Crittografia di dati SageMaker Canvas con AWS KMS - Amazon SageMaker AI
Crittografia di dati SageMaker CanvasImportazione di set di dati crittografati da Amazon S3Domande frequenti

Crittografia di dati SageMaker Canvas con AWS KMS

Durante l'utilizzo di Amazon SageMaker Canvas, potresti voler crittografare dei dati, come informazioni private sulla tua azienda o dati dei clienti. SageMaker Canvas utilizza AWS Key Management Service per proteggere i tuoi dati. AWS KMS è un servizio che puoi utilizzare per creare e gestire chiavi di crittografia per crittografare i tuoi dati. Per ulteriori informazioni su AWS KMS, consulta AWS Key Management Service in AWS KMS Guida per gli sviluppatori.

Amazon SageMaker Canvas offre diverse opzioni per crittografare i dati. SageMaker Canvas fornisce la crittografia predefinita all'interno dell'applicazione per attività come la creazione del modello e la generazione di approfondimenti. Puoi anche scegliere di crittografare i dati archiviati in Amazon S3 per proteggere i tuoi dati a riposo. SageMaker Canvas supporta l'importazione di set di dati crittografati, in modo da poter creare un flusso di lavoro crittografato. Le sezioni seguenti spiegano come utilizzare la crittografia AWS KMS per proteggere i tuoi dati durante la creazione di modelli con SageMaker Canvas.

Crittografia di dati SageMaker Canvas

Per crittografare i dati in SageMaker Canvas, puoi utilizzare due diverse chiavi di crittografia AWS KMS, che puoi specificare quando imposti il dominio con la configurazione standard. Queste chiavi sono specificate nella procedura seguente di configurazione del dominio:

  • Fase 3. Configura le applicazioni (facoltativo): quando configuri la sezione Configurazione di archiviazione Canvas, puoi specificare una chiave di crittografia. Questa è una chiave KMS che SageMaker Canvas utilizza per l’archiviazione a lungo termine di oggetti del modello e set di dati, che vengono archiviati nel bucket Amazon S3 fornito per il dominio. Se stai creando un’applicazione Canvas con l’API CreateApp, utilizza il campo S3KMSKeyId per specificare questa chiave.

  • Fase 6. Configura l’archiviazione: SageMaker Canvas utilizza una chiave per crittografare lo spazio privato di Amazon SageMaker Studio creato per l’applicazione Canvas, che include l’archiviazione temporanea delle applicazioni, le visualizzazioni e i processi di calcolo (come la creazione di modelli). Puoi utilizzare la chiave gestita predefinita AWS o specificarne una personalizzata. Se specifichi la chiave AWS KMS, i dati archiviati nella directory /home/sagemaker-user vengono crittografati con tale chiave. Se non specifichi alcuna chiave AWS KMS, i dati all’interno di /home/sagemaker-user vengono crittografati con una chiave gestita da AWS. A prescindere dalla scelta se specificare o meno una chiave AWS KMS, tutti i dati al di fuori della directory di lavoro vengono crittografati con una chiave gestita da AWS. Per ulteriori informazioni sullo spazio di Studio e sull’archiviazione dell’applicazione Canvas, consulta Archiviazione dei dati dell’applicazione SageMaker Canvas nel tuo spazio SageMaker AI. Se stai creando un’applicazione Canvas con l’API CreateApp, utilizza il campo KmsKeyID per specificare questa chiave.

Le chiavi precedenti possono essere le stesse chiavi KMS o chiavi diverse.

Prerequisiti

Per utilizzare la tua chiave KMS per uno degli scopi descritti in precedenza, devi innanzitutto concedere al ruolo IAM dell'utente l'autorizzazione a utilizzare la chiave. Quindi, puoi specificare la chiave KMS durante la configurazione del dominio.

Il modo più semplice per concedere al tuo ruolo il permesso di utilizzare la chiave è modificare la policy della chiave. Utilizza la procedura seguente per concedere al tuo ruolo le autorizzazioni necessarie.

  1. Apri la AWS KMS console.

  2. Nella sezione Policy della chiave, scegli Passa alla visualizzazione della policy.

  3. Modifica la policy della chiave per concedere le autorizzazioni kms:GenerateDataKey e le azioni kms:Decrypt al ruolo IAM. Inoltre, se stai modificando la policy della chiave che crittografa l’archiviazione dell’applicazione Canvas nello spazio di Studio, esegui l’azione kms:CreateGrant. Puoi aggiungere un'istruzione simile alla seguente:

    {
  "Sid": "ExampleStmt",
  "Action": [
    "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Effect": "Allow",
  "Principal": {
    "AWS": "<arn:aws:iam::111122223333:role/Jane>"
  },
  "Resource": "*"
}

  4. Scegli Save changes (Salva modifiche).

Il metodo meno consigliato consiste nel modificare il ruolo IAM dell'utente per concedere all'utente le autorizzazioni per utilizzare o gestire la chiave KMS. Se utilizzi questo metodo, la policy della chiave KMS deve consentire anche la gestione degli accessi tramite IAM. Per sapere come concedere l'autorizzazione a una chiave KMS tramite il ruolo IAM dell'utente, consulta Specifying KMS keys in IAM policy statements in AWS KMS Guida per gli sviluppatori.

Crittografia di dati nell’applicazione SageMaker Canvas

La prima chiave KMS che puoi utilizzare in SageMaker Canvas serve a crittografare i dati dell’applicazione archiviati nei volumi Amazon Elastic Block Store (Amazon EBS) e nell’Amazon Elastic File System che SageMaker crea nel dominio. SageMaker Canvas crittografa i tuoi dati con questa chiave nell'applicazione sottostante e nei sistemi di archiviazione temporanei creati utilizzando istanze di calcolo per creare modelli e generare approfondimenti. SageMaker Canvas inoltra la chiave ad altri servizi AWS, come Autopilot, ogni volta che SageMaker Canvas avvia dei processi con questi servizi per elaborare i dati.

Puoi specificare questa chiave impostando KmsKeyID nella chiamata API CreateDomain o durante la configurazione del dominio standard nella console. Se non specifichi la chiave KMS, SageMaker AI utilizza una chiave KMS gestita da AWS predefinita per crittografare i dati nell’applicazione SageMaker Canvas.

Per specificare la chiave KMS da utilizzare nell’applicazione SageMaker Canvas tramite la console, configura prima il dominio Amazon SageMaker AI con la configurazione standard. Utilizza la procedura seguente per completare la sezione Rete e archiviazione del dominio.

  1. Compila le impostazioni del VPC Amazon desiderate.

  2. In Chiave di crittografia, scegli Inserisci l’ARN della chiave KMS.

  3. In ARN KMS, inserisci l'ARN per la tua chiave KMS, che dovrebbe avere un formato simile al seguente: arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Crittografia di dati SageMaker Canvas salvati in Amazon S3

La seconda chiave KMS che puoi specificare viene utilizzata per i dati che SageMaker Canvas archivia su Amazon S3. Questa chiave KMS è specificata nel campo S3KMSKeyId della chiamata API CreateDomain o durante la configurazione standard del dominio nella console SageMaker AI. SageMaker Canvas salva i duplicati dei set di dati di input, dei dati di applicazioni e modelli e dei dati di output nel bucket S3 di SageMaker AI predefinito nella Regione del tuo account. Lo schema di denominazione per questo bucket è s3://sagemaker-{Region}-{your-account-id} e SageMaker Canvas archivia i dati nella cartella Canvas/.

  1. Attiva Abilita la condivisione delle risorse notebook.

  2. In Percorso S3 per le risorse notebook condivisibili, mantieni il percorso Amazon S3 predefinito. Tieni presente che SageMaker Canvas non utilizza questo percorso Amazon S3, che viene invece utilizzato per i notebook Studio Classic.

  3. In Chiave di crittografia, scegli Inserisci l’ARN della chiave KMS.

  4. In ARN KMS, inserisci l'ARN per la tua chiave KMS, che dovrebbe avere un formato simile al seguente: arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd

Importazione di set di dati crittografati da Amazon S3

I tuoi utenti potrebbero avere set di dati crittografati con una chiave KMS. Sebbene la sezione precedente mostri come crittografare i dati in SageMaker Canvas e i dati archiviati in Amazon S3, devi concedere al ruolo IAM dell'utente autorizzazioni aggiuntive se desideri importare da Amazon S3 dati precedentemente crittografati con AWS KMS.

Per concedere all'utente le autorizzazioni per importare set di dati crittografati da Amazon S3 in SageMaker Canvas, aggiungi le seguenti autorizzazioni al ruolo di esecuzione IAM che hai utilizzato per il profilo utente.


      "kms:Decrypt",
      "kms:GenerateDataKey"

Per sapere come modificare le autorizzazioni IAM per un ruolo, consulta la pagina Adding and removing IAM identity permissions in Guida per l'utente IAM. Per ulteriori informazioni sulle chiavi KMS, consulta Policy della chiave AWS Key Management Service in AWS KMS Guida per gli sviluppatori.

Domande frequenti

Consulta le seguenti domande frequenti per trovare le risposte alle domande più comuni per un supporto su AWS KMS SageMaker Canvas.

R: No. SageMaker Canvas può temporaneamente memorizzare la chiave nella cache o inoltrarla ad altri servizi AWS (come Autopilot), ma SageMaker Canvas non conserva la tua chiave KMS.

R: Il ruolo IAM dell'utente potrebbe non disporre delle autorizzazioni per utilizzare quella chiave KMS. Per concedere le autorizzazioni utente, consulta Prerequisiti. Un altro possibile errore si verifica quando si ha una policy di bucket Amazon S3 che richiede l’utilizzo di una chiave KMS specifica che non corrisponde alla chiave KMS specificata nel dominio. Assicurati di specificare la stessa chiave KMS per il bucket Amazon S3 e il dominio.

R: Il bucket Amazon S3 predefinito segue lo schema di denominazione s3://sagemaker-{Region}-{your-account-id}. La cartella Canvas/ in questo bucket archivia i dati dell'applicazione SageMaker Canvas.

R. No, è SageMaker AI che crea questo bucket per te.

R. SageMaker Canvas utilizza il bucket Amazon S3 di SageMaker AI predefinito per archiviare i duplicati dei tuoi set di dati di input, degli artefatti del modello e degli output del modello.

R: Con SageMaker Canvas, è possibile utilizzare le proprie chiavi di crittografia con AWS KMS per creare modelli di regressione, di classificazione binaria e multiclasse e di previsione di serie temporali, nonché per l'inferenza in batch con il tuo modello.