As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Instâncias de notebook, SageMaker trabalhos e endpoints
Para criptografar o volume de armazenamento de aprendizado de máquina (ML) anexado a notebooks, trabalhos de processamento, trabalhos de treinamento, trabalhos de ajuste de hiperparâmetros, trabalhos de transformação em lote e endpoints, você pode passar uma chave para. AWS KMS SageMaker Se você não especificar uma KMS chave, SageMaker criptografa os volumes de armazenamento com uma chave transitória e a descarta imediatamente após criptografar o volume de armazenamento. Para instâncias de notebook, se você não especificar uma KMS chave, SageMaker criptografa os volumes do sistema operacional e os volumes de dados de ML com uma chave gerenciada pelo sistemaKMS.
Você pode usar uma AWS KMS chave AWS gerenciada para criptografar todos os volumes do sistema operacional da instância. Você pode criptografar todos os volumes de dados de ML para todas as SageMaker instâncias com uma AWS KMS chave especificada por você. Os volumes de armazenamento de ML são montados da seguinte forma:
-
Cadernos -
/home/ec2-user/SageMaker
-
Processamento –
/opt/ml/processing
e/tmp/
-
Treinamento -
/opt/ml/
e/tmp/
-
Lote -
/opt/ml/
e/tmp/
-
Endpoints -
/opt/ml/
e/tmp/
Os contêineres de trabalho de processamento, de transformação em lote e de treinamento e seu armazenamento são de natureza efêmera. Quando o trabalho é concluído, a saída é enviada para o Amazon S3 AWS KMS usando criptografia com uma chave AWS KMS opcional que você especifica e a instância é desativada. Se uma AWS KMS chave não for fornecida na solicitação de trabalho, SageMaker use a AWS KMS chave padrão do Amazon S3 para a conta da sua função. Se os dados de saída forem armazenados no Amazon S3 Express One Zone, eles serão criptografados com criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (-S3). SSE Atualmente, a criptografia do lado do servidor com AWS KMS chaves (SSE-KMS) não é suportada para armazenar dados de SageMaker saída em buckets de diretório do Amazon S3.
nota
A política de chaves para uma chave AWS gerenciada para o Amazon S3 não pode ser editada, portanto, permissões entre contas não podem ser concedidas para essas políticas de chaves. Se o bucket Amazon S3 de saída da solicitação for de outra conta, especifique sua própria chave de AWS KMS cliente na solicitação de trabalho e garanta que a função de execução do trabalho tenha permissões para criptografar dados com ela.
Importante
Dados confidenciais que precisam ser criptografados com uma KMS chave por motivos de conformidade devem ser armazenados no volume de armazenamento de ML ou no Amazon S3. Ambos podem ser criptografados usando uma KMS chave especificada por você.
Quando você abre uma instância do notebook, SageMaker salva ela e todos os arquivos associados a ela na SageMaker pasta no volume de armazenamento de ML por padrão. Quando você interrompe uma instância do notebook, SageMaker cria um instantâneo do volume de armazenamento de ML. Todas as personalizações do sistema operacional da instância interrompida, como bibliotecas personalizadas instaladas ou configurações de nível de sistema operacional, serão perdidas. Considere usar uma configuração de ciclo de vida para automatizar personalizações da instância de caderno padrão. Quando você encerra uma instância, o snapshot e o volume de armazenamento de ML são excluídos. Todos os dados que você precisa persistir além do tempo de vida da instância de caderno devem ser transferidos para um bucket do Amazon S3.
nota
Algumas SageMaker instâncias baseadas em Nitro incluem armazenamento local, dependendo do tipo de instância. Os volumes de armazenamento local são criptografados usando um módulo de hardware na instância. Você não pode usar uma KMS chave em um tipo de instância com armazenamento local. Para obter uma lista de tipos de instância que oferecem suporte ao armazenamento de instâncias local, consulte Volumes de armazenamento de instâncias. Para obter mais informações sobre volumes de armazenamento em instâncias baseadas em Nitro, consulte NVMeAmazon EBS e Instâncias Linux.
Para obter mais informações sobre criptografia de armazenamento de instâncias locais, consulte Volumes de armazenamento de SSD instâncias.