Criptografar dados de saída usando o KMS Criptografe dados automatizados, rotulagem e volume de armazenamento de instâncias de computação de ML

Criptografe os dados de saída e o volume de armazenamento com AWS KMS

Você pode usar AWS Key Management Service (AWS KMS) para criptografar os dados de saída de um trabalho de etiquetagem especificando uma chave gerenciada pelo cliente ao criar o trabalho de etiquetagem. Se você usar a operação de API CreateLabelingJob para criar um trabalho de rotulagem que usa rotulagem automatizada de dados, você também pode usar uma chave gerenciada pelo cliente para criptografar o volume de armazenamento anexado às instâncias de computação de ML para executar os trabalhos de treinamento e inferência.

Esta seção descreve as políticas do IAM que você deve anexar à chave gerenciada pelo cliente para habilitar a criptografia de dados de saída e as políticas que você deve anexar à chave gerenciada pelo cliente e à função de execução para usar a criptografia do volume de armazenamento. Para saber mais sobre essas opções, consulte Criptografia de volume de dados de saída e de armazenamento.

Criptografar dados de saída usando o KMS

Se você especificar uma chave gerenciada pelo AWS KMS cliente para criptografar os dados de saída, deverá adicionar uma política do IAM semelhante à seguinte a essa chave. Essa política dá à função de execução do IAM que você usa para criar seu trabalho de rotulagem permissão para usar essa chave para realizar todas as ações listadas em "Action". Para saber mais sobre essas ações, consulte AWS KMS as permissões no Guia do AWS Key Management Service desenvolvedor.

Para usar essa política, substitua o ARN da função de serviço do IAM em "Principal" pelo perfil de execução que você usa para criar o trabalho de rotulagem. Quando você cria um trabalho de rotulagem no console, esse é a função que você especifica para a Função do IAM na seção Visão geral do trabalho. Quando você cria um trabalho de rotulagem usando o CreateLabelingJob, esse é o ARN que você especifica para o RoleArn.


{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Criptografe dados automatizados, rotulagem e volume de armazenamento de instâncias de computação de ML

Se você especificar a VolumeKmsKeyId para criptografar o volume de armazenamento anexado à instância de computação de ML usada para treinamento e inferência automatizados de rotulagem de dados, faça o seguinte:

Anexe as permissões descritas em Criptografar dados de saída usando o KMS à chave gerenciada pelo cliente.
Anexe uma política semelhante à que segue para a função de execução do IAM que você usará para criar o trabalho de rotulagem. Essa é a função do IAM que você especifica RoleArn em CreateLabelingJob. Para saber mais sobre a "kms:CreateGrant" ação que essa política permite, consulte CreateGranta Referência da AWS Key Management Service API.


{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

Para saber mais sobre a criptografia de volume de armazenamento do Ground Truth, consulte Use a chave do KMS para criptografar o volume de armazenamento de rotulagem automática de dados (apenas API).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar uma função SageMaker de execução

Use o Ground Truth em uma Amazon VPC