Crittografare i dati di output e il volume di archiviazione con AWS KMS - Amazon SageMaker
Crittografa i dati di output utilizzando KMSCrittografare l'etichettatura automatizzata dei dati (ML Compute Instance Storage Volume)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografare i dati di output e il volume di archiviazione con AWS KMS

È possibile utilizzare AWS Key Management Service (AWS KMS) per crittografare i dati di output da un processo di etichettatura specificando una chiave gestita dal cliente al momento della creazione del processo di etichettatura. Se utilizzi l'APIoperazione CreateLabelingJob per creare un processo di etichettatura che utilizza l'etichettatura automatica dei dati, puoi anche utilizzare una chiave gestita dal cliente per crittografare il volume di archiviazione collegato alle istanze di calcolo ML per eseguire i processi di formazione e inferenza.

Questa sezione descrive le IAM politiche da collegare alla chiave gestita dal cliente per abilitare la crittografia dei dati di output e le politiche da allegare alla chiave gestita dal cliente e al ruolo di esecuzione per utilizzare la crittografia del volume di archiviazione. Per ulteriori informazioni su queste opzioni, consulta Crittografia dei dati di output e del volume di archiviazione.

Crittografa i dati di output utilizzando KMS

Se si specifica una chiave gestita AWS KMS dal cliente per crittografare i dati di output, è necessario aggiungere a tale chiave una IAM politica simile alla seguente. Questa policy assegna al ruolo di IAM esecuzione utilizzato per creare il processo di etichettatura, il permesso di utilizzare questa chiave per eseguire tutte le azioni elencate in. "Action" Per ulteriori informazioni su queste azioni, consulta le AWS KMS autorizzazioni nella Guida per gli AWS Key Management Service sviluppatori.

Per utilizzare questa politica, sostituisci il IAM ruolo di servizio ARN "Principal" con il ruolo ARN di esecuzione utilizzato per creare il processo di etichettatura. Quando crei un processo di etichettatura nella console, questo è il ruolo che specifichi per IAMRole nella sezione Panoramica del lavoro. Quando crei un lavoro di etichettatura utilizzandoCreateLabelingJob, questo è l'ARNutente specificato per. RoleArn

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Crittografare l'etichettatura automatizzata dei dati (ML Compute Instance Storage Volume)

Se specifichi un VolumeKmsKeyId per crittografare il volume di archiviazione collegato all'istanza di calcolo ML utilizzata per l'addestramento e l'inferenza automatizzati sull'etichettatura dei dati, devi effettuare le seguenti operazioni:

  • Collega le autorizzazioni descritte in Crittografa i dati di output utilizzando KMS alla chiave gestita dal cliente.

  • Allega una politica simile alla seguente al ruolo di IAM esecuzione che utilizzi per creare il tuo processo di etichettatura. Questo è il IAM ruolo per RoleArncui hai specificato. CreateLabelingJob Per ulteriori informazioni sulle "kms:CreateGrant" azioni consentite da questa politica, consulta la Guida CreateGrantdi AWS Key Management Service API riferimento.

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Per ulteriori informazioni sulla crittografia del volume di archiviazione Ground Truth, consulta Usa la tua KMS chiave per crittografare il volume di archiviazione dell'etichettatura automatica dei dati (solo) API.