Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS - Amazon SageMaker AI
Verschlüsseln Sie Ihre Daten in SageMaker CanvasImportieren verschlüsselter Datensätze aus Amazon S3Häufig gestellte Fragen

Verschlüsseln Sie Ihre SageMaker Canvas-Daten mit AWS KMS

Möglicherweise haben Sie Daten, die Sie verschlüsseln möchten, während Sie Amazon SageMaker Canvas verwenden, z. B. Ihre privaten Unternehmensinformationen oder Kundendaten. SageMaker Canvas verwendet AWS Key Management Service, um Ihre Daten zu schützen. AWS KMS ist ein Service, mit dem Sie kryptografische Schlüssel zur Verschlüsselung Ihrer Daten erstellen und verwalten können. Weitere Informationen zu AWS KMS finden Sie unter AWS Key Management Service im AWS KMS-Entwickler-Leitfaden.

Amazon SageMaker Canvas bietet Ihnen mehrere Optionen zum Verschlüsseln Ihrer Daten. SageMaker Canvas bietet eine Standardverschlüsselung innerhalb der Anwendung für Aufgaben wie die Erstellung Ihres Modells und die Generierung von Erkenntnissen. Sie können sich auch dafür entscheiden, in Amazon S3 gespeicherte Daten zu verschlüsseln, um Ihre ruhenden Daten zu schützen. SageMaker Canvas unterstützt den Import verschlüsselter Datensätze, sodass Sie einen verschlüsselten Workflow einrichten können. In den folgenden Abschnitten wird beschrieben, wie Sie AWS KMS Verschlüsselung verwenden können, um Ihre Daten beim Erstellen von Modellen mit SageMaker Canvas zu schützen.

Verschlüsseln Sie Ihre Daten in SageMaker Canvas

Mit SageMaker Canvas können Sie zwei verschiedene AWS KMS Verschlüsselungsschlüssel verwenden, um Ihre Daten in SageMaker Canvas zu verschlüsseln, die Sie bei der Einrichtung Ihrer Domain mit der Standard-Domaineinrichtung angeben können. Diese Schlüssel werden in den folgenden Schritten zur Einrichtung der Domain angegeben:

  • Schritt 3: Anwendungen konfigurieren – (Optional) – Bei der Konfiguration des Abschnitts Canvas-Speicherkonfigurationen können Sie einen Verschlüsselungsschlüssel angeben. Dies ist ein KMS-Schlüssel, den SageMaker Canvas für die langfristige Speicherung von Modellobjekten und Datensätzen verwendet, die im bereitgestellten Amazon-S3-Bucket für Ihre Domain gespeichert werden. Wenn Sie eine Canvas-Anwendung mit der CreateApp-API erstellen, verwenden Sie das S3KMSKeyId-Feld, um diesen Schlüssel anzugeben.

  • Schritt 6: Speicher konfigurieren – SageMaker Canvas verwendet einen Schlüssel zur Verschlüsselung des privaten Bereichs von Amazon SageMaker Studio, der für Ihre Canvas-Anwendung erstellt wird und temporären Anwendungsspeicher, Visualisierungen und Rechenaufträge (z. B. zum Erstellen von Modellen) umfasst. Sie können entweder den AWS verwalteten Standardschlüssel verwenden oder Ihren eigenen angeben. Wenn Sie Ihren AWS KMS-Schlüssel angeben, werden die im /home/sagemaker-user-Verzeichnis gespeicherten Daten mit Ihrem Schlüssel verschlüsselt. Wenn Sie keinen AWS KMS-Schlüssel angeben, werden die in /home/sagemaker-user enthaltenen Daten mit einem verwalteten AWS-Schlüssel verschlüsselt. Unabhängig davon, ob Sie einen AWS KMS-Schlüssel angeben, werden alle Daten außerhalb des Arbeitsverzeichnisses mit einem verwalteten AWS-Schlüssel verschlüsselt. Weitere Informationen über den Studio-Bereich und Ihren Canvas-Anwendungsspeicher finden Sie unter Speichern von SageMaker-Canvas-Anwendungsdaten in Ihrem eigenen SageMaker-AI-Bereich. Wenn Sie eine Canvas-Anwendung mit der CreateApp-API erstellen, verwenden Sie das KmsKeyID-Feld, um diesen Schlüssel anzugeben.

Die obigen Schlüssel können dieselben oder unterschiedliche KMS-Schlüssel sein.

Voraussetzungen

Um Ihren eigenen KMS-Schlüssel für einen der zuvor beschriebenen Zwecke zu verwenden, müssen Sie zunächst der IAM-Rolle Ihres Benutzers die Berechtigung zur Verwendung des Schlüssels erteilen. Anschließend können Sie den KMS-Schlüssel bei der Einrichtung Ihrer Domain angeben.

Die einfachste Methode, Ihrer Rolle die Erlaubnis zur Verwendung des Schlüssels zu erteilen, besteht darin, die Schlüsselrichtlinie zu ändern. Gehen Sie wie folgt vor, um Ihrer Rolle die erforderlichen Berechtigungen zu erteilen.

  1. Öffnen Sie die AWS KMS-Konsole.

  2. Wählen Sie im Abschnitt Key Policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  3. Ändern Sie die Richtlinie des Schlüssels, um der IAM-Rolle Berechtigungen für die kms:GenerateDataKey und kms:Decrypt -Aktionen zu gewähren. Wenn Sie außerdem die Schlüsselrichtlinie ändern, die Ihren Canvas-Anwendungsspeicher im Studio-Bereich verschlüsselt, gewähren Sie die kms:CreateGrant-Aktion. Sie können eine Anweisung hinzufügen, die der folgenden ähnelt:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Wählen Sie Änderungen speichern aus.

Die weniger bevorzugte Methode besteht darin, die IAM-Rolle des Benutzers so zu ändern, dass dem Benutzer Berechtigungen zur Verwendung oder Verwaltung des KMS-Schlüssels erteilt werden. Wenn Sie diese Methode verwenden, muss die KMS-Schlüsselrichtlinie auch die Zugriffsverwaltung über IAM zulassen. Informationen zum Erteilen von Berechtigungen für einen KMS-Schlüssel über die IAM-Rolle des Benutzers finden Sie im AWS KMSEntwicklerhandbuch unter Angabe von KMS-Schlüsseln in IAM-Richtlinienerklärungen.

Verschlüsseln Sie Ihre Daten in der SageMaker Canvas-Anwendung

Der erste KMS-Schlüssel, den Sie in SageMaker Canvas verwenden können, wird für die Verschlüsselung von Anwendungsdaten verwendet, die auf Volumes von Amazon Elastic Block Store (Amazon EBS) und im Amazon Elastic File System gespeichert sind, das SageMaker AI in Ihrer Domain erstellt. SageMaker Canvas verschlüsselt Ihre Daten mit diesem Schlüssel in der zugrunde liegenden Anwendung und den temporären Speichersystemen, die bei der Verwendung von Rechen-Instances für die Erstellung von Modellen und die Generierung von Erkenntnissen erstellt werden. SageMaker Canvas gibt den Schlüssel an andere AWS Services weiter, z. B. Autopilot, wenn SageMaker Canvas mit ihnen Jobs zur Verarbeitung Ihrer Daten initiiert.

Sie können diesen Schlüssel angeben, indem Sie die KmsKeyID im CreateDomain-API-Aufruf oder bei der Einrichtung der Standarddomain in der Konsole festlegen. Wenn Sie keinen eigenen KMS-Schlüssel angeben, verwendet SageMaker AI einen standardmäßigen, von AWS verwalteten KMS-Schlüssel, um Ihre Daten in der SageMaker-Canvas-Anwendung zu verschlüsseln.

Um Ihren eigenen KMS-Schlüssel für die Verwendung in der SageMaker Canvas-Anwendung über die Konsole anzugeben, richten Sie zunächst Ihre Domain von Amazon SageMaker AI mit der Standardeinrichtung ein. Gehen Sie wie folgt vor, um den Bereich Netzwerk und Speicher für die Domain auszufüllen.

  1. Füllen Sie Ihre gewünschten Amazon VPC-Einstellungen aus.

  2. Wählen Sie unter Verschlüsselungsschlüssel die Option Eingabe eines KMS-Schlüssels ARN aus.

  3. Geben Sie für KMS-ARN den ARN für Ihren KMS-Schlüssel ein, der ein Format haben sollte, das dem folgenden ähnelt: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Verschlüsseln Sie Ihre in Amazon S3 gespeicherten SageMaker Canvas-Daten

Der zweite KMS-Schlüssel, den Sie angeben können, wird für Daten verwendet, die SageMaker Canvas in Amazon S3 speichert. Dieser KMS-Schlüssel wird im S3KMSKeyId-Feld im CreateDomain-API-Aufruf oder bei der Standard-Domaineinrichtung in der SageMaker-AI-Konsole angegeben. SageMaker Canvas speichert Duplikate Ihrer Eingabedatensätze, Anwendungs- und Modelldaten sowie Ausgabedaten im standardmäßigen Bucket von SageMaker AI S3 der Region für Ihr Konto. Das Benennungsmuster für diesen Bucket lautet s3://sagemaker-{Region}-{your-account-id}, und SageMaker Canvas speichert Daten in dem Canvas/-Ordner.

  1. Aktivieren Sie die Option Freigabe von Notebook-Ressourcen aktivieren.

  2. Behalten Sie für den S3-Standort für gemeinsam nutzbare Notebook-Ressourcen den Amazon S3-Standardpfad bei. Beachten Sie, dass SageMaker Canvas diesen Amazon-S3-Pfad nicht verwendet. Dieser Amazon-S3-Pfad wird für Studio-Classic-Notebooks verwendet.

  3. Wählen Sie unter Verschlüsselungsschlüssel die Option Eingabe eines KMS-Schlüssels ARN aus.

  4. Geben Sie für KMS-ARN den ARN für Ihren KMS-Schlüssel ein, der ein Format haben sollte, das dem folgenden ähnelt: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importieren verschlüsselter Datensätze aus Amazon S3

Ihre Benutzer haben möglicherweise Datensätze, die mit einem KMS-Schlüssel verschlüsselt wurden. Im vorherigen Abschnitt wird zwar gezeigt, wie Sie Daten in SageMaker Canvas und in Amazon S3 gespeicherte Daten verschlüsseln, aber Sie müssen der IAM-Rolle Ihres Benutzers zusätzliche Berechtigungen gewähren, wenn Sie Daten aus Amazon S3 importieren möchten, die bereits mit AWS KMS verschlüsselt sind.

Um Ihren Benutzern Berechtigungen zum Importieren verschlüsselter Datensätze aus Amazon S3 in SageMaker Canvas zu gewähren, fügen Sie der IAM-Ausführungsrolle, die Sie für das Benutzerprofil verwendet haben, die folgenden Berechtigungen hinzu.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Wie Sie die IAM-Berechtigungen für eine Rolle bearbeiten können, erfahren Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch. Weitere Informationen über KMS-Schlüssel finden Sie unter Schlüsselrichtlinien in AWS Key Management Service im AWS KMS-Entwicklerhandbuch.

Häufig gestellte Fragen

In den folgenden FAQs finden Sie Antworten auf häufig gestellte Fragen zur Unterstützung von SageMaker Canvas AWS KMS.

A: Nein. SageMaker Canvas kann Ihren Schlüssel vorübergehend zwischenspeichern oder an andere AWS Services (wie Autopilot) weitergeben, aber SageMaker Canvas speichert Ihren KMS-Schlüssel nicht.

A: Die IAM-Rolle Ihres Benutzers ist möglicherweise nicht berechtigt, diesen KMS-Schlüssel zu verwenden. Informationen zum Erteilen von Benutzerberechtigungen finden Sie unter Voraussetzungen. Ein weiterer möglicher Fehler besteht darin, dass Sie in Ihrem Amazon-S3-Bucket eine Bucket-Richtlinie haben, die die Verwendung eines bestimmten KMS-Schlüssels erfordert, der nicht mit dem KMS-Schlüssel übereinstimmt, den Sie in Ihrer Domain angegeben haben. Stellen Sie sicher, dass Sie denselben KMS-Schlüssel für Ihren Amazon-S3-Bucket und Ihre Domain angeben.

A: Der standardmäßige Amazon-S3-Bucket folgt dem Benennungsmuster s3://sagemaker-{Region}-{your-account-id}. Der Canvas/ Ordner in diesem Bucket speichert Ihre SageMaker Canvas-Anwendungsdaten.

A: Nein, SageMaker AI erstellt diesen Bucket für Sie.

A: SageMaker Canvas verwendet den standardmäßigen Amazon-S3-Bucket von SageMaker AI, um Duplikate Ihrer Eingabedatensätze, Modellartefakte und Modellausgaben zu speichern.

A: Mit SageMaker Canvas können Sie Ihre eigenen Verschlüsselungsschlüssel mit AWS KMS für die Erstellung von Regressions-, Binär- und Mehrklassenklassifizierungs- und Zeitreihenvorhersagemodellen sowie für die Batch-Inferenz mit Ihrem Modell verwenden.