Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Instances de bloc-notes, SageMaker tâches et points de terminaison
Pour chiffrer le volume de stockage d'apprentissage automatique (ML) attaché aux blocs-notes, aux tâches de traitement, aux tâches de formation, aux tâches de réglage des hyperparamètres, aux tâches de transformation par lots et aux terminaux, vous pouvez transmettre une clé à. AWS KMS SageMaker Si vous ne spécifiez aucune KMS clé, SageMaker chiffre les volumes de stockage à l'aide d'une clé transitoire et la supprime immédiatement après le chiffrement du volume de stockage. Pour les instances de bloc-notes, si vous ne spécifiez pas de KMS clé, SageMaker chiffre à la fois les volumes du système d'exploitation et les volumes de données ML à l'aide d'une clé gérée par le systèmeKMS.
Vous pouvez utiliser une AWS KMS clé AWS gérée pour chiffrer tous les volumes du système d'exploitation de l'instance. Vous pouvez chiffrer tous les volumes de données ML pour toutes les SageMaker instances à l'aide d'une AWS KMS clé que vous spécifiez. Les volumes de stockage ML sont montés comme suit :
-
Blocs-notes :
/home/ec2-user/SageMaker -
Traitement :
/opt/ml/processinget/tmp/ -
Entraînement :
/opt/ml/et/tmp/ -
Traitement par lots :
/opt/ml/et/tmp/ -
Points de terminaison :
/opt/ml/et/tmp/
Les conteneurs des tâches de traitement, de traitement par lots et d'entraînement, ainsi que leur stockage, sont de nature éphémère. Lorsque le travail est terminé, la sortie est téléchargée sur Amazon S3 à l'aide d'un AWS KMS chiffrement avec une AWS KMS clé optionnelle que vous spécifiez et l'instance est démolie. Si aucune AWS KMS clé n'est fournie dans la demande de travail, SageMaker utilise la AWS KMS clé par défaut d'Amazon S3 pour le compte de votre rôle. Si les données de sortie sont stockées dans Amazon S3 Express One Zone, elles sont chiffrées par chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS) n'est actuellement pas pris en charge pour le stockage des données SageMaker de sortie dans les compartiments d'annuaire Amazon S3.
Note
La politique clé d'une clé AWS gérée pour Amazon S3 ne peut pas être modifiée. Par conséquent, les autorisations entre comptes ne peuvent pas être accordées pour ces politiques clés. Si le compartiment Amazon S3 de sortie pour la demande provient d'un autre compte, spécifiez votre propre clé AWS KMS client dans la demande de tâche et assurez-vous que le rôle d'exécution de la tâche est autorisé à chiffrer les données avec cette clé.
Important
Les données sensibles qui doivent être chiffrées avec une KMS clé pour des raisons de conformité doivent être stockées dans le volume de stockage ML ou dans Amazon S3, les deux pouvant être chiffrés à l'aide d'une KMS clé que vous spécifiez.
Lorsque vous ouvrez une instance de bloc-notes, SageMaker elle est enregistrée, ainsi que tous les fichiers qui lui sont associés, dans le SageMaker dossier du volume de stockage ML par défaut. Lorsque vous arrêtez une instance de bloc-notes, SageMaker crée un instantané du volume de stockage ML. Toutes les personnalisations du système d'exploitation de l'instance arrêtée, telles que les bibliothèques personnalisées installées ou les paramètres de niveau du système d'exploitation, sont perdues. Pensez à utiliser une configuration de cycle de vie pour automatiser les personnalisations de l'instance de bloc-notes par défaut. Lorsque vous terminez une instance, le snapshot et le volume de stockage ML sont supprimés. Toutes les données dont vous avez besoin au-delà de la durée de vie de l'instance de bloc-notes doivent être transférées dans un compartiment Amazon S3.
Note
Certaines SageMaker instances basées sur Nitro incluent le stockage local, selon le type d'instance. Les volumes de stockage local sont chiffrés à l'aide d'un module matériel sur l'instance. Vous ne pouvez pas utiliser de KMS clé sur un type d'instance doté d'un stockage local. Pour obtenir la liste des types d'instance qui prennent en charge le stockage d'instance local, consultez Volumes de stockage d'instance. Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez Amazon EBS et NVMe sur les instances Linux.
Pour plus d'informations sur le chiffrement du stockage des instances locales, consultez la section SSDInstance Store Volumes.
