Cifrado de sus datos de SageMaker Canvas con AWS KMS
Es posible que tenga datos que desee cifrar mientras usa Amazon SageMaker Canvas, como la información privada de su empresa o los datos de sus clientes. SageMaker Canvas utiliza AWS Key Management Service para proteger sus datos. AWS KMS es un servicio que puede utilizar para crear y administrar claves criptográficas para cifrar sus datos. Para obtener más información acerca de AWS KMS, consulte AWS Key Management Service en la Guía para desarrolladores de AWS KMS.
Amazon SageMaker Canvas le ofrece varias opciones para cifrar los datos. SageMaker Canvas proporciona un cifrado predeterminado en la aplicación para tareas como la creación del modelo y la generación de información. También puede optar por cifrar los datos almacenados en Amazon S3 para proteger sus datos en reposo. SageMaker Canvas admite la importación de conjuntos de datos cifrados, por lo que puede establecer un flujo de trabajo cifrado. En las siguientes secciones se describe cómo puede utilizar el cifrado de AWS KMS para proteger sus datos al crear modelos con SageMaker Canvas.
Cifrado de sus datos de SageMaker Canvas
Con SageMaker Canvas, puede utilizar dos claves de cifrado de AWS KMS diferentes para cifrar sus datos en SageMaker Canvas, que puede especificar al configurar su dominio utilizando la configuración estándar de dominio. Estas claves se especifican en los siguientes pasos de configuración de dominio:
-
Paso 3: configuración de aplicaciones (opcional): al configurar la sección Configuración del almacenamiento de Canvas, puede especificar una Clave de cifrado. Esta es una clave de KMS que SageMaker Canvas utiliza para el almacenamiento a largo plazo de los conjuntos de datos y objetos de modelo, que se almacenan en el bucket de Amazon S3 proporcionado para su dominio. Si crea una aplicación de Canvas con la API CreateApp, utilice el campo
S3KMSKeyIdpara especificar esta clave. -
Paso 6: configuración del almacenamiento: SageMaker Canvas utiliza una clave para cifrar el espacio privado de Amazon SageMaker Studio que se crea para la aplicación de Canvas, que incluye almacenamiento temporal de aplicaciones, visualizaciones y trabajos de cómputo (como creación de modelos). Puede utilizar la clave administrada predeterminada AWS o especificar la suya propia. Si especifica su clave AWS KMS, los datos almacenados en el directorio
/home/sagemaker-userse cifran con su clave. Si no especifica ninguna clave de AWS KMS, los datos que contiene/home/sagemaker-userse cifran con una clave administrada de AWS. Independientemente de si se especifica una clave de AWS KMS, todos los datos que se encuentran fuera del directorio de trabajo se cifran con una clave administrada de AWS. Para obtener más información sobre el espacio de Studio y el almacenamiento de sus aplicaciones de Canvas, consulte Almacenamiento de datos de aplicaciones de SageMaker Canvas en su propio espacio de SageMaker AI. Si crea una aplicación de Canvas con la API CreateApp, utilice el campoKmsKeyIDpara especificar esta clave.
Las claves anteriores pueden ser claves de KMS iguales o diferentes.
Requisitos previos
Para usar su propia clave KMS para cualquiera de los fines descritos anteriormente, primero debe conceder permiso al rol de IAM de su usuario para usar la clave. A continuación, puede especificar la clave KMS al configurar su dominio.
La forma más sencilla de conceder permiso a su rol para usar la clave es modificar la política de claves. Utilice el siguiente procedimiento para conceder a su rol los permisos necesarios.
-
Abra la consola de AWS KMS
. -
En la sección Política de claves, elija Cambiar a la vista de política.
-
Modifique la política de claves para conceder permisos para las acciones
kms:GenerateDataKeyykms:Decryptal rol de IAM. Además, si va a modificar la política de claves que cifra el almacenamiento de sus aplicaciones de Canvas en el espacio de Studio, conceda la acciónkms:CreateGrant. Puede agregar una instrucción similar a la siguiente:{ "Sid": "ExampleStmt", "Action": [ "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Principal": { "AWS": "<arn:aws:iam::111122223333:role/Jane>" }, "Resource": "*" } -
Elija Guardar cambios.
El método menos preferido es modificar el rol de IAM del usuario para concederle permisos de uso o administración de la clave KMS. Si utiliza este método, la política de claves de KMS también debe permitir la administración del acceso a través de IAM. Para obtener información sobre cómo conceder permisos a una clave de KMS mediante el rol de IAM del usuario, consulte Especificación de claves KMS en declaraciones de políticas de IAM de la Guía para desarrolladores de AWS KMS.
Cifrado de sus datos en la aplicación de SageMaker Canvas
La primera clave de KMS que puede utilizar en SageMaker Canvas se utiliza para cifrar los datos de la aplicación almacenados en los volúmenes de Amazon Elastic Block Store (Amazon EBS) y en el Amazon Elastic File System que SageMaker AI crea en su dominio. SageMaker Canvas cifra sus datos con esta clave en la aplicación subyacente y en los sistemas de almacenamiento temporal que se crean al utilizar instancias de computación para crear modelos y generar información. SageMaker Canvas pasa la clave a otros servicios de AWS, como el piloto automático, siempre que SageMaker Canvas inicie trabajos con ellos para procesar sus datos.
Puede especificar esta clave configurando el KmsKeyID en la llamada a la API CreateDomain o mientras realiza la configuración del dominio estándar en la consola. Si no especifica su propia clave KMS, SageMaker AI utiliza una clave de AWS KMS administrada predeterminada para cifrar sus datos en la aplicación de SageMaker Canvas.
Para especificar su propia clave de KMS para utilizarla en la aplicación de SageMaker Canvas a través de la consola, primero configure su dominio de Amazon SageMaker AI mediante la configuración estándar. Siga este procedimiento para completar la Sección de red y almacenamiento del dominio.
-
Rellene la configuración de Amazon VPC que desee.
-
En Clave de cifrado, elija Especifique el ARN de una clave de KMS.
-
Para el ARN de KMS, introduzca el ARN de la clave de KMS, que debe tener un formato similar al siguiente:
arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Cifre los datos de SageMaker Canvas almacenados en Amazon S3
La segunda clave de KMS que puede especificar se utiliza para los datos que SageMaker Canvas almacena en Amazon S3. Esta clave de KMS se especifica en el campo S3KMSKeyId en la llamada a la API CreateDomain o mientras realiza la configuración estándar de dominio en la consola de SageMaker AI. SageMaker AI Canvas guarda los duplicados de sus conjuntos de datos de entrada, datos de aplicaciones y modelos y datos de salida en el bucket de S3 predeterminado de SageMaker AI en la región para su cuenta. El patrón de nomenclatura de este bucket es s3://sagemaker-, y SageMaker Canvas almacena los datos en la carpeta {Region}-{your-account-id}Canvas/.
-
Active la opción Habilitar el uso compartido de recursos de bloc de notas.
-
En cuanto a la Ubicación de S3 para los recursos de bloc de notas que se pueden compartir, deje la ruta predeterminada de Amazon S3. Tenga en cuenta que SageMaker Canvas no utiliza esta ruta de Amazon S3; esta ruta de Amazon S3 se utiliza para los cuadernos de Studio Classic.
-
En Clave de cifrado, elija Especifique el ARN de una clave de KMS.
-
Para el ARN de KMS, introduzca el ARN de la clave de KMS, que debe tener un formato similar al siguiente:
arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd
Importación de conjuntos de datos cifrados desde Amazon S3
Es posible que sus usuarios tengan conjuntos de datos cifrados con una clave KMS. Si bien en la sección anterior se muestra cómo cifrar los datos en SageMaker Canvas y los datos almacenados en Amazon S3, debe conceder permisos adicionales al rol de IAM de su usuario si quiere importar datos de Amazon S3 que ya estén cifrados con AWS KMS.
Para conceder a sus usuarios permisos para importar conjuntos de datos cifrados de Amazon S3 a SageMaker Canvas, añada los siguientes permisos al rol de ejecución de IAM que ha utilizado para el perfil de usuario.
"kms:Decrypt", "kms:GenerateDataKey"
Para aprender a administrar los permisos de IAM para un rol, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM. Para obtener más información sobre las claves KMS, consulte Políticas de claves de AWS Key Management Service en la Guía para desarrolladores de AWS KMS.
Preguntas frecuentes
Consulte las siguientes preguntas frecuentes para obtener respuestas a las dudas más comunes sobre la compatibilidad de AWS KMS con SageMaker Canvas.
R: No. SageMaker Canvas puede almacenar temporalmente su clave en caché o pasarla a otros servicios de AWS (como Autopilot), pero SageMaker Canvas no conserva su clave KMS.
R: Es posible que el rol de IAM de su usuario no tenga permisos para usar esa clave KMS. Para conceder permisos de usuario, consulte los Requisitos previos. Otro posible error es que tenga una política de bucket en su bucket de Amazon S3 que requiera el uso de una clave KMS específica que no coincida con la clave de KMS que especificó en su dominio. Asegúrese de especificar la misma clave KMS para su bucket de Amazon S3 y su dominio.
R: El bucket de Amazon S3 predeterminado sigue el patrón de nomenclatura s3://sagemaker-. La carpeta {Region}-{your-account-id}Canvas/ de este bucket almacena los datos de la aplicación de SageMaker Canvas.
R: No, SageMaker AI crea este bucket en su nombre.
R: SageMaker Canvas utiliza el bucket de Amazon S3 de SageMaker AI predeterminado para almacenar duplicados de los conjuntos de datos de entrada, los artefactos del modelo y las salidas del modelo.
R: Con SageMaker Canvas, puede utilizar sus propias claves de cifrado con AWS KMS para crear modelos de regresión, clasificación binaria y multiclase, además de modelos de previsión de series temporales e inferencias por lotes con su modelo.
