Notebook-Instanzen, SageMaker Jobs und Endpoints - Amazon SageMaker

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Notebook-Instanzen, SageMaker Jobs und Endpoints

Um das Speichervolume für maschinelles Lernen (ML) zu verschlüsseln, das an Notebooks, Verarbeitungsjobs, Schulungsjobs, Hyperparameter-Tuning-Jobs, Batch-Transformationsjobs und Endpoints angehängt ist, können Sie einen Schlüssel an übergeben. AWS KMS SageMaker Wenn Sie keinen KMS Schlüssel angeben, werden Speichervolumes mit einem transienten Schlüssel SageMaker verschlüsselt und sofort nach der Verschlüsselung des Speichervolumes verworfen. Wenn Sie bei Notebook-Instances keinen KMS Schlüssel angeben, werden sowohl Betriebssystemvolumes als auch ML-Datenvolumes mit einem vom System verwalteten Schlüssel SageMaker verschlüsselt. KMS

Sie können einen AWS verwalteten AWS KMS Schlüssel verwenden, um alle Instanz-OS-Volumes zu verschlüsseln. Sie können alle ML-Datenvolumes für alle SageMaker Instanzen mit einem von Ihnen angegebenen AWS KMS Schlüssel verschlüsseln. ML-Speichervolumes werden wie folgt bereitgestellt:

  • Notebooks: /home/ec2-user/SageMaker

  • Processing – /opt/ml/processing und /tmp/

  • Training: /opt/ml/ und /tmp/

  • Stapel: /opt/ml/ und /tmp/

  • Endpunkte: /opt/ml/ und /tmp/

Verarbeitung, Stapeltransformation und Trainingsauftrags-Container und deren Speicherung sind ihrem Wesen nach flüchtig. Wenn der Job abgeschlossen ist, wird die Ausgabe mithilfe einer AWS KMS Verschlüsselung mit einem optionalen AWS KMS Schlüssel, den Sie angeben, auf Amazon S3 hochgeladen und die Instance wird heruntergefahren. Wenn in der Jobanfrage kein AWS KMS Schlüssel angegeben wird, SageMaker verwendet der AWS KMS Standardschlüssel für Amazon S3 für das Konto Ihrer Rolle. Wenn die Ausgabedaten in Amazon S3 Express One Zone gespeichert sind, werden sie mit serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verschlüsselt.

Anmerkung

Die Schlüsselrichtlinie für einen AWS verwalteten Schlüssel für Amazon S3 kann nicht bearbeitet werden, sodass für diese wichtigen Richtlinien keine kontoübergreifenden Berechtigungen erteilt werden können. Wenn der Amazon S3 S3-Ausgabe-Bucket für die Anfrage von einem anderen Konto stammt, geben Sie Ihren eigenen AWS KMS Kundenschlüssel in der Jobanfrage an und stellen Sie sicher, dass die Ausführungsrolle des Jobs über die Berechtigungen verfügt, Daten damit zu verschlüsseln.

Wichtig

Vertrauliche Daten, die aus Compliance-Gründen mit einem KMS Schlüssel verschlüsselt werden müssen, sollten auf dem ML-Speichervolume oder in Amazon S3 gespeichert werden. Beide können mit einem von Ihnen angegebenen KMS Schlüssel verschlüsselt werden.

Wenn Sie eine Notebook-Instance öffnen, SageMaker speichert sie und alle damit verknüpften Dateien standardmäßig in dem SageMaker Ordner auf dem ML-Speichervolume. Wenn Sie eine Notebook-Instanz beenden, SageMaker wird ein Snapshot des ML-Speichervolumes erstellt. Anpassungen am Betriebssystem der angehaltenen Instance, z. B. an installierten benutzerdefinierte Bibliotheken oder an Einstellungen auf Betriebssystemebene, gehen verloren. Erwägen Sie, eine Lebenszykluskonfiguration zu verwenden, um Anpassungen der Standard-Notebook-Instance zu automatisieren. Wenn Sie eine Instance beenden, werden der Snapshot und das ML-Speichervolume gelöscht. Alle Daten, die über die Lebensdauer der Notebook-Instance hinaus erhalten bleiben sollen, sollten in einen Amazon-S3-Bucket übertragen werden.

Anmerkung

Bestimmte Nitro-basierte SageMaker Instances beinhalten je nach Instance-Typ lokalen Speicher. Lokale Speicher-Volumes werden mit einem Hardwaremodul auf der Instance verschlüsselt. Sie können einen KMS Schlüssel nicht für einen Instance-Typ mit lokalem Speicher verwenden. Eine Liste der Instance-Typen, die lokale Instance-Speicher unterstützen, finden Sie unter Instance-Speicher-Volumes. Weitere Informationen zu Speichervolumes auf Nitro-basierten Instances finden Sie unter Amazon EBS und NVMe auf Linux-Instances.

Weitere Informationen zur lokalen Instance-Speicherverschlüsselung finden Sie unter SSDInstance Store Volumes.