Utilice AWS KMS los permisos para las aplicaciones de IA de Amazon SageMaker Partner - Amazon SageMaker AI
Cifrado del lado del servidor con claves SageMaker administradas (predeterminado)Cifrado del servidor con claves de KMS administradas por el cliente (opcional)Cómo utilizan las aplicaciones de IA asociadas las subvenciones en AWS KMSCreación de una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice AWS KMS los permisos para las aplicaciones de IA de Amazon SageMaker Partner

Puedes proteger tus datos en reposo mediante el cifrado de las aplicaciones de IA de Amazon SageMaker Partner. De forma predeterminada, utiliza el cifrado del lado del servidor con una clave propia SageMaker . SageMaker también admite una opción de cifrado del lado del servidor con una clave KMS administrada por el cliente.

Cifrado del lado del servidor con claves SageMaker administradas (predeterminado)

Las aplicaciones de IA asociadas cifran todos los datos en reposo mediante una clave AWS gestionada de forma predeterminada.

Cifrado del servidor con claves de KMS administradas por el cliente (opcional)

Las aplicaciones de inteligencia artificial de los socios admiten el uso de una clave simétrica gestionada por el cliente que usted crea, posee y administra para reemplazar la encriptación que ya AWS posee. Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:

  • Establecer y mantener políticas de claves

  • Establecer y mantener concesiones y políticas de IAM

  • Habilitar y deshabilitar políticas de claves

  • Rotar el material criptográfico

  • Adición de etiquetas

  • Crear alias de clave

  • Programar la eliminación de claves

Para obtener más información, consulte las claves administradas por el cliente en la  Guía para desarrolladores de AWS Key Management Service .

Cómo utilizan las aplicaciones de IA asociadas las subvenciones en AWS KMS

Las aplicaciones de IA para socios necesitan disponer del permiso para utilizar su clave administrada por el cliente. Cuando crea una aplicación cifrada con una clave gestionada por el cliente, Partner AI Apps crea una subvención en su nombre enviando una CreateGrant solicitud a AWS KMS. Las subvenciones se AWS KMS utilizan para dar a Partner AI Apps acceso a una clave de KMS en la cuenta de un cliente.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, la aplicación de IA para socios no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a las operaciones que dependen de esos datos. La aplicación no funcionará correctamente y no se podrá recuperar.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante el AWS Management Console o el AWS KMS APIs.

Para crear una clave simétrica administrada por el cliente

Siga los pasos de Creación de claves de KMS de cifrado simétricas en la Guía para desarrolladores de AWS Key Management Service .

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Determinación del acceso a las claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar su clave administrada por el cliente con sus recursos de la aplicación de IA para socios, en la política de claves deben permitirse las siguientes operaciones de API. La entidad principal de estas operaciones depende de si el rol se usa para crear o usar la aplicación.

A continuación presentamos ejemplos de instrucciones de políticas que puede agregar para las aplicaciones de IA para socios en función de si la persona es un administrador o un usuario. Para obtener más información sobre cómo especificar permisos en una política, consulte permisos de AWS KMS en la Guía para desarrolladores de AWS Key Management Service . Para obtener más información sobre cómo solucionar problemas, consulte Solución de problemas de acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Administrador

La siguiente instrucción de política se utiliza para el administrador que crea las aplicaciones de IA para socios.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Servicio

La siguiente instrucción de política es para el usuario de las aplicaciones de IA para socios.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::111122223333:role/user-role"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}