암호화를 사용하여 유휴 데이터 보호 - Amazon SageMaker

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

암호화를 사용하여 유휴 데이터 보호

모델 빌드 데이터와 모델 아티팩트를 보호하려면 암호화된 Amazon Simple Storage Service(Amazon S3) 버킷을 사용합니다. 노트북, 처리 작업, 훈련 작업, 하이퍼파라미터 튜닝 작업, 배치 변환 작업 및 엔드포인트에 연결된 기계 학습(ML) 스토리지 볼륨을 암호화하려면 AWS Key Management Service(AWS KMS) 키를 Amazon SageMaker에 전달합니다. KMS 키를 지정하지 않은 경우 Amazon SageMaker는 임시 키로 스토리지 볼륨을 암호화하고 스토리지 볼륨이 암호화된 즉시 이 키를 삭제합니다. 노트북 인스턴스의 경우 KMS 키를 지정하지 않으면 SageMaker 시스템에서 관리하는 KMS 키로 OS 볼륨과 ML 데이터 볼륨을 모두 암호화합니다.

AWS 관리형 KMS 키를 사용하여 모든 인스턴스 OS 볼륨을 암호화할 수 있습니다. 지정한 KMS 키를 사용하여 모든 Amazon SageMaker 인스턴스에 대한 모든 ML 데이터 볼륨을 암호화할 수 있습니다. ML 스토리지 볼륨은 다음과 같이 마운트됩니다.

  • 노트북 - /home/ec2-user/SageMaker

  • 처리 중 - /opt/ml/processing/tmp/

  • 교육 - /opt/ml//tmp/

  • 모두 - /opt/ml//tmp/

  • 평가변수 - /opt/ml//tmp/

처리, 배치 변환, 훈련 작업 컨테이너 및 해당 스토리지는 기본적으로 일시적입니다. 작업이 완료되면 AWS KMS 암호화(사용자가 지정한 선택적 KMS 키 사용)를 사용하여 출력이 Amazon S3으로 업로드되고 인스턴스가 종료됩니다.

중요

규정 준수를 위해 KMS 키로 암호화해야 하는 중요한 데이터는 ML 스토리지 볼륨 또는 Amazon S3에 저장해야 합니다. 두 가지 모두 지정한 KMS 키를 사용하여 암호화할 수 있습니다.

노트북 인스턴스를 열면 Amazon SageMaker에서 기본적으로 이 인스턴스 및 이 인스턴스와 연결된 모든 파일을 ML 스토리지 볼륨의 Amazon SageMaker 폴더에 저장합니다. 노트북 인스턴스를 중지하면 Amazon SageMaker에서 ML 스토리지 볼륨의 스냅샷을 생성합니다. 설치된 사용자 지정 라이브러리 또는 운영 체제 수준 설정과 같이 중지된 인스턴스의 운영 체제에 대한 사용자 지정은 모두 손실됩니다. 수명 주기 구성을 사용하여 기본 노트북 인스턴스의 사용자 지정을 자동화하는 것이 좋습니다. 인스턴스를 종료하면 스냅샷과 ML 스토리지 볼륨이 삭제됩니다. 노트북 인스턴스의 수명을 초과하여 유지해야 하는 모든 데이터는 Amazon S3 버킷으로 전송해야 합니다.

참고

특정 Nitro 기반 Amazon SageMaker 인스턴스는 인스턴스 유형에 종속된 로컬 스토리지를 포함합니다. 로컬 스토리지 볼륨은 인스턴스의 하드웨어 모듈을 사용하여 암호화됩니다. 로컬 스토리지가 있는 인스턴스 유형에서는 KMS 키를 사용할 수 없습니다. 로컬 인스턴스 스토리지를 지원하는 인스턴스 유형 목록은 인스턴스 스토어 볼륨을 참조하십시오. Nitro 기반 인스턴스의 스토리지 볼륨에 관한 자세한 내용은 Linux 인스턴스의 Amazon EBS 및 NVMe를 참조하십시오.

로컬 인스턴스 스토리지 암호화에 대한 자세한 내용은 SSD 인스턴스 스토어 볼륨을 참조하십시오.