本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon SageMaker 合作夥伴 AI 應用程式的 AWS KMS 許可
您可以使用 Amazon SageMaker 合作夥伴 AI 應用程式的加密保護靜態資料。根據預設,它會使用伺服器端加密搭配 SageMaker 擁有的金鑰。SageMaker 也支援使用客戶受管 KMS 金鑰進行伺服器端加密的選項。
## 使用 SageMaker 受管金鑰進行伺服器端加密 (預設)
根據預設,合作夥伴 AI 應用程式會使用 AWS 受管金鑰來加密所有靜態資料。
## 使用客戶受管 KMS 金鑰進行伺服器端加密 (選用)
合作夥伴 AI 應用程式支援使用您建立、擁有和管理的對稱客戶受管金鑰,以取代現有的 AWS 擁有加密。您可以完全控制此層加密,因此能執行以下任務:
+ 建立和維護金鑰政策
+ 建立和維護 IAM 政策和授予操作
+ 啟用和停用金鑰政策
+ 輪換金鑰密碼編譯資料
+ 新增 標籤
+ 建立金鑰別名
+ 安排金鑰供刪除
如需更多資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
## 合作夥伴 AI 應用程式如何在 中使用授予 AWS KMS
合作夥伴 AI 應用程式需要授予,才能使用您的客戶受管金鑰。當您建立使用客戶受管金鑰加密的應用程式時,合作夥伴 AI 應用程式會透過傳送 CreateGrant 請求至 來代表您建立授予 AWS KMS。中的授予 AWS KMS 用於授予合作夥伴 AI 應用程式存取客戶帳戶中 KMS 金鑰的權限。
您可以隨時撤銷授予的存取權,或移除服務對客戶受管金鑰的存取權。如果您這麼做,合作夥伴 AI 應用程式將無法存取由客戶受管金鑰加密的任何資料,這會影響與該資料相依的操作。應用程式將無法正常運作,且將變得無法復原。
## 建立客戶自管金鑰
您可以使用 AWS 管理主控台 或 AWS KMS APIs 來建立對稱客戶受管金鑰。
**建立對稱客戶受管金鑰**
遵循《AWS Key Management Service 開發人員指南》**中[建立對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)的步驟。
**金鑰政策**
金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需更多資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[決定對 AWS KMS 金鑰的存取權](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html)。
若要使用您的客戶受管金鑰搭配您的合作夥伴 AI 應用程式資源,必須在金鑰政策中允許下列 API 操作。這些操作的主體人取決於角色是否用來建立還是使用應用程式。
+ 建立應用程式:
+ `[kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ 使用應用程式:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
以下是您可以根據角色是管理員還是使用者,為合作夥伴 AI 應用程式新增的政策聲明範例。如需有關在政策中指定許可的更多相關資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[AWS KMS 許可](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html)。如需有關故障診斷的更多相關資訊,請參閱 *AWS Key Management Service 開發人員指南*中的[對金鑰存取進行故障診斷](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html)。
**管理員**
下列政策聲明用於建立合作夥伴 AI 應用程式的管理員。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "example-key-policy",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/{{}}"
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "sagemaker.{{us-east-1}}.amazonaws.com"
}
}
}
]
}
```
------
**使用者**
下列政策聲明適用於合作夥伴 AI 應用程式的使用者。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"example-key-policy",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::{{111122223333}}:role/{{user-role}}"
},
"Action":[
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"kms:ViaService":"sagemaker.{{us-east-1}}.amazonaws.com"
}
}
}
]
}
```
------