本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 加密 SageMaker Canvas 資料 AWS KMS
使用 Amazon SageMaker Canvas 時,您可能會擁有想要加密的資料,例如您的私人公司資訊或客戶資料。SageMaker Canvas AWS Key Management Service 用來保護您的資料。 AWS KMS 是一項服務,可用來建立和管理加密資料的密碼編譯金鑰。如需 的詳細資訊 AWS KMS,請參閱《 *AWS KMS 開發人員指南*》[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)中的 。
Amazon SageMaker Canvas 為您提供數個加密資料的選項。SageMaker Canvas 會在應用程式內為建立模型和產生深入解析等工作提供預設加密。您也可以選擇加密 Amazon S3 中存放的資料,以保護靜態資料。SageMaker Canvas 支援匯入加密的資料集,因此您可以建立加密的工作流程。下列各節說明如何使用 AWS KMS 加密來保護資料,同時使用 SageMaker Canvas 建置模型。
## 在 Canvas 中加密您的資料
使用 SageMaker Canvas,您可以使用兩個不同的 AWS KMS 加密金鑰來加密 SageMaker Canvas 中的資料,您可以在使用標準[網域設定設定網域](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)時指定。這些金鑰是在下列網域設定步驟中指定:
+ **步驟 3:設定應用程式 - (選用)** - 設定 **Canvas 儲存組態**區段時,您可以指定**加密金鑰**。這是 SageMaker Canvas 用於長期儲存模型物件和資料集的 KMS 金鑰,這些物件和資料集存放在為您網域提供的 Amazon S3 儲存貯體中。如果使用 [CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html) API 建立 Canvas 應用程式,請使用 `S3KMSKeyId` 欄位來指定此金鑰。
+ **步驟 6:設定儲存體** - SageMaker Canvas 使用一個金鑰來加密為 Canvas 應用程式建立的 Amazon SageMaker Studio 私有空間,其中包括臨時應用程式儲存體、視覺化和運算任務 (例如建置模型)。您可以使用預設 AWS 受管金鑰或指定自己的金鑰。如果您指定 AWS KMS 金鑰,儲存在 `/home/sagemaker-user`目錄中的資料會使用金鑰加密。如果您未指定 AWS KMS 金鑰,內部的資料`/home/sagemaker-user`會使用 AWS 受管金鑰加密。無論您是否指定 AWS KMS 金鑰,工作目錄外的所有資料都會使用 AWS 受管金鑰加密。若要進一步了解 Studio 空間和 Canvas 應用程式儲存體,請參閱[將 SageMaker Canvas 應用程式資料存放在您自己的 SageMaker AI 空間](canvas-spaces-setup.md)。如果使用 [CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html) API 建立 Canvas 應用程式,請使用 `KmsKeyID` 欄位來指定此金鑰。
上述金鑰可以是相同或不同的 KMS 金鑰。
### 先決條件
若要將自己的 KMS 金鑰用於上述任一目的,您必須先授予使用者的 IAM 角色許可才能使用金鑰。然後,您可以在設定網域時指定 KMS 金鑰。
授予角色使用金鑰的最簡單方法是修改金鑰政策。使用以下處理程序為您的角色授予必要的許可。
1. 開啟 [AWS KMS 主控台](https://console.aws.amazon.com/kms/)。
1. 在**金鑰政策**區段中,選擇**切換為政策檢視**。
1. 修改金鑰政策,授予 IAM 角色 `kms:GenerateDataKey` 和 `kms:Decrypt` 動作的許可。此外,如果您要修改加密 Studio 空間中 Canvas 應用程式儲存體的金鑰政策,請授予 `kms:CreateGrant` 動作。您可以新增類似以下的陳述式:
```
{
"Sid": "ExampleStmt",
"Action": [
"kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Resource": "*"
}
```
1. 選擇**儲存變更**。
較不偏好的方法是修改使用者的 IAM 角色,以授予使用者使用或管理 KMS 金鑰的許可。如果您使用此方法,KMS 金鑰政策也必須允許透過 IAM 進行存取管理。若要了解如何透過使用者的 IAM 角色授予 KMS 金鑰的許可,請參閱 *AWS KMS 開發人員指南*中的 [IAM 政策陳述式中指定 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。
### 在 Canvas 應用程式中 SageMaker 密您的資料
您可以在 SageMaker Canvas 中使用的第一個 KMS 金鑰用於加密存放在 Amazon Elastic Block Store (Amazon EBS) 磁碟區,以及 SageMaker AI 在您網域中建立的 Amazon Elastic File System 中存放的應用程式資料。SageMaker Canvas 在使用計算執行個體建立模型和產生深入解析時所建立的基礎應用程式和臨時儲存系統中,使用此金鑰加密您的資料。每次 SageMaker Canvas 啟動任務以處理您的資料時,SageMaker Canvas 都會將金鑰傳遞給 AWS 其他服務,例如 Autopilot。
您可以指定此金鑰,方法是在 `CreateDomain` API 呼叫中或是在主控台中執行標準網域設定時設定 `KmsKeyID`。如果您未指定自己的 KMS 金鑰,SageMaker AI 會使用預設的 AWS 受管 KMS 金鑰來加密 SageMaker Canvas 應用程式中的資料。
若要透過主控台指定您自己的 KMS 金鑰,以便在 SageMaker Canvas 應用程式中使用,請先使用**標準設定**設定您的 Amazon SageMaker AI 網域。請使用下列程序,完成網域的**網路和儲存區段**。
1. 填寫您想要的 Amazon VPC 設定。
1. 對於**加密金鑰**,請選擇**輸入 KMS 金鑰 ARN**。
1. 針對 **KMS ARN**,請輸入 KMS 金鑰的 ARN,其格式應類似下列:`arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
### 加密儲存在 Amazon S3 中的 SageMaker Canvas 資料
您可以指定的第二個 KMS 金鑰會用於 SageMaker Canvas 存放到 Amazon S3 的資料。此 KMS 金鑰是在 `CreateDomain` API 呼叫的 `S3KMSKeyId` 欄位中指定,或在 SageMaker AI 主控台中執行標準網域設定時指定。SageMaker Canvas 會儲存重複的輸入資料集、應用程式和模型資料,並將資料輸出至您帳戶的區域預設 SageMaker S3 AI 儲存貯體。此儲存貯體的命名模式為 `s3://sagemaker-{Region}-{your-account-id}`,而 SageMaker Canvas 會將資料儲存在 `Canvas/` 資料夾中。
1. 開啟**啟用筆記本資源共用**。
1. 對於**可共用筆記本資源的 S3 位置**,請保留預設的 Amazon S3 路徑。請注意,SageMaker Canvas 不會使用此 Amazon S3 路徑;此 Amazon S3 路徑用於 Studio Classic 筆記本。
1. 對於**加密金鑰**,請選擇**輸入 KMS 金鑰 ARN**。
1. 針對 **KMS ARN**,請輸入 KMS 金鑰的 ARN,其格式應類似下列:`arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
## 從 Amazon S3 匯入加密資料集
您的使用者可能擁有已使用 KMS 金鑰加密的資料集。雖然上一節說明如何加密 SageMaker Canvas 中的資料和存放至 Amazon S3 的資料,但如果您要從已加密的 Amazon S3 匯入資料,則必須授予使用者的 IAM 角色額外許可 AWS KMS。
若要授予使用者從 Amazon S3 將加密資料集匯入 SageMaker Canvas 的許可,請將下列許可新增至您用於使用者設定檔的 IAM 執行角色。
```
"kms:Decrypt",
"kms:GenerateDataKey"
```
如需有關如何編輯管理許可的相關資訊,請參閱 *IAM 使用者指南*中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。如需 KMS 金鑰的詳細資訊,請參閱 *AWS KMS 開發人員指南*中的 [AWS Key Management Service的金鑰政策](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html)。
## FAQs
如需有關 SageMaker Canvas AWS KMS 支援的常見問題解答,請參閱下列常見問題集項目。
### 問:SageMaker Canvas 會保留我的 KMS 金鑰?
答:否。SageMaker Canvas 可能會暫時快取您的金鑰或將其傳遞給其他服務 AWS (例如 Autopilot),但 SageMaker Canvas 不會保留您的 KMS 金鑰。
### 問:我在設定網域時指定了 KMS 金鑰。為什麼我的資料集無法在 SageMaker Canvas 中匯入?
答:您的使用者的 IAM 角色可能沒有使用該 KMS 金鑰的許可。若要授予您的使用者許可,請參閱[先決條件](#canvas-kms-app-data-prereqs)。另一個可能的錯誤是 Amazon S3 儲存貯體上有儲存貯體政策,需要使用與您在網域中指定的 KMS 金鑰不符的特定 KMS 金鑰。請務必為 Amazon S3 儲存貯體和網域指定相同的 KMS 金鑰。
### 問:如何為我的帳戶尋找該區域的預設 SageMaker AI Amazon S3 儲存貯體?
答:預設的 Amazon S3 儲存貯體遵循命名模式 `s3://sagemaker-{Region}-{your-account-id}`。此儲存貯體中的 `Canvas/` 資料夾會儲存您的 SageMaker Canvas 應用程式資料。
### 問:是否可以變更用於存放 SageMaker Canvas 資料的預設 SageMaker AI Amazon S3 儲存貯體?
答:否,SageMaker AI 會為您建立此儲存貯體。
### 問:SageMaker Canvas 在預設的 SageMaker AI Amazon S3 儲存貯體中存放什麼?
答:SageMaker Canvas 使用預設的 SageMaker AI Amazon S3 儲存貯體來存放輸入資料集、模型成品和模型輸出的重複項目。
### 問:搭配 SageMaker Canvas 使用 KMS 金鑰時,支援哪些使用案例?
答:使用 SageMaker Canvas,您可以將自己的加密金鑰與 搭配使用 AWS KMS ,以建置迴歸、二進位和多類別分類、時間序列預測模型,以及使用模型進行批次推論。