使用 Amazon KMS 加密输出数据和存储卷 - Amazon SageMaker
使用 KMS 加密输出数据加密自动数据标注 ML 计算实例存储卷
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon KMS 加密输出数据和存储卷

您可以在创建标注作业时指定客户托管密钥,使用 Amazon Key Management Service (Amazon KMS) 对标注作业的输出数据进行加密。如果使用 API 操作 CreateLabelingJob 创建使用自动数据标注的标注作业,还可以使用客户托管密钥来加密附加到 ML 计算实例的存储卷,以运行训练和推理作业。

本节介绍为启用输出数据加密而必须附加到客户托管密钥的 IAM 策略,以及为使用存储卷加密而必须附加到客户托管密钥和执行角色的策略。要了解有关这些选项的更多信息,请参阅输出数据和存储卷加密

使用 KMS 加密输出数据

如果指定 Amazon KMS 客户托管密钥来加密输出数据,则必须为该密钥添加类似于以下内容的 IAM 策略。此策略向用于创建标注作业的 IAM 执行角色授予相关权限,以便使用此密钥执行 "Action" 中列出的所有操作。要了解有关这些操作的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Amazon KMS 权限

要使用此策略,请将 "Principal" 中的 IAM 服务角色 ARN 替换为您用来创建标注作业的执行角色的 ARN。在控制台中创建标注作业时,这是您在作业概览部分为 IAM 角色指定的角色。当您使用 CreateLabelingJob 创建标注作业时,这是您为 RoleArn 指定的 ARN。

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

加密自动数据标注 ML 计算实例存储卷

如果指定 VolumeKmsKeyId 来加密附加到用于自动数据标注训练和推理的 ML 计算实例的存储卷,则必须执行以下操作:

  • 使用 KMS 加密输出数据中所述的权限附加到客户托管密钥。

  • 将类似于以下内容的策略附加到用于创建标注作业的 IAM 执行角色。这是您在 CreateLabelingJob 中为 RoleArn 指定的 IAM 角色。要进一步了解此策略允许的 "kms:CreateGrant" 操作,请参阅《Amazon Key Management Service API 参考》中的 CreateGrant

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

要进一步了解 Ground Truth 存储卷加密,请参阅使用 KMS 密钥加密自动数据标注存储卷(仅限 API)