Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Instances de bloc-notes, SageMaker tâches et points de terminaison
Pour chiffrer le volume de stockage d'apprentissage automatique (ML) attaché aux blocs-notes, aux tâches de traitement, aux tâches de formation, aux tâches de réglage des hyperparamètres, aux tâches de transformation par lots et aux terminaux, vous pouvez transmettre un AWS KMS clé pour SageMaker. Si vous ne spécifiez aucune KMS clé, SageMaker chiffre les volumes de stockage à l'aide d'une clé transitoire et la supprime immédiatement après le chiffrement du volume de stockage. Pour les instances de bloc-notes, si vous ne spécifiez pas de KMS clé, SageMaker chiffre les volumes du système d'exploitation et les volumes de données ML à l'aide d'une clé gérée par le systèmeKMS.
Vous pouvez utiliser un AWS gérés AWS KMS clé pour chiffrer tous les volumes du système d'exploitation de l'instance. Vous pouvez chiffrer tous les volumes de données ML pour toutes les SageMaker instances à l'aide d'un AWS KMS clé que vous spécifiez. Les volumes de stockage ML sont montés comme suit :
-
Blocs-notes :
/home/ec2-user/SageMaker -
Traitement :
/opt/ml/processinget/tmp/ -
Entraînement :
/opt/ml/et/tmp/ -
Traitement par lots :
/opt/ml/et/tmp/ -
Points de terminaison :
/opt/ml/et/tmp/
Les conteneurs des tâches de traitement, de traitement par lots et d'entraînement, ainsi que leur stockage, sont de nature éphémère. Lorsque le travail est terminé, la sortie est téléchargée sur Amazon S3 à l'aide de AWS KMS cryptage avec une option AWS KMS clé que vous spécifiez et l'instance est démolie. Si un AWS KMS La clé n'est pas fournie dans la demande de travail, SageMaker utilise la valeur par défaut AWS KMS clé pour Amazon S3 pour le compte de votre rôle. Si les données de sortie sont stockées dans Amazon S3 Express One Zone, elles sont chiffrées par chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).
Note
La politique clé d'un AWS La clé gérée pour Amazon S3 ne peut pas être modifiée. Par conséquent, les autorisations entre comptes ne peuvent pas être accordées pour ces politiques clés. Si le compartiment Amazon S3 de sortie pour la demande provient d'un autre compte, spécifiez le vôtre AWS KMS Entrez la clé client dans la demande de tâche et assurez-vous que le rôle d'exécution de la tâche est autorisé à crypter les données à l'aide de cette dernière.
Important
Les données sensibles qui doivent être chiffrées avec une KMS clé pour des raisons de conformité doivent être stockées dans le volume de stockage ML ou dans Amazon S3, les deux pouvant être chiffrés à l'aide d'une KMS clé que vous spécifiez.
Lorsque vous ouvrez une instance de bloc-notes, SageMaker elle est enregistrée, ainsi que tous les fichiers qui lui sont associés, dans le SageMaker dossier du volume de stockage ML par défaut. Lorsque vous arrêtez une instance de bloc-notes, SageMaker crée un instantané du volume de stockage ML. Toutes les personnalisations du système d'exploitation de l'instance arrêtée, telles que les bibliothèques personnalisées installées ou les paramètres de niveau du système d'exploitation, sont perdues. Pensez à utiliser une configuration de cycle de vie pour automatiser les personnalisations de l'instance de bloc-notes par défaut. Lorsque vous terminez une instance, le snapshot et le volume de stockage ML sont supprimés. Toutes les données dont vous avez besoin au-delà de la durée de vie de l'instance de bloc-notes doivent être transférées dans un compartiment Amazon S3.
Note
Certaines SageMaker instances basées sur Nitro incluent le stockage local, selon le type d'instance. Les volumes de stockage local sont chiffrés à l'aide d'un module matériel sur l'instance. Vous ne pouvez pas utiliser de KMS clé sur un type d'instance doté d'un stockage local. Pour obtenir la liste des types d'instance qui prennent en charge le stockage d'instance local, consultez Volumes de stockage d'instance. Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez Amazon EBS et NVMe sur les instances Linux.
Pour plus d'informations sur le chiffrement du stockage des instances locales, consultez la section SSDInstance Store Volumes.
