使用 Amazon KMS加密输出数据和存储卷 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon KMS加密输出数据和存储卷

通过在创建标签作业时指定客户管理的密钥,可以使用 Amazon Key Management Service (Amazon KMS) 来加密标签作业的输出数据。如果您使用该API操作CreateLabelingJob创建使用自动数据标签的标签作业,则还可以使用客户托管密钥对连接到机器学习计算实例的存储卷进行加密,以运行训练和推理作业。

本节介绍为启用输出数据加密而必须附加到客户托管密钥的策略,以及使用存储卷加密必须附加到客户托管密钥和执行角色的策略。IAM要了解有关这些选项的更多信息,请参阅输出数据和存储卷加密

使用加密输出数据 KMS

如果您指定 Amazon KMS 客户管理的密钥来加密输出数据,则必须在该密钥中添加类似于以下内容的IAM策略。此策略向您用于创建标签作业的IAM执行角色授予使用此密钥执行中列出的所有操作的权限"Action"。要了解有关这些操作的更多信息,请参阅《 Amazon Key Management Service 开发者指南》中的Amazon KMS 权限

要使用此策略,请将ARN中的IAM"Principal"服务角色替换为用于创建标签作业的执行角色。ARN在控制台中创建标签任务时,这是您在任务概述部分下为IAM角色指定的角色。使用创建标注任务时CreateLabelingJob,这是ARN您为指定的RoleArn

{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/example-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }

加密自动数据标注 ML 计算实例存储卷

如果指定 VolumeKmsKeyId 来加密附加到用于自动数据标注训练和推理的 ML 计算实例的存储卷,则必须执行以下操作:

  • 使用加密输出数据 KMS中所述的权限附加到客户托管密钥。

  • 将类似于以下内容的策略附加到您用于创建标签任务的IAM执行角色。这是您在RoleArn中指定的IAM角色CreateLabelingJob。要了解有关本政策允许的"kms:CreateGrant"操作的更多信息,请参阅 Amazon Key Management Service API参考CreateGrant文献。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*" } ] }

要进一步了解 Ground Truth 存储卷加密,请参阅使用您的KMS密钥加密自动数据标签存储卷(API仅限)