本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
输出数据和存储卷加密
借助 Amazon G SageMaker round Truth,您可以标记高度敏感的数据,控制自己的数据,并采用安全最佳实践。在标注作业运行时,Ground Truth 会对传输中数据和静态数据进行加密。此外,你可以使用 AWS Key Management Service (AWS KMS) 和 Ground Truth 来执行以下操作:
-
使用客户托管密钥对输出数据进行加密。
-
在自动数据标签作业中使用 AWS KMS 客户托管密钥,对附加到用于模型训练和推理的计算实例的存储卷进行加密。
使用本页上的主题了解有关这些 Ground Truth 安全功能的更多信息。
使用您的KMS密钥加密输出数据
或者,您可以在创建标签任务时提供 AWS KMS 客户托管密钥,Ground Truth 使用该密钥来加密您的输出数据。
如果您不提供客户托管密钥,Amazon 会 SageMaker 使用您角色账户 AWS 托管式密钥 的 Amazon S3 默认密钥来加密您的输出数据。
如果您提供了客户托管密钥,则必须向使用 AWS KMS加密输出数据和存储卷中所述的密钥添加所需的权限。使用API操作时CreateLabelingJob,您可以使用参数指定您的客户托管密钥 ID KmsKeyId。请参阅以下过程,了解如何在使用控制台创建标注作业时添加客户托管密钥。
要添加 AWS KMS 密钥以加密输出数据(控制台),请执行以下操作:
-
完成创建标注作业(控制台)中的前 7 个步骤。
-
在步骤 8 中,选择其他配置旁边的箭头以展开此部分。
-
在加密密 AWS KMS 钥中,选择要用于加密输出数据的密钥。
-
完成创建标注作业(控制台)中的其余步骤来创建标注作业。
使用您的KMS密钥加密自动数据标签存储卷(API仅限)
当您使用CreateLabelingJobAPI操作创建带有自动数据标签的标签作业时,您可以选择加密连接到运行训练和推理作业的 ML 计算实例的存储卷。要向存储卷添加加密,请使用参数VolumeKmsKeyId输入 AWS KMS 客户托管密钥。有关该参数的更多信息,请参阅 LabelingJobResourceConfig。
如果您ARN为指定密钥 ID 或VolumeKmsKeyId,则您的 SageMaker执行角色必须包含调用权限kms:CreateGrant。要了解如何将该权限添加到执行角色中,请参阅为 Ground Truth 标签作业创建 SageMaker 执行角色。
注意
如果您在控制台中创建标签任务时指定了 AWS KMS 客户托管密钥,则该密钥仅用于加密您的输出数据。该密钥不用于加密附加到用于自动数据标注的 ML 计算实例的存储卷。
