筆記本執行個體、 SageMaker 工作和端點 - Amazon SageMaker

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

筆記本執行個體、 SageMaker 工作和端點

若要加密連接至筆記本、處理任務、訓練任務、超參數調校任務、批次轉換任務和端點的機器學習 (ML) 儲存磁碟區,您可以將 AWS KMS 金鑰傳遞至 SageMaker。如果您未指定KMS金鑰, SageMaker 會使用暫時性金鑰加密儲存磁碟區,並在加密儲存磁碟區後立即將其捨棄。對於筆記本執行個體,如果您未指定KMS金鑰, 會使用系統管理KMS金鑰 SageMaker 加密作業系統磁碟區和 ML 資料磁碟區。

您可以使用 AWS 受管 AWS KMS 金鑰來加密所有執行個體作業系統磁碟區。您可以使用您指定的 AWS KMS 金鑰加密所有 SageMaker 執行個體的所有 ML 資料磁碟區。機器學習 (ML) 儲存磁碟區的掛載方式如下:

  • 筆記本 - /home/ec2-user/SageMaker

  • 處理 - /opt/ml/processing/tmp/

  • 訓練 - /opt/ml//tmp/

  • 批次 - /opt/ml//tmp/

  • 端點 - /opt/ml//tmp/

處理、批次轉換和訓練任務容器及其儲存本質上是暫時性的。當任務完成時,會使用 AWS KMS 加密搭配您指定的選用 AWS KMS 金鑰將輸出上傳到 Amazon S3,且執行個體會遭到撕裂。如果任務請求中未提供 AWS KMS 金鑰, 會針對角色的帳戶 SageMaker 使用 Amazon S3 的預設 AWS KMS 金鑰。如果輸出資料存放在 Amazon S3 Express One Zone,則會使用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密進行加密。目前不支援使用 AWS KMS 金鑰 (SSE-KMS) 的伺服器端加密,以將 SageMaker 輸出資料儲存在 Amazon S3 目錄儲存貯體中。

注意

Amazon S3 的 AWS Managed Key 金鑰政策無法編輯,因此無法針對這些金鑰政策授予跨帳戶許可。如果請求的輸出 Amazon S3 儲存貯體來自另一個帳戶,請在任務請求中指定您自己的 AWS KMS 客戶金鑰,並確保任務的執行角色具有使用它加密資料的許可。

重要

基於合規原因而需要使用KMS金鑰加密的敏感資料應存放在 ML 儲存磁碟區或 Amazon S3 中,這兩者都可以使用您指定的KMS金鑰加密。

當您開啟筆記本執行個體時, 會依預設將其及其相關聯的任何檔案儲存在 ML SageMaker 儲存磁碟區中的 SageMaker 資料夾中。當您停止筆記本執行個體時, 會 SageMaker 建立 ML 儲存磁碟區的快照。對已停止執行個體之作業系統所做的任何自訂都會失去,例如已安裝的自訂程式庫或作業系統層級設定。考慮使用生命週期組態來自動化預設筆記本執行個體的自訂。終止執行個體時,會刪除快照和機器學習 (ML) 儲存磁碟區。在筆記本執行個體的生命週期結束後您需要持續保存的任何資料都應該傳輸到 Amazon S3 儲存貯體。

注意

某些 Nitro 型 SageMaker 執行個體包含本機儲存體,視執行個體類型而定。本機儲存磁碟區會使用執行個體上的硬體模組加密。您無法在具有本機儲存體的執行個體類型上使用KMS金鑰。如需支援本機執行個體儲存的執行個體類型清單,請參閱執行個體存放磁碟區。如需 Nitro 型執行個體上儲存磁碟區的詳細資訊,請參閱 Amazon EBS和 Linux 執行個體NVMe上的

如需本機執行個體儲存體加密的詳細資訊,請參閱SSD執行個體存放區磁碟區