本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以在建立標籤工作時指定客戶受管金鑰,藉此使用 AWS Key Management Service (AWS KMS) 加密來自標籤任務的輸出資料。如果您使用 API 作業 CreateLabelingJob 建立使用自動化資料標籤的標籤工作,您也可以使用客戶受管金鑰來加密連接至機器學習 (ML) 運算執行個體的儲存磁碟區,以執行訓練和推論工作。
本節說明您必須附加至客戶受管金鑰以啟用輸出資料加密的 IAM 政策,以及必須附加至客戶受管金鑰和執行角色的政策,以使用儲存磁碟區加密。若要進一步了解這些選項,請參閱輸出資料與儲存磁碟區加密。
使用 KMS 加密輸出資料
如果您指定 AWS KMS 客戶受管金鑰來加密輸出資料,則必須將類似下列內容的 IAM 政策新增至該金鑰。此政策提供您用來建立標籤工作權限的 IAM 執行角色,以便使用此金鑰執行 "Action" 中列出的所有動作。若要進一步了解這些動作,請參閱《 AWS Key Management Service 開發人員指南》中的AWS KMS 許可。
要使用此政策,請將 "Principal" 的 IAM 服務角色 ARN,取代為您用來建立標籤工作的執行角色 ARN。在主控台中建立標籤工作時,這是您在工作概觀區段下為 IAM 角色指定的角色。使用 CreateLabelingJob 建立標籤工作時,這是您為 RoleArn 指定的 ARN。
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}加密自動化資料標籤機器學習 (ML) 運算執行個體儲存磁碟區
如果您指定一個 VolumeKmsKeyId,用來加密機器學習 (ML) 運算執行個體的儲存磁碟區,其用於自動化資料標籤訓練和推論,則必須執行下列動作:
-
將 使用 KMS 加密輸出資料 中描述的許可附加至客戶受管金鑰。
-
將類似下列內容的政策,附加至您用來建立標籤工作的 IAM 執行角色。這是您在
CreateLabelingJob中為RoleArn指定的 IAM 角色。若要進一步了解此政策允許"kms:CreateGrant"的動作,請參閱 AWS Key Management Service API 參考CreateGrant中的 。
{
"Version": "2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}若要進一步了解 Ground Truth 儲存磁碟區加密,請參閱使用 KMS 金鑰加密自動化資料標籤儲存磁碟區 (僅限 API)。
