기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon SageMaker Canvas를 사용하는 중 개인 회사 정보나 고객 데이터와 같이 암호화하려는 데이터가 있을 수 있습니다. SageMaker Canvas는 AWS Key Management Service 를 사용하여 데이터를 보호합니다. AWS KMS 는 데이터 암호화를 위한 암호화 키를 생성하고 관리하는 데 사용할 수 있는 서비스입니다. 에 대한 자세한 내용은 AWS KMS 개발자 안내서AWS Key Management Service의 섹션을 AWS KMS참조하세요.
Amazon SageMaker Canvas는 데이터를 암호화하기 위한 여러 옵션을 제공합니다. SageMaker Canvas는 모델 구축 및 통찰력 생성과 같은 작업을 위해 애플리케이션 내에서 기본 암호화를 제공합니다. Amazon S3에 저장된 데이터를 암호화하여 저장 데이터를 보호할 수도 있습니다. SageMaker Canvas는 암호화된 데이터 집합 가져오기를 지원하므로 암호화된 워크플로를 설정할 수 있습니다. 다음 섹션에서는 AWS KMS 암호화를 사용하여 SageMaker Canvas로 모델을 구축하는 동안 데이터를 보호하는 방법을 설명합니다.
SageMaker Canvas에서 데이터 암호화
SageMaker Canvas를 사용하면 두 가지 AWS KMS 암호화 키를 사용하여 SageMaker Canvas에서 데이터를 암호화할 수 있습니다.이 키는 표준 도메인 설정을 사용하여 도메인을 설정할 때 지정할 수 있습니다. 이러한 키는 다음 도메인 설정 단계에서 지정됩니다.
-
3단계: 애플리케이션 구성 - (선택 사항) – Canvas 스토리지 구성 섹션을 구성할 때 암호화 키를 지정할 수 있습니다. 이는 SageMaker Canvas가 모델 객체 및 데이터세트의 장기 저장에 사용하는 KMS 키로, 도메인에 제공된 Amazon S3 버킷에 저장됩니다. CreateApp API로 Canvas 애플리케이션을 만드는 경우
S3KMSKeyId필드를 사용하여 이 키를 지정합니다. -
6단계: 스토리지 구성 - SageMaker Canvas는 임시 애플리케이션 스토리지, 시각화 및 컴퓨팅 작업(예: 모델 빌드)을 포함하여 Canvas 애플리케이션을 위해 만들어진 Amazon SageMaker Studio 프라이빗 공간을 암호화하는 데 하나의 키를 사용합니다. 기본 AWS 관리형 키를 사용하거나 직접 지정할 수 있습니다. AWS KMS 키를 지정하면
/home/sagemaker-user디렉터리에 저장된 데이터가 키로 암호화됩니다. AWS KMS 키를 지정하지 않으면 내부 데이터가 AWS 관리형 키로 암호화/home/sagemaker-user됩니다. AWS KMS 키 지정 여부에 관계없이 작업 디렉터리 외부의 모든 데이터는 AWS 관리형 키로 암호화됩니다. Studio 공간 및 Canvas 애플리케이션 스토리지에 대한 자세한 내용은 SageMaker Canvas 애플리케이션 데이터를 자체 SageMaker AI 공간에 저장 섹션을 참조하세요. CreateApp API로 Canvas 애플리케이션을 만드는 경우KmsKeyID필드를 사용하여 이 키를 지정합니다.
이전 키는 동일하거나 다른 KMS 키일 수 있습니다.
사전 조건
앞서 설명한 목적 중 하나로 자체 KMS 키를 사용하려면 먼저 사용자의 IAM 역할에 키 사용 권한을 부여해야 합니다. 그런 다음 도메인을 설정할 때 KMS 키를 지정할 수 있습니다.
키 사용에 대한 역할 권한을 부여하는 가장 간단한 방법은 키 정책을 수정하는 것입니다. 역할에 필요한 권한을 부여하려면 다음 절차를 사용합니다.
-
AWS KMS 콘솔
을 엽니다. -
키 정책 섹션에서 정책 보기로 전환을 선택합니다.
-
키 정책을 수정하여 IAM 역할에
kms:GenerateDataKey및kms:Decrypt작업에 대한 권한을 부여하세요. 또한 Studio 공간에서 Canvas 애플리케이션 스토리지를 암호화하는 키 정책을 수정하는 경우kms:CreateGrant작업을 부여합니다. 다음과 유사한 문을 추가할 수 있습니다.{ "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
변경 사항 저장을 선택합니다.
덜 선호되는 방법은 사용자의 IAM 역할을 수정하여 사용자에게 KMS 키를 사용하거나 관리할 수 있는 권한을 부여하는 것입니다. 이 방법을 사용하는 경우 KMS 키 정책에서 IAM을 통한 액세스 관리도 허용해야 합니다. 사용자의 IAM 역할을 통해 KMS 키에 권한을 부여하는 방법을 알아보려면 AWS KMS 개발자 안내서의 IAM 정책 설명에 KMS 키 지정을 참조하세요.
시계열 예측을 위한 사전 조건
AWS KMS 키를 사용하여 SageMaker Canvas에서 시계열 예측 모델을 암호화하려면 Amazon S3에 객체를 저장하는 데 사용되는 KMS 키의 키 정책을 수정해야 합니다. 키 정책은 사용자에게 시계열 예측 권한을 부여할 때 SageMaker AIAmazonSageMakerCanvasForecastRole가 생성하는에 권한을 부여해야 합니다. https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-set-up-forecast.html Amazon Forecast는 AmazonSageMakerCanvasForecastRole를 사용하여 SageMaker Canvas에서 시계열 예측 작업을 수행합니다. 시계열 예측을 위해 데이터가 암호화되도록 하려면 KMS 키가 이 역할에 권한을 부여해야 합니다.
암호화된 시계열 예측을 허용하도록 KMS 키 정책의 권한을 수정하려면 다음을 수행하세요.
-
AWS KMS 콘솔
을 엽니다. -
키 정책 섹션에서 정책 보기로 전환을 선택합니다.
-
다음 예제에 지정된 권한을 갖도록 키 정책을 수정하세요.
{ "Sid": "Enable IAM Permissions for Amazon Forecast KMS access", "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/service-role/AmazonSagemakerCanvasForecastRole-111122223333>" }, "Action": [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlainText", "kms:Decrypt" ], "Resource": "*" } -
변경 사항 저장을 선택합니다.
이제 KMS 키를 사용하여 SageMaker Canvas에서 시계열 예측 작업을 암호화할 수 있습니다.
참고
다음 권한은 IAM 역할 설정 방법을 사용하여 시계열 예측을 구성하는 경우에만 필요합니다. 사용자의 IAM 역할에 다음 권한 정책을 추가합니다. 또한 Amazon Forecast에 필요한 업데이트된 정책으로 키 정책을 업데이트해야 합니다. 시계열 예측에 필요한 권한에 대한 자세한 내용은 사용자에게 시계열 예측을 수행할 수 있는 권한 부여을 참조하세요.
{
"Sid": "Enable IAM Permissions for Amazon Forecast KMS access",
"Effect": "Allow",
"Principal": {
"AWS": "<arn:aws:iam::111122223333:role/AmazonSageMaker-111122223333>"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:GenerateDataKey"
"kms:GenerateDataKeyWithoutPlainText",
],
"Resource": "*"
}SageMaker Canvas 애플리케이션에서 데이터 암호화
SageMaker Canvas에서 사용할 수 있는 첫 번째 KMS 키는 Amazon Elastic Block Store(Amazon EBS) 볼륨과 SageMaker AI가 도메인에 생성하는 Amazon Elastic File System에 저장된 애플리케이션 데이터를 암호화하는 데 사용됩니다. SageMaker Canvas는 모델을 구축하고 통찰력을 생성하기 위해 컴퓨팅 인스턴스를 사용할 때 생성되는 기본 애플리케이션 및 임시 스토리지 시스템에서 이 키로 데이터를 암호화합니다. SageMaker Canvas는 SageMaker Canvas가 데이터를 처리하기 위해 작업을 시작할 때마다 Autopilot과 같은 다른 AWS 서비스에 키를 전달합니다.
CreateDomain API 직접 호출에서 KmsKeyID를 설정하거나 콘솔에서 표준 도메인 설정을 수행하는 동안 이 키를 지정할 수 있습니다. 자체 KMS 키를 지정하지 않으면 SageMaker AI는 기본 AWS 관리형 KMS 키를 사용하여 SageMaker Canvas 애플리케이션에서 데이터를 암호화합니다.
콘솔을 통해 SageMaker Canvas 애플리케이션에서 사용할 자체 KMS 키를 지정하려면 먼저 표준 설정을 사용하여 Amazon SageMaker AI 도메인을 설정합니다. 다음 절차를 사용하여 해당 도메인의 네트워크 및 스토리지 섹션을 완성합니다.
-
원하는 Amazon VPC 설정을 입력합니다.
-
암호화 키에서 KMS 키 입력 ARN을 선택합니다.
-
KMS ARN의 경우 KMS 키의 ARN을 입력합니다.그 형식은
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd와 유사해야 합니다.
Amazon S3에 저장된 SageMaker Canvas 데이터 암호화
지정할 수 있는 두 번째 KMS 키는 SageMaker Canvas가 Amazon S3에 저장하는 데이터에 사용됩니다. 이 KMS 키는 CreateDomain API 호출의 S3KMSKeyId 필드에 지정되거나 SageMaker AI 콘솔에서 표준 도메인 설정을 수행하는 동안 지정됩니다. SageMaker Canvas는 입력 데이터 세트, 애플리케이션 및 모델 데이터, 출력 데이터의 중복을 계정에 대한 리전의 기본 SageMaker AI S3 버킷에 저장합니다. 이 버킷의 이름 지정 패턴은 s3://sagemaker-이며, SageMaker Canvas는 데이터를 {Region}-{your-account-id}Canvas/폴더에 저장합니다.
-
노트북 리소스 공유 활성화를 설정하세요.
-
공유 가능한 노트북 리소스의 S3 위치의 경우 기본 Amazon S3 경로를 그대로 두세요. 참고로 SageMaker Canvas는 이 Amazon S3 경로를 사용하지 않습니다.이 Amazon S3 경로는 Studio Classic 노트북에 사용됩니다.
-
암호화 키에서 KMS 키 ARN 입력을 선택합니다.
-
KMS ARN의 경우 KMS 키의 ARN을 입력합니다.그 형식은
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd와 유사해야 합니다.
Amazon S3에서 암호화된 데이터 집합 가져오기
사용자에게는 KMS 키로 암호화된 데이터 집합이 있을 수 있습니다. 이전 섹션에서는 SageMaker Canvas의 데이터와 Amazon S3에 저장된 데이터를 암호화하는 방법을 보여주지만 이미 암호화된 Amazon S3에서 데이터를 가져오려면 사용자의 IAM 역할에 추가 권한을 부여해야 합니다 AWS KMS.
Amazon S3에서 SageMaker Canvas로 암호화된 데이터 집합을 가져올 수 있는 권한을 사용자에게 부여하려면 사용자 프로필에 사용한 IAM 실행 역할에 다음 권한을 추가하세요.
"kms:Decrypt",
"kms:GenerateDataKey"
역할에 대한 IAM 권한을 편집하는 방법은 IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거를 참조하세요. KMS 키에 대한 자세한 내용은 AWS KMS 개발자 안내서의 AWS Key Management Service의 키 정책을 참조하세요.
FAQ
SageMaker Canvas AWS KMS 지원에 대해 자주 묻는 질문에 대한 답변은 다음 FAQ 항목을 참조하세요.
A: 아니요. SageMaker Canvas는 일시적으로 키를 캐시하거나 다른 AWS 서비스(예: Autopilot)에 전달할 수 있지만 SageMaker Canvas는 KMS 키를 보관하지 않습니다.
A: 사용자의 IAM 역할에 해당 KMS 키를 사용할 권한이 없을 수 있습니다. 사용자에게 권한을 부여하려면 사전 조건를 참조하세요. 또 다른 가능한 오류는 Amazon S3 버킷에 도메인에서 지정한 KMS 키와 일치하지 않는 특정 KMS 키를 사용하도록 요구하는 버킷 정책이 있다는 것입니다. Amazon S3 버킷과 도메인에 동일한 KMS 키를 지정해야 합니다.
A: 기본 Amazon S3 버킷은 이름 지정 패턴 s3://sagemaker-을 따릅니다. 이 버킷의 {Region}-{your-account-id}Canvas/폴더에는 SageMaker Canvas 애플리케이션 데이터가 저장됩니다.
A: 아니요, SageMaker AI가이 버킷을 생성합니다.
A: SageMaker Canvas는 기본 SageMaker AI Amazon S3 버킷을 사용하여 입력 데이터 세트, 모델 아티팩트 및 모델 출력의 중복을 저장합니다.
A: SageMaker Canvas를 사용하면 자체 암호화 키를와 함께 사용하여 회귀, 바이너리 및 멀티클래스 분류, 시계열 예측 모델을 AWS KMS 구축하고 모델을 사용한 배치 추론을 수행할 수 있습니다.
A: 예. 암호화된 시계열 예측을 수행하려면 KMS 키에 추가 권한을 부여해야 합니다. 시계열 예측 권한을 부여하기 위해 키 정책을 수정하는 방법에 대한 자세한 내용은 시계열 예측을 위한 사전 조건을 참조하세요.
