AWS KMS을(를) 이용한 출력 데이터 및 스토리지 볼륨 암호화 - Amazon SageMaker
KMS를 사용한 출력 데이터 암호화자동 데이터 레이블링 ML 컴퓨팅 인스턴스 스토리지 볼륨 암호화

AWS KMS을(를) 이용한 출력 데이터 및 스토리지 볼륨 암호화

레이블 지정 작업을 생성할 때 고객 관리형 키를 지정하면 AWS Key Management Service(AWS KMS)을(를) 사용하여 레이블 지정 작업의 출력 데이터를 암호화할 수 있습니다. API 작업 CreateLabelingJob을(를) 사용하여 자동 데이터 레이블링을 사용하는 레이블 지정 작업을 생성하는 경우 고객 관리형 키를 사용하여 ML 컴퓨팅 인스턴스에 연결된 스토리지 볼륨을 암호화하여 훈련 및 추론 작업을 실행할 수도 있습니다.

이 섹션에서는 출력 데이터 암호화를 활성화하기 위해 고객 관리형 키에 연결해야 하는 IAM 정책과 스토리지 볼륨 암호화를 사용하기 위해 고객 관리형 키 및 실행 역할에 연결해야 하는 정책을 설명합니다. 이러한 옵션에 대해 자세히 알아보려면 출력 데이터 및 스토리지 볼륨 암호화 섹션을 참조하세요.

KMS를 사용한 출력 데이터 암호화

출력 데이터를 암호화할 AWS KMS 고객 관리형 키를 지정하는 경우 해당 키에 다음과 유사한 IAM 정책을 추가해야 합니다. 이 정책은 레이블 지정 작업을 생성하는 데 사용하는 IAM 실행 역할에 이 키를 사용하여 "Action"에 나열된 모든 작업을 수행할 수 있는 권한을 부여합니다. 이 작업에 관한 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS KMS 권한을 참조하세요.

이 정책을 사용하려면 "Principal"의 IAM 서비스 역할 ARN을 레이블 지정 작업을 생성하는 데 사용하는 실행 역할의 ARN으로 교체하세요. 콘솔에서 레이블 지정 작업을 생성할 때 이 역할은 작업 개요 섹션에서 IAM 역할에 지정하는 역할입니다. CreateLabelingJob을(를) 사용하여 레이블 지정 작업을 생성할 때 RoleArn에 지정한 ARN입니다.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

자동 데이터 레이블링 ML 컴퓨팅 인스턴스 스토리지 볼륨 암호화

자동 데이터 레이블링 훈련 및 추론에 사용되는 ML 컴퓨팅 인스턴스에 연결된 스토리지 볼륨을 암호화하도록 VolumeKmsKeyId을(를) 지정하는 경우 다음을 수행해야 합니다.

  • KMS를 사용한 출력 데이터 암호화에 설명된 권한을 고객 관리형 키에 연결합니다.

  • 레이블 지정 작업을 생성할 때 사용하는 IAM 실행 역할에 다음과 유사한 정책을 연결합니다. CreateLabelingJob에서 RoleArn에 지정한 IAM 역할입니다. 이 정책에서 허용하는 "kms:CreateGrant" 작업에 대해 자세히 알아보려면 AWS Key Management Service API 참조의 CreateGrant을(를) 참조하세요.

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Ground Truth 스토리지 볼륨 암호화에 대한 자세한 내용은 KMS 키를 사용한 자동 데이터 레이블링 스토리지 볼륨 암호화(API 전용)을(를) 참조하세요.