使用 AWS KMS的加密輸出資料和儲存磁碟區

您可以在建立標籤工作時指定客戶受管金鑰，以使用 AWS Key Management Service (AWS KMS) 加密來自標籤任務的輸出資料。如果您使用 API操作CreateLabelingJob來建立使用自動資料標籤的標籤工作，您也可以使用客戶受管金鑰來加密連接至 ML 運算執行個體的儲存磁碟區，以執行訓練和推論工作。

本節說明您必須連接至客戶受管金鑰以啟用輸出資料加密IAM的政策，以及您必須連接至客戶受管金鑰和執行角色以使用儲存磁碟區加密的政策。若要進一步了解這些選項，請參閱輸出資料與儲存磁碟區加密。

使用 加密輸出資料 KMS

如果您指定 AWS KMS 客戶受管金鑰來加密輸出資料，則必須將類似下列IAM的政策新增至該金鑰。此政策提供您用來建立標籤工作的IAM執行角色，以使用此金鑰執行 中列出的所有動作"Action"。若要進一步了解這些動作，請參閱《 AWS Key Management Service 開發人員指南》中的AWS KMS 許可。

若要使用此政策，請將 ARN 中的IAM服務角色取代"Principal"為您用來建立標籤工作的執行角色ARN的 。當您在主控台中建立標籤任務時，這是您在任務概觀區段中為IAM角色指定的角色。當您使用 建立標籤任務時CreateLabelingJob，這是ARN您為 指定的RoleArn。

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

加密自動化資料標籤機器學習 (ML) 運算執行個體儲存磁碟區

如果您指定一個 VolumeKmsKeyId，用來加密機器學習 (ML) 運算執行個體的儲存磁碟區，其用於自動化資料標籤訓練和推論，則必須執行下列動作：

• 將 使用 加密輸出資料 KMS 中描述的許可附加至客戶受管金鑰。

• 將類似下列的政策連接至您用來建立標籤工作的IAM執行角色。這是您在 RoleArn中為 指定的IAM角色CreateLabelingJob。若要進一步了解此政策允許"kms:CreateGrant"的動作，請參閱 參考CreateGrant中的 AWS Key Management Service API 。

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

若要進一步了解 Ground Truth 儲存磁碟區加密，請參閱使用您的 KMS 金鑰加密自動資料標籤儲存磁碟區 (API僅限 )。