기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon SageMaker 파트너 AI 앱에 대한 사용 AWS KMS 권한
Amazon SageMaker Partner AI App을 사용하여 저장 데이터를 보호할 수 있습니다. 기본적으로 SageMaker 소유 키를 통해 서버 측 암호화를 사용합니다. SageMaker는 고객 관리형 KMS 키를 사용한 서버 측 암호화 옵션도 지원합니다.
## SageMaker 관리형 키를 사용한 서버 측 암호화(기본값)
파트너 AI 앱은 기본적으로 AWS 관리형 키를 사용하여 저장된 모든 데이터를 암호화합니다.
## 고객 관리형 KMS 키를 사용한 서버 측 암호화(선택 사항)
파트너 AI 앱은 사용자가 생성, 소유 및 관리하는 대칭 고객 관리형 키를 사용하여 기존 AWS 소유 암호화를 대체할 수 있도록 지원합니다. 이 암호화 계층을 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키
자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하십시오.
## 파트너 AI 앱이에서 권한 부여를 사용하는 방법 AWS KMS
Partner AI App에서 고객 관리형 키를 사용하려면 권한이 필요합니다. 고객 관리형 키로 암호화된 애플리케이션을 생성하면 파트너 AI 앱은 CreateGrant 요청을에 전송하여 사용자를 대신하여 권한을 생성합니다 AWS KMS. 의 권한 부여 AWS KMS 는 파트너 AI 앱에 고객 계정의 KMS 키에 대한 액세스 권한을 부여하는 데 사용됩니다.
언제든지 권한 부여에 대한 액세스 권한을 취소하거나 고객 관리형 키에 대한 서비스 액세스를 제거할 수 있습니다. 그렇게 하면 Partner AI App은 고객 관리형 키로 암호화된 데이터에 액세스할 수 없게 되며, 이는 해당 데이터에 의존하는 작업에 영향을 미칩니다. 애플리케이션이 제대로 작동하지 않고 복구할 수 없게 됩니다.
## 고객 관리형 키 생성
AWS Management Console 또는 AWS KMS APIs.
**대칭 고객 관리형 키를 만들려면**
*AWS Key Management Service 개발자 안내서*의 [대칭 암호화 KMS 키 만들기](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)의 단계를 따르세요.
**키 정책**
키 정책에서는 고객 관리형 키에 대한 액세스를 제어합니다. 모든 고객 관리형 키에는 키를 사용할 수 있는 사람과 키를 사용하는 방법을 결정하는 문장이 포함된 정확히 하나의 키 정책이 있어야 합니다. 고객 관리형 키를 만들 때 키 정책을 지정할 수 있습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS 키에 대한 액세스 관리](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html)를 참조하세요.
Partner AI App 리소스에서 고객 관리형 키를 사용하려면 키 정책에서 다음 API 작업을 허용해야 합니다. 이러한 작업의 위탁자는 역할이 애플리케이션을 생성하는 데 사용되는지, 아니면 애플리케이션을 사용하는 데 사용되는지에 따라 달라집니다.
+ 애플리케이션 생성:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ 애플리케이션 사용:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
다음은 페르소나가 관리자인지 사용자인지에 따라 Partner AI App에 추가할 수 있는 정책 설명 예시입니다. 정책에서의 권한 지정에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS KMS 권한](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)을 참조하세요. 문제 해결에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [키 액세스 문제 해결](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)을 참조하세요.
**관리자**
다음 정책 문은 Partner AI App을 생성하는 관리자에게 사용됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "example-key-policy",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/{{}}"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "sagemaker.{{us-east-1}}.amazonaws.com"
}
}
}
]
}
```
------
**User**
다음 정책 문은 Partner AI App 사용자를 위한 것입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"example-key-policy",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::{{111122223333}}:role/{{user-role}}"
},
"Action":[
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"kms:ViaService":"sagemaker.{{us-east-1}}.amazonaws.com"
}
}
}
]
}
```
------