本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# SageMaker 地理空间安全和权限
使用本页上的主题来了解 SageMaker 地理空间功能安全功能。此外,还要学习如何在 Amazon Virtual Private Cloud 中使用 SageMaker 地理空间功能,以及如何使用加密保护您的静态数据。
有关 IAM 用户和角色的更多信息,请参阅《IAM 用户指南》中的[身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
要了解有关将 IAM 与 A SageMaker I 结合使用的更多信息,请参阅[AWS Identity and Access Management 适用于亚马逊 A SageMaker I](security-iam.md)。
**Topics**
+ [SageMaker 地理空间中的配置和漏洞分析](geospatial-config-vulnerability.md)
+ [SageMaker 地理空间功能的安全最佳实践](geospatial-sec-best-practices.md)
+ [在您的亚马逊虚拟私有云 Virtual Private Cloud 中使用亚马逊 SageMaker 地理空间功能](geospatial-notebooks-and-internet-access-vpc-requirements.md)
+ [使用 Amazon SageMaker 地理空间功能的 AWS KMS 权限](geospatial-kms.md)
# SageMaker 地理空间中的配置和漏洞分析
配置和 IT 控制由您(我们的客户)共同 AWS 负责。 AWS 处理基本的安全任务,例如客户机操作系统 (OS) 和数据库修补、防火墙配置和灾难恢复。这些流程已通过相应第三方审核和认证。有关更多详细信息,请参阅以下 资源:
+ [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
+ [Amazon Web Services:安全流程概述](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)。
# SageMaker 地理空间功能的安全最佳实践
Amazon SageMaker 地理空间功能提供了许多安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实操是一般准则,并不代表完整的安全解决方案。这些最佳实操可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。
**采用最低权限原则**
Amazon SageMaker 地理空间功能为使用 IAM 角色的应用程序提供了精细的访问策略。我们建议向角色仅授予任务所需的最低权限集。我们还建议定期审核作业权限,并在应用程序发生任何更改时进行审核。
**基于角色的访问控制 (RBAC) 权限**
管理员应严格控制 Ama SageMaker zon 地理空间功能的基于角色的访问控制 (RBAC) 权限。
**尽可能使用临时凭证**
尽可能使用临时凭证,而不是长期凭证,如访问密钥。对于需要 IAM 用户具有编程访问权限和长期凭证的情况,我们建议您轮换访问密钥。定期轮换长期凭证有助于您熟悉该流程。如果遇到必须轮换凭证的情况,例如员工离开公司时,这将非常有用。我们建议您使用 IAM 访问上次使用的信息来安全地轮换和移除访问密钥。有关更多信息,请参阅[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
**用于 AWS CloudTrail 查看和记录 API 调用**
AWS CloudTrail 跟踪任何在你的 AWS 账户中进行 API 调用的人。每当有人使用亚马逊地理空间功能 API、亚马逊 SageMaker 地理空间功能控制台或亚马逊 SageMaker 地理空间功能 CLI 命令时,就会记录 API AWS 调用。 SageMaker 启用日志记录并指定用于存储日志的 Amazon S3 存储桶。
您的信任、隐私和内容的安全性是我们最重视的问题。我们会实施负责任的、先进的技术和物理控制,以防止对您的内容进行未经授权的访问或披露,并确保我们依照对您的承诺使用您的内容。有关更多信息,请参阅 [AWS 数据隐私 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)。
# 在您的亚马逊虚拟私有云 Virtual Private Cloud 中使用亚马逊 SageMaker 地理空间功能
以下主题提供有关如何在仅限 VPC 模式的 Amazon A SageMaker I 域中使用带有 SageMaker 地理空间图像的 SageMaker 笔记本的信息。有关亚马逊 SageMaker Studio 经典版的更多信息,请参阅[选择亚马逊 VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)。 VPCs
## 与互联网的 `VPC only` 通信
默认情况下, SageMaker AI 域使用两个 Amazon VPC。其中一个亚马逊 VPC 由 Amazon SageMaker AI 管理,可直接访问互联网。您指定的另一个 Amazon VPC 在域和您的 Amazon Elastic File System (Amazon EFS) 卷之间提供加密流量。
您可以更改此行为,以便 SageMaker AI 通过您指定的 Amazon VPC 发送所有流量。如果`VPC only`在创建 AI 域期间被选为网络访问模式,则需要考虑以下要求,以便仍然允许在创建的 SageMaker AI 域中使用 SageMaker Studio Classic 笔记本电脑。 SageMaker
## 使用 `VPC only` 模式的要求
**注意**
要使用 SageMaker 地理空间功能的可视化组件,用于访问 SageMaker Studio Classic UI 的浏览器需要连接到互联网。
当您选择 `VpcOnly` 时,请按照以下步骤操作:
1. 您只能使用私有子网。您不能在 `VpcOnly` 模式下使用公有子网。
1. 确保您的子网具有所需数量的 IP 地址。每个用户预计需要的 IP 地址数量可能因使用案例而异。我们建议每位用户使用 2 到 4 个 IP 地址。Studio Classic 域的 IP 地址总容量是创建域时为每个子网提供的可用 IP 地址的总和。确保您估算的 IP 地址使用量不超过您提供的子网数量所支持的容量。此外,使用分布在多个可用区的子网有助于提高 IP 地址的可用性。有关更多信息,请参阅的 [VPC 和子网大小 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
**注意**
如果实例在共享硬件上运行,您只能配置默认租赁 VPC 的子网。有关租期属性的更多信息 VPCs,请参阅[专用实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)。
1. 使用入站和出站规则设置一个或多个安全组,这些规则共同允许以下流量:
+ 域和 Amazon EFS 卷之间[通过 2049 端口 TCP 传输的 NFS 流量](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)。
+ [安全组内的 TCP 流量](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。这是 JupyterServer 应用程序和应用程序之间连接所必需的 KernelGateway 。必须至少允许访问范围 `8192-65535` 内的端口。
1. 如果要允许互联网访问,则必须使用可访问互联网的 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with),例如通过[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。
1. 如果您不想允许访问互联网,请[创建接口 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink),以允许 Studio Classic 使用相应的服务名称访问以下服务。您还必须将 VPC 的安全组与这些端点关联起来。
**注意**
目前,仅美国西部(俄勒冈)地区支持 SageMaker 地理空间功能。
+ SageMaker API: `com.amazonaws.us-west-2.sagemaker.api`
+ SageMaker AI 运行时:`com.amazonaws.us-west-2.sagemaker.runtime`. 这是运行带有 SageMaker 地理空间图像的 Studio Classic 笔记本电脑所必需的。
+ Amazon S3:`com.amazonaws.us-west-2.s3`。
+ 要使用 SageMaker 项目,请执行以下操作:`com.amazonaws.us-west-2.servicecatalog`。
+ SageMaker 地理空间功能:`com.amazonaws.us-west-2.sagemaker-geospatial`
如果您使用 [SageMaker Python 软件开发工具包](https://sagemaker.readthedocs.io/en/stable/)运行远程训练作业,则还必须创建以下 Amazon VPC 终端节点。
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch: `com.amazonaws.region.logs`。 这是允许 SageMaker Python SDK 从中获取远程训练作业状态所必需的 Amazon CloudWatch。
**注意**
对于在 VPC 模式下工作的客户,公司防火墙可能会导致 SageMaker Studio Classic 或 JupyterServer 与之间的连接出现问题。 KernelGateway如果您在防火墙后面使用 SageMaker Studio Classic 时遇到其中一个问题,请进行以下检查。
检查 Studio Classic URL 是否在您的网络允许列表中。
检查 WebSocket 连接是否被阻止。Jupyter 在后台使用 WebSocket。如果 KernelGateway 应用程序是 InService,则 JupyterServer 可能无法连接到 KernelGateway。打开系统终端时也应该会出现这个问题。
# 使用 Amazon SageMaker 地理空间功能的 AWS KMS 权限
您可以使用 SageMaker 地理空间功能加密来保护静态数据。默认情况下,它使用服务器端加密和 Amazon SageMaker 地理空间拥有的密钥。 SageMaker 地理空间功能还支持使用客户托管的 KMS 密钥进行服务器端加密的选项。
## 使用 Amazon SageMaker 地理空间托管密钥进行服务器端加密(默认)
SageMaker 地理空间功能可加密您的所有数据,包括地球观测任务 (EOJ) 和矢量丰富作业 (VEJ) 的计算结果以及您的所有服务元数据。没有未加密存储在 SageMaker 地理空间功能中的数据。它使用默认 AWS 拥有的密钥来加密您的所有数据。
## 使用客户管理的 KMS 密钥进行服务器端加密(可选)
SageMaker 地理空间功能支持使用由您创建、拥有和管理的对称客户托管密钥,在现有 AWS 自有加密的基础上添加第二层加密。由于您可以完全控制这层加密,因此可以执行以下任务:
+ 制定和维护关键策略
+ 建立和维护 IAM 策略和授权
+ 启用和禁用密钥策略
+ 轮换加密材料
+ 添加 标签
+ 创建密钥别名
+ 安排密钥删除
有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
## SageMaker 地理空间功能如何使用补助金 AWS KMS
SageMaker 地理空间功能需要获得授权才能使用您的客户托管密钥。当您创建使用客户托管密钥加密的 EOJ 或 VEJ 时, SageMaker 地理空间功能会通过向发送请求来代表您创建授权。`CreateGrant` AWS KMS中的授权 AWS KMS 用于授予 SageMaker 地理空间功能访问客户账户中 KMS 密钥的权限。您可以随时撤销授予访问权限,或删除服务对客户托管密钥的访问权限。否则, SageMaker 地理空间功能将无法访问由客户托管密钥加密的任何数据,这会影响依赖该数据的操作。
## 创建客户托管密钥
您可以使用管理控制台创建对称客户托管密钥,或者。 AWS AWS KMS APIs
**创建对称的客户托管密钥**
按照 AWS Key Management Service 开发人员指南中[创建对称加密 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)的步骤进行操作。
**密钥策略**
密钥策略控制对客户自主管理型密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。有关更多信息,请参阅《*AWS Key Management Service 开发人员指南》*中的[确定 AWS KMS 密钥访问权限](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html)。
要将客户托管密钥与 SageMaker 地理空间功能资源一起使用,密钥策略中必须允许以下 API 操作。这些操作的主体应是您在 SageMaker 地理空间功能请求中提供的执行角色。 SageMaker 地理空间功能承担请求中提供的执行角色来执行这些 KMS 操作。
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:GenerateDataKeyWithoutPlaintext`
以下是您可以为 SageMaker 地理空间功能添加的策略声明示例:
**CreateGrant**
```
"Statement" : [
{
"Sid" : "Allow access to Amazon SageMaker geospatial capabilities",
"Effect" : "Allow",
"Principal" : {
"AWS" : ""
},
"Action" : [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource" : "*",
},
]
```
有关在策略中指定权限的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS 权限](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)。有关问题排查的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[密钥访问问题排查](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)。
如果密钥策略没有将账户根用户设置为密钥管理员,则需要在执行角色 ARN 上添加相同的 KMS 权限。以下是您可以添加到执行角色的示例策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/key-id"
],
"Effect": "Allow"
}
]
}
```
------
## 监控您的加密密钥以获取 SageMaker 地理空间功能
当您将 AWS KMS 客户托管密钥与您的 SageMaker 地理空间功能资源结合使用时,您可以使用 AWS CloudTrail 或 Amazon CloudWatch Logs 来跟踪 SageMaker 地理空间发送到的请求。 AWS KMS
选择下表中的一个选项卡,查看用于监控 KMS 操作 AWS CloudTrail 的事件示例,这些操作由 SageMaker 地理空间功能调用,以访问由您的客户托管密钥加密的数据。
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-17T18:02:06Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt"
],
"granteePrincipal": "sagemaker-geospatial.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "sagemaker-geospatial.amazonaws.com"
},
"eventTime": "2023-03-24T00:29:45Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "sagemaker-geospatial.amazonaws.com",
"userAgent": "sagemaker-geospatial.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::axis-earth-observation-job-378778860802/111122223333/napy9eintp64/output/consolidated/32PPR/2022-01-04T09:58:03Z/S2B_32PPR_20220104_0_L2A_msavi.tif"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "sagemaker-geospatial.amazonaws.com"
},
"eventTime": "2023-03-28T22:04:24Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "sagemaker-geospatial.amazonaws.com",
"userAgent": "sagemaker-geospatial.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::axis-earth-observation-job-378778860802/111122223333/napy9eintp64/output/consolidated/32PPR/2022-01-04T09:58:03Z/S2B_32PPR_20220104_0_L2A_msavi.tif"
},
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SageMaker-Geospatial-StartEOJ-KMSAccess",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole/SageMaker-Geospatial-StartEOJ-KMSAccess",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMakerGeospatialCustomerRole",
"accountId": "111122223333",
"userName": "SageMakerGeospatialCustomerRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-03-17T18:02:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "arn:aws:iam::111122223333:root"
},
"eventTime": "2023-03-28T22:09:16Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------