AWS KMS Autorisations d'utilisation pour les applications Amazon SageMaker Partner AI - Amazon SageMaker AI
Chiffrement côté serveur avec clés SageMaker gérées (par défaut)Chiffrement côté serveur avec des clés KMS gérées par le client (facultatif)Comment les applications d'IA partenaires utilisent les subventions dans AWS KMSCréation d’une clé gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS Autorisations d'utilisation pour les applications Amazon SageMaker Partner AI

Vous pouvez protéger vos données au repos à l'aide du chiffrement pour les applications Amazon SageMaker Partner AI. Par défaut, il utilise le chiffrement côté serveur avec une clé SageMaker détenue. SageMaker prend également en charge une option de chiffrement côté serveur avec une clé KMS gérée par le client.

Chiffrement côté serveur avec clés SageMaker gérées (par défaut)

Les applications d'intelligence artificielle partenaires cryptent toutes vos données au repos à l'aide d'une clé AWS gérée par défaut.

Chiffrement côté serveur avec des clés KMS gérées par le client (facultatif)

Les applications d'intelligence artificielle partenaires prennent en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez pour remplacer le chiffrement que vous AWS détenez déjà. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

  • Établissement et gestion des stratégies de clé

  • Établissement et gestion des politiques IAM et des octrois

  • Activation et désactivation des stratégies de clé

  • Rotation des matériaux de chiffrement de clé

  • Ajout de balises

  • Création d’alias de clé

  • Planification des clés pour la suppression

Pour plus d’informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service .

Comment les applications d'IA partenaires utilisent les subventions dans AWS KMS

Les applications d’IA des partenaires nécessitent un octroi d’autorisation pour utiliser la clé gérée par votre client. Lorsque vous créez une application cryptée à l'aide d'une clé gérée par le client, Partner AI Apps crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à Partner AI Apps l'accès à une clé KMS dans un compte client.

Vous pouvez révoquer l’accès à l’octroi ou supprimer l’accès du service à la clé gérée par le client à tout moment. Dans ce cas, les applications d’IA des partenaires ne pourront accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. L’application ne fonctionnera pas correctement et deviendra irrécupérable.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console ou le AWS KMS APIs.

Pour créer une clé symétrique gérée par le client

Suivez les étapes de Création de clés KMS de chiffrement symétriques dans le Guide du développeur AWS Key Management Service .

Stratégie de clé

Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d’informations, consultez Détermination de l’accès aux clés AWS KMS dans le Guide du développeur AWS Key Management Service .

Pour utiliser votre clé gérée par le client avec vos ressources d’applications d’IA des partenaires, les opérations d’API suivantes doivent être autorisées dans la stratégie de clé. Le principal de ces opérations dépend du fait que le rôle est utilisé pour créer ou utiliser l’application.

Voici des exemples de déclarations de politique que vous pouvez ajouter pour les applications d’IA des partenaires, selon que le persona est un administrateur ou un utilisateur. Pour plus d’informations sur la spécification d’autorisations dans une stratégie, consultez Autorisations AWS KMS dans le Guide du développeur AWS Key Management Service . Pour plus d’informations sur la résolution des problèmes, consultez Résolution des problèmes de clé d’accès dans le Guide du développeur AWS Key Management Service .

Administrateur

La déclaration de politique suivante est utilisée pour l’administrateur qui crée les applications d’IA des partenaires.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Utilisateur

La déclaration de politique suivante s’adresse aux utilisateurs des applications d’IA des partenaires.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::111122223333:role/user-role"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}