筆記本執行個體、 SageMaker 工作和端點 - Amazon SageMaker

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

筆記本執行個體、 SageMaker 工作和端點

若要加密附加至筆記本、處理工作、訓練工作、超參數調整工作、批次轉換工作和端點的機器學習 (ML) 儲存磁碟區,您可以將 AWS KMS 金鑰傳遞給。 SageMaker如果您未指定KMS金鑰,請使用暫時性金鑰 SageMaker加密儲存磁碟區,並在加密儲存磁碟區後立即捨棄該金鑰。對於筆記本執行個體,如果您未指定KMS金鑰,請使用系統管理的金鑰 SageMaker 加密作業系統KMS磁碟區和 ML 資料磁碟區。

您可以使用 AWS 受管 AWS KMS 金鑰來加密所有執行個體作業系統磁碟區。您可以使用指定的 AWS KMS 金鑰加密所有 SageMaker 執行個體的所有 ML 資料磁碟區。機器學習 (ML) 儲存磁碟區的掛載方式如下:

  • 筆記本 - /home/ec2-user/SageMaker

  • 處理 - /opt/ml/processing/tmp/

  • 訓練 - /opt/ml//tmp/

  • 批次 - /opt/ml//tmp/

  • 端點 - /opt/ml//tmp/

處理、批次轉換和訓練任務容器及其儲存本質上是暫時性的。任務完成後,輸出會使用您指定的選用 AWS KMS 金鑰 AWS KMS 加密,並將執行個體拆除,將輸出上傳到 Amazon S3。如果任務請求中未提供 AWS KMS 金鑰,請 SageMaker 使用您角色帳戶的 Amazon S3 預設金鑰。 AWS KMS 如果輸出資料存放在 Amazon S3 Express 單一區域,則會使用 Amazon S3 受管金鑰 (SSE-S3) 使用伺服器端加密加密。

注意

無法編輯 Amazon S3 受 AWS 管金鑰的金鑰政策,因此無法為這些金鑰政策授與跨帳戶許可。如果請求的輸出 Amazon S3 儲存貯體來自其他帳戶,請在任務請求中指定您自己的 AWS KMS 客戶金鑰,並確保任務的執行角色具有使用其加密資料的權限。

重要

出於合規原因需要使用KMS金鑰加密的敏感資料應存放在 ML 儲存磁碟區或 Amazon S3 中,兩者都可以使用您指定的KMS金鑰加密。

當您開啟筆記本執行個體時,依預設,會 SageMaker 將它及與其相關聯的任何檔案儲存在 ML 儲存磁碟區的 SageMaker 資料夾中。當您停止筆記本執行個體時, SageMaker 會建立 ML 儲存磁碟區的快照。對已停止執行個體之作業系統所做的任何自訂都會失去,例如已安裝的自訂程式庫或作業系統層級設定。考慮使用生命週期組態來自動化預設筆記本執行個體的自訂。終止執行個體時,會刪除快照和機器學習 (ML) 儲存磁碟區。在筆記本執行個體的生命週期結束後您需要持續保存的任何資料都應該傳輸到 Amazon S3 儲存貯體。

注意

某些以 Nitro 為基礎的 SageMaker 執行個體包含本機儲存,視執行個體類型而定。本機儲存磁碟區會使用執行個體上的硬體模組加密。您無法在具有本機儲存空間的執行個體類型上使用KMS金鑰。如需支援本機執行個體儲存的執行個體類型清單,請參閱執行個體存放磁碟區。如需 Nito 執行個體上儲存磁碟區的詳細資訊,請參閱 Amazon EBS 和 Linux 執行個體NVMe上的相關資訊。

如需本機執行個體儲存加密的詳細資訊,請參閱SSD執行個體儲存磁碟