使用 Amazon KMS加密输出数据和存储卷 - Amazon SageMaker
使用 KMS 加密输出数据加密自动数据标注 ML 计算实例存储卷
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon KMS加密输出数据和存储卷

通过在创建标签作业时指定客户管理的密钥,可以使用 Amazon Key Management Service (Amazon KMS) 来加密标签作业的输出数据。如果使用 API 操作 CreateLabelingJob 创建使用自动数据标注的标注作业,还可以使用客户托管密钥来加密附加到 ML 计算实例的存储卷,以运行训练和推理作业。

本节介绍为启用输出数据加密而必须附加到客户托管密钥的 IAM 策略,以及为使用存储卷加密而必须附加到客户托管密钥和执行角色的策略。要了解有关这些选项的更多信息,请参阅输出数据和存储卷加密

使用 KMS 加密输出数据

如果您指定 Amazon KMS 客户托管密钥来加密输出数据,则必须在该密钥中添加类似于以下内容的 IAM 策略。此策略向用于创建标注作业的 IAM 执行角色授予相关权限,以便使用此密钥执行 "Action" 中列出的所有操作。要了解有关这些操作的更多信息,请参阅《 Amazon Key Management Service 开发者指南》中的Amazon KMS 权限

要使用此策略,请将 "Principal" 中的 IAM 服务角色 ARN 替换为您用来创建标注作业的执行角色的 ARN。在控制台中创建标注作业时,这是您在作业概览部分为 IAM 角色指定的角色。当您使用 CreateLabelingJob 创建标注作业时,这是您为 RoleArn 指定的 ARN。

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

加密自动数据标注 ML 计算实例存储卷

如果指定 VolumeKmsKeyId 来加密附加到用于自动数据标注训练和推理的 ML 计算实例的存储卷,则必须执行以下操作:

  • 使用 KMS 加密输出数据中所述的权限附加到客户托管密钥。

  • 将类似于以下内容的策略附加到用于创建标注作业的 IAM 执行角色。这是您在 CreateLabelingJob 中为 RoleArn 指定的 IAM 角色。要详细了解本政策允许的"kms:CreateGrant"操作,请参阅 Amazon Key Management Service API 参考CreateGrant中的。

{
"Version": "2012-10-17", 
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}

要进一步了解 Ground Truth 存储卷加密,请参阅使用 KMS 密钥加密自动数据标注存储卷(仅限 API)