Ora puoi controllare il file Cloud privato virtuale di Amazon (Amazon VPC) e le impostazioni di crittografia per il tuo Amazon Comprehend API che utilizzano Gestione dell'identità e dell'accesso di AWS (IAM) condiziona le chiavi e crittografa i tuoi modelli personalizzati Amazon Comprehend utilizzando le chiavi gestite dal cliente (CMK) tramite Servizio di gestione delle chiavi AWS (AWS KMS). Le chiavi di condizione IAM consentono di perfezionare ulteriormente le condizioni in base alle quali si applica un'istruzione di policy IAM. È possibile utilizzare le nuove chiavi di condizione nelle policy IAM quando si concedono autorizzazioni per creare lavori asincroni e creare classificazioni personalizzate o processi di addestramento di entità personalizzate.
Amazon Comprehend ora supporta cinque nuove chiavi di condizione:
comprehend:VolumeKmsKey
comprehend:OutputKmsKey
comprehend:ModelKmsKey
comprehend:VpcSecurityGroupIds
comprehend:VpcSubnets
Le chiavi ti consentono di garantire che gli utenti possano creare solo lavori che soddisfano lo stato di sicurezza della tua organizzazione, ad esempio lavori connessi alle sottoreti VPC e ai gruppi di sicurezza consentiti. È inoltre possibile utilizzare queste chiavi per applicare le impostazioni di crittografia per i volumi di archiviazione in cui i dati vengono estratti per il calcolo e sul Servizio di archiviazione semplice Amazon Bucket (Amazon S3) in cui viene archiviato l'output dell'operazione. Se gli utenti tentano di utilizzare un'API con impostazioni VPC o parametri di crittografia non consentiti, Amazon Comprehend rifiuta l'operazione in modo sincrono con un'eccezione 403 Accesso negato.
Panoramica della soluzione
Il diagramma seguente illustra l'architettura della nostra soluzione.
Vogliamo applicare una politica per fare quanto segue:
- Assicurati che tutti i processi di formazione sulla classificazione personalizzata siano specificati con le impostazioni VPC
- Avere la crittografia abilitata per il processo di formazione del classificatore, l'output del classificatore e il modello Amazon Comprehend
In questo modo, quando qualcuno avvia un processo di addestramento per la classificazione personalizzata, i dati di addestramento estratti da Amazon S3 vengono copiati nei volumi di archiviazione nelle sottoreti VPC specificate e vengono crittografati con il valore specificato VolumeKmsKey
. La soluzione garantisce inoltre che i risultati dell'addestramento del modello siano crittografati con il file OutputKmsKey
. Infine, il modello Amazon Comprehend stesso viene crittografato con la chiave AWS KMS specificata dall'utente quando viene archiviata nel VPC. La soluzione utilizza tre chiavi diverse rispettivamente per i dati, l'output e il modello, ma è possibile scegliere di utilizzare la stessa chiave per tutte e tre le attività.
Inoltre, questa nuova funzionalità consente di controllare l'utilizzo del modello in AWS CloudTrail monitorando l'utilizzo della chiave di crittografia del modello.
Crittografia con policy IAM
La seguente policy garantisce che gli utenti debbano specificare sottoreti VPC e gruppi di sicurezza per le impostazioni VPC e le chiavi AWS KMS sia per il classificatore che per l'output:
Ad esempio, nel codice seguente, l'utente 1 fornisce sia le impostazioni VPC che le chiavi di crittografia e può completare correttamente l'operazione:
L'utente 2, d'altra parte, non fornisce nessuna di queste impostazioni obbligatorie e non è autorizzato a completare l'operazione:
Negli esempi di codice precedenti, a condizione che le impostazioni VPC e le chiavi di crittografia siano impostate, è possibile eseguire il processo di formazione del classificatore personalizzato. Lasciando il VPC e le impostazioni di crittografia allo stato predefinito si genera un'eccezione 403 Accesso negato.
Nel prossimo esempio, applichiamo una policy ancora più rigorosa, in cui dobbiamo impostare il VPC e le impostazioni di crittografia in modo da includere anche sottoreti, gruppi di sicurezza e chiavi KMS specifici. Questa policy applica queste regole a tutte le API Amazon Comprehend che avviano nuovi lavori asincroni, creano classificatori personalizzati e creano riconoscitori di entità personalizzati. Vedere il codice seguente:
Nel prossimo esempio, creiamo prima un classificatore personalizzato sulla console Amazon Comprehend senza specificare l'opzione di crittografia. Poiché abbiamo le condizioni IAM specificate nella policy, l'operazione viene negata.
Quando abiliti la crittografia del classificatore, Amazon Comprehend crittografa i dati nel volume di archiviazione durante l'elaborazione del lavoro. Puoi utilizzare una chiave gestita dal cliente AWS KMS dal tuo account o da un account diverso. È possibile specificare le impostazioni di crittografia per il processo di classificazione personalizzato come nella schermata seguente.
La crittografia dell'output consente ad Amazon Comprehend di crittografare i risultati dell'output della tua analisi. Analogamente alla crittografia dei lavori di Amazon Comprehend, puoi utilizzare una chiave gestita dal cliente AWS KMS dal tuo account o da un altro account.
Poiché la nostra policy impone anche l'avvio dei lavori con VPC e accesso al gruppo di sicurezza abilitato, puoi specificare queste impostazioni nel Impostazioni VPC .
Operazioni API di Amazon Comprehend e chiavi di condizione IAM
La tabella seguente elenca le operazioni API di Amazon Comprehend e le chiavi di condizione IAM supportate al momento della stesura di questo documento. Per ulteriori informazioni, vedere Azioni, risorse e chiavi di condizione per Amazon Comprehend.
Crittografia del modello con una CMK
Oltre a crittografare i dati di addestramento, ora puoi crittografare i tuoi modelli personalizzati in Amazon Comprehend utilizzando una CMK. In questa sezione, entreremo più in dettaglio su questa funzione.
Prerequisiti
È necessario aggiungere una policy IAM per consentire a un'entità di utilizzare o gestire le CMK. Le CMK sono specificate nell'elemento Risorsa della dichiarazione della politica. Quando scrivi le tue dichiarazioni politiche, è un file le migliori pratiche per limitare le CMK a quelle che i principali devono utilizzare, piuttosto che concedere ai principali l'accesso a tutte le CMK.
Nell'esempio seguente, utilizziamo una chiave AWS KMS (1234abcd-12ab-34cd-56ef-1234567890ab
) per crittografare un modello personalizzato Amazon Comprehend.
Quando si utilizza la crittografia AWS KMS, le autorizzazioni kms: CreateGrant e kms: RetireGrant sono necessarie per la crittografia del modello.
Ad esempio, la seguente dichiarazione della policy IAM nel tuo dataAccessRole fornita ad Amazon Comprehend consente all'entità di chiamare le operazioni di creazione solo sulle CMK elencate nell'elemento Resource della dichiarazione della policy:
La specifica delle CMK in base all'ARN della chiave, che è una best practice, garantisce che le autorizzazioni siano limitate solo alle CMK specificate.
Abilita la crittografia del modello
Al momento della stesura di questo documento, la crittografia del modello personalizzato è disponibile solo tramite il Interfaccia della riga di comando di AWS (AWS CLI). L'esempio seguente crea un classificatore personalizzato con crittografia del modello:
Il prossimo esempio addestra un riconoscimento di entità personalizzato con la crittografia del modello:
Infine, puoi anche creare un endpoint per il tuo modello personalizzato con la crittografia abilitata:
Conclusione
Ora puoi applicare le impostazioni di sicurezza come abilitare la crittografia e le impostazioni VPC per i tuoi lavori Amazon Comprehend utilizzando le chiavi di condizione IAM. Le chiavi di condizione IAM sono disponibili in tutti Regioni AWS dove Amazon Comprehend è disponibile. Puoi anche crittografare i modelli personalizzati di Amazon Comprehend utilizzando le chiavi gestite dal cliente.
Per ulteriori informazioni sulle nuove chiavi di condizione e visualizzare esempi di criteri, vedere Utilizzo delle chiavi di condizione IAM per le impostazioni VPC ed Risorse e condizioni per le API Amazon Comprehend. Per ulteriori informazioni sull'utilizzo delle chiavi di condizione IAM, vedere Elementi della policy JSON IAM: condizione.
Informazioni sugli autori
Sam Palani è uno specialista in soluzioni architettoniche AI / ML presso AWS. Gli piace lavorare con i clienti per aiutarli a progettare soluzioni di machine learning su larga scala. Quando non aiuta i clienti, ama leggere ed esplorare la vita all'aria aperta.
Shanthan Kesharaju è un architetto senior nel team di AWS ProServe. Aiuta i nostri clienti con la strategia AI / ML, l'architettura e lo sviluppo di prodotti con uno scopo. Shanthan ha conseguito un MBA in Marketing presso la Duke University e un MS in Management Information Systems presso l'Oklahoma State University.
- accesso
- Il mio account
- Action
- Amazon
- Amazon Comprehend
- .
- api
- API
- architettura
- revisione
- AWS
- MIGLIORE
- chiamata
- classificazione
- codice
- Creazione
- Clienti
- dati
- decrypt
- dettaglio
- documenti
- Duca
- crittografia
- endpoint
- caratteristica
- Infine
- Nome
- Gruppo
- HTTPS
- IAM
- Identità
- informazioni
- Lavoro
- Offerte di lavoro
- Le
- Tasti
- IMPARARE
- apprendimento
- Limitato
- linea
- elenchi
- località
- Lunghi
- machine learning
- gestione
- Marketing
- modello
- MS
- Oklahoma
- Operazioni
- Opzione
- Altro
- all'aperto
- Termini e Condizioni
- politica
- un bagno
- Prodotti
- Lettura
- risorsa
- Risorse
- Risultati
- norme
- Correre
- Scala
- problemi di
- set
- Un'espansione
- Soluzioni
- inizia a
- Regione / Stato
- dichiarazione
- conservazione
- Strategia
- supportato
- supporti
- SISTEMI DI TRATTAMENTO
- Tracking
- Training
- forma
- Università
- utenti
- Visualizza
- virtuale
- volume
- entro
- scrittura