翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SageMaker AWS KMS パートナー AI アプリのアクセス許可を使用する Amazon SageMaker
<a name="partner-apps-kms"></a>

Amazon SageMaker パートナー AI アプリケーションの暗号化を使用して、保管中のデータを保護できます。デフォルトでは、SageMaker が所有するキーを使用したサーバー側の暗号化が使用されます。SageMaker は、カスタマーマネージド KMS キーを使用したサーバー側暗号化のオプションもサポートしています。

## Amazon SageMaker マネージドキーでのサーバー側の暗号化 (デフォルト)
<a name="partner-apps-managed-key"></a>

パートナー AI アプリは、デフォルトで AWS マネージドキーを使用して保管中のすべてのデータを暗号化します。

## カスタマーマネージド KMS キーでのサーバー側の暗号化 (オプション)
<a name="partner-apps-customer-managed-key"></a>

パートナー AI アプリは、既存の AWS 所有暗号化を置き換えるために作成、所有、管理する対称カスタマーマネージドキーの使用をサポートします。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+  タグを追加する
+ キーエイリアスの作成
+ 削除のためのキースケジューリング

詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」の「カスタマーマネージドキー」を参照してください。

## パートナー AI アプリが で許可を使用する方法 AWS KMS
<a name="partner-apps-grants-cmk"></a>

パートナー AI アプリケーションがカスタマーマネージドキーを使用するには、許可が必要です。カスタマーマネージドキーで暗号化されたアプリケーションを作成すると、パートナー AI アプリは CreateGrant リクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、パートナー AI アプリに顧客アカウントの KMS キーへのアクセス権を付与するために使用されます。

グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行うと、パートナー AI アプリケーションはカスタマーマネージドキーが暗号化したすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。アプリケーションは適切に動作せず、復旧できなくなります。

## カスタマーマネージドキーを作成する
<a name="partner-apps-create-cmk"></a>

対称カスタマーマネージドキーは、 AWS マネジメントコンソール または AWS KMS APIs を使用して作成できます。

**対称カスタマーマネージドキーを作成するには**

「AWS Key Management Service デベロッパーガイド」の「[対称暗号化 KMS キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)」の手順に従ってください。**

**キーポリシー**

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「*AWS Key Management Service Developer Guide*」の「[Determining access to AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html)」を参照してください。

パートナー AI アプリケーションのリソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。これらのオペレーションのプリンシパルは、ロールを使用してアプリケーションを作成または使用するかどうかによって異なります。
+ アプリケーションの作成
  + `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`
  + [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 
+ ウェブアプリケーションの使用
  + [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 
  + [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)

以下は、ペルソナが管理者かユーザーかに基づいて、パートナー AI アプリケーションに追加できるポリシーステートメントの例です。ポリシーでの権限の指定に関する詳細については、「*AWS Key Management Service Developer Guide*」の「[AWS KMS permissions](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)」を参照してください。トラブルシューティングの詳細については、「*AWS Key Management Service Developer Guide*」の「[Troubleshooting key access](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)」を参照してください。

管理者

パートナー AI アプリケーションを作成する管理者には、次のポリシーステートメントが使用されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/{{<admin-role>}}"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.{{us-east-1}}.amazonaws.com"
                }
            }
        }
    ]
}
```

------

**ユーザー**

パートナー AI アプリケーションのユーザーには、次のポリシーステートメントが使用されます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::{{111122223333}}:role/{{user-role}}"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.{{us-east-1}}.amazonaws.com"
        }
      }
    }
  ]
}
```

------