기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
노트북 인스턴스, SageMaker 작업 및 엔드포인트
노트북, 처리 작업, 훈련 작업, 하이퍼파라미터 튜닝 작업, 배치 변환 작업 및 엔드포인트에 연결된 기계 학습(ML) 스토리지 볼륨을 암호화하려면 AWS KMS 키를 에 전달할 수 있습니다 SageMaker. KMS 키를 SageMaker 지정하지 않으면 는 임시 키로 스토리지 볼륨을 암호화하고 스토리지 볼륨을 암호화한 직후에 이를 폐기합니다. 노트북 인스턴스의 경우 KMS 키를 지정하지 않으면 는 시스템 관리KMS형 키로 OS 볼륨과 ML 데이터 볼륨을 모두 SageMaker 암호화합니다.
AWS 관리형 AWS KMS 키를 사용하여 모든 인스턴스 OS 볼륨을 암호화할 수 있습니다. 지정한 AWS KMS 키를 사용하여 모든 SageMaker 인스턴스의 모든 ML 데이터 볼륨을 암호화할 수 있습니다. ML 스토리지 볼륨은 다음과 같이 마운트됩니다.
-
노트북 -
/home/ec2-user/SageMaker
-
처리 중 -
/opt/ml/processing
및/tmp/
-
훈련 -
/opt/ml/
및/tmp/
-
모두 -
/opt/ml/
및/tmp/
-
엔드포인트 -
/opt/ml/
및/tmp/
처리, 배치 변환, 훈련 작업 컨테이너 및 해당 스토리지는 기본적으로 일시적입니다. 작업이 완료되면 지정한 선택적 AWS KMS 키를 사용하여 암호화를 사용하여 AWS KMS Amazon S3에 출력이 업로드되고 인스턴스가 손상됩니다. 작업 요청에 AWS KMS 키가 제공되지 않은 경우 는 역할 계정에 Amazon S3의 기본 AWS KMS 키를 SageMaker 사용합니다. 출력 데이터가 Amazon S3 Express One Zone에 저장되는 경우 Amazon S3 관리형 키(SSE-S3)를 사용하여 서버 측 암호화로 암호화됩니다. AWS KMS 키(SSE-KMS)를 사용한 서버 측 암호화는 현재 Amazon S3 디렉터리 버킷에 SageMaker 출력 데이터를 저장하는 데 지원되지 않습니다.
참고
AWS Managed Key for Amazon S3의 키 정책은 편집할 수 없으므로 이러한 키 정책에 대해 교차 계정 권한을 부여할 수 없습니다. 요청에 대한 출력 Amazon S3 버킷이 다른 계정에서 가져온 경우 작업 요청에 고유한 AWS KMS 고객 키를 지정하고 작업의 실행 역할에 해당 계정과 함께 데이터를 암호화할 수 있는 권한이 있는지 확인합니다.
중요
규정 준수를 위해 KMS 키로 암호화해야 하는 민감한 데이터는 ML 스토리지 볼륨 또는 Amazon S3에 저장해야 하며, 둘 다 지정한 KMS 키를 사용하여 암호화할 수 있습니다.
노트북 인스턴스를 열면 기본적으로 가 노트북 인스턴스와 연결된 모든 파일을 ML 스토리지 볼륨의 SageMaker 폴더에 SageMaker 저장합니다. 노트북 인스턴스를 중지하면 에서 ML 스토리지 볼륨의 스냅샷을 SageMaker 생성합니다. 설치된 사용자 지정 라이브러리 또는 운영 체제 수준 설정과 같이 중지된 인스턴스의 운영 체제에 대한 사용자 지정은 모두 손실됩니다. 수명 주기 구성을 사용하여 기본 노트북 인스턴스의 사용자 지정을 자동화하는 것이 좋습니다. 인스턴스를 종료하면 스냅샷과 ML 스토리지 볼륨이 삭제됩니다. 노트북 인스턴스의 수명을 초과하여 유지해야 하는 모든 데이터는 Amazon S3 버킷으로 전송해야 합니다.
참고
특정 Nitro 기반 SageMaker 인스턴스에는 인스턴스 유형에 따라 로컬 스토리지가 포함됩니다. 로컬 스토리지 볼륨은 인스턴스의 하드웨어 모듈을 사용하여 암호화됩니다. 로컬 스토리지가 있는 인스턴스 유형에서는 KMS 키를 사용할 수 없습니다. 로컬 인스턴스 스토리지를 지원하는 인스턴스 유형 목록은 인스턴스 스토어 볼륨을 참조하세요. Nitro 기반 인스턴스의 스토리지 볼륨에 대한 자세한 내용은 Linux 인스턴스NVMe의 Amazon EBS 및 를 참조하세요.
로컬 인스턴스 스토리지 암호화에 대한 자세한 내용은 SSD 인스턴스 스토어 볼륨 섹션을 참조하세요.