AWS KMS-Berechtigungen für Geodatenfunktionen von Amazon SageMaker verwenden
Sie können Ihre Daten im Ruhezustand schützen, indem Sie die Geodatenfunktionen von SageMaker verschlüsseln. Standardmäßig verwendet es serverseitige Verschlüsselung mit einem geospatialen Schlüssel von Amazon SageMaker. Die Geospatial-Funktionen von SageMaker unterstützen auch eine Option für serverseitige Verschlüsselung mit einem vom Kunden verwalteten KMS-Schlüssel.
Serverseitige Verschlüsselung mit von Amazon SageMaker verwaltetem Geodaten-S3-Schlüssel (Standard)
Die Geodatenfunktionen von SageMaker verschlüsseln all Ihre Daten, einschließlich der Berechnungsergebnisse Ihrer Earth Observation Jobs (EOJ) und Vector Enrichment Jobs (VEJ) zusammen mit all Ihren Service-Metadaten. Es gibt keine Daten, die unverschlüsselt in den Geodatenfunktionen von SageMaker gespeichert werden. Es verwendet einen AWS-eigenen Standardschlüssel, um alle Ihre Daten zu verschlüsseln.
Serverseitige Verschlüsselung mit vom Kunden verwaltetem KMS-Schlüssel (optional)
Die Geodatenfunktionen von SageMaker unterstützen die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um eine zweite Verschlüsselungsebene über die bestehende AWS-eigene Verschlüsselung zu legen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:
Festlegung und Pflege wichtiger Richtlinien
Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen
Aktivieren und Deaktivieren wichtiger Richtlinien
Kryptographisches Material mit rotierendem Schlüssel
Hinzufügen von Tags
Erstellen von Schlüsselaliasen
Schlüssel für das Löschen von Schlüsseln planen
Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management ServiceEntwicklerhandbuch.
Wie die Geospatial-Funktionen von SageMaker Zuschüsse nutzen in AWS KMS
Für die Geodatenfunktionen von SageMaker ist eine Genehmigung erforderlich, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können. Wenn Sie ein EOJ oder ein VEJ erstellen, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt SageMaker Geospatial Capabilities in Ihrem Namen eine Genehmigung, indem es eine CreateGrant-Anfrage an AWS KMS sendet. Zuschüsse in AWS KMS werden verwendet, um den Geospatial-Funktionen von SageMaker Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren. Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. Wenn Sie dies tun, können die Geospatial-Funktionen von SageMaker nicht auf die vom kundenverwalteten Schlüssel verschlüsselten Daten zugreifen. Dies wirkt sich auf Vorgänge aus, die von diesen Daten abhängig sind.
Einen kundenverwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie die AWS Management-Konsole oder die AWS KMS -APIs verwenden.
Einen symmetrischen kundenverwalteten Schlüssel erstellen
Befolgen Sie die Schritte zur Erstellung von KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service Entwicklerhandbuch.
Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Festlegen des Zugriffs auf AWS KMS-Schlüssel im AWS Key Management ServiceEntwicklerhandbuch.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren SageMaker-Ressourcen für räumliche Funktionen verwenden zu können, müssen die folgenden API-Operationen per Schlüsselrichtlinie zulässig sein. Der Prinzipal für diese Operationen sollte die Ausführungsrolle sein, die Sie in der Anfrage zu den Geodatenfunktionen von SageMaker angeben. Die Geospatial-Funktionen von SageMaker übernehmen die angegebene Ausführungsrolle in der Anforderung zur Ausführung dieser KMS-Operationen.
kms:GenerateDataKeykms:Decryptkms:GenerateDataKeyWithoutPlaintext
Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für die Geodatenfunktionen von SageMaker hinzufügen können:
CreateGrant
"Statement" : [ { "Sid" : "Allow access to Amazon SageMaker geospatial capabilities", "Effect" : "Allow", "Principal" : { "AWS" : "<Customer provided Execution Role ARN>" }, "Action" : [ "kms:CreateGrant", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource" : "*", }, ]
Weitere Informationen zum Festlegen von Berechtigungen in einer Richtlinie finden Sie unter AWS KMSBerechtigungen im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.
Wenn Ihre Schlüsselrichtlinie nicht Ihren Kontostamm als Schlüsseladministrator vorsieht, müssen Sie dieselben KMS-Berechtigungen für Ihre Ausführungsrolle ARN hinzufügen. Hier ist eine Beispielrichtlinie, die Sie der Ausführungsrolle hinzufügen können:
Überwachung Ihrer Verschlüsselungsschlüssel für die Geodatenfunktionen von SageMaker
Wenn Sie einen kundenverwalteten AWS KMS-Schlüssel mit Ihren SageMaker Geospatial-Fähigkeitsressourcen verwenden, können Sie AWS CloudTrail oder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, die SageMaker Geospatial an AWS KMS sendet.
Wählen Sie eine Registerkarte in der folgenden Tabelle aus, um Beispiele für AWS CloudTrail Ereignisse zur Überwachung von KMS-Vorgängen zu sehen, die von den Geodatenfunktionen von SageMaker aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
