AWS KMS Permissões de uso para aplicativos Amazon SageMaker Partner AI - SageMaker IA da Amazon
Criptografia do lado do servidor com chaves SageMaker gerenciadas (padrão)Criptografia do lado do servidor com chaves do KMS gerenciadas pelo cliente (opcional)Como os aplicativos de IA do Partner usam subsídios em AWS KMSCriar uma chave gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS KMS Permissões de uso para aplicativos Amazon SageMaker Partner AI

Você pode proteger seus dados em repouso usando criptografia para Amazon SageMaker Partner AI Apps. Por padrão, ele usa criptografia do lado do servidor com uma SageMaker chave própria. SageMaker também oferece suporte à opção de criptografia do lado do servidor com uma chave KMS gerenciada pelo cliente.

Criptografia do lado do servidor com chaves SageMaker gerenciadas (padrão)

Os aplicativos de IA parceiros criptografam todos os seus dados em repouso usando uma chave AWS gerenciada por padrão.

Criptografia do lado do servidor com chaves do KMS gerenciadas pelo cliente (opcional)

Os aplicativos de IA do parceiro oferecem suporte ao uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para substituir a criptografia existente AWS . Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:

  • Estabelecer e manter as políticas de chave

  • Estabelecer e manter subsídios e IAM policies

  • Habilitar e desabilitar políticas de chaves

  • Alternar os materiais de criptografia de chave

  • Adicionar etiquetas

  • Criar réplicas de chaves

  • Chaves de agendamento para exclusão

Para obter mais informações, consulte Chaves mestras do cliente (CMKs) no AWS Key Management Service Guia do desenvolvedor.

Como os aplicativos de IA do Partner usam subsídios em AWS KMS

O recurso Aplicativos de IA para Parceiros requer uma concessão para usar a chave gerenciada pelo cliente. Quando você cria um aplicativo criptografado com uma chave gerenciada pelo cliente, o Partner AI Apps cria uma concessão em seu nome enviando uma CreateGrant solicitação para AWS KMS. Os subsídios AWS KMS são usados para dar aos Partner AI Apps acesso a uma chave KMS em uma conta de cliente.

É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o recurso Aplicativos de IA para Parceiros não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. O aplicativo não funcionará corretamente e se tornará irrecuperável.

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs

Para criar uma chave simétrica gerenciada pelo cliente

Siga as etapas para Criar chaves do KMS de criptografia simétrica no Guia do desenvolvedor do AWS Key Management Service .

Política de chave

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Determinar o acesso às chaves do AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

Para usar a chave gerenciada pelo cliente com seus recursos da funcionalidade Aplicativos de IA para Parceiros, as operações de API a seguir devem ser permitidas na política de chave. A entidade principal dessas operações depende de se o perfil é usado para criar ou usar o aplicativo.

Veja a seguir exemplos de declarações de política que você pode adicionar aos aplicativos de IA para parceiros com base em se a persona é um administrador ou usuário. Para obter mais informações sobre como especificar permissões em uma política, consulte Permissões do AWS KMS no Guia do Desenvolvedor do AWS Key Management Service . Para obter mais informações sobre solução de problemas, consulte Solucionar problemas de acesso à chave no Guia do desenvolvedor do AWS Key Management Service .

Administrador

A declaração de política a seguir é usada para o administrador que está criando aplicativos de IA para parceiros.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "example-key-policy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<admin-role>"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Usuário

A declaração de política a seguir é para o usuário de aplicativos de IA para parceiros.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Id":"example-key-policy",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::111122223333:role/user-role"
      },
      "Action":[
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "kms:ViaService":"sagemaker.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}