Usa AWS KMS le autorizzazioni per le app di intelligenza artificiale SageMaker dei partner Amazon - Amazon SageMaker AI
Crittografia lato server con SageMaker chiavi gestite (impostazione predefinita)Crittografia lato server (SSE) con chiavi KMS gestite dal cliente (facoltativa)In che modo le app Partner AI utilizzano le sovvenzioni in AWS KMSCreazione di una chiave gestita dal cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa AWS KMS le autorizzazioni per le app di intelligenza artificiale SageMaker dei partner Amazon

Puoi proteggere i tuoi dati inattivi utilizzando la crittografia per Amazon SageMaker Partner AI Apps. Per impostazione predefinita, utilizza la crittografia lato server con una chiave SageMaker proprietaria. SageMaker supporta anche un'opzione per la crittografia lato server con una chiave KMS gestita dal cliente.

Crittografia lato server con SageMaker chiavi gestite (impostazione predefinita)

Per impostazione predefinita, le app Partner AI crittografano tutti i dati inattivi utilizzando una chiave AWS gestita.

Crittografia lato server (SSE) con chiavi KMS gestite dal cliente (facoltativa)

Le app AI dei partner supportano l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per sostituire la crittografia di proprietà esistente AWS . Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:

  • Stabilire e mantenere le policy delle chiavi

  • Stabilire e mantenere le policy e le sovvenzioni IAM

  • Abilitare e disabilitare le policy delle chiavi

  • Ruotare i materiali crittografici delle chiavi

  • Aggiungere tag

  • Creare alias delle chiavi

  • Pianificare l’eliminazione delle chiavi

Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .

In che modo le app Partner AI utilizzano le sovvenzioni in AWS KMS

Per utilizzare la chiave gestita dal cliente, le Partner AI Apps richiedono una concessione. Quando crei un'applicazione crittografata con una chiave gestita dal cliente, Partner AI Apps crea una concessione per tuo conto inviando una CreateGrant richiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per consentire alle app Partner AI di accedere a una chiave KMS in un account cliente.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, la Partner AI App non potrà accedere ad alcuno dei dati crittografati dalla chiave gestita dal cliente, con conseguenze sulle operazioni che dipendono da questi dati. L’applicazione non funzionerà correttamente e non sarà più ripristinabile.

Creazione di una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando o il. Console di gestione AWS AWS KMS APIs

Per creare una chiave simmetrica gestita dal cliente

Segui le fasi descritte in Creazione di chiavi KMS simmetriche di crittografia nella Guida per gli sviluppatori di AWS Key Management Service .

Policy della chiave

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Determining access to AWS KMS keys nella Guida per gli sviluppatori AWS Key Management Service .

Per utilizzare la chiave gestita dal cliente con le risorse della Partner AI App, è necessario che le seguenti operazioni API siano consentite nella policy della chiave. Il principale di queste operazioni varia a seconda che il ruolo venga utilizzato per creare o utilizzare l’applicazione.

Di seguito sono riportati esempi di istruzioni di policy che puoi aggiungere per Partner AI Apps a seconda che l’utente tipo sia un amministratore o un utente. Per ulteriori informazioni su come specificare le autorizzazioni in una policy, consulta AWS KMS Autorizzazioni nella AWS Key Management Service Guida per gli sviluppatori. Per informazioni sulla risoluzione dei problemi, consulta Troubleshooting key access nella AWS Key Management Service Guida per gli sviluppatori.

Amministratore

L’istruzione di policy seguente viene utilizzata per l’amministratore che sta creando Partner AI Apps.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Utente

L’istruzione di policy seguente viene utilizzata per l’utente delle Partner AI Apps.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::111122223333:role/user-role"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}