Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Anote las instancias, los SageMaker trabajos y los puntos finales
Para cifrar el volumen de almacenamiento de aprendizaje automático (ML) adjunto a las libretas, los trabajos de procesamiento, los trabajos de formación, los trabajos de ajuste de hiperparámetros, los trabajos de transformación por lotes y los puntos finales, puede pasar una clave a. AWS KMS SageMaker Si no especifica una KMS clave, SageMaker cifra los volúmenes de almacenamiento con una clave transitoria y la descarta inmediatamente después de cifrar el volumen de almacenamiento. En el caso de las instancias de notebook, si no especifica una KMS clave, SageMaker cifra tanto los volúmenes del sistema operativo como los volúmenes de datos de aprendizaje automático con una clave administrada por el sistema. KMS
Puede usar una AWS KMS clave AWS administrada para cifrar todos los volúmenes del sistema operativo de la instancia. Puede cifrar todos los volúmenes de datos de ML de todas las SageMaker instancias con la AWS KMS clave que especifique. Los volúmenes de almacenamiento de ML se montan de la siguiente manera:
-
Blocs de notas:
/home/ec2-user/SageMaker -
Procesamiento:
/opt/ml/processingy/tmp/ -
Capacitación:
/opt/ml/y/tmp/ -
Lote:
/opt/ml/y/tmp/ -
Puntos de enlace:
/opt/ml/y/tmp/
Los contenedores de trabajos de entrenamiento, transformación por lotes y procesamiento tienen una naturaleza efímera. Cuando se completa el trabajo, la salida se carga en Amazon S3 mediante el AWS KMS cifrado con una AWS KMS clave opcional que usted especifique y la instancia se desmonta. Si no se proporciona ninguna AWS KMS clave en la solicitud de trabajo, SageMaker utilice la AWS KMS clave predeterminada de Amazon S3 para la cuenta de su función. Si los datos de salida se almacenan en Amazon S3 Express One Zone, se cifran con cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3). Actualmente, no se admite el cifrado del lado del servidor con AWS KMS claves (SSE-KMS) para almacenar los datos de SageMaker salida en los buckets de directorio de Amazon S3.
nota
La política clave de una clave AWS gestionada para Amazon S3 no se puede editar, por lo que no se pueden conceder permisos entre cuentas para estas políticas clave. Si el bucket de Amazon S3 de salida de la solicitud proviene de otra cuenta, especifique su propia clave de AWS KMS cliente en la solicitud de trabajo y asegúrese de que la función de ejecución del trabajo tenga permisos para cifrar los datos con ella.
importante
Los datos confidenciales que deban cifrarse con una KMS clave por motivos de conformidad deben almacenarse en el volumen de almacenamiento de ML o en Amazon S3, los cuales se pueden cifrar con la KMS clave que especifique.
Al abrir una instancia de bloc de notas, la SageMaker guarda junto con todos los archivos asociados a ella en la SageMaker carpeta del volumen de almacenamiento de ML de forma predeterminada. Al detener una instancia de bloc de notas, SageMaker crea una instantánea del volumen de almacenamiento de ML. Todas las personalizaciones del sistema operativo de la instancia detenida se pierden, como las bibliotecas personalizadas instaladas o la configuración del nivel del sistema operativo. Considere la posibilidad de utilizar una configuración de ciclo de vida para automatizar las personalizaciones de la instancia de bloc de notas predeterminada. Al terminar una instancia, se eliminan la instantánea y el volumen de almacenamiento de ML. Cualquier dato que tenga que perdurar durante más tiempo que la vida útil de la instancia del cuaderno deberá transferirse a un bucket de Amazon S3.
nota
Algunas SageMaker instancias basadas en Nitro incluyen almacenamiento local, según el tipo de instancia. Los volúmenes de almacenamiento local se cifran mediante un módulo de hardware en la instancia. No puedes usar una KMS clave en un tipo de instancia con almacenamiento local. Para obtener una lista de los tipos de instancia que admiten el almacenamiento de instancias local, consulte Volúmenes de almacén de instancias. Para obtener más información sobre los volúmenes de almacenamiento en las instancias basadas en Nitro, consulte Amazon EBS y NVMe sobre las instancias de Linux.
Para obtener más información sobre el cifrado del almacenamiento de instancias locales, consulta SSDInstance Store Volumes.
