Chiffrement des données et des volumes de stockage - Amazon SageMaker

Chiffrement des données et des volumes de stockage

Avec Amazon SageMaker Ground Truth, vous pouvez étiqueter des données hautement sensibles, garder le contrôle de vos données et appliquer les bonnes pratiques en matière de sécurité. Pendant que votre tâche d'étiquetage est en cours d'exécution, Ground Truth chiffre les données en transit et au repos. En outre, vous pouvez utiliser AWS Key Management Service (AWS KMS) avec Ground Truth (Ground Truth) pour effectuer ce qui suit :

  • Utilisez une clé gérée par le client pour chiffrer vos données de sortie.

  • Utilisez la clé AWS KMS gérée par le client avec votre tâche d'étiquetage automatique des données pour chiffrer le volume de stockage attaché à l'instance de calcul utilisée pour l'entraînement et l'inférence des modèles.

Utilisez les rubriques de cette page pour en savoir plus sur les fonctionnalités de sécurité de Ground Truth.

Utiliser votre clé KMS pour chiffrer les données de sortie

Le cas échéant, vous pouvez fournir une clé AWS KMS gérée par le client lorsque vous créez une tâche d'étiquetage, que Ground Truth utilise pour chiffrer vos données de sortie.

Si vous ne fournissez pas de clé gérée par le client, Amazon SageMaker utilise la Clé gérée par AWS par défaut pour Amazon S3 pour le compte de votre rôle afin de chiffrer vos données de sortie.

Si vous fournissez une clé gérée par le client, vous devez ajouter les autorisations requises à la clé décrites dans Chiffrer les données de sortie et de volume de stockage avec AWS KMS. Lorsque vous utilisez l'opération d'API CreateLabelingJob, vous pouvez spécifier l'ID de votre clé gérée par le client à l'aide du paramètre KmsKeyId. Consultez la procédure suivante pour savoir comment ajouter une clé gérée par le client lorsque vous créez une tâche d'étiquetage à l'aide de la console.

Pour ajouter une clé AWS KMS pour chiffrer les données de sortie (console) :

  1. Effectuez les 7 premières étapes dans Création d'une tâche d'étiquetage (Console).

  2. À l'étape 8, sélectionnez la flèche en regard de Additional configuration (Configuration supplémentaire) pour développer cette section.

  3. Pour Encryption key (Clé de chiffrement), sélectionnez la clé AWS KMS que vous souhaitez utiliser pour chiffrer les données de sortie.

  4. Suivez le reste des étapes dans Création d'une tâche d'étiquetage (Console) pour créer une tâche d'étiquetage.

Utiliser votre clé KMS pour chiffrer le volume de stockage d'étiquetage automatisé des données (API uniquement)

Lorsque vous créez une tâche d'étiquetage avec étiquetage automatisé à l'aide de l'opération d'API CreateLabelingJob, vous avez la possibilité de chiffrer le volume de stockage attaché aux instances de calcul ML qui exécutent les tâches d'entraînement et d'inférence. Pour ajouter un chiffrement à votre volume de stockage, utilisez le paramètre VolumeKmsKeyId pour entrer une clé AWS KMS gérée par le client. Pour de plus amples informations sur ce paramètre, veuillez consulter LabelingJobResourceConfig.

Si vous utilisez un ID de clé ou un ARN pour VolumeKmsKeyId, votre rôle d'exécution SageMaker doit inclure des autorisations pour appeler kms:CreateGrant. Pour savoir comment ajouter cette autorisation à un rôle d'exécution, consultez Créer un rôle d'exécution SageMaker pour une tâche d'étiquetage Ground Truth.

Note

Si vous spécifiez une clé gérée par le client AWS KMS lorsque vous créez une tâche d'étiquetage dans la console, cette clé est uniquement utilisée pour chiffrer vos données de sortie. Elle n'est pas utilisée pour chiffrer le volume de stockage attaché aux instances de calcul ML utilisées pour l'étiquetage automatisé des données.