Criptografia de volume de dados de saída e de armazenamento - Amazon SageMaker
Use sua chave KMS para criptografar dados de saídaUse a chave do KMS para criptografar o volume de armazenamento de rotulagem automática de dados (apenas API)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de volume de dados de saída e de armazenamento

Com o Amazon SageMaker Ground Truth, você pode rotular dados altamente confidenciais, manter o controle de seus dados e empregar as melhores práticas de segurança. Enquanto sua tarefa de rotulagem está em execução, o Ground Truth criptografa os dados em trânsito e em repouso. Além disso, você pode usar AWS Key Management Service (AWS KMS) com Ground Truth para fazer o seguinte:

  • Use uma chave gerenciada pelo cliente para criptografar os dados de saída.

  • Use a chave gerenciada pelo AWS KMS cliente com seu trabalho automatizado de rotulagem de dados para criptografar o volume de armazenamento anexado à instância de computação usada para treinamento e inferência de modelos.

Use os tópicos desta página para saber mais sobre os recursos de segurança do Ground Truth.

Use sua chave KMS para criptografar dados de saída

Opcionalmente, você pode fornecer uma chave gerenciada pelo AWS KMS cliente ao criar um trabalho de etiquetagem, que a Ground Truth usa para criptografar seus dados de saída.

Se você não fornecer uma chave gerenciada pelo cliente, a Amazon SageMaker usará o padrão Chave gerenciada pela AWS do Amazon S3 na conta da sua função para criptografar seus dados de saída.

Se você fornecer uma chave gerenciada pelo cliente, você deve adicionar as permissões obrigatórias à chave descrita em Criptografe os dados de saída e o volume de armazenamento com AWS KMS. Ao usar a operação de API CreateLabelingJob, você pode especificar o ID da chave gerenciada pelo cliente usando o parâmetro KmsKeyId. Consulte o procedimento a seguir para saber como adicionar uma chave gerenciada pelo cliente ao criar um trabalho de rotulagem usando o console.

Para adicionar uma AWS KMS chave para criptografar os dados de saída (console):

  1. Siga as sete etapas em Criar um trabalho de rotulagem (console).

  2. Na etapa 8, selecione a seta ao lado de Configuração adicional para expandir essa seção.

  3. Em Chave de criptografia, selecione a AWS KMS chave que você deseja usar para criptografar os dados de saída.

  4. Conclua o restante das etapas em Criar um trabalho de rotulagem (console) para criar um trabalho de rotulagem.

Use a chave do KMS para criptografar o volume de armazenamento de rotulagem automática de dados (apenas API)

Ao criar um trabalho de rotulagem com rotulagem automatizada de dados usando a operação de API CreateLabelingJob, você tem a opção de criptografar o volume de armazenamento anexado às instâncias de computação de ML que executam os trabalhos de treinamento e inferência. Para adicionar criptografia ao seu volume de armazenamento, use o parâmetro VolumeKmsKeyId para inserir uma chave gerenciada pelo AWS KMS cliente. Para obter mais informações sobre esse parâmetro, consulte LabelingJobResourceConfig.

Se você especificar um ID de chave ou ARN paraVolumeKmsKeyId, sua função de SageMaker execução deverá incluir permissões para chamar. kms:CreateGrant Para saber como adicionar essa permissão a um perfil de execução, consulte Crie uma função de SageMaker execução para um trabalho de etiquetagem da Ground Truth.

nota

Se você especificar uma chave gerenciada pelo AWS KMS cliente ao criar um trabalho de etiquetagem no console, essa chave será usada somente para criptografar seus dados de saída. Ele não é usado para criptografar o volume de armazenamento anexado às instâncias de computação de ML usadas para rotulagem automática de dados.