aAmazonSageMakerCanvasForecastRole, cosa che si SageMaker crea quando concedi le autorizzazioni per la previsione delle serie temporali ai tuoi utenti. Amazon Forecast lo utilizza AmazonSageMakerCanvasForecastRole per eseguire operazioni di previsione di serie temporali in SageMaker Canvas. La tua chiave KMS deve concedere le autorizzazioni per questo ruolo, per garantire che i dati siano crittografati per la previsione di serie temporali.
Per modificare le autorizzazioni della tua policy della chiave KMS per consentire la previsione di serie temporali crittografate, procedi come segue.
-
Apri la AWS KMS console
. -
Nella sezione Policy della chiave, scegli Passa alla visualizzazione della policy.
-
Modifica la policy della chiave per ottenere le autorizzazioni specificate nell'esempio seguente:
{ "Sid": "Enable IAM Permissions for Amazon Forecast KMS access", "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:Decrypt" ], "Resource": "*" } -
Seleziona Salvataggio delle modifiche.
Ora puoi usare la tua chiave KMS per crittografare le operazioni di previsione delle serie temporali in Canvas. SageMaker
Nota
Le seguenti autorizzazioni sono necessarie solo se utilizzi il metodo di configurazione dei ruoli IAM per configurare la previsione di serie temporali. Aggiungi la seguente policy di autorizzazione al ruolo IAM del tuo utente. Inoltre, devi aggiornare la policy della chiave con le policy aggiornate richieste per Amazon Forecast. Per ulteriori informazioni sulle autorizzazioni richieste per la previsione di serie temporali, consulta Concedi ai tuoi utenti le autorizzazioni per eseguire previsioni di serie temporali.
{ "Sid": "Enable IAM Permissions for Amazon Forecast KMS access", "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>" }, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:GenerateDataKey" "kms:GenerateDataKeyWithoutPlainText", ], "Resource": "*" }
Crittografa i tuoi dati nell'applicazione Canvas SageMaker
La prima chiave KMS che puoi utilizzare in SageMaker Canvas viene utilizzata per crittografare i dati delle applicazioni archiviati nei volumi Amazon Elastic Block Store (Amazon EBS) e nell'Amazon Elastic File System SageMaker creato nel tuo dominio. SageMaker Canvas crittografa i dati con questa chiave nell'applicazione sottostante e nei sistemi di storage temporanei creati quando si utilizzano istanze di calcolo per creare modelli e generare approfondimenti. SageMaker Canvas passa la chiave ad altri AWS servizi, come Autopilot, ogni volta che SageMaker Canvas avvia dei lavori con loro per elaborare i dati.
È possibile specificare questa chiave impostando la KmsKeyID nella chiamata CreateDomain API o durante la configurazione standard del dominio nella console. Se non specifichi la tua chiave KMS, SageMaker utilizza una chiave KMS AWS gestita predefinita per crittografare i dati nell' SageMaker applicazione Canvas.
Per specificare la tua chiave KMS da utilizzare nell'applicazione SageMaker Canvas tramite la console, configura prima il tuo SageMaker dominio Amazon utilizzando la configurazione Standard. Utilizza la seguente procedura per completare la sezione Rete e archiviazione per il dominio.
-
Compila le impostazioni del VPC Amazon desiderate.
-
In Chiave di crittografia, scegli Inserisci l’ARN della chiave KMS.
-
In ARN KMS, inserisci l'ARN per la tua chiave KMS, che dovrebbe avere un formato simile al seguente:
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Crittografa i tuoi dati SageMaker Canvas salvati in Amazon S3
La seconda chiave KMS che puoi specificare viene utilizzata per i dati che SageMaker Canvas archivia su Amazon S3. SageMaker Canvas salva i duplicati dei set di dati di input, dei dati di applicazioni e modelli e i dati di output nel bucket SageMaker S3 predefinito della regione per il tuo account. Lo schema di denominazione per questo bucket ès3://sagemaker-, e SageMaker Canvas memorizza i dati nella cartella. {Region}-{your-account-id}Canvas/
-
Attiva Abilita la condivisione delle risorse notebook.
-
In Percorso S3 per le risorse notebook condivisibili, mantieni il percorso Amazon S3 predefinito. Tieni presente che SageMaker Canvas non utilizza questo percorso Amazon S3; questo percorso Amazon S3 viene utilizzato per i notebook Studio Classic.
-
In Chiave di crittografia, scegli Inserisci l’ARN della chiave KMS.
-
In ARN KMS, inserisci l'ARN per la tua chiave KMS, che dovrebbe avere un formato simile al seguente:
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Importazione di set di dati crittografati da Amazon S3
I tuoi utenti potrebbero avere set di dati crittografati con una chiave KMS. Sebbene la sezione precedente mostri come crittografare i dati in SageMaker Canvas e i dati archiviati su Amazon S3, devi concedere al ruolo IAM dell'utente autorizzazioni aggiuntive se desideri importare dati da Amazon S3 che sono già crittografati con. AWS KMS
Per concedere ai tuoi utenti le autorizzazioni per importare set di dati crittografati da Amazon S3 SageMaker in Canvas, aggiungi le seguenti autorizzazioni al ruolo di esecuzione IAM che hai utilizzato per il profilo utente.
"kms:Decrypt", "kms:GenerateDataKey"
Per sapere come modificare le autorizzazioni IAM per un ruolo, consulta la pagina Adding and removing IAM identity permissions in Guida per l'utente IAM. Per ulteriori informazioni sulle chiavi KMS, consulta Policy della chiave AWS Key Management Service in AWS KMS Guida per gli sviluppatori.
Domande frequenti
Consulta le seguenti domande frequenti per le risposte alle domande più frequenti sul supporto di Canvas. SageMaker AWS KMS
R: No. SageMaker Canvas può temporaneamente memorizzare nella cache la chiave o trasmetterla ad altri AWS servizi (come Autopilot), ma SageMaker Canvas non conserva la chiave KMS.
R: Il ruolo IAM dell'utente potrebbe non disporre delle autorizzazioni per utilizzare quella chiave KMS. Per concedere le autorizzazioni utente, consulta Prerequisiti. Un altro possibile errore è che hai una policy sui bucket Amazon S3 che richiede l'uso di una chiave KMS specifica che non corrisponde alla chiave KMS specificata nel tuo dominio. Assicurati di specificare la stessa chiave KMS per il tuo bucket Amazon S3 e il tuo dominio.
R: Il bucket Amazon S3 predefinito segue lo schema di denominazione s3://sagemaker-. La {Region}-{your-account-id}Canvas/ cartella in questo bucket memorizza i dati dell'applicazione SageMaker Canvas.
R: No, SageMaker crea questo bucket per te.
R: SageMaker Canvas utilizza il bucket SageMaker Amazon S3 predefinito per archiviare duplicati dei set di dati di input, degli artefatti del modello e degli output del modello.
R: Con SageMaker Canvas, puoi utilizzare le tue chiavi di crittografia AWS KMS per creare modelli di regressione, classificazione binaria e multiclasse e modelli di previsione delle serie temporali, nonché per l'inferenza in batch con il tuo modello.
R: Sì. Devi concedere alla chiave KMS autorizzazioni aggiuntive per eseguire previsioni di serie temporali crittografate. Per ulteriori informazioni su come modificare la policy della chiave per concedere le autorizzazioni per la previsione di serie temporali, consulta Prerequisiti per la previsione di serie temporali.
