Amazon Comprehend 中的 KMS 加密

Amazon Comprehend 可與 AWS Key Management Service (AWS KMS) 搭配使用，為您的資料提供增強加密。Amazon S3 已讓您在建立文字分析、主題建模或自訂 Amazon Comprehend 任務時加密輸入文件。與 整合 AWS KMS 可讓您加密 Start* 和 Create* 任務儲存磁碟區中的資料，並使用您自己的 KMS 金鑰來加密 Start* 任務的輸出結果。

對於 AWS 管理主控台，Amazon Comprehend 會使用自己的 KMS 金鑰來加密自訂模型。對於 AWS CLI，Amazon Comprehend 可以使用自己的 KMS 金鑰或提供的客戶受管金鑰 (CMK) 來加密自訂模型。

使用 的 KMS 加密 AWS 管理主控台

使用 主控台時，有兩個加密選項可用：

如果您先前已在 S3 輸入文件上使用 SSE-KMS 設定加密，這可以為您提供額外的安全性。不過，如果您這樣做，所使用的 IAM 角色必須具有用於加密輸入文件之 KMS 金鑰的kms:Decrypt許可。如需詳細資訊，請參閱使用 KMS 加密所需的許可。

使用 API 操作進行 KMS 加密

所有 Amazon Comprehend Start*和 Create* API 操作都支援 KMS 加密輸入文件。OutputDataConfig如果原始任務已KmsKeyId提供 做為輸入，則 Describe*和 List* API 操作會傳回 KmsKeyId 。如果未提供做為輸入，則不會傳回。

這可在下列使用 StartEntitiesDetectionJob 操作的 AWS CLI 範例中看到：

aws comprehend start-entities-detection-job \
     --region region \
     --data-access-role-arn "data access role arn" \    
     --entity-recognizer-arn "entity recognizer arn" \
     --input-data-config "S3Uri=s3://Bucket Name/Bucket Path" \    
     --job-name job name \
     --language-code en \
     --output-data-config "KmsKeyId=Output S3 KMS key ID" "S3Uri=s3://Bucket Name/Bucket Path/" \
     --volumekmskeyid "Volume KMS key ID" 

客戶受管金鑰 (CMK) 加密搭配 API 操作

Amazon Comprehend 自訂模型 API 操作 CreateEntityRecognizer、 CreateDocumentClassifier和 支援透過 使用客戶受管金鑰進行CreateEndpoint加密 AWS CLI。

您需要 IAM 政策，以允許委託人使用或管理客戶受管金鑰。這些金鑰是在政策陳述式的 Resource元素中指定。最佳實務是，將客戶受管金鑰限制為只有委託人必須在政策陳述式中使用的金鑰。

下列 AWS CLI 範例使用 CreateEntityRecognizer 操作建立具有模型加密的自訂實體識別器：

aws comprehend create-entity-recognizer \
     --recognizer-name name \
     --data-access-role-arn data access role arn \    
     --language-code en \
     --model-kms-key-id Model KMS Key ID \ 
     --input-data-config file:///path/input-data-config.json