AWS KMSで出力データとストレージボリュームを暗号化する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMSで出力データとストレージボリュームを暗号化する

AWS Key Management Service (AWS KMS) を使用して、ラベル付けジョブの作成時にカスタマーマネージドキーを指定することで、ラベル付けジョブからの出力データを暗号化できます。API オペレーションを使用して自動データラベル付けを使用するラベル付けジョブCreateLabelingJobを作成する場合は、カスタマーマネージドキーを使用して ML コンピューティングインスタンスにアタッチされたストレージボリュームを暗号化して、トレーニングジョブと推論ジョブを実行することもできます。

このセクションでは、出力データの暗号化を有効にするためにカスタマーマネージドキーにアタッチする必要があるIAMポリシーと、ストレージボリュームの暗号化を使用するためにカスタマーマネージドキーと実行ロールにアタッチする必要があるポリシーについて説明します。これらのオプションの詳細については、出力データとストレージボリュームの暗号化を参照してください。

を使用して出力データを暗号化する KMS

出力データを暗号化するために AWS KMS カスタマーマネージドキーを指定する場合は、そのキーに次のようなIAMポリシーを追加する必要があります。このポリシーは、ラベル付けジョブの作成に使用するIAM実行ロールに、このキーを使用して にリストされているすべてのアクションを実行するアクセス許可を付与します"Action"。これらのアクションの詳細については、「 AWS Key Management Service デベロッパーガイド」のAWS KMS 「アクセス許可」を参照してください。

このポリシーを使用するには、 ARN IAMのサービスロールを"Principal"、ラベル付けジョブの作成に使用する実行ロールARNの に置き換えます。コンソールでラベル付けジョブを作成する場合、これはジョブの概要セクションでIAMロールに指定するロールです。を使用してラベル付けジョブを作成する場合CreateLabelingJob、これは に指定ARNしますRoleArn

{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/example-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }

自動データラベリングの機械学習コンピューティングインスタンスストレージボリュームを暗号化する

VolumeKmsKeyId を指定して、自動データラベリングのトレーニングと推論に使用される機械学習コンピューティングインスタンスにアタッチされたストレージボリュームを暗号化する場合は、次の手順を実行する必要があります。

  • を使用して出力データを暗号化する KMS で説明されているアクセス許可をカスタマーマネージド型キーにアタッチします。

  • ラベル付けジョブの作成に使用するIAM実行ロールに、次のようなポリシーをアタッチします。これは、 RoleArnで指定したIAMロールですCreateLabelingJob。このポリシーが許可する"kms:CreateGrant"アクションの詳細については、 リファレンスCreateGrantの AWS Key Management Service API「」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*" } ] }

Ground Truth ストレージボリュームの暗号化の詳細については、「KMS キーを使用して自動データラベル付けストレージボリュームを暗号化する (API のみ)」を参照してください。