出力データとストレージボリュームの暗号化 - Amazon SageMaker
KMS キーを使用して出力データを暗号化するKMS キーを使用して自動データラベル付けストレージボリュームを暗号化する (API のみ)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

出力データとストレージボリュームの暗号化

Amazon SageMaker Ground Truth を使用すると、機密性の高いデータのラベル付け、データの管理、セキュリティのベストプラクティスの採用を行うことができます。ラベル付けジョブの実行中に、Ground Truth は転送中および保管中のデータを暗号化します。さらに、Ground Truth で AWS Key Management Service (AWS KMS) を使用して以下を実行できます。

  • カスタマーマネージド型キーを使用して出力データを暗号化する。

  • 自動データラベル付けジョブで AWS KMS カスタマーマネージドキーを使用して、モデルトレーニングと推論に使用されるコンピューティングインスタンスにアタッチされたストレージボリュームを暗号化します。

これらの Ground Truth セキュリティ機能の詳細については、このページのトピックを参照してください。

KMS キーを使用して出力データを暗号化する

必要に応じて、Ground Truth が出力データの暗号化に使用するラベル付けジョブを作成するときに、 AWS KMS カスタマーマネージドキーを指定できます。

カスタマーマネージドキーを指定しない場合、Amazon はロールのアカウントに Amazon S3 のデフォルト SageMaker AWS マネージドキー を使用して出力データを暗号化します。

カスタマーマネージド型キーを指定する場合は、AWS KMSで出力データとストレージボリュームを暗号化する で説明されているキーに必要な許可を追加する必要があります。API オペレーション を使用する場合CreateLabelingJob、 パラメータ を使用してカスタマーマネージドキー ID を指定できますKmsKeyId。コンソールを使用してラベル付けジョブを作成するときに、カスタマーマネージド型キーを追加する方法については、次の手順を実行します。

出力データを暗号化する AWS KMS キーを追加するには (コンソール):

  1. ラベル付けジョブの作成 (コンソール) の最初の 7 つの手順を完了します。

  2. 手順 8 で、[Additional configuration] (追加設定) の横にある矢印を選択し、このセクションを展開します。

  3. 暗号化キー では、出力データの暗号化に使用する AWS KMS キーを選択します。

  4. ラベル付けジョブの作成 (コンソール) の残りのステップを完了してラベル付けジョブを作成します。

KMS キーを使用して自動データラベル付けストレージボリュームを暗号化する (API のみ)

CreateLabelingJob API オペレーションを使用して自動データラベル付けを使用してラベル付けジョブを作成する場合、トレーニングジョブと推論ジョブを実行する ML コンピューティングインスタンスにアタッチされたストレージボリュームを暗号化するオプションがあります。ストレージボリュームに暗号化を追加するには、 パラメータVolumeKmsKeyIdを使用して AWS KMS カスタマーマネージドキーを入力します。このパラメータの詳細については、「LabelingJobResourceConfig」を参照してください。

ARN にキー ID または を指定する場合VolumeKmsKeyId、 SageMaker実行ロールには を呼び出すアクセス許可を含める必要がありますkms:CreateGrant。このアクセス許可を実行ロールに追加する方法については、Ground Truth ラベル付けジョブ SageMaker の実行ロールを作成する を参照してください。

注記

コンソールでラベル付けジョブを作成するときに AWS KMS カスタマーマネージドキーを指定すると、そのキーは出力データの暗号化にのみ使用されます。自動データラベリングに使用される機械学習コンピューティングインスタンスにアタッチされたストレージボリュームの暗号化には使用されません。