Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

安全性和访问控制

Ama SageMaker zon Feature Store 允许您创建两种类型的商店：在线商店或线下商店。在线存储用于低延迟实时推理使用案例，离线存储用于训练和批量推理使用案例。在创建供在线或离线使用的功能组时，您可以提供Amazon Key Management Service客户管理的密钥来加密所有静态数据。如果您未提供Amazon KMS密钥，我们将确保您的数据在服务器端使用Amazon自有Amazon KMS密钥或Amazon托管Amazon KMS密钥进行加密。创建功能组时，您可以选择存储类型并选择提供用于加密数据的Amazon KMS密钥，然后可以调用各种 APIs 密钥进行数据管理PutRecord，例如、GetRecord、DeleteRecord。

Feature Store 允许您在特征组级别授予或拒绝个人访问权限，并允许跨账户访问 Feature Store。例如，您可以将开发人员账户设置为访问离线存储以进行模型训练和探索，而这些账户对生产账户没有写入权限。您可以设置生产账户以访问在线和离线存储。Feature Store 使用唯一的客户Amazon KMS密钥进行离线和在线商店静态数据加密。通过 API 和Amazon KMS密钥访问权限启用访问控制。您还可以创建特征组级别的访问控制。

有关客户托管密钥的更多信息，请参阅客户托管密钥。有关的更多信息Amazon KMS，请参阅Amazon KMS。

使用 Amazon Feature St SageMaker ore 的Amazon KMS权限

静态加密可保护Amazon KMS客户托管密钥下的功能库。默认情况下，它使用客户Amazon自有的托管密钥 OnlineStore和Amazon托管的客户托管密钥 OfflineStore。Feature Store 支持使用客户托管密钥对在线或离线存储进行加密的选项。创建在线或离线存储时，您可以为 Feature Store 选择客户托管密钥，并且每个存储的密钥可以不同。

Feature Store 仅支持对称客户托管密钥。不能使用非对称客户托管密钥来加密在线或离线存储中的数据。要获取确定客户托管密钥是对称还是非对称的帮助，请参阅识别对称和非对称客户托管密钥。

使用客户托管密钥时，可以利用以下特征：

您无需为Amazon拥有的客户托管密钥支付月费。客户托管密钥将为每个 API 调用收费，并且Amazon Key Management Service配额适用于每个客户托管的密钥。

授权对在线存储使用客户托管密钥

如果您使用客户托管密钥来保护在线存储，则该客户托管密钥的策略必须赋予 Feature Store 代表您使用该密钥的权限。您可以全面控制客户托管密钥的策略和授权。

Feature Store 无需额外授权即可使用默认Amazon拥有的 KMS 密钥来保护您Amazon账户中的在线或离线商店。

客户托管密钥策略

如果选择客户托管密钥来保护在线存储，则 Feature Store 必须有权代表做出选择的主体使用客户托管密钥。该主体（用户或角色）对于客户托管密钥必须具有 Feature Store 要求的权限。您可以在密钥策略、IAM 策略或授权中提供这些权限。Feature Store 要求对于客户托管密钥至少具有以下权限：

例如，以下示例密钥策略仅提供所需的权限。该策略具有以下效果：

在使用示例密钥策略之前，请将示例委托人替换为您Amazon账户中的实际委托人。

JSON

{"Id": "key-policy-feature-store",
   "Version":"2012-10-17",		 	 	 
   "Statement": [
     {"Sid" : "Allow access through Amazon SageMaker AI Feature Store for all principals in the account that are authorized to use  Amazon SageMaker AI Feature Store ",
       "Effect": "Allow",
       "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"},
       "Action": [
         "kms:Encrypt",
         "kms:Decrypt",
         "kms:DescribeKey",
         "kms:CreateGrant",
         "kms:RetireGrant",
         "kms:ReEncryptFrom",
         "kms:ReEncryptTo",
         "kms:GenerateDataKey",
         "kms:ListGrants"
       ],
       "Resource": "*",      
       "Condition": {"StringLike": {"kms:ViaService" : "sagemaker.*.amazonaws.com"
          }
       }
     },
     {"Sid" : "Allow listing aliases",
       "Effect": "Allow",
       "Principal": {"AWS": "arn:aws:iam::111122223333:user/featurestore-user"},
       "Action": "kms:ListAliases",
       "Resource": "*"
     },
     {"Sid":  "Allow administrators to view the customer managed key and revoke grants",
       "Effect": "Allow",
       "Principal": {"AWS": "arn:aws:iam::111122223333:role/featurestore-admin"
        },
       "Action": [
         "kms:Describe*",
         "kms:Get*",
         "kms:List*",
         "kms:RevokeGrant"
       ],
       "Resource": "*"
     },
     {"Sid": "Enable IAM User Permissions",
       "Effect": "Allow",
       "Principal": {"AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": "kms:*",
        "Resource": "*"
     }
   ]
 }
 

使用授权为 Feature Store 授权

除密钥策略之外，Feature Store 还使用授权来设置对于客户托管密钥的权限。要查看有关您账户中的客户托管密钥的授权，请使用 ListGrants 操作。Feature Store 无需授权或任何其他权限，即可使用 Amazon 拥有的客户托管密钥来保护您的在线存储。

Feature Store 在执行后台系统维护和连续数据保护任务时使用授予权限。

每项授权都特定于在线存储。如果账户包含使用同一客户托管密钥加密的多个存储，则每个使用相同客户托管密钥的 FeatureGroup 都将获得唯一授权。

该密钥策略还可以允许账户撤销对客户托管密钥的授权。但是，如果您撤销对某个活动加密在线存储的授权，Feature Store 将无法保护和维护该存储。

监视功能存储与的互动 Amazon KMS

如果您使用客户托管密钥来保护您的在线或离线商店，则可以使用Amazon CloudTrail日志来跟踪 Feature Store Amazon KMS 代表您发送的请求。

访问在线存储中的数据

所有 DataPlane 操作（Put、Get、）的调用者（用户或角色 DeleteRecord）必须对客户托管密钥具有以下权限：

"kms:Decrypt"

授权将客户托管密钥用于您的离线存储

作为参数传递给的 roLearn createFeatureGroup 必须具有以下权限： OfflineStore KmsKeyId

"kms:GenerateDataKey"