翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# で SageMaker Canvas データを暗号化する AWS KMS
<a name="canvas-kms"></a>

Amazon SageMaker Canvas を使用する際、会社の個人情報や顧客データなどを暗号化する場合があります。SageMaker Canvas は AWS Key Management Service 、 を使用してデータを保護します。 AWS KMS は、データを暗号化するための暗号化キーを作成および管理するために使用できるサービスです。詳細については AWS KMS、「 *AWS KMS デベロッパーガイド*[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」の「」を参照してください。

Amazon SageMaker Canvas は、データを暗号化するための複数のオプションを備えています。SageMaker Canvas は、モデルの構築やインサイトの生成などのタスクをアプリケーション内でデフォルトで暗号化します。Amazon S3 に保存されているデータを暗号化して、保管中のデータを保護することもできます。SageMaker Canvas は暗号化されたデータセットのインポートをサポートしているため、暗号化されたワークフローを確立できます。以下のセクションでは、 AWS KMS 暗号化を使用して SageMaker Canvas でモデルを構築しながらデータを保護する方法について説明します。

## SageMaker Canvas のデータを暗号化する
<a name="canvas-kms-app-data"></a>

SageMaker Canvas では、2 つの異なる AWS KMS 暗号化キーを使用して SageMaker Canvas でデータを暗号化できます。この暗号化キーは、標準[ドメイン設定](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)を使用してドメインを設定するときに指定できます。これらのキーは、次のドメイン設定手順で指定します。
+ **ステップ 3: アプリケーションを設定する - (オプション)** – **[Canvas ストレージの設定]** セクションを設定するときは、**暗号化キー**を指定できます。これは、SageMaker Canvas がモデルオブジェクトとデータセットの長期保存に使用する KMS キーで、ドメイン用に提供された Amazon S3 バケットに保存されます。[CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html) API を使用して Canvas アプリケーションを作成する場合は、`S3KMSKeyId`フィールドを使用してこのキーを指定します。
+ **ステップ 6: ストレージを設定する** – SageMaker Canvas は、一時的なアプリケーションストレージ、視覚化、コンピューティングジョブ (モデルの構築など) を含む、Canvas アプリケーション用に作成された Amazon SageMaker Studio プライベートスペースを暗号化するために 1 つのキーを使用します。デフォルトの AWS マネージドキーを使用するか、独自のマネージドキーを指定できます。 AWS KMS キーを指定すると、`/home/sagemaker-user`ディレクトリに保存されているデータはキーで暗号化されます。 AWS KMS キーを指定しない場合、 内のデータは AWS マネージドキーで暗号化`/home/sagemaker-user`されます。 AWS KMS キーを指定するかどうかにかかわらず、作業ディレクトリ外のすべてのデータは AWS マネージドキーで暗号化されます。Studio スペースと Canvas アプリケーションストレージの詳細については、「[SageMaker Canvas アプリケーションデータを独自の SageMaker AI スペースに保存する](canvas-spaces-setup.md)」を参照してください。[CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html) API を使用して Canvas アプリケーションを作成する場合は、`KmsKeyID`フィールドを使用してこのキーを指定します。

上記のキーは、同じ KMS キーにすることも、異なる KMS キーにすることもできます。

### 前提条件
<a name="canvas-kms-app-data-prereqs"></a>

上記いずれかの目的で独自の KMS キーを使用するには、まずユーザーの IAM ロールにキーを使用する権限を付与する必要があります。その後、ドメインの設定時に KMS キーを指定できます。

キーを使用する権限をロールに付与する最も簡単な方法は、キーポリシーを変更することです。必要な権限をロールに付与するには、次の手順に従います。

1. [AWS KMS コンソール](https://console.aws.amazon.com/kms/)を開きます。

1. [**Key Policy (キーポリシー)**] セクションで、[**Switch to policy view (ポリシービューへの切り替え)**] を選択します。

1. キーのポリシーを変更して、IAM ロールに `kms:GenerateDataKey` および `kms:Decrypt` アクションの権限を付与します。さらに、Studio スペースで Canvas アプリケーションストレージを暗号化するキーポリシーを変更する場合は、`kms:CreateGrant` アクションを付与します。次のようなステートメントを追加できます。

   ```
   {
     "Sid": "ExampleStmt",
     "Action": [
       "kms:CreateGrant", #this permission is only required for the key that encrypts your SageMaker Canvas application storage
       "kms:Decrypt",
       "kms:GenerateDataKey"
     ],
     "Effect": "Allow",
     "Principal": {
       "AWS": "{{<arn:aws:iam::111122223333:role/Jane>}}"
     },
     "Resource": "*"
   }
   ```

1. **[Save changes]** (変更の保存) をクリックします。

ユーザーの IAM ロールを変更して KMS キーを使用または管理する権限をユーザーに付与することもできますが、この方法はあまり推奨されません。この方法を使用する場合は、KMS キーポリシーで IAM によるアクセス管理も許可する必要があります。ユーザーの IAM ロールを通じて KMS キーに権限を付与する方法については、「*AWS KMS Developer Guide*」の「[Specifying KMS keys in IAM policy statements](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)」を参照してください。

### SageMaker Canvas アプリケーションのデータを暗号化する
<a name="canvas-kms-app-data-app"></a>

SageMaker Canvas で使用できる 1 つ目の KMS キーは、Amazon Elastic Block Store (Amazon EBS) ボリュームと、SageMaker AI がドメインに作成する Amazon Elastic File System に保存されているアプリケーションデータを暗号化するために使用します。SageMaker Canvas は、コンピューティングインスタンスを使用してモデルを構築し、インサイトを生成する際に作成される基盤となるアプリケーションおよび一時ストレージシステム内のデータをこのキーを使用して暗号化します。SageMaker Canvas は、SageMaker Canvas がデータを処理するためにジョブを開始するたびに、Autopilot などの他の AWS サービスにキーを渡します。

このキーは `CreateDomain` API コールの `KmsKeyID` で設定するか、コンソールで標準ドメイン設定を行うときに指定できます。独自の KMS キーを指定しない場合、SageMaker AI はデフォルトの AWS マネージド KMS キーを使用して SageMaker Canvas アプリケーションのデータを暗号化します。

コンソールから SageMaker Canvas アプリケーションで使用する独自の KMS キーを指定するには、まず**標準セットアップ**を使用して Amazon SageMaker AI ドメインを設定します。次の手順に従って、ドメインの**[ネットワークとストレージのセクション]** を設定します。

1. 使用する Amazon VPC 設定を入力します。

1. **[暗号化キー]** で、**[KMS キー ARN を入力]** を選択します。

1. **[KMS ARN]** に、`arn:aws:kms:example-region-1:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd` のような形式で KMS キーの ARN を入力します。

### Amazon S3 に保存された SageMaker Canvas データを暗号化する
<a name="canvas-kms-app-data-s3"></a>

指定できる 2 つ目の KMS キーは、SageMaker Canvas が Amazon S3 に保存するデータに使用されます。この KMS キーは、`CreateDomain` API コールの `S3KMSKeyId` フィールドで設定するか、SageMaker AI コンソールで標準ドメインを設定するときに指定できます。SageMaker Canvas は、入力データセット、アプリケーションデータ、モデルデータ、および出力データの複製を、アカウントのリージョンのデフォルトの SageMaker AI の S3 バケットに保存します。このバケットの命名パターンは `s3://sagemaker-{{{Region}}}-{{{your-account-id}}}` で、SageMaker Canvas はデータを `Canvas/` フォルダに保存します。





1. **[ノートブックリソース共有の有効化]** を有効にします。

1. **[共有可能なノートブックリソースの S3 ロケーション]** は、デフォルトの Amazon S3 パスのままにします。SageMaker Canvas はこの Amazon S3 パスを使用しないことに注意してください。この Amazon S3 パスは Studio Classic ノートブックに使用されます。

1. **[暗号化キー]** で、**[KMS キー ARN を入力]** を選択します。

1. **[KMS ARN]** に、`arn:aws:kms:us-east-1:111122223333:key/111aa2bb-333c-4d44-5555-a111bb2c33dd` のような形式で KMS キーの ARN を入力します。

## Amazon S3 から暗号化されたデータセットをインポートする
<a name="canvas-kms-datasets"></a>

ユーザーには、KMS キーで暗号化されたデータセットがある場合があります。前のセクションでは、SageMaker Canvas のデータと Amazon S3 に保存されているデータを暗号化する方法を示していますが、既に暗号化されている Amazon S3 からデータをインポートする場合は、ユーザーの IAM ロールに追加のアクセス許可を付与する必要があります AWS KMS。

暗号化されたデータセットを Amazon S3 から SageMaker Canvas にインポートする権限をユーザーに付与するには、ユーザープロファイルに使用した IAM 実行ロールに次の権限を追加します。

```
      "kms:Decrypt",
      "kms:GenerateDataKey"
```

ロールの IAM 権限の編集方法については、「IAM ユーザーガイド」の「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。**KMS キーの詳細については、「*AWS KMS Developer Guide*」の「[Key policies in AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/key-policies.html)」を参照してください。

## よくある質問
<a name="canvas-kms-faqs"></a>

SageMaker Canvas の AWS KMS サポートについてのよくある質問と回答を以下に示します。

### Q: SageMaker Canvas では KMS キーは保持されますか?
<a name="canvas-kms-faqs-1"></a>

A: いいえ。SageMaker Canvas は一時的にキーをキャッシュしたり、他の AWS サービス (Autopilot など) に渡したりすることがありますが、SageMaker Canvas は KMS キーを保持しません。

### Q: ドメインの設定時に KMS キーを指定しました。データセットが SageMaker Canvas にインポートされなかったのはなぜですか?
<a name="canvas-kms-faqs-2"></a>

A: ユーザーの IAM ロールには、その KMS キーを使用する権限がない可能性があります。ユーザーに権限を付与する方法については、「[前提条件](#canvas-kms-app-data-prereqs)」を参照してください。またこのエラーは、ドメインで指定した KMS キーと一致しない特定の KMS キーの使用を要求する Amazon S3 バケット上のバケットポリシーによっても発生します。Amazon S3 バケットとドメインに同じ KMS キーを指定してください。

### Q: 自分自身のアカウントのリージョンのデフォルト SageMaker AI Amazon S3 バケットを確認するにはどうすればよいですか。
<a name="canvas-kms-faqs-3"></a>

A: デフォルトの Amazon S3 バケットの命名パターンは `s3://sagemaker-{{{Region}}}-{{{your-account-id}}}` に従います。SageMaker Canvas アプリケーションデータは、このバケットの `Canvas/` フォルダに保存されます。

### Q: SageMaker Canvas データの保存に使用されるデフォルトの SageMaker AI Amazon S3 バケットは変更できますか。
<a name="canvas-kms-faqs-4"></a>

A: いいえ、このバケットは SageMaker AI によって作成されます。

### Q: SageMaker Canvas がデフォルトの SageMaker AI の Amazon S3 バケットに保存するのは何ですか。
<a name="canvas-kms-faqs-5"></a>

A: SageMaker Canvas はデフォルトの SageMaker AI の Amazon S3 バケットを使用して、入力データセット、モデルアーティファクト、およびモデル出力の複製を保存します。

### Q: SageMaker Canvas で KMS キーを使用する場合はどのようなユースケースがサポートされていますか?
<a name="canvas-kms-faqs-6"></a>

A: SageMaker Canvas では、 で独自の暗号化キーを使用して、回帰、二項分類、多クラス分類、時系列予測モデル AWS KMS を構築し、モデルでのバッチ推論を行うことができます。