기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# SageMaker 지리 공간 보안 및 권한
이 페이지의 항목을 사용하여 SageMaker 지리 공간 보안 기능에 대해 알아보세요. 또한 Amazon Virtual Private Cloud에서 SageMaker 지리 공간 기능을 사용하는 방법과 암호화를 사용하여 저장된 데이터를 보호하는 방법을 알아보세요.
IAM 사용자 및 역할에 대한 자세한 내용은 IAM 사용 설명서의 [자격 증명(사용자, 그룹 및 역할)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)을 참조하세요.
SageMaker AI에서 IAM을 사용하는 방법에 대해 자세히 알아보려면 [AWS Identity and Access Management Amazon SageMaker AI용](security-iam.md) 섹션을 참조하세요.
**Topics**
+ [SageMaker 지리 공간의 구성 및 취약성 분석](geospatial-config-vulnerability.md)
+ [SageMaker 지리 공간 기능의 보안 모범 사례](geospatial-sec-best-practices.md)
+ [Amazon Virtual Private Cloud에서 Amazon SageMaker 지리 공간 기능을 사용하세요.](geospatial-notebooks-and-internet-access-vpc-requirements.md)
+ [Amazon SageMaker AWS KMS 지리 공간 기능에 권한 사용](geospatial-kms.md)
# SageMaker 지리 공간의 구성 및 취약성 분석
구성 및 IT 제어는 AWS 와 고객 간의 공동 책임입니다.는 게스트 운영 체제(OS) 및 데이터베이스 패치, 방화벽 구성, 재해 복구와 같은 기본 보안 작업을 AWS 처리합니다. 적합한 제3자가 이 절차를 검토하고 인증하였습니다. 자세한 내용은 다음 리소스를 참조하세요.
+ [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services: 보안 프로세스의 개요](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)
# SageMaker 지리 공간 기능의 보안 모범 사례
Amazon SageMaker 지리 공간 기능은 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용하세요.
**최소 권한의 원칙 적용**
Amazon SageMaker 지리 공간 기능은 IAM 역할을 사용하는 애플리케이션에 대한 세분화된 액세스 정책을 제공합니다. 작업에 필요한 최소 권한 집합만 역할에 부여하는 것이 좋습니다. 또한 애플리케이션이 변경될 때마다 정기적으로 권한을 확인하기 위해 작업을 감사하는 것이 좋습니다.
**역할 기반 액세스 제어(RBAC) 권한**
관리자는 Amazon SageMaker 지리 공간 기능에 대한 역할 기반 액세스 제어(RBAC) 권한을 엄격하게 관리해야 합니다.
**가능하면 임시 자격 증명 사용**
가능하면 액세스 키와 같은 장기 자격 증명 대신 임시 보안 인증을 사용하세요. 프로그래밍 방식 액세스 권한과 장기 보안 인증이 있는 IAM 사용자가 필요한 시나리오의 경우 액세스 키를 교체하는 것이 좋습니다. 장기 보안 인증을 정기적으로 교체하면 프로세스에 익숙해지는 데 도움이 됩니다. 이는 직원이 퇴사할 때와 같이 보안 인증을 교체해야 하는 상황에 유용합니다. IAM 액세스에서 마지막으로 사용한 정보를 사용하여 액세스 키를 안전하게 교체 및 제거하는 것이 좋습니다. 자세한 내용은 [액세스 키 교체](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 및 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
**API 호출을 보고 기록 AWS CloudTrail 하는 데 사용**
AWS CloudTrail 는 AWS 계정에서 API를 호출하는 모든 사용자를 추적합니다. API 호출은 누구나 Amazon SageMaker 지리 공간 기능 API, Amazon SageMaker 지리 공간 기능 콘솔 또는 Amazon SageMaker 지리 공간 기능 AWS CLI 명령을 사용할 때마다 로깅됩니다. 로깅을 활성화하고 로그를 저장할 S3 버킷을 지정합니다.
고객의 신뢰, 개인 정보 보호 및 귀하의 콘텐츠 보안이 우리의 최우선 사항입니다. 당사는 사용자 콘텐츠에 대한 무단 액세스 또는 공개를 방지하고 콘텐츠 사용이 사용자에 대한 당사의 약속을 준수하도록 보장하기 위해 책임감 있고 정교한 기술적 및 물리적 제어를 구현합니다. 자세한 내용은 [AWS 데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요.
# Amazon Virtual Private Cloud에서 Amazon SageMaker 지리 공간 기능을 사용하세요.
다음 주제에서는 VPC 전용 모드의 Amazon SageMaker AI 도메인에서 SageMaker 지리 공간 이미지와 함께 SageMaker 노트북을 사용하는 방법에 대한 정보를 제공합니다. Amazon SageMaker Studio Classic의 VPC에 대한 자세한 내용은 [Choose an Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)를 참조하세요.
## 인터넷과의 `VPC only`통신
기본적으로 SageMaker AI 도메인은 두 개의 Amazon VPC를 사용합니다. Amazon VPC 1대는 Amazon SageMaker AI에서 관리하며 인터넷에 직접 액세스할 수 있습니다. 도메인과 Amazon Elastic File System(Amazon EFS) 볼륨 간에 암호화된 트래픽을 제공하는 다른 Amazon VPC를 지정합니다.
SageMaker AI에서 지정한 Amazon VPC를 통해 모든 트래픽을 전송하도록 이 동작을 변경할 수 있습니다. SageMaker AI 도메인을 만드는 중에 네트워크 액세스 모드로 `VPC only` 옵션을 선택한 경우, 만들어진 SageMaker AI 도메인 내에서 SageMaker Studio Classic 노트북 사용을 계속 허용하려면 다음 요구 사항을 고려해야 합니다.
## `VPC only` 모드 사용 요구 사항
**참고**
SageMaker 지리 공간 기능의 시각화 구성 요소를 사용하려면 SageMaker Studio Classic UI에 액세스하는 데 사용하는 브라우저가 인터넷에 연결되어 있어야 합니다.
`VpcOnly`를 선택했다면, 다음 단계를 따르세요.
1. 프라이빗 서브넷만 사용해야 합니다. `VpcOnly` 모드에서는 퍼블릭 서브넷을 사용할 수 없습니다.
1. 서브넷에 필요한 수의 IP 주소가 있는지 확인하세요. 사용자당 필요한 예상 IP 주소 수는 사용 사례에 따라 달라질 수 있습니다. 사용자당 2\$14개의 IP 주소를 사용하는 것이 좋습니다. Studio Classic 도메인의 총 IP 주소 용량은 도메인을 만들 때 제공된 각 서브넷에 사용 가능한 IP 주소의 합계입니다. 예상 IP 주소 사용량이 제공하는 서브넷 수가 지원하는 용량을 초과하지 않는지 확인하세요. 또한 여러 가용 영역에 분산된 서브넷을 사용하면 IP 주소 가용성을 높일 수 있습니다. 자세한 내용은 [IPv4의 경우 VPC 및 서브넷 크기 조정](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)을 참조하세요.
**참고**
사용자 인스턴스가 실행되는 공유 하드웨어의 기본 테넌시 VPC 만을 사용하여 서브넷을 구성할 수 있습니다. VPC의 테넌시 속성에 대한 자세한 내용은 [전용 인스턴스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)를 참조하세요.
1. 다음 트래픽을 함께 허용하는 인바운드 및 아웃바운드 규칙을 사용하여 하나 이상의 보안 그룹을 설정하세요.
+ 도메인과 Amazon EFS 볼륨 사이의 [포트 2049에서 TCP를 통한 NFS 트래픽](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)입니다.
+ [보안 그룹 내의 TCP 트래픽입니다](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). 이는 JupyterServer 앱과 커널게이트웨이 앱 간의 연결에 필요합니다. `8192-65535` 범위 내 최소 포트에 대한 액세스를 허용해야 합니다.
1. 인터넷 액세스를 허용하려면 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) 등을 통해 인터넷에 액세스할 수 있는 [NAT 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)를 사용해야 합니다.
1. 인터넷 액세스를 허용하지 않으려면 Studio Classic이 해당 서비스 이름으로 다음 서비스에 액세스할 수 있도록 [인터페이스 VPC 엔드포인트(PrivateLink)를 생성합니다](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink 또한 VPC의 보안 그룹을 이러한 엔드포인트와 연결해야 합니다.
**참고**
현재 SageMaker 지리 공간 기능은 미국 서부(오레곤) 리전에서만 지원됩니다.
+ SageMaker API : `com.amazonaws.us-west-2.sagemaker.api`
+ SageMaker AI 런타임: `com.amazonaws.us-west-2.sagemaker.runtime`. 이는 SageMaker 지리 공간 이미지와 함께 Studio Classic 노트북을 실행하는 데 필요합니다.
+ Amazon S3: `com.amazonaws.us-west-2.s3`.
+ SageMaker 프로젝트를 사용하려면: `com.amazonaws.us-west-2.servicecatalog`.
+ SageMaker 지리 공간 기능: `com.amazonaws.us-west-2.sagemaker-geospatial`
[SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/)를 사용하여 원격 훈련 작업을 실행하는 경우 다음 Amazon VPC 엔드포인트도 생성해야 합니다.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch: `com.amazonaws.region.logs`. 이는 SageMaker Python SDK가 원격 훈련 작업 상태를 가져올 수 있도록 허용하는 데 필요합니다 Amazon CloudWatch.
**참고**
VPC 모드에서 작업하는 고객의 경우 회사 방화벽으로 인해 SageMaker Studio Classic 또는 JupyterServer와 KernelGateway 간의 연결 문제가 발생할 수 있습니다. 방화벽 뒤에서 SageMaker Studio Classic을 사용할 때 이러한 문제 중 하나가 발생하는 경우 다음 사항을 확인하세요.
Studio Classic URL이 네트워크 허용 목록에 있는지 확인하세요.
WebSocket 연결이 차단되지 않았는지 확인하세요. Jupyter는 내부적으로 WebSocket을 사용합니다. KernelGateway 애플리케이션이 서비스 중인 경우 JupyterServer가 KernelGateway에 연결하지 못할 수 있습니다. 시스템 터미널을 열 때도 이 문제가 나타날 것입니다.
# Amazon SageMaker AWS KMS 지리 공간 기능에 권한 사용
SageMaker 지리 공간 기능의 암호화를 사용하여 저장된 데이터를 보호할 수 있습니다. 기본적으로 Amazon SageMaker 지리 공간 소유 키와 함께 서버 측 암호화를 사용합니다. SageMaker 지리 공간 기능은 고객 관리형 KMS 키를 사용한 서버 측 암호화 옵션도 지원합니다.
## Amazon SageMaker 지리 공간 관리형 키를 사용한 서버 측 암호화(기본값)
SageMaker 지리 공간 기능은 모든 서비스 메타데이터와 함께 지구 관측 작업(EOJ) 및 벡터 강화 작업(VEJ)의 계산 결과를 포함한 모든 데이터를 암호화합니다. SageMaker 지리 공간 기능 내에 암호화되지 않은 상태로 저장된 데이터는 없습니다. 기본 AWS 소유 키를 사용하여 모든 데이터를 암호화합니다.
## 고객 관리 KMS 키를 사용한 서버 측 암호화(선택 사항)
SageMaker 지리 공간 기능은 사용자가 생성, 소유 및 관리하는 대칭 고객 관리형 키를 사용하여 기존 AWS 소유 암호화에 두 번째 암호화 계층을 추가할 수 있도록 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키
자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하십시오.
## SageMaker 지리 공간 기능이에서 권한 부여를 사용하는 방법 AWS KMS
SageMaker 지리 공간 기능을 사용하려면 고객 관리형 키를 사용할 수 있는 권한이 필요합니다. 고객 관리형 키로 암호화된 EOJ 또는 VEJ를 생성하면 SageMaker 지리 공간 기능은 `CreateGrant` 요청을 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 SageMaker 지리 공간 기능에 고객 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다. 언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 SageMaker 지리 공간 기능이 고객 관리형 키로 암호화된 데이터에 액세스할 수 없으며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다.
## 고객 관리형 키를 생성하려면
AWS 관리 콘솔 또는 AWS KMS APIs.
**대칭 고객 관리형 키를 만들려면**
AWS Key Management Service 개발자 안내서의 [대칭 암호화 KMS 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) 단계를 따릅니다.
**키 정책**
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS 키에 대한 액세스 결정을](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html) 참조하세요.
SageMaker 지리 공간 기능 리소스와 함께 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다. 이러한 작업의 주체는 SageMaker 지리 공간 기능 요청에서 제공하는 실행 역할이어야 합니다. SageMaker 지리 공간 기능은 이러한 KMS 작업을 수행하기 위한 요청에서 제공된 실행 역할을 맡습니다.
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:GenerateDataKeyWithoutPlaintext`
다음은 SageMaker 지리 공간 기능에 추가할 수 있는 정책 설명 예제입니다.
**CreateGrant**
```
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : ""
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]
```
정책에서의 권한 지정에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS 권한](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)을 참조하세요. 문제 해결에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 액세스 문제 해결](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)을 참조하세요.
키 정책에 계정 루트가 키 관리자로 포함되어 있지 않은 경우 실행 역할 ARN에 동일한 KMS 권한을 추가해야 합니다. 실행 역할에 추가할 수 있는 샘플 정책은 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Effect": "Allow"
}
]
}
```
------
## SageMaker 지리 공간 기능을 위한 암호화 키 모니터링
SageMaker 지리 공간 기능 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 AWS CloudTrail 또는 Amazon CloudWatch Logs를 사용하여 SageMaker 지리 공간이 보내는 요청을 추적할 수 있습니다 AWS KMS.
다음 표에서 탭을 선택하면 고객 관리형 키로 암호화된 데이터에 액세스하기 위해 SageMaker 지리 공간 기능이 호출하는 KMS 작업을 모니터링하는 AWS CloudTrail 이벤트의 예를 볼 수 있습니다.
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "sagemaker-geospatial.amazonaws.com"
},
"eventTime": "2023-03-24T00:29:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "sagemaker-geospatial.amazonaws.com",
"userAgent": "sagemaker-geospatial.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::axis-earth-observation-job-378778860802/111122223333/napy9eintp64/output/consolidated/32PPR/2022-01-04T09:58:03Z/S2B_32PPR_20220104_0_L2A_msavi.tif"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "sagemaker-geospatial.amazonaws.com"
},
"eventTime": "2023-03-28T22:04:24Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "sagemaker-geospatial.amazonaws.com",
"userAgent": "sagemaker-geospatial.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::axis-earth-observation-job-378778860802/111122223333/napy9eintp64/output/consolidated/32PPR/2022-01-04T09:58:03Z/S2B_32PPR_20220104_0_L2A_msavi.tif"
},
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-28T22:09:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------