Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrez vos données SageMaker Canvas avec AWS KMS
Vous souhaitez peut-être chiffrer certaines données lorsque vous utilisez Amazon SageMaker Canvas, telles que les informations de votre entreprise privée ou les données de vos clients. SageMaker Canvas les utilise AWS Key Management Service pour protéger vos données. AWS KMS est un service que vous pouvez utiliser pour créer et gérer des clés cryptographiques afin de chiffrer vos données. Pour plus d'informations AWS KMS, consultez [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)le *guide du AWS KMS développeur*.
Amazon SageMaker Canvas vous propose plusieurs options pour chiffrer vos données. SageMaker Canvas fournit un chiffrement par défaut au sein de l'application pour des tâches telles que la création de votre modèle et la génération d'informations. Vous pouvez également choisir de chiffrer les données stockées dans Amazon S3 pour protéger vos données au repos. SageMaker Canvas prend en charge l'importation de jeux de données chiffrés afin que vous puissiez établir un flux de travail chiffré. Les sections suivantes décrivent comment utiliser le AWS KMS chiffrement pour protéger vos données lors de la création de modèles avec SageMaker Canvas.
## Chiffrez vos données dans Canvas SageMaker
Avec SageMaker Canvas, vous pouvez utiliser deux clés de AWS KMS chiffrement différentes pour chiffrer vos données dans SageMaker Canvas, que vous pouvez spécifier lors de la [configuration de votre domaine à](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html) l'aide de la configuration de domaine standard. Ces clés sont spécifiées dans les étapes de configuration de domaine suivantes :
+ **Étape 3 : Configuration des applications – (Facultatif)** : lors de la configuration de la section **Configuration du stockage Canvas**, vous pouvez spécifier une **clé de chiffrement**. Il s'agit d'une clé KMS que SageMaker Canvas utilise pour le stockage à long terme des objets du modèle et des ensembles de données, qui sont stockés dans le compartiment Amazon S3 fourni pour votre domaine. Si vous créez une application Canvas avec l'[CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)API, utilisez le `S3KMSKeyId` champ pour spécifier cette clé.
+ **Étape 6 : Configuration du stockage** — SageMaker Canvas utilise une clé pour chiffrer l'espace privé Amazon SageMaker Studio créé pour votre application Canvas, qui inclut le stockage temporaire des applications, les visualisations et les tâches de calcul (telles que la création de modèles). Vous pouvez utiliser la clé AWS gérée par défaut ou spécifier la vôtre. Si vous spécifiez votre AWS KMS clé, les données stockées dans le `/home/sagemaker-user` répertoire sont cryptées avec votre clé. Si vous ne spécifiez aucune AWS KMS clé, les données qu'elles contiennent `/home/sagemaker-user` sont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée. Pour en savoir plus sur l’espace Studio et le stockage de votre application Canvas, consultez [Stockez les données de l'application SageMaker Canvas dans votre propre espace d' SageMaker IA](canvas-spaces-setup.md). Si vous créez une application Canvas avec l'[CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)API, utilisez le `KmsKeyID` champ pour spécifier cette clé.
Les clés précédentes peuvent être des clés KMS identiques ou différentes.
### Conditions préalables
Pour utiliser votre propre clé KMS à l'une des fins décrites précédemment, vous devez d'abord autoriser le rôle IAM de votre utilisateur à utiliser la clé. Vous pouvez ensuite spécifier la clé KMS lors de la configuration de votre domaine.
Le moyen le plus simple de donner à votre rôle l'autorisation d'utiliser la clé est de modifier la politique de clé. Utilisez la procédure suivante pour accorder à votre rôle les autorisations nécessaires.
1. Ouvrez la [console AWS KMS](https://console.aws.amazon.com/kms/).
1. Dans la section **Politique de clé**, choisissez **Passer à la vue de la politique**.
1. Modifiez la politique de la clé afin d’accorder des autorisations pour les actions `kms:GenerateDataKey` et `kms:Decrypt` au rôle IAM. De plus, si vous modifiez la stratégie de clé qui chiffre le stockage de votre application Canvas dans l’espace Studio, accordez l’action `kms:CreateGrant`. Vous pouvez ajouter une instruction similaire à ce qui suit :
```
{
"Sid": "ExampleStmt",
"Action": [
"kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Resource": "*"
}
```
1. Sélectionnez **Enregistrer les modifications**.
La méthode la moins recommandée consiste à modifier le rôle IAM de l'utilisateur afin de lui donner les autorisations nécessaires pour utiliser ou gérer la clé KMS. Si vous utilisez cette méthode, la politique de clé KMS doit également autoriser la gestion des accès via IAM. Pour savoir comment autoriser une clé KMS via le rôle IAM de l’utilisateur, consultez [Spécification de clés KMS dans les instructions de politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) dans le *Guide du développeur AWS KMS *.
### Chiffrez vos données dans l'application SageMaker Canvas
La première clé KMS que vous pouvez utiliser dans SageMaker Canvas est utilisée pour chiffrer les données d'application stockées sur les volumes Amazon Elastic Block Store (Amazon EBS) et dans l'Amazon Elastic File System créé par l' SageMaker IA dans votre domaine. SageMaker Canvas chiffre vos données avec cette clé dans l'application sous-jacente et les systèmes de stockage temporaires créés lors de l'utilisation d'instances de calcul pour créer des modèles et générer des informations. SageMaker Canvas transmet la clé à d'autres AWS services, tels que Autopilot, chaque fois que SageMaker Canvas lance des tâches avec eux pour traiter vos données.
Vous pouvez spécifier cette clé en définissant le paramètre `KmsKeyID` dans l’appel d’API `CreateDomain` ou lors de la configuration standard du domaine dans la console. Si vous ne spécifiez pas votre propre clé KMS, SageMaker AI utilise une clé KMS AWS gérée par défaut pour chiffrer vos données dans l'application SageMaker Canvas.
Pour spécifier votre propre clé KMS à utiliser dans l'application SageMaker Canvas via la console, configurez d'abord votre domaine Amazon SageMaker AI à l'aide de la **configuration standard**. Utilisez la procédure suivante pour compléter la **Section réseau et stockage** pour le domaine.
1. Remplissez les paramètres Amazon VPC souhaités.
1. Pour la **Clé de chiffrement**, choisissez **Saisissez l'ARN de la clé KMS**.
1. Pour l'**ARN de KMS**, saisissez l'ARN de votre clé KMS, dont le format doit être similaire à ce qui suit : `arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
### Chiffrez vos données SageMaker Canvas enregistrées dans Amazon S3
La deuxième clé KMS que vous pouvez spécifier est utilisée pour les données que SageMaker Canvas stocke sur Amazon S3. Cette clé KMS est spécifiée dans le `S3KMSKeyId` champ de l'appel d'`CreateDomain`API ou lors de la configuration de domaine standard dans la console SageMaker AI. SageMaker Canvas enregistre des doublons de vos ensembles de données d'entrée, des données d'application et de modèle, ainsi que des données de sortie dans le compartiment SageMaker AI S3 par défaut de la région pour votre compte. Le modèle de dénomination de ce compartiment est`s3://sagemaker-{Region}-{your-account-id}`, et SageMaker Canvas stocke les données dans le `Canvas/` dossier.
1. Activez **Activer le partage des ressources des ordinateurs**.
1. Pour l’**Emplacement S3 pour les ressources d’ordinateurs portables partageables**, conservez le chemin d’accès Amazon S3 par défaut. Notez que SageMaker Canvas n'utilise pas ce chemin Amazon S3 ; ce chemin Amazon S3 est utilisé pour les blocs-notes Studio Classic.
1. Pour la **Clé de chiffrement**, choisissez **Saisissez l’ARN de la clé KMS**.
1. Pour l'**ARN de KMS**, saisissez l'ARN de votre clé KMS, dont le format doit être similaire à ce qui suit : `arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd`
## Importer des jeux de données chiffrés d'Amazon S3
Vos utilisateurs peuvent avoir des jeux de données chiffrés avec une clé KMS. La section précédente explique comment chiffrer les données dans SageMaker Canvas et les données stockées dans Amazon S3, mais vous devez accorder des autorisations supplémentaires au rôle IAM de votre utilisateur si vous souhaitez importer des données depuis Amazon S3 déjà chiffrées avec. AWS KMS
Pour accorder à votre utilisateur l'autorisation d'importer des ensembles de données chiffrés depuis Amazon S3 dans SageMaker Canvas, ajoutez les autorisations suivantes au rôle d'exécution IAM que vous avez utilisé pour le profil utilisateur.
```
"kms:Decrypt",
"kms:GenerateDataKey"
```
Pour savoir comment modifier les autorisations IAM pour un rôle, consulter [Ajout et suppression d’autorisations basées sur l’identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide d’utilisateur IAM*. Pour plus d’informations sur les clés KMS, consultez [Politiques de clé dans AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html) du *Guide du développeur AWS KMS *.
## FAQs
Consultez les éléments de FAQ suivants pour obtenir des réponses aux questions fréquemment posées sur le AWS KMS support SageMaker Canvas.
### Q : Est-ce que SageMaker Canvas conserve ma clé KMS ?
R : Non SageMaker Canvas peut temporairement mettre en cache votre clé ou la transmettre à d'autres AWS services (tels que le pilote automatique), mais SageMaker Canvas ne conserve pas votre clé KMS.
### Q : J’ai spécifié une clé KMS lors de la configuration de mon domaine. Pourquoi mon jeu de données n'a-t-il pas pu être importé dans SageMaker Canvas ?
R : Le rôle IAM de votre utilisateur n’est peut-être pas autorisé à utiliser cette clé KMS. Pour accorder des autorisations à vos utilisateurs, consultez les [Conditions préalables](#canvas-kms-app-data-prereqs). Une autre erreur possible est que vous ayez une stratégie de compartiment sur votre compartiment Amazon S3 qui nécessite l’utilisation d’une clé KMS spécifique qui ne correspond pas à la clé KMS que vous avez spécifiée dans votre domaine. Assurez-vous de spécifier la même clé KMS pour votre compartiment Amazon S3 et votre domaine.
### Q : Comment puis-je trouver le bucket SageMaker AI Amazon S3 par défaut de la région pour mon compte ?
R : Le compartiment Amazon S3 par défaut suit le modèle de dénomination `s3://sagemaker-{Region}-{your-account-id}`. Le `Canvas/` dossier de ce compartiment stocke les données de votre application SageMaker Canvas.
### Q : Puis-je modifier le compartiment SageMaker AI Amazon S3 par défaut utilisé pour stocker les données SageMaker Canvas ?
R : Non, SageMaker l'IA crée ce compartiment pour vous.
### Q : Que stocke SageMaker Canvas dans le compartiment SageMaker AI Amazon S3 par défaut ?
R : SageMaker Canvas utilise le compartiment SageMaker AI Amazon S3 par défaut pour stocker des doublons de vos ensembles de données d'entrée, des artefacts de modèle et des sorties de modèles.
### Q : Quels sont les cas d'utilisation pris en charge pour l'utilisation des clés KMS avec SageMaker Canvas ?
R : Avec SageMaker Canvas, vous pouvez utiliser vos propres clés de chiffrement AWS KMS pour créer des modèles de régression, de classification binaire et multiclasse, de prévision de séries chronologiques, ainsi que pour l'inférence par lots avec votre modèle.