Istanze, SageMaker job ed endpoint di Notebook - Amazon SageMaker

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Istanze, SageMaker job ed endpoint di Notebook

Per crittografare il volume di archiviazione di machine learning (ML) collegato a notebook, processi di elaborazione, processi di formazione, processi di ottimizzazione iperparametrica, processi di trasformazione in batch ed endpoint, è possibile passare una chiave a. AWS KMS SageMaker Se non si specifica una KMS chiave, SageMaker crittografa i volumi di archiviazione con una chiave transitoria e li scarta immediatamente dopo la crittografia del volume di archiviazione. Per le istanze notebook, se non si specifica una KMS chiave, SageMaker crittografa sia i volumi del sistema operativo che i volumi di dati ML con una chiave gestita dal sistema. KMS

È possibile utilizzare una AWS KMS chiave AWS gestita per crittografare tutti i volumi del sistema operativo dell'istanza. È possibile crittografare tutti i volumi di dati ML per tutte le SageMaker istanze con una AWS KMS chiave specificata dall'utente. I volumi di storage ML sono montati come segue:

  • Notebook - /home/ec2-user/SageMaker

  • Elaborazione – /opt/ml/processing e /tmp/

  • Addestramento - /opt/ml/ e /tmp/

  • Batch - /opt/ml/ e /tmp/

  • Endpoint - /opt/ml/ e /tmp/

I container di attività in batch, di elaborazione e di addestramento e il relativo storage sono di natura effimera. Al termine del processo, l'output viene caricato su Amazon S3 AWS KMS utilizzando la crittografia con una chiave AWS KMS opzionale specificata e l'istanza viene disattivata. Se non viene fornita una AWS KMS chiave nella richiesta di lavoro, SageMaker utilizza la AWS KMS chiave predefinita per Amazon S3 per l'account del tuo ruolo. Se i dati di output sono archiviati in Amazon S3 Express One Zone, vengono crittografati con crittografia lato server con chiavi gestite di Amazon S3 (-S3). SSE La crittografia lato server con AWS KMS chiavi (SSE-KMS) non è attualmente supportata per l'archiviazione dei dati di SageMaker output nei bucket di directory Amazon S3.

Nota

La politica chiave per una chiave AWS gestita per Amazon S3 non può essere modificata, quindi non è possibile concedere autorizzazioni su più account per queste politiche chiave. Se il bucket Amazon S3 di output per la richiesta proviene da un altro account, specifica la tua chiave AWS KMS cliente nella richiesta di lavoro e assicurati che il ruolo di esecuzione del lavoro disponga delle autorizzazioni per crittografare i dati con essa.

Importante

I dati sensibili che devono essere crittografati con una KMS chiave per motivi di conformità devono essere archiviati nel volume di archiviazione ML o in Amazon S3, entrambi i quali possono essere crittografati utilizzando una KMS chiave specificata dall'utente.

Quando apri un'istanza di notebook, per impostazione predefinita la SageMaker salva insieme ai file ad essa associati nella SageMaker cartella del volume di archiviazione ML. Quando si arresta un'istanza di notebook, SageMaker crea un'istantanea del volume di archiviazione ML. Tutte le personalizzazioni del sistema operativo dell'istanza arrestata, ad esempio librerie personalizzate installate o impostazioni a livello di sistema operativo, vengono perse. Si consiglia di utilizzare una configurazione del ciclo di vita per automatizzare le personalizzazioni dell'istanza del notebook predefinita. Quando si termina un'istanza, lo snapshot e il volume di storage ML vengono eliminati. Tutti i dati che devi mantenere oltre la durata di vita dell'istanza del notebook devono essere trasferiti in un bucket Amazon S3.

Nota

Alcune SageMaker istanze basate su Nitro includono l'archiviazione locale, a seconda del tipo di istanza. I volumi di storage locale vengono crittografati utilizzando un modulo hardware sull'istanza. Non è possibile utilizzare una KMS chiave su un tipo di istanza con archiviazione locale. Per un elenco dei tipi di istanza che supportano lo storage locale dell'istanza, consulta Volumi dell'instance store. Per ulteriori informazioni sui volumi di storage sulle istanze basate su Nitro, consulta Amazon EBS e NVMe sulle istanze Linux.

Per ulteriori informazioni sulla crittografia dello storage delle istanze locali, consulta SSDInstance Store Volumes.