本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要加密連接至筆記本、處理任務、訓練任務、超參數調校任務、批次轉換任務和端點的機器學習 (ML) 儲存磁碟區,您可以將 AWS KMS 金鑰傳遞至 SageMaker AI。如果您未指定 KMS 金鑰,SageMaker AI 會使用暫時性金鑰加密儲存磁碟區,並在加密儲存磁碟區後立即將其捨棄。對於筆記本執行個體,如果您未指定 KMS 金鑰,SageMaker AI 會使用系統管理的 KMS 金鑰來加密作業系統磁碟區和 ML 資料磁碟區。
您可以使用 AWS 受管 AWS KMS 金鑰來加密所有執行個體作業系統磁碟區。您可以使用您指定的 AWS KMS 金鑰來加密所有 SageMaker AI 執行個體的所有 ML 資料磁碟區。機器學習 (ML) 儲存磁碟區的掛載方式如下:
-
筆記本 -
/home/ec2-user/SageMaker -
處理 -
/opt/ml/processing和/tmp/ -
訓練 -
/opt/ml/和/tmp/ -
批次 -
/opt/ml/和/tmp/ -
端點 -
/opt/ml/和/tmp/
處理、批次轉換和訓練任務容器及其儲存本質上是暫時性的。當任務完成時,使用 AWS KMS 加密搭配您指定的選用 AWS KMS 金鑰將輸出上傳至 Amazon S3,且執行個體會遭到破壞。如果任務請求中未提供 AWS KMS 金鑰,SageMaker AI 會使用 Amazon S3 的預設 AWS KMS 金鑰做為角色的帳戶。如果輸出資料存放在 Amazon S3 Express One Zone,則會使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。目前不支援使用 AWS KMS 金鑰 (SSE-KMS) 的伺服器端加密,以將 SageMaker AI 輸出資料儲存在 Amazon S3 目錄儲存貯體中。
注意
Amazon S3 AWS 受管金鑰的金鑰政策無法編輯,因此無法針對這些金鑰政策授予跨帳戶許可。如果請求的輸出 Amazon S3 儲存貯體來自另一個帳戶,請在任務請求中指定您自己的 AWS KMS 客戶金鑰,並確保任務的執行角色具有使用它加密資料的許可。
重要
由於合規原因,需要使用 KMS 金鑰加密的敏感資料應該儲存在機器學習 (ML) 儲存磁碟區或 Amazon S3 中,這兩者都可以使用您指定的 KMS 金鑰加密。
當您開啟筆記本執行個體時,SageMaker AI 預設會將它及其關聯的任何檔案儲存在 ML 儲存磁碟區的 SageMaker AI 資料夾中。當您停止筆記本執行個體時,SageMaker AI 會建立 ML 儲存磁碟區的快照。對已停止執行個體之作業系統所做的任何自訂都會失去,例如已安裝的自訂程式庫或作業系統層級設定。考慮使用生命週期組態來自動化預設筆記本執行個體的自訂。終止執行個體時,會刪除快照和機器學習 (ML) 儲存磁碟區。在筆記本執行個體的生命週期結束後您需要持續保存的任何資料都應該傳輸到 Amazon S3 儲存貯體。
注意
特定 Nitro 型 SageMaker AI 執行個體包含本機儲存體,視執行個體類型而定。本機儲存磁碟區會使用執行個體上的硬體模組加密。您無法在執行個體類型上搭配使用 KMS 金鑰與本機儲存。如需支援本機執行個體儲存的執行個體類型清單,請參閱執行個體存放磁碟區。如需 Nitro 型執行個體上儲存磁碟區的更多相關資訊,請參閱 Linux 執行個體上的 Amazon EBS 和 NVMe。
如需本機執行個體儲存加密的更多相關資訊,請參閱 SSD 執行個體存放磁碟區。
