AWS KMS Berechtigungen für KI-Apps Amazon SageMaker Amazon-Partnern verwenden - Amazon SageMaker KI
Serverseitige Verschlüsselung mit SageMaker verwalteten Schlüsseln (Standard)Serverseitige Verschlüsselung mit vom Kunden verwalteten KMS-Schlüsseln (optional)So verwenden KI-Apps von Partnern Zuschüsse in AWS KMSErstellen eines kundenseitig verwalteten Schlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Berechtigungen für KI-Apps Amazon SageMaker Amazon-Partnern verwenden

Sie können Ihre Daten im Ruhezustand mithilfe der Verschlüsselung für Amazon SageMaker Partner AI Apps schützen. Standardmäßig wird serverseitige Verschlüsselung mit einem SageMaker eigenen Schlüssel verwendet. SageMaker unterstützt auch eine Option für serverseitige Verschlüsselung mit einem vom Kunden verwalteten KMS-Schlüssel.

Serverseitige Verschlüsselung mit SageMaker verwalteten Schlüsseln (Standard)

KI-Apps von Partnern verschlüsseln standardmäßig alle Ihre Daten im Ruhezustand mit einem AWS verwalteten Schlüssel.

Serverseitige Verschlüsselung mit vom Kunden verwalteten KMS-Schlüsseln (optional)

KI-Apps von Partnern unterstützen die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um die bestehende AWS Verschlüsselung zu ersetzen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:

  • Festlegung und Pflege wichtiger Richtlinien

  • Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen

  • Aktivieren und Deaktivieren wichtiger Richtlinien

  • Kryptographisches Material mit rotierendem Schlüssel

  • Hinzufügen von -Tags

  • Erstellen von Schlüsselaliasen

  • Schlüssel für das Löschen von Schlüsseln planen

Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.

So verwenden KI-Apps von Partnern Zuschüsse in AWS KMS

Partner-KI-Apps erfordern eine Erteilung, um Ihren vom Kunden verwalteten Schlüssel zu verwenden. Wenn Sie eine Anwendung erstellen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erstellt Partner AI Apps in Ihrem Namen einen Zuschuss, indem es eine CreateGrant Anfrage an sendet AWS KMS. Grants in AWS KMS werden verwendet, um Partner-AI-Apps Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.

Sie können den Zugriff auf die Genehmigung jederzeit widerrufen oder den Zugriff des Services auf den vom Kunden verwalteten Schlüssel entfernen. In diesem Fall kann die Partner-KI-App nicht auf die mit dem vom kundenseitig verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Die Anwendung wird nicht ordnungsgemäß funktionieren und kann nicht mehr wiederhergestellt werden.

Erstellen eines kundenseitig verwalteten Schlüssels

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, indem Sie den AWS-Managementkonsole oder den AWS KMS APIs verwenden.

Einen symmetrischen kundenverwalteten Schlüssel erstellen

Befolgen Sie die Schritte zur Erstellung von KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Festlegen des Zugriffs auf AWS KMS -Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Ressourcen der Partner-KI-App zu verwenden, müssen die folgenden API-Vorgänge in der Schlüsselrichtlinie zugelassen sein. Das Prinzip dieser Operationen hängt davon ab, ob die Rolle zum Erstellen oder Verwenden der Anwendung verwendet wird.

Im Folgenden finden Sie Beispiele für Richtlinienanweisungen, die Sie für KI-Anwendungen von Partnern hinzufügen können, je nachdem, ob es sich bei der Persona um einen Administrator oder einen Benutzer handelt. Weitere Informationen zum Festlegen von Berechtigungen in einer Richtlinie finden Sie unter AWS KMS Berechtigungen im AWS Key Management Service Entwicklerhandbuch. Weitere Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung beim Schlüsselzugriff im AWS Key Management Service Entwicklerhandbuch.

Administrator

Die folgende Grundsatzerklärung wird für den Administrator verwendet, der Partner-KI-Apps erstellt.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Nutzer

Die folgende Grundsatzerklärung richtet sich an den Benutzer der Partner-AI-Apps.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::111122223333:role/user-role"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}