笔记本实例、 SageMaker 作业和终端节点 - Amazon SageMaker

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

笔记本实例、 SageMaker 作业和终端节点

要加密连接到笔记本、处理作业、训练作业、超参数调整作业、批处理转换作业和端点的机器学习 (ML) 存储卷,您可以将 AWS KMS 密钥传递给。 SageMaker如果您未指定KMS密钥,则使用临时密钥 SageMaker加密存储卷,并在加密存储卷后立即将其丢弃。对于笔记本实例,如果您未指定KMS密钥,则使用系统管理的密钥对操作系统KMS卷和机器学习数据卷进行 SageMaker 加密。

您可以使用 AWS 托管密 AWS KMS 钥加密所有实例操作系统卷。您可以使用您指定的密 AWS KMS 钥加密所有 SageMaker 实例的所有 ML 数据卷。按以下方式挂载机器学习存储卷:

  • 笔记本 - /home/ec2-user/SageMaker

  • 处理 - /opt/ml/processing/tmp/

  • 训练 - /opt/ml//tmp/

  • 批处理 - /opt/ml//tmp/

  • 终端节点 - /opt/ml//tmp/

处理、批量转换和训练作业容器及其存储本质上是短暂的。任务完成后,使用您指定的可选 AWS KMS 密钥 AWS KMS 加密将输出上传到 Amazon S3,实例将被拆除。如果任务请求中未提供 AWS KMS 密钥,则 SageMaker 使用角色账户的 Amazon S3 默认 AWS KMS 密钥。如果输出数据存储在 Amazon S3 Express One 区域中,则使用 Amazon S3 托管密钥 (SSE-S3) 使用服务器端加密对其进行加密。目前不支持使用 AWS KMS 密钥 (SSE-KMS) 进行服务器端加密以将 SageMaker 输出数据存储在 Amazon S3 目录存储桶中。

注意

Amazon S3 AWS 托管密钥的密钥策略无法编辑,因此无法为这些密钥策略授予跨账户权限。如果请求的输出 Amazon S3 存储桶来自其他账户,请在任务请求中指定您自己的 AWS KMS 客户密钥,并确保任务的执行角色有权使用它加密数据。

重要

出于合规原因需要使用KMS密钥加密的敏感数据应存储在 ML 存储卷或 Amazon S3 中,这两者都可以使用您指定的KMS密钥进行加密。

默认情况下,当您打开笔记本实例时, SageMaker 会将其以及与之关联的所有文件保存在 ML 存储卷的 SageMaker 文件夹中。停止笔记本实例时, SageMaker 会创建 ML 存储卷的快照。对已停止实例的操作系统的任何自定义设置(例如已安装的自定义库或操作系统级别设置)都将丢失。考虑使用生命周期配置来自动执行默认笔记本实例的自定义。当您终止实例时,快照和机器学习存储卷将被删除。您需要在笔记本实例的生命周期之后保留的任何数据都应传输到 Amazon S3 存储桶。

注意

某些基于 Nitro 的 SageMaker 实例包括本地存储,具体取决于实例类型。使用实例上的硬件模块对本地存储卷进行加密。您不能在具有本地存储空间的实例类型上使用KMS密钥。有关支持本地实例存储的实例类型的列表,请参阅实例存储卷。有关基于 Nitro 的实例上的存储卷的更多信息,请参阅 Amaz NVMe on EBS 和 Linux 实例

有关本地实例存储加密的更多信息,请参阅SSD实例存储卷