翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ノートブックインスタンス、 SageMaker ジョブ、エンドポイント
ノートブック、処理ジョブ、トレーニングジョブ、ハイパーパラメータ調整ジョブ、バッチ変換ジョブ、エンドポイントにアタッチされている機械学習 (ML) ストレージボリュームを暗号化するには、 に AWS KMS キーを渡します SageMaker。KMS キーを指定しない場合、 SageMaker は一時的なキーを使用してストレージボリュームを暗号化し、ストレージボリュームを暗号化した直後に破棄します。ノートブックインスタンスの場合、KMSキーを指定しない場合、 は OS ボリュームと ML データボリュームの両方をシステム管理KMSキーで SageMaker 暗号化します。
AWS マネージド AWS KMS キーを使用して、すべてのインスタンス OS ボリュームを暗号化できます。指定した AWS KMS キーを使用して、すべての SageMaker インスタンスのすべての ML データボリュームを暗号化できます。ML ストレージボリュームは、次のようにマウントされます。
-
ノートブック -
/home/ec2-user/SageMaker
-
処理中 -
/opt/ml/processing
および/tmp/
-
トレーニング -
/opt/ml/
および/tmp/
-
バッチ -
/opt/ml/
および/tmp/
-
エンドポイント -
/opt/ml/
および/tmp/
処理、バッチ変換、およびトレーニングジョブのコンテナやストレージは、その性質上、エフェメラル (一時的) です。ジョブが完了すると、指定したオプションの AWS KMS キーを使用した暗号化を使用して AWS KMS 出力が Amazon S3 にアップロードされ、インスタンスが切断されます。ジョブリクエストに AWS KMS キーが指定されていない場合、 はロールのアカウントの Amazon S3 のデフォルト AWS KMS キー SageMaker を使用します。出力データが Amazon S3 Express One Zone に保存されている場合、Amazon S3 マネージドキー (SSE-S3Amazon S3によるサーバー側の暗号化で暗号化されます。 AWS KMS キー (SSE-KMS) によるサーバー側の暗号化は現在、Amazon S3 ディレクトリバケットへの SageMaker 出力データの保存ではサポートされていません。
注記
Amazon S3 用 AWS マネージドキーのキーポリシーは編集できないため、これらのキーポリシーにクロスアカウントアクセス許可を付与することはできません。リクエストの出力 Amazon S3 バケットが別のアカウントからのものである場合は、ジョブリクエストで独自の AWS KMS カスタマーキーを指定し、ジョブの実行ロールにそれを使用してデータを暗号化するアクセス許可があることを確認します。
重要
コンプライアンス上の理由からKMSキーで暗号化する必要がある機密データは、ML ストレージボリュームまたは Amazon S3 に保存する必要があります。どちらも、指定したKMSキーを使用して暗号化できます。
ノートブックインスタンスを開くと、 はデフォルトでそのインスタンスとそれに関連付けられたファイルを ML ストレージボリュームの SageMaker フォルダに SageMaker 保存します。ノートブックインスタンスを停止すると、 は ML ストレージボリュームのスナップショット SageMaker を作成します。停止したインスタンスのオペレーティングシステムに対するカスタマイズ (インストールしたカスタムライブラリやオペレーティングシステムレベルの設定など) はすべて失われます。デフォルトのノートブックインスタンスのカスタマイズを自動化するには、ライフサイクル設定の使用を検討してください。インスタンスを終了すると、スナップショットと ML ストレージボリュームは削除されます。ノートブックインスタンスの存続期間を超えて保持する必要があるデータは、Amazon S3 バケットに転送してください。
注記
特定の Nitro ベースの SageMaker インスタンスには、インスタンスタイプに応じてローカルストレージが含まれます。ローカルストレージボリュームは、インスタンスのハードウェアモジュールを使用して暗号化されます。ローカルストレージでは、インスタンスタイプで KMS キーを使用することはできません。ローカルインスタンスストレージをサポートするインスタンスタイプのリストについては、「インスタンスストアボリューム」を参照してください。Nitro ベースのインスタンスのストレージボリュームの詳細については、「Amazon EBS および Linux インスタンスNVMe」を参照してください。
ローカルインスタンスストレージの暗号化の詳細については、SSD「インスタンスストアボリューム」を参照してください。