使用加密保护传输中的数据 - Amazon SageMaker
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密保护传输中的数据

传输中的所有网络间数据都支持 TLS 1.2 加密。

Amazon SageMaker 确保对机器学习 (ML) 模型构件和其他系统构件进行传输和静态加密。对 SageMaker API 和控制台的请求通过安全 (SSL) 连接发出。您将 AWS Identity and Access Management 角色传递给 SageMaker,以提供代表您访问资源的权限,用于训练和部署。您可以将加密的 Amazon S3 存储桶用于模型构件和数据,以及将 AWS KMS 密钥传递给 SageMaker 实例来加密附加的 ML 存储卷。

一些传输中的网络内数据(在服务平台内)未加密。这包括:

  • 服务控制层面和训练作业实例(不是客户数据)之间的命令和控制通信。

  • 分布式处理作业(网络内)中节点之间的通信。

  • 分布式训练作业(网络内)中节点之间的通信。

没有用于批处理的节点间通信。

您可以选择对训练集群中的节点之间的通信进行加密。有关如何执行此操作的信息,请参阅 保护分布式训练作业中机器学习计算实例之间的通信。启用容器间流量加密可能会增加训练时间,在您使用分布式深度学习算法时尤其如此。对于受影响的算法,添加此另一层安全性还会增加成本。大多数 SageMaker 内置算法(如 XGBoost、DeepAR 和线性学习器)的训练时间通常不受影响。

FIPS 验证的终端节点可用于 SageMaker API,请求路由器可用于托管模型(运行时)。有关符合 FIPS 标准的终端节点的信息,请参阅美国联邦信息处理标准 (FIPS) 140-2