本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 5:(可选)加密训练文件
您可以选择以下选项之一来加密控制台存储桶或外部 Amazon S3 存储桶中的 Amazon Rekognition Custom Labels 清单文件和图像文件。
使用亚马逊 S3 密钥 (SSE-S3)。
用你的 AWS KMS key.
注意
调用IAM主体需要解密文件的权限。有关更多信息,请参阅 解密使用加密的文件 AWS Key Management Service。
有关如何加密 Amazon S3 存储桶的信息,请参阅为 Amazon S3 存储桶设置默认服务器端加密行为。
解密使用加密的文件 AWS Key Management Service
如果你使用 AWS Key Management Service (KMS) 要加密您的亚马逊 Rekognition 自定义标签清单文件和图像文件,请将调用 Amazon Rekognition 自定义标签的主体IAM添加到密钥的密钥策略中。KMS这样做可以让 Amazon Rekognition Custom Labels 在训练之前解密清单和图像文件。有关更多信息,请参阅我的 Amazon S3 存储桶使用自定义密AWSKMS钥进行默认加密。如何允许用户从存储桶下载内容以及上传内容到存储桶?
IAM委托人需要对KMS密钥拥有以下权限。
kms: GenerateDataKey
kms:Decrypt
有关更多信息,请参阅使用存储在密钥管理服务中的KMSAWS密钥的服务器端加密来保护数据 (SSE-KMS)。
对复制的训练和测试图像进行加密
为了训练您的模型,Amazon Rekognition Custom Labels 会复制您的源训练图像和测试图像。默认情况下,使用AWS拥有和管理的密钥对复制的图像进行静态加密。你也可以选择自己的 AWS KMS key。 如果您使用自己的KMS密钥,则需要对该KMS密钥拥有以下权限。
kms: CreateGrant
kms: DescribeKey
在使用控制台训练模型或调用CreateProjectVersion操作时,可以选择指定KMS密钥。您使用的KMS密钥不必与用于加密 Amazon S3 存储桶中的清单和图像文件的密KMS钥相同。有关更多信息,请参阅 步骤 5:(可选)加密训练文件。
有关更多信息,请参阅AWS密钥管理服务概念。源图像不受影响。
有关训练模型的信息,请参阅训练 Amazon Rekognition Custom Labels 模型。
