ステップ 5: (オプション) トレーニングファイルを暗号化する

以下のオプションのいずれかを選択して、コンソールバケットまたは外部の Amazon S3 バケットにある Amazon Rekognition Custom Labels のマニフェストファイルとイメージファイルを暗号化できます。

• Amazon S3 キー (SSE-S3) を使用します。

• を使用します AWS KMS key。

  注記

  呼び出し元の IAM プリンシパルには、ファイルを復号化するアクセス許可が必要です。詳細については、「で暗号化されたファイルの復号化 AWS Key Management Service」を参照してください。

Amazon S3 バケットの暗号化の詳細については、「Amazon S3 バケットのデフォルトのサーバー側の暗号化動作の設定」を参照してください。

で暗号化されたファイルの復号化 AWS Key Management Service

AWS Key Management Service (KMS) を使用して Amazon Rekognition Custom Labels マニフェストファイルとイメージファイルを暗号化する場合は、Amazon Rekognition Custom Labels を呼び出す IAM プリンシパルを KMS キーのキーポリシーに追加します。これにより、Amazon Rekognition Custom Labels はトレーニングの前にマニフェストとイメージファイルを復号できます。詳細については、「Amazon S3 バケットには、カスタム AWS KMS キーを使用したデフォルトの暗号化があります」を参照してください。ユーザーがバケットからダウンロードしたり、バケットにアップロードしたりできるようにする方法を教えてください。

IAM プリンシパルには、KMS キーに対する次のアクセス許可が必要です。

• kms:GenerateDataKey

• kms:Decrypt

詳細については、「AWS Key Management Service (SSE-KMS) に保存された KMS キーを使用したサーバー側暗号化を使用したデータの保護」を参照してください。

コピーしたトレーニングイメージとテストイメージを暗号化する

モデルをトレーニングするために、Amazon Rekognition Custom Labels は出典トレーニング画像とテストイメージのコピーを作成します。デフォルトでは、コピーされたイメージは、AWS が所有および管理するキーで保管時に暗号化されます。独自の AWS KMS keyの使用を選択することもできます。独自の KMS キーを使用する場合は、KMS キーに対する次のアクセス許可が必要です。

• kms:CreateGrant

• kms:DescribeKey

コンソールでモデルをトレーニングする場合、または CreateProjectVersion オペレーションを呼び出す場合に KMS キーを必要に応じて指定できます。使用する KMS キーは、Amazon S3 バケット内のマニフェストファイルとイメージファイルの暗号化に使用する KMS キーと同一である必要はありません。詳細については、「ステップ 5: (オプション) トレーニングファイルを暗号化する」を参照してください。

詳細については、「AWS Key Management Service の概念」を参照してください。ソース画像には影響がありません。

モデルをトレーニングする方法については、「Amazon Rekognition Custom Labels モデルをトレーニングする」を参照してください。