Enkripsi Data Output menggunakan KMS Enkripsi Pelabelan Data Otomatis Volume Penyimpanan Instans Komputasi Volume

Enkripsi Data Output dan Volume Penyimpanan dengan AWS KMS

Anda dapat menggunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data keluaran dari pekerjaan pelabelan dengan menentukan kunci terkelola pelanggan saat Anda membuat pekerjaan pelabelan. Jika Anda menggunakan operasi API CreateLabelingJob untuk membuat pekerjaan pelabelan yang menggunakan pelabelan data otomatis, Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML untuk menjalankan tugas pelatihan dan inferensi.

Bagian ini menjelaskan kebijakan IAM yang harus Anda lampirkan ke kunci terkelola pelanggan Anda untuk mengaktifkan enkripsi data keluaran dan kebijakan yang harus Anda lampirkan ke kunci terkelola pelanggan dan peran eksekusi untuk menggunakan enkripsi volume penyimpanan. Untuk mempelajari selengkapnya tentang opsi ini, lihat Data Keluaran dan Enkripsi Volume Penyimpanan.

Enkripsi Data Output menggunakan KMS

Jika Anda menentukan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi data keluaran, Anda harus menambahkan kebijakan IAM yang mirip dengan kunci berikut ini. Kebijakan ini memberikan peran eksekusi IAM yang Anda gunakan untuk membuat izin pekerjaan pelabelan untuk menggunakan kunci ini untuk melakukan semua tindakan yang tercantum di dalamnya. "Action" Untuk mempelajari lebih lanjut tentang tindakan ini, lihat AWS KMS izin di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kebijakan ini, ganti ARN peran layanan IAM "Principal" dengan ARN peran eksekusi yang Anda gunakan untuk membuat pekerjaan pelabelan. Saat Anda membuat pekerjaan pelabelan di konsol, ini adalah peran yang Anda tentukan untuk Peran IAM di bawah bagian Ikhtisar pekerjaan. Saat Anda membuat pekerjaan pelabelan menggunakanCreateLabelingJob, ini adalah ARN yang Anda tentukan. RoleArn


{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Enkripsi Pelabelan Data Otomatis Volume Penyimpanan Instans Komputasi Volume

Jika Anda menentukan a VolumeKmsKeyIduntuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML yang digunakan untuk pelatihan dan inferensi pelabelan data otomatis, Anda harus melakukan hal berikut:

Lampirkan izin yang dijelaskan Enkripsi Data Output menggunakan KMS ke kunci yang dikelola pelanggan.
Lampirkan kebijakan yang mirip dengan berikut ini ke peran eksekusi IAM yang Anda gunakan untuk membuat pekerjaan pelabelan Anda. Ini adalah peran IAM yang Anda tentukan RoleArn. CreateLabelingJob Untuk mempelajari lebih lanjut tentang "kms:CreateGrant" tindakan yang diizinkan oleh kebijakan ini, lihat CreateGrantdi Referensi AWS Key Management Service API.


{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Untuk mempelajari lebih lanjut tentang enkripsi volume penyimpanan Ground Truth, lihatGunakan Kunci KMS Anda untuk Mengenkripsi Volume Penyimpanan Pelabelan Data Otomatis (Hanya API).

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat Peran SageMaker Eksekusi

Gunakan Ground Truth di Amazon VPC