Protection des données en transit à l'aide du chiffrement - Amazon SageMaker

Protection des données en transit à l'aide du chiffrement

Toutes les données inter-réseau en transit prennent en charge le chiffrement TLS 1.2.

Amazon SageMaker garantit que les artefacts de modèle de machine learning (ML) et d'autres artefacts système sont chiffrés en transit et au repos. Les demandes adressées à la console et à l'API SageMaker sont envoyées par le biais d'une connexion sécurisée (SSL). Vous transmettez les rôles AWS Identity and Access Management à SageMaker pour fournir des autorisations d'accès aux ressources en votre nom pour l'entraînement et le déploiement. Vous pouvez utiliser des compartiments Amazon S3 chiffrés pour les données et artefacts de modèle, et vous pouvez transmettre une clé AWS KMS aux instances SageMaker pour chiffrer les volumes de stockage de ML attachés.

Certaines données intra-réseau en transit (au sein de la plateforme de service) ne sont pas chiffrées. Cela comprend :

  • Communications de commande et de contrôle entre le plan de contrôle de service et les instances de tâche d'entraînement (pas les données client).

  • Communications entre les nœuds dans les tâches de traitement distribuées (intra-réseau).

  • Communications entre les nœuds dans les tâches d'entraînement distribué (intra-réseau).

Il n'existe aucune communication entre les nœuds pour le traitement par lots.

Vous pouvez choisir de chiffrer la communication entre les nœuds d'un cluster d'entraînement. Pour plus d'informations sur la procédure à utiliser, consultez Protection des communications entres instances de calcul ML dans une tâche d'entraînement distribué. L'activation du chiffrement du trafic entre conteneurs peut augmenter la durée de l'entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. Pour les algorithmes concernés, l'ajout de ce niveau de sécurité augmente également les coûts. La durée d'entraînement pour la plupart des algorithmes SageMaker intégrés (XGBoost, DeepAR, apprentissage linéaire, etc.) n'est généralement pas affectée.

Les points de terminaison homologués FIPS sont disponibles pour l'API SageMaker et le routeur de demande pour les modèles hébergés (runtime). Pour de plus amples informations sur les points de terminaison conformes aux standards FIPS, veuillez consulter Federal Information Processing Standard (FIPS) 140-2.