Verschlüsselung von Ausgabedaten und Speicher-Volumes mit AWS KMS - Amazon SageMaker
Verschlüsseln Sie die Ausgabedaten mit KMSAutomatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung von Ausgabedaten und Speicher-Volumes mit AWS KMS

Sie können AWS Key Management Service (AWS KMS) verwenden, um die Ausgabedaten eines Labeling-Jobs zu verschlüsseln, indem Sie bei der Erstellung des Labeling-Jobs einen vom Kunden verwalteten Schlüssel angeben. Wenn Sie den API Vorgang verwenden, CreateLabelingJob um einen Labeling-Job zu erstellen, der automatisierte Datenbeschriftung verwendet, können Sie auch einen vom Kunden verwalteten Schlüssel verwenden, um das an die ML-Compute-Instances angehängte Speichervolume zu verschlüsseln, um die Trainings- und Inferenzjobs auszuführen.

In diesem Abschnitt werden die IAM Richtlinien beschrieben, die Sie Ihrem vom Kunden verwalteten Schlüssel zuordnen müssen, um die Verschlüsselung der Ausgabedaten zu aktivieren, und die Richtlinien, die Sie Ihrem vom Kunden verwalteten Schlüssel und Ihrer Ausführungsrolle zuordnen müssen, um die Speichervolumenverschlüsselung verwenden zu können. Weitere Informationen zu diesen Optionen finden Sie unter Verschlüsselung von Ausgabedaten und Speicher-Volumes.

Verschlüsseln Sie die Ausgabedaten mit KMS

Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zum Verschlüsseln von Ausgabedaten angeben, müssen Sie diesem Schlüssel eine IAM Richtlinie hinzufügen, die der folgenden ähnelt. Diese Richtlinie erteilt der IAM Ausführungsrolle, mit der Sie Ihren Labeling-Job erstellen, die Berechtigung, diesen Schlüssel für die Ausführung aller unter aufgeführten Aktionen zu verwenden. "Action" Weitere Informationen zu diesen Aktionen finden Sie im AWS Key Management Service Entwicklerhandbuch unter AWS KMS Berechtigungen.

Um diese Richtlinie zu verwenden, ersetzen Sie die IAM Service-Rolle ARN in durch die Ausführungsrolle, "Principal" mit ARN der Sie den Labeling-Job erstellen. Wenn Sie in der Konsole einen Labeling-Job erstellen, ist dies die Rolle, die Sie im Abschnitt Jobübersicht für IAMRolle angeben. Wenn Sie einen Labeling-Job mit erstellenCreateLabelingJob, geben ARN Sie dies für an RoleArn.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Automatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)

Wenn Sie eine VolumeKmsKeyId angeben, um das an die ML-Datenverarbeitungs-Instance angehängte Speicher-Volume zu verschlüsseln, die für Training und Inference zum automatisierten Daten-Labeling verwendet wird, müssen Sie wie folgt vorgehen:

  • Fügen Sie zu dem vom Kunden verwalteten Schlüssel die unter Verschlüsseln Sie die Ausgabedaten mit KMS beschriebenen Berechtigungen hinzu.

  • Fügen Sie der IAM Ausführungsrolle, mit der Sie Ihren Labeling-Job erstellen, eine Richtlinie ähnlich der folgenden hinzu. Dies ist die IAM Rolle, für die Sie RoleArnin angebenCreateLabelingJob. Weitere Informationen zu den "kms:CreateGrant" Maßnahmen, die diese Richtlinie zulässt, finden Sie CreateGrantin der AWS Key Management Service API Referenz.

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Weitere Informationen zur Verschlüsselung von Ground-Truth-Speicher-Volumes finden Sie unter Verwenden Sie Ihren KMS Schlüssel, um das Speichervolume mit automatisierter Datenbeschriftung zu verschlüsseln (nur) API.