Verschlüsseln Sie Ausgabedaten und Speichervolumen mit AWS KMS - Amazon SageMaker
Verschlüsseln Sie die Ausgabedaten mit KMSAutomatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Sie Ausgabedaten und Speichervolumen mit AWS KMS

Sie können Folgendes verwenden … AWS Key Management Service (AWS KMS), um die Ausgabedaten eines Labeling-Jobs zu verschlüsseln, indem Sie bei der Erstellung des Labeling-Jobs einen vom Kunden verwalteten Schlüssel angeben. Wenn Sie den API Vorgang verwenden, CreateLabelingJob um einen Labeling-Job zu erstellen, der automatisierte Datenbeschriftung verwendet, können Sie auch einen vom Kunden verwalteten Schlüssel verwenden, um das an die ML-Compute-Instances angehängte Speichervolume zu verschlüsseln, um die Trainings- und Inferenzjobs auszuführen.

In diesem Abschnitt werden die IAM Richtlinien beschrieben, die Sie Ihrem vom Kunden verwalteten Schlüssel zuordnen müssen, um die Verschlüsselung der Ausgabedaten zu aktivieren, und die Richtlinien, die Sie Ihrem vom Kunden verwalteten Schlüssel und Ihrer Ausführungsrolle zuordnen müssen, um die Speichervolumenverschlüsselung verwenden zu können. Weitere Informationen zu diesen Optionen finden Sie unter Verschlüsselung von Ausgabedaten und Speicher-Volumes.

Verschlüsseln Sie die Ausgabedaten mit KMS

Wenn Sie eine angeben AWS KMS Ein vom Kunden verwalteter Schlüssel zur Verschlüsselung von Ausgabedaten müssen Sie diesem Schlüssel eine IAM Richtlinie hinzufügen, die der folgenden ähnelt. Diese Richtlinie erteilt der IAM Ausführungsrolle, mit der Sie Ihren Labeling-Job erstellen, die Berechtigung, diesen Schlüssel für die Ausführung aller unter aufgeführten Aktionen zu verwenden. "Action" Weitere Informationen zu diesen Aktionen finden Sie unter AWS KMS Berechtigungen in der AWS Key Management Service Entwicklerhandbuch.

Um diese Richtlinie zu verwenden, ersetzen Sie die IAM Service-Rolle ARN in durch die ARN der Ausführungsrolle, "Principal" mit der Sie den Labeling-Job erstellen. Wenn Sie in der Konsole einen Labeling-Job erstellen, ist dies die Rolle, die Sie im Abschnitt Jobübersicht für IAMRolle angeben. Wenn Sie einen Labeling-Job mit erstellenCreateLabelingJob, geben ARN Sie dies für an RoleArn.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Automatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)

Wenn Sie eine VolumeKmsKeyId angeben, um das an die ML-Datenverarbeitungs-Instance angehängte Speicher-Volume zu verschlüsseln, die für Training und Inference zum automatisierten Daten-Labeling verwendet wird, müssen Sie wie folgt vorgehen:

  • Fügen Sie zu dem vom Kunden verwalteten Schlüssel die unter Verschlüsseln Sie die Ausgabedaten mit KMS beschriebenen Berechtigungen hinzu.

  • Fügen Sie der IAM Ausführungsrolle, die Sie zum Erstellen Ihres Labeling-Jobs verwenden, eine Richtlinie ähnlich der folgenden hinzu. Dies ist die IAM Rolle, für die Sie RoleArnin angebenCreateLabelingJob. Weitere Informationen zu den "kms:CreateGrant" Maßnahmen, die diese Richtlinie zulässt, finden Sie CreateGrantin AWS Key Management Service APIReferenz.

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Weitere Informationen zur Verschlüsselung von Ground-Truth-Speicher-Volumes finden Sie unter Verwenden Sie Ihren KMS Schlüssel, um das Speichervolumen mit automatisierter Datenbeschriftung zu verschlüsseln (nur) API.