Cifre los datos de salida mediante KMS Cifre el volumen de almacenamiento de la instancia de computación de ML de etiquetado de datos automático

Cifre los datos de salida y el volumen de almacenamiento con AWS KMS

Puede utilizar AWS Key Management Service (AWS KMS) para cifrar los datos de salida de un trabajo de etiquetado especificando una clave gestionada por el cliente al crear el trabajo de etiquetado. Si utiliza la API operación CreateLabelingJob para crear un trabajo de etiquetado que utilice un etiquetado de datos automatizado, también puede utilizar una clave gestionada por el cliente para cifrar el volumen de almacenamiento adjunto a las instancias de procesamiento de aprendizaje automático para ejecutar los trabajos de formación e inferencia.

En esta sección, se describen las IAM políticas que debe adjuntar a la clave gestionada por el cliente para permitir el cifrado de los datos de salida y las políticas que debe adjuntar a la clave gestionada por el cliente y a la función de ejecución para utilizar el cifrado de volúmenes de almacenamiento. Para más información sobre estas opciones, consulte Cifrado de volúmenes de almacenamiento y datos de salida.

Cifre los datos de salida mediante KMS

Si especifica una clave gestionada por el AWS KMS cliente para cifrar los datos de salida, debe añadir a esa clave una IAM política similar a la siguiente. Esta política otorga permiso a la función de IAM ejecución que utiliza para crear su trabajo de etiquetado para usar esta clave para realizar todas las acciones que se enumeran en"Action". Para obtener más información sobre estas acciones, consulte AWS KMS los permisos en la Guía para AWS Key Management Service desarrolladores.

Para usar esta política, sustituya la IAM función de servicio ARN por la función ARN de ejecución que utiliza para crear el trabajo de etiquetado. "Principal" Al crear un trabajo de etiquetado en la consola, este es el rol que se especifica para el IAMrol en la sección Descripción general del trabajo. Al crear un trabajo de etiquetado conCreateLabelingJob, es ARN lo que se especifica RoleArn.


{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Cifre el volumen de almacenamiento de la instancia de computación de ML de etiquetado de datos automático

Si especifica un VolumeKmsKeyId para cifrar el volumen de almacenamiento asociado a la instancia de computación de ML que se utiliza para el entrenamiento y la inferencia automáticos del etiquetado de datos, debe hacer lo siguiente:

Asocie los permisos que se describen en Cifre los datos de salida mediante KMS a la clave administrada por el cliente.
Adjunte una política similar a la siguiente a la función de IAM ejecución que utilice para crear su trabajo de etiquetado. Este es el IAM rol para RoleArnel que especificasCreateLabelingJob. Para obtener más información sobre las "kms:CreateGrant" acciones que permite esta política, consulte CreateGrantla AWS Key Management Service API Referencia.


{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Para obtener más información sobre el cifrado de volúmenes de almacenamiento de Ground Truth, consulte Utilice su KMS clave para cifrar el volumen de almacenamiento del etiquetado automático de datos (únicamente) API.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cree un rol SageMaker de ejecución

Utilice Ground Truth en una Amazon VPC