Amazon SageMaker AWS KMS パートナー AI アプリのアクセス許可を使用する Amazon SageMaker - Amazon SageMaker AI
Amazon SageMaker マネージドキーでのサーバー側の暗号化 (デフォルト)カスタマーマネージド KMS キーでのサーバー側の暗号化 (オプション)パートナー AI アプリが で許可を使用する方法 AWS KMSカスタマーマネージドキーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SageMaker AWS KMS パートナー AI アプリのアクセス許可を使用する Amazon SageMaker

Amazon SageMaker パートナー AI アプリケーションの暗号化を使用して、保管中のデータを保護できます。デフォルトでは、SageMaker が所有するキーを使用したサーバー側の暗号化が使用されます。SageMaker は、カスタマーマネージド KMS キーを使用したサーバー側暗号化のオプションもサポートしています。

Amazon SageMaker マネージドキーでのサーバー側の暗号化 (デフォルト)

パートナー AI アプリは、デフォルトで AWS マネージドキーを使用して保管中のすべてのデータを暗号化します。

カスタマーマネージド KMS キーでのサーバー側の暗号化 (オプション)

パートナー AI アプリは、既存の AWS 所有暗号化を置き換えるために作成、所有、管理する対称カスタマーマネージドキーの使用をサポートします。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

  • キーポリシーの策定と維持

  • IAM ポリシーとグラントの策定と維持

  • キーポリシーの有効化と無効化

  • キー暗号化マテリアルのローテーション

  • タグの追加

  • キーエイリアスの作成

  • 削除のためのキースケジューリング

詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

パートナー AI アプリが で許可を使用する方法 AWS KMS

パートナー AI アプリケーションがカスタマーマネージドキーを使用するには、許可が必要です。カスタマーマネージドキーで暗号化されたアプリケーションを作成すると、パートナー AI アプリは CreateGrant リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、パートナー AI アプリに顧客アカウントの KMS キーへのアクセスを許可するために使用されます。

グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行うと、パートナー AI アプリケーションはカスタマーマネージドキーが暗号化したすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。アプリケーションは適切に動作せず、復旧できなくなります。

カスタマーマネージドキーを作成する

対称カスタマーマネージドキーは、 AWS マネジメントコンソール または AWS KMS APIs を使用して作成できます。

対称カスタマーマネージドキーを作成するには

「AWS Key Management Service デベロッパーガイド」の「対称暗号化 KMS キーの作成」の手順に従ってください。

キーポリシー

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「AWS Key Management Service Developer Guide」の「Determining access to AWS KMS keys」を参照してください。

パートナー AI アプリケーションのリソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。これらのオペレーションのプリンシパルは、ロールを使用してアプリケーションを作成または使用するかどうかによって異なります。

以下は、ペルソナが管理者かユーザーかに基づいて、パートナー AI アプリケーションに追加できるポリシーステートメントの例です。ポリシーでの権限の指定に関する詳細については、「AWS Key Management Service Developer Guide」の「AWS KMS permissions」を参照してください。トラブルシューティングの詳細については、「AWS Key Management Service Developer Guide」の「Troubleshooting key access」を参照してください。

管理者

パートナー AI アプリケーションを作成する管理者には、次のポリシーステートメントが使用されます。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

ユーザー

パートナー AI アプリケーションのユーザーには、次のポリシーステートメントが使用されます。

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::111122223333:role/user-role"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}