Chiffrer les données de sortie et de volume de stockage avec AWS KMS - Amazon SageMaker
Chiffrez les données de sortie à l'aide de KMSChiffrer le volume de stockage d'instance de calcul ML de l'étiquetage automatisé des données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer les données de sortie et de volume de stockage avec AWS KMS

Vous pouvez utiliser AWS Key Management Service (AWS KMS) pour chiffrer les données de sortie d'une tâche d'étiquetage en spécifiant une clé gérée par le client lorsque vous créez la tâche d'étiquetage. Si vous utilisez cette API opération CreateLabelingJob pour créer une tâche d'étiquetage utilisant l'étiquetage automatique des données, vous pouvez également utiliser une clé gérée par le client pour chiffrer le volume de stockage attaché aux instances de calcul ML afin d'exécuter les tâches de formation et d'inférence.

Cette section décrit les IAM politiques que vous devez associer à votre clé gérée par le client pour activer le chiffrement des données de sortie, ainsi que les politiques que vous devez associer à votre clé gérée par le client et à votre rôle d'exécution pour utiliser le chiffrement du volume de stockage. Pour en savoir plus sur ces options, consultez Chiffrement des données et des volumes de stockage.

Chiffrez les données de sortie à l'aide de KMS

Si vous spécifiez une clé gérée par le AWS KMS client pour chiffrer les données de sortie, vous devez ajouter une IAM politique similaire à la suivante à cette clé. Cette politique donne au rôle IAM d'exécution que vous utilisez pour créer votre tâche d'étiquetage l'autorisation d'utiliser cette clé pour effectuer toutes les actions répertoriées dans"Action". Pour en savoir plus sur ces actions, consultez AWS KMS les autorisations dans le guide du AWS Key Management Service développeur.

Pour utiliser cette politique, remplacez le rôle de IAM service par ARN le "Principal" rôle ARN d'exécution que vous utilisez pour créer la tâche d'étiquetage. Lorsque vous créez une tâche d'étiquetage dans la console, il s'agit du rôle que vous spécifiez pour IAMRôle dans la section Vue d'ensemble de la tâche. Lorsque vous créez une tâche d'étiquetage à l'aide deCreateLabelingJob, c'est pour cela ARN que vous spécifiez RoleArn.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Chiffrer le volume de stockage d'instance de calcul ML de l'étiquetage automatisé des données

Si vous spécifiez un VolumeKmsKeyId pour chiffrer le volume de stockage attaché à l'instance de calcul ML utilisée pour l'entraînement et l'inférence automatisées d'étiquetage des données, vous devez effectuer les opérations suivantes :

  • Attachez les autorisations décrites dans Chiffrez les données de sortie à l'aide de KMS à la clé gérée par le client.

  • Associez une politique similaire à la suivante au rôle IAM d'exécution que vous utilisez pour créer votre tâche d'étiquetage. Il s'agit du IAM rôle que vous spécifiez RoleArndansCreateLabelingJob. Pour en savoir plus sur les "kms:CreateGrant" actions autorisées par cette politique, reportez-vous CreateGrantà la section AWS Key Management Service API Référence.

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Pour en savoir plus sur le chiffrement des volumes de stockage Ground Truth, veuillez consulter Utilisez votre KMS clé pour chiffrer le volume de stockage d'étiquetage automatique des données (APIuniquement).