Instance, SageMaker lowongan, dan Endpoint Notebook - Amazon SageMaker

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Instance, SageMaker lowongan, dan Endpoint Notebook

Untuk mengenkripsi volume penyimpanan machine learning (ML) yang dilampirkan ke notebook, pekerjaan pemrosesan, pekerjaan pelatihan, pekerjaan tuning hyperparameter, pekerjaan transformasi batch, dan titik akhir, Anda dapat meneruskan kunci ke. AWS KMS SageMaker Jika Anda tidak menentukan KMS kunci, SageMaker mengenkripsi volume penyimpanan dengan kunci sementara dan membuangnya segera setelah mengenkripsi volume penyimpanan. Untuk instance notebook, jika Anda tidak menentukan KMS kunci, SageMaker mengenkripsi volume OS dan volume data ML dengan kunci yang dikelola sistem. KMS

Anda dapat menggunakan AWS KMS kunci AWS terkelola untuk mengenkripsi semua volume OS instance. Anda dapat mengenkripsi semua volume data ML untuk semua SageMaker instance dengan AWS KMS kunci yang Anda tentukan. Volume penyimpanan ML dipasang sebagai berikut:

  • Notebook - /home/ec2-user/SageMaker

  • Pemrosesan - /opt/ml/processing dan /tmp/

  • Pelatihan - /opt/ml/ dan /tmp/

  • Batch - /opt/ml/ dan /tmp/

  • Titik akhir - /opt/ml/ dan /tmp/

Pemrosesan, transformasi batch, dan pelatihan wadah pekerjaan dan penyimpanannya bersifat fana. Ketika pekerjaan selesai, output diunggah ke Amazon S3 AWS KMS menggunakan enkripsi dengan kunci AWS KMS opsional yang Anda tentukan dan instans dirobohkan. Jika AWS KMS Kunci tidak disediakan dalam permintaan pekerjaan, SageMaker gunakan AWS KMS kunci default untuk Amazon S3 untuk akun peran Anda. Jika data keluaran disimpan di Amazon S3 Express One Zone, data tersebut dienkripsi dengan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3). SSE Enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) saat ini tidak didukung untuk menyimpan data SageMaker keluaran di bucket direktori Amazon S3.

catatan

Kebijakan kunci untuk Kunci AWS Terkelola untuk Amazon S3 tidak dapat diedit, sehingga izin lintas akun tidak dapat diberikan untuk kebijakan utama ini. Jika bucket Amazon S3 keluaran untuk permintaan tersebut berasal dari akun lain, tentukan Kunci AWS KMS Pelanggan Anda sendiri dalam permintaan pekerjaan dan pastikan bahwa peran eksekusi pekerjaan memiliki izin untuk mengenkripsi data dengannya.

penting

Data sensitif yang perlu dienkripsi dengan KMS kunci untuk alasan kepatuhan harus disimpan dalam volume penyimpanan ML atau di Amazon S3, yang keduanya dapat dienkripsi menggunakan kunci yang Anda tentukan. KMS

Saat Anda membuka instance notebook, SageMaker menyimpannya dan file apa pun yang terkait dengannya di SageMaker folder dalam volume penyimpanan ML secara default. Saat Anda menghentikan instance notebook, SageMaker buat snapshot dari volume penyimpanan ML. Setiap penyesuaian ke sistem operasi instance yang dihentikan, seperti pustaka kustom yang diinstal atau pengaturan tingkat sistem operasi, hilang. Pertimbangkan untuk menggunakan konfigurasi siklus hidup untuk mengotomatiskan penyesuaian instance notebook default. Saat Anda menghentikan instance, snapshot dan volume penyimpanan ML akan dihapus. Data apa pun yang Anda perlukan untuk bertahan di luar masa pakai instans notebook harus ditransfer ke bucket Amazon S3.

catatan

SageMaker Instans berbasis Nitro tertentu termasuk penyimpanan lokal, tergantung pada jenis instans. Volume penyimpanan lokal dienkripsi menggunakan modul perangkat keras pada instans. Anda tidak dapat menggunakan KMS kunci pada jenis instans dengan penyimpanan lokal. Untuk daftar tipe instans yang mendukung penyimpanan instans lokal, lihat Volume Penyimpanan Instans. Untuk informasi selengkapnya tentang volume penyimpanan pada instans berbasis Nitro, lihat Amazon EBS dan Instans NVMe Linux.

Untuk informasi selengkapnya tentang enkripsi penyimpanan instans lokal, lihat Volume Toko SSD Instance.