Chiffrer les données de sortie et de volume de stockage avec AWS KMS - Amazon SageMaker

Chiffrer les données de sortie et de volume de stockage avec AWS KMS

Vous pouvez utiliser le AWS Key Management Service (AWS KMS) pour chiffrer les données en sortie d'une tâche d'étiquetage en spécifiant une clé gérée par le client lorsque vous créez la tâche d'étiquetage. Si vous utilisez l'opération d'API CreateLabelingJob pour créer une tâche d'étiquetage qui utilise l'étiquetage automatisé des données, vous pouvez également utiliser une clé gérée par le client pour chiffrer le volume de stockage attaché aux instances de calcul ML pour exécuter les tâches d'entraînement et d'inférence.

Cette section décrit les politiques IAM que vous devez attacher à votre clé gérée par le client pour activer le chiffrement des données de sortie et les politiques que vous devez attacher à votre clé gérée par le client et à votre rôle d'exécution pour utiliser le chiffrement du volume de stockage. Pour en savoir plus sur ces options, consultez Chiffrement des données et des volumes de stockage.

Chiffrer les données de sortie à l'aide de KMS

Si vous spécifiez une clé AWS KMS gérée par le client pour chiffrer les données de sortie, vous devez ajouter une politique IAM similaire à la suivante à cette clé. Cette stratégie donne au rôle d'exécution IAM que vous utilisez pour créer votre tâche d'étiquetage l'autorisation d'utiliser cette clé pour effectuer toutes les actions listées dans "Action". Pour en savoir plus sur ces actions, veuillez consulter autorisations AWS KMS dans le Guide du développeur AWS Key Management Service.

Pour utiliser cette stratégie, remplacez l'ARN du rôle de service IAM dans "Principal" par l'ARN du rôle d'exécution utilisé pour créer la tâche d'étiquetage. Lorsque vous créez une tâche d'étiquetage dans la console, c'est le rôle que vous spécifiez pour IAM Role (Rôle IAM) sous la section Présentation de la tâche. Lorsque vous créez une tâche d'étiquetage à l'aide CreateLabelingJob, c'est l'ARN que vous spécifiez pour RoleArn.

{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/example-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }

Chiffrer le volume de stockage d'instance de calcul ML de l'étiquetage automatisé des données

Si vous spécifiez un VolumeKmsKeyId pour chiffrer le volume de stockage attaché à l'instance de calcul ML utilisée pour l'entraînement et l'inférence automatisées d'étiquetage des données, vous devez effectuer les opérations suivantes :

  • Attachez les autorisations décrites dans Chiffrer les données de sortie à l'aide de KMS à la clé gérée par le client.

  • Attacher une stratégie semblable à la suivante au rôle d'exécution IAM que vous utilisez pour créer votre tâche d'étiquetage. Il s'agit du rôle IAM que vous spécifiez pour RoleArn dans CreateLabelingJob. Pour en savoir plus sur l'action "kms:CreateGrant" que cette stratégie autorise, veuillez consulter CreateGrant dans la Référence API AWS Key Management Service.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*" } ] }

Pour en savoir plus sur le chiffrement des volumes de stockage Ground Truth, veuillez consulter Utiliser votre clé KMS pour chiffrer le volume de stockage d'étiquetage automatisé des données (API uniquement).