Canvas データを次のように暗号化します。 SageMaker AWS KMS

Amazon SageMaker Canvas の使用中に、会社の個人情報や顧客データなど、暗号化したいデータがあるかもしれません。 SageMaker Canvas AWS Key Management Service はデータを保護するために使用します。 AWS KMS は、データを暗号化するための暗号鍵の作成と管理に使用できるサービスです。詳細については AWS KMS、『AWS KMS 開発者ガイド』AWS Key Management Serviceのを参照してください。

Amazon SageMaker Canvas には、データを暗号化するためのオプションがいくつか用意されています。 SageMaker Canvas では、モデルの構築やインサイトの生成などのタスクをアプリケーション内でデフォルトで暗号化できます。Amazon S3 に保存されているデータを暗号化して、保存中のデータを保護することもできます。 SageMaker Canvas は暗号化されたデータセットのインポートをサポートしているため、暗号化されたワークフローを確立できます。以下のセクションでは、 AWS KMS SageMaker Canvasでモデルを構築する際に暗号化を使用してデータを保護する方法について説明します。

Canvas SageMaker でデータを暗号化します。

SageMaker Canvasでは、 AWS KMS SageMaker ドメインの設定時に指定できる2つの異なる暗号化キーを使用してCanvasのデータを暗号化できます。これら 2 つのキーは同じでも異なっていてもかまいません。 SageMaker Canvas は、アプリケーションの一時的なストレージ、視覚化、または計算目的 (モデルの構築など) に 1 つのキーを使用します。デフォルトの AWS マネージドキーを使用することも、独自のキーを指定することもできます。 SageMaker Canvasがモデルオブジェクトとデータセットの長期保存に使用するオプションのキーを指定することもできます。これらのキーは、 SageMakerアカウントのリージョンのデフォルトS3バケットに保存されます。

前提条件

上記いずれかの目的で独自の KMS キーを使用するには、まずユーザーの IAM ロールにキーを使用する権限を付与する必要があります。その後、ドメインの設定時に KMS キーを指定できます。

キーを使用する権限をロールに付与する最も簡単な方法は、キーポリシーを変更することです。必要な権限をロールに付与するには、次の手順に従います。

1. AWS KMS コンソールを開きます。

2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

3. キーのポリシーを変更して、IAM ロールに kms:GenerateDataKey および kms:Decrypt アクションの権限を付与します。次のようなステートメントを追加できます。

   {
     "Sid": "ExampleStmt",
     "Action": [
       "kms:Decrypt",
       "kms:GenerateDataKey"
     ],
     "Effect": "Allow",
     "Principal": {
       "AWS": "<arn:aws:iam::111122223333:role/Jane>"
     },
     "Resource": "*"
   }

4. [変更の保存] を選択します。

ユーザーの IAM ロールを変更して KMS キーを使用または管理する権限をユーザーに付与することもできますが、この方法はあまり推奨されません。この方法を使用する場合は、KMS キーポリシーで IAM によるアクセス管理も許可する必要があります。ユーザーの IAM ロールを通じて KMS キーに権限を付与する方法については、「AWS KMS Developer Guide」の「Specifying KMS keys in IAM policy statements」を参照してください。

時系列予測の前提条件

AWS KMS SageMaker キーを使用してCanvasの時系列予測モデルを暗号化するには、Amazon S3 にオブジェクトを保存するために使用されるKMSキーのキーポリシーを変更する必要があります。キーポリシーではにアクセス権限を付与する必要があります。これはAmazonSageMakerCanvasForecastRole、 SageMaker ユーザーに時系列予測のアクセス権限を付与すると作成される権限です。Amazon Forecast AmazonSageMakerCanvasForecastRole はを使用して、 SageMaker Canvas で時系列予測オペレーションを実行します。時系列予測用にデータを暗号化するには、KMS キーを使用してこのロールに権限を付与する必要があります。

暗号化された時系列予測を実行できるように KMS キーポリシーの権限を変更するには、次の手順に従います。

1. AWS KMS コンソールを開きます。

2. [Key Policy (キーポリシー)] セクションで、[Switch to policy view (ポリシービューへの切り替え)] を選択します。

3. 次の例のように、キーポリシーの権限を変更します。

   {
               "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>"
               },
               "Action": [
                   "kms:DescribeKey",
                   "kms:CreateGrant",
                   "kms:RetireGrant",
                   "kms:GenerateDataKey",
                   "kms:GenerateDataKeyWithoutPlainText",
                   "kms:Decrypt"
               ],
               "Resource": "*"
   }

4. [変更の保存] を選択します。

KMS キーを使用して Canvas の時系列予測オペレーションを暗号化できるようになりました。 SageMaker

注記

以下の権限は、IAM ロールの設定を使用して時系列予測を設定する場合にのみ必要です。以下の権限ポリシーをユーザーの IAM ロールに追加します。また、Amazon Forecast に必要な更新されたポリシーでキーポリシーを更新する必要があります。時系列予測に必要な権限の詳細については、「時系列予測を実行する権限をユーザーに付与する」を参照してください。

{
            "Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
            },
            "Action": [
                    "kms:Decrypt", 
                    "kms:DescribeKey",
                    "kms:CreateGrant",
                    "kms:RetireGrant",
                    "kms:GenerateDataKey" 
                    "kms:GenerateDataKeyWithoutPlainText",
            ],
            "Resource": "*"
}

Canvas アプリケーションのデータを暗号化します。 SageMaker

SageMaker Canvas で使用できる最初の KMS キーは、Amazon Elastic Block Store (Amazon EBS) ボリュームと、 SageMaker ドメイン内に作成される Amazon Elastic File System に保存されているアプリケーションデータを暗号化するために使用されます。 SageMaker Canvas は、コンピュートインスタンスを使用してモデルを構築し、インサイトを生成する際に作成される、基盤となるアプリケーションおよび一時ストレージシステムのデータをこのキーで暗号化します。 SageMaker Canvasがデータを処理するジョブを開始するたびに、 AWS SageMaker CanvasはAutopilotなどの他のサービスにキーを渡します。

このキーは、CreateDomain API 呼び出しで設定するか、KmsKeyIDコンソールで Standard ドメインの設定を行うときに指定できます。独自の KMS キーを指定しない場合は、 AWS デフォルトのマネージド KMS SageMaker キーを使用して Canvas アプリケーションのデータを暗号化します。 SageMaker

SageMaker コンソールからCanvasアプリケーションで使用する独自のKMSキーを指定するには、 SageMaker まず標準設定を使用してAmazonドメインを設定します。以下の手順に従って、ドメインの「ネットワークとストレージ」セクションを完成させます。

1. 使用する Amazon VPC 設定を入力します。

2. [暗号化キー] で、[KMS キー ARN を入力] を選択します。

3. [KMS ARN] に、arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd のような形式で KMS キーの ARN を入力します。

Amazon S3 SageMaker に保存されているキャンバスデータを暗号化します

指定できる 2 番目の KMS キーは、 SageMaker Canvas が Amazon S3 に保存するデータに使用されます。 SageMaker Canvas は、入力データセット、アプリケーションデータ、モデルデータ、出力データを複製して、アカウントのリージョンのデフォルト SageMaker S3 バケットに保存します。s3://sagemaker-{Region}-{your-account-id}このバケットの命名パターンはで、 SageMaker Canvas はデータをフォルダーに保存します。Canvas/

1. [ノートブックリソース共有の有効化] を有効にします。

2. [共有可能なノートブックリソースの S3 ロケーション] は、デフォルトの Amazon S3 パスのままにします。 SageMaker Canvas はこの Amazon S3 パスを使用しないことに注意してください。この Amazon S3 パスは Studio Classic ノートブックに使用されます。

3. [暗号化キー] で、[KMS キー ARN を入力] を選択します。

4. [KMS ARN] に、arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd のような形式で KMS キーの ARN を入力します。

Amazon S3 から暗号化されたデータセットをインポートする

ユーザーには、KMS キーで暗号化されたデータセットがある場合があります。前のセクションでは、 SageMaker Canvas 内のデータと Amazon S3 に保存されているデータを暗号化する方法を示しましたが、すでに暗号化されている Amazon S3 からデータをインポートする場合は、ユーザーの IAM ロールに追加のアクセス権限を付与する必要があります。 AWS KMS

暗号化されたデータセットを Amazon S3 から SageMaker Canvas にインポートする権限をユーザーに付与するには、ユーザープロファイルに使用した IAM 実行ロールに次のアクセス権限を追加します。

      "kms:Decrypt",
      "kms:GenerateDataKey"
   

ロールの IAM 権限の編集方法については、「IAM ユーザーガイド」の「IAM ID のアクセス許可の追加および削除」を参照してください。KMS キーの詳細については、「AWS KMS Developer Guide」の「Key policies in AWS Key Management Service」を参照してください。

よくある質問

SageMaker Canvas AWS KMS サポートに関してよく寄せられる質問への回答については、次の FAQ 項目を参照してください。

Q: SageMaker Canvas は私の KMS キーを保管しますか?

A: いいえ。 SageMaker Canvas はキーを一時的にキャッシュしたり、 AWS 他のサービス (オートパイロットなど) に渡したりすることがありますが、 SageMaker Canvas は KMS キーを保持しません。

Q: ドメインの設定時に KMS キーを指定しました。データセットを SageMaker Canvas にインポートできなかったのはなぜですか?

A: ユーザーの IAM ロールには、その KMS キーを使用する権限がない可能性があります。ユーザーに権限を付与する方法については、「前提条件」を参照してください。他に考えられるエラーは、Amazon S3 バケットに、ドメインで指定した KMS キーと一致しない特定の KMS キーの使用を要求するバケットポリシーがあることです。Amazon S3 バケットとドメインに同じ KMS キーを指定するようにしてください。

Q: 自分のアカウント用のリージョンのデフォルト SageMaker Amazon S3 バケットを確認する方法を教えてください。

A: デフォルトの Amazon S3 バケットの命名パターンは s3://sagemaker-{Region}-{your-account-id} に従います。Canvas/このバケット内のフォルダには、 SageMaker Canvas アプリケーションデータが格納されます。

Q: SageMaker Canvas データの保存に使用されるデフォルトの SageMaker Amazon S3 バケットを変更できますか?

A: いいえ、 SageMaker このバケットは自動的に作成されます。

Q: SageMaker Canvas はデフォルトの SageMaker Amazon S3 バケットに何を保存しますか?

A: SageMaker Canvas はデフォルトの SageMaker Amazon S3 バケットを使用して、入力データセット、モデルアーティファクト、モデル出力の複製を保存します。

Q: Canvas で KMS キーを使用する場合はどのようなユースケースがサポートされていますか? SageMaker

A: SageMaker Canvas では、回帰、バイナリ分類、マルチクラス分類、時系列予測モデルの構築や、 AWS KMS モデルによるバッチ推論に独自の暗号化キーを使用できます。

Q: Canvas で時系列予測モデルを暗号化できますか? SageMaker

A: はい。暗号化された時系列予測を実行するには、KMS キーに追加の権限を付与する必要があります。時系列予測の権限を付与するためにキーのポリシーを変更する方法の詳細については、「時系列予測の前提条件」を参照してください。