資料加密 - Amazon Rekognition
靜態加密傳輸中加密金鑰管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資料加密

下列資訊說明 Amazon Rekognition 使用資料加密來保護您的資料的情況。

靜態加密

Amazon Rekognition Image

映像

除非您透過造訪 AI 服務退出政策頁面並遵循此處說明的程序來選擇退出,否則可儲存傳送至 Amazon Rekognition API 操作的映像並用於改善服務。儲存的映像會在靜態時使用 AWS Key Management Service (Amazon S3) 進行加密 (SSE-KMS)。

集合

對於在集合中存放資訊的人臉比較操作,偵測演算法將先偵測輸入映像中的人臉,擷取至每個人臉的特徵向量中,接著將人臉向量存放於集合。Amazon Rekognition 在執行人臉比較時會使用這些人臉向量。人臉向量儲存為浮點數的陣列。

Amazon Rekognition Video

影片

若要分析影片,Amazon Rekognition 會將影片複製到服務中進行處理。除非您透過造訪 AI 服務退出政策頁面並遵循此處說明的程序來選擇退出,否則影片可能會儲存並用於改善服務。這些影片會在靜態時使用 AWS Key Management Service (SSE-KMS) 進行加密 (Amazon S3)。

Amazon Rekognition 自訂標籤

Amazon Rekognition 自訂標籤會加密靜態資料。

映像

為了訓練您的模型,Amazon Rekognition 自訂標籤會製作一份來源訓練和測試映像的複本。複製的映像會在 Amazon Simple Storage Service (S3) 中使用伺服器端加密與您提供的 或 AWS 擁有的 KMS 金鑰 AWS KMS key 進行靜態加密。Amazon Rekognition 自訂標籤只支援對稱 KMS 金鑰。您的來源映像不受影響。如需詳細資訊,請參閱什麼是 Amazon Rekognition 自訂標籤

模型

根據預設,Amazon Rekognition 自訂標籤會搭配 AWS 擁有的金鑰使用伺服器端加密保護資料將儲存在 Amazon S3 儲存貯體的受訓模型和清單檔案加密。如需詳細資訊,請參閱使用伺服器端加密保護資料。訓練結果會寫入 CreateProjectVersionOutputConfig 輸入參數中指定的儲存貯體。訓練結果會使用儲存貯體 (OutputConfig) 所設定的加密設定。

主控台儲存貯體

Amazon Rekognition 自訂標籤主控台會建立可用來管理專案的 Amazon S3 儲存貯體 (主控台儲存貯體)。主控台儲存貯體使用預設的 Amazon S3 加密進行加密。如需詳細資訊,請參閱 Amazon Simple Storage Service 的 S3 儲存貯體預設加密。如果您使用自有 KMS 金鑰,請在建立主控台儲存貯體之後進行設定。如需詳細資訊,請參閱使用伺服器端加密保護資料。Amazon Rekognition 自訂標籤會封鎖對主控台儲存貯體的公開存取。

Rekognition Face Liveness

儲存在 Rekognition Face Liveness 服務帳戶中的所有工作階段相關資料都會完全靜態加密。依預設,參考和稽核映像會使用服務帳戶中的 AWS 擁有金鑰加密。不過,您可以選擇提供自己的 AWS KMS 金鑰來加密這些映像。

傳輸中加密

Amazon Rekognition API 端點僅支援透過 HTTPS 的安全連線。所有通訊都是使用 Transport Layer Security (TLS) 加密。

金鑰管理

您可以使用 AWS Key Management Service (KMS) 來管理存放在 Amazon S3 儲存貯體中輸入映像和影片的金鑰。如需詳細資訊,請參閱 AWS Key Management Service 概念

人臉活體的客戶受管金鑰加密

CreateFaceLivenessSession API 接受一个選用的 KmsKeyId 參數。您可以提供帳戶中建立 KMS的 id 金鑰。此金鑰將用於加密 StartFaceLivenessSession API 期間取得的參考和稽核映像,並且在 GetFaceLivenessSessionResults API 期間,將使用此金鑰解密映像,然後再傳回結果。如果 CreateFaceLivenessSession 請求包含 OutputConfig,參考和審核圖像將上傳到指定的 Amazon S3 路徑。我們建議您在 Amazon S3 儲存貯體中啟用伺服器端加密 (SSE-S3),以便資料在靜態時繼續保持加密狀態。

當您提供自己的 AWS KMS 金鑰 ID 時,Rekognition Face Liveness 服務會取得許可,以代表叫用 APIs的委託人使用客戶受管金鑰。用於從客戶後端 (API CreateFaceLivenessSessionGetFaceLivenessSessionResults) 調用 API 的主體 (使用者或角色) 必須具有存取權,才能執行下列操作:

  • kms:描述金鑰

  • kms:產生資料金鑰

  • kms:解密