Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verschlüsselung von Ausgabedaten und Speicher-Volumes mit AWS KMS

PDF
RSS
Fokusmodus
Verschlüsselung von Ausgabedaten und Speicher-Volumes mit AWS KMS - Amazon SageMaker KI
Ausgabedaten mit KMS verschlüsselnAutomatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können AWS Key Management Service (AWS KMS) verwenden, um Ausgabedaten aus einem Labeling-Job zu verschlüsseln, indem Sie bei der Erstellung des Labeling-Jobs einen vom Kunden verwalteten Schlüssel angeben. Wenn Sie den API-Vorgang CreateLabelingJob verwenden, um einen Kennzeichnungsauftrag zu erstellen, der das automatisierte Daten-Labeling verwendet, können Sie auch einen vom Kunden verwalteten Schlüssel verwenden, um das Speicher-Volume zu verschlüsseln, das an die ML-Datenverarbeitungs-Instances angehängt ist, um das Trainings- und Inference-Aufträge auszuführen.

In diesem Abschnitt werden die IAM-Richtlinien beschrieben, die Sie Ihrem vom Kunden verwalteten Schlüssel zuordnen müssen, um die Verschlüsselung der Ausgabedaten zu aktivieren, sowie die Richtlinien, die Sie Ihrem vom Kunden verwalteten Schlüssel und Ihrer Ausführungsrolle zuordnen müssen, um die Verschlüsselung von Speicher-Volumes verwenden zu können. Weitere Informationen zu diesen Optionen finden Sie unter Verschlüsselung von Ausgabedaten und Speicher-Volumes.

Ausgabedaten mit KMS verschlüsseln

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zum Verschlüsseln von Ausgabedaten angeben, müssen Sie diesem Schlüssel eine IAM-Richtlinie hinzufügen, die der folgenden ähnelt. Diese Richtlinie erteilt der IAM-Ausführungsrolle, mit der Sie Ihren Kennzeichnungsauftrag erstellen, die Berechtigung, diesen Schlüssel für die Ausführung aller unter "Action" aufgeführten Aktionen zu verwenden. Weitere Informationen zu diesen Aktionen finden Sie im AWS KMSAWS Key Management Service Entwicklerhandbuch unter Berechtigungen.

Um diese Richtlinie zu verwenden, ersetzen Sie den ARN der IAM-Service-Rolle in "Principal" durch den ARN der Ausführungsrolle mit der Sie den Kennzeichnungsauftrag erstellen. Wenn Sie in der Konsole einen Kennzeichnungsauftrag erstellen, ist dies die Rolle, die Sie für die IAM-Rolle im Abschnitt Auftragsübersicht angeben. Wenn Sie mit Hilfe von CreateLabelingJob einen Kennzeichnungsauftrag erstellen, ist dies der ARN, den Sie für RoleArn angeben.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Automatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)

Wenn Sie eine VolumeKmsKeyId angeben, um das an die ML-Datenverarbeitungs-Instance angehängte Speicher-Volume zu verschlüsseln, die für Training und Inference zum automatisierten Daten-Labeling verwendet wird, müssen Sie wie folgt vorgehen:

  • Fügen Sie zu dem vom Kunden verwalteten Schlüssel die unter Ausgabedaten mit KMS verschlüsseln beschriebenen Berechtigungen hinzu.

  • Fügen Sie eine Richtlinie ähnlich der folgenden an die IAM-Ausführungsrolle an, die Sie zum Erstellen Ihres Kennzeichnungsauftrags verwenden. Dies ist die IAM-Rolle, die Sie für RoleArn in CreateLabelingJob angeben. Weitere Informationen zu den "kms:CreateGrant" Aktionen, die diese Richtlinie zulässt, finden Sie CreateGrantin der AWS Key Management Service API-Referenz.

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Weitere Informationen zur Verschlüsselung von Ground-Truth-Speicher-Volumes finden Sie unter Verwenden Sie Ihren KMS-Schlüssel, um das Speicher-Volume für die automatische Datenbeschriftung zu verschlüsseln (nur API).

Auf dieser Seite

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.