Amazon Comprehend에서의 KMS 암호화 - Amazon Comprehend

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Comprehend에서의 KMS 암호화

Amazon Comprehend는 AWS Key Management Service(AWS KMS)와 함께 작동하여 데이터에 대한 향상된 암호화를 제공합니다. Amazon S3는 텍스트 분석, 주제 모델링 또는 사용자 정의 Amazon Comprehend 작업을 생성할 때 사용자가 입력 문서를 암호화 할 수 있게 하였습니다. AWS KMS와 통합하면 사용자는 시작* 및 생성* 작업을 위한 스토리지 볼륨의 데이터를 암호화할 수 있으며, 자체 KMS 키를 사용하여 시작* 작업의 출력 결과를 암호화 할 수 있습니다.

AWS Management Console의 경우 Amazon Comprehend는 자체 KMS 키를 사용하여 사용자 정의 모델을 암호화합니다. AWS CLI의 경우 Amazon Comprehend는 자체 KMS 키 또는 제공된 고객 관리 키(CMK) 를 사용하여 사용자 정의 모델을 암호화할 수 있습니다.

AWS Management Console을 사용한 KMS 암호화

콘솔을 사용하면 두 가지 암호화 옵션을 사용할 수 있습니다.

  • 볼륨 암호화

  • 출력 결과 암호화

볼륨 암호화를 활성화하려면

  1. 작업 설정 에서 작업 암호화 옵션을 선택합니다.

    AWS Management Console 환경에서의 KMS 작업 암호화

  2. KMS CMK(고객 관리 키)가 현재 사용 중인 계정의 키인지 아니면 다른 계정의 키인지 선택합니다. 현재 계정의 키를 사용하려면 KMS 키 ID에서 키 별칭을 선택합니다. 다른 계정의 키를 사용하려면 키의 ARN을 입력해야 합니다.

출력 결과 암호화를 활성화하려면

  1. 출력 설정에서 암호화 옵션을 선택합니다.

    AWS Management Console 환경에서의 KMS 출력 결과 암호화

  2. CMK(고객 관리 키)가 현재 사용 중인 계정의 키인지 아니면 다른 계정의 키인지 선택합니다. 현재 계정의 키를 사용하려면 KMS 키 ID에서 키 ID를 선택합니다. 다른 계정의 키를 사용하려면 키의 ARN을 입력해야 합니다.

이전에 S3 입력 문서에 SSE-KMS를 사용하여 암호화를 설정하였다면 추가 보안을 제공할 수 있습니다. 하지만 이렇게 하면 사용한 IAM 역할은 입력 문서를 암호화하는 데 사용되는 KMS 키에 대한 kms:Decrypt 권한을 가지고 있어야 합니다. 자세한 내용은 KMS 암호화를 사용하는 데 필요한 권한을 참조하십시오.

API 작업을 사용한 KMS 암호화

모든 Amazon Comprehend Start*Create* API 작업은 KMS의 암호화된 입력 문서를 지원합니다. Describe*List* API 작업은 원래 작업이 KmsKeyId을 입력으로 사용했다면 OutputDataConfigKmsKeyId를 반환합니다. 입력으로 사용되지 않았다면 반환되지 않습니다.

이는 작업을 사용하는 다음 AWS CLI 예제에서 확인할 수 있습니다. StartEntitiesDetectionJob 

aws comprehend start-entities-detection-job \
     --region region \
     --data-access-role-arn "data access role arn" \    
     --entity-recognizer-arn "entity recognizer arn" \
     --input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \    
     --job-name job name \
     --language-code en \
     --output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
     --volumekmskeyid "Volume KMS key ID"
참고

이 예제는 Unix, Linux 및 macOS용 형식으로 표시됩니다. Windows의 경우 각 줄의 끝에 있는 백슬래시(\) Unix 연속 문자를 캐럿(^)으로 바꿉니다.

API 작업을 사용한 고객 관리 키 (CMK) 암호화

Amazon Comprehend 사용자 정의 모델 API 작업 CreateEntityRecognizer CreateDocumentClassifierCreateEndpoint은 AWS CLI를 통해 고객 관리 키를 사용한 암호화를 지원합니다.

보안 주체가 고객 관리 키를 사용하거나 관리하도록 허용하려면 IAM 정책이 필요합니다. 이 키는 정책 설명의 Resource 요소에 지정되어 있습니다. 가장 좋은 방법은 정책 설명에 고객 관리형 키를 보안 주체만 사용해야 하는 키로 제한하는 것입니다.

다음 AWS CLI 예제는 작업을 사용하여 모델 암호화가 포함된 사용자 지정 개체 인식기를 만듭니다. CreateEntityRecognizer 

aws comprehend create-entity-recognizer \
     --recognizer-name name \
     --data-access-role-arn data access role arn \    
     --language-code en \
     --model-kms-key-id Model KMS Key ID \ 
     --input-data-config file:///path/input-data-config.json
참고

이 예제는 Unix, Linux 및 macOS용 형식으로 표시됩니다. Windows의 경우 각 줄의 끝에 있는 백슬래시(\) Unix 연속 문자를 캐럿(^)으로 바꿉니다.