使用加密保护传输中的数据 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密保护传输中的数据

所有传输中的网际数据都支持 TLS 1.2 加密。

亚马逊 SageMaker 确保在传输和静止状态时对机器学习 (ML) 模型项目和其他系统项目进行加密。向 SageMaker API 和控制台通过安全 (SSL) 连接创建。传递Amazon Identity and Access Management角色到 SageMaker 提供代表您访问资源以进行训练和部署的权限。您可以将加密的 Amazon S3 存储桶用于模型工件和数据,也可以通过Amazon KMS关键 SageMaker 实例来加密附加的 ML 存储卷。

某些网内数据在传输(在服务平台内)未加密。这包括:

  • 服务控制层面和训练作业实例(不是客户数据)之间的命令和控制通信。

  • 分布式处理作业(网络内)中节点之间的通信。

  • 分布式训练作业(网络内)中节点之间的通信。

没有用于批处理的节点间通信。

您可以选择加密训练群集中节点之间的通信。有关如何执行此操作的信息,请参阅 保护分布式训练作业中机器学习计算实例之间的通信。启用容器间流量加密可能会增加训练时间,在您使用分布式深度学习算法时尤其如此。对于受影响的算法,添加此另一层安全性还会增加成本。大多数人的训练时间 SageMaker 内置算法(如 XGBoost、DeepAR 和线性学习器)通常不受影响。

FIPS 验证的终端节点可用于 SageMaker 托管模型的 API 和请求路由器(运行时)。有关 FIPS 兼容终端节点的信息,请参阅美国联邦信息处理标准 (FIPS) 140-2.