使用加密输出数据和存储卷Amazon KMS - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密输出数据和存储卷Amazon KMS

您可以使用Amazon Key Management Service(Amazon KMS)来加密标注作业的输出数据,方法是指定客户托管密钥创建标注作业时。如果您使用 API 操作CreateLabelingJob以创建使用自动数据标记功能的标记作业,您还可以使用客户托管密钥对附加到 ML 计算实例的存储卷进行加密以运行训练和推理作业。

本节介绍您必须附加到客户托管密钥才能启用输出数据加密的 IAM 策略,以及您必须附加到客户托管密钥和执行角色才能使用存储卷加密的策略。要了解有关这些选项的更多信息,请参阅 输出数据和存储卷加密

使用 KMS 加密输出数据

如果您指定Amazon KMS客户托管密钥来加密输出数据,则必须向该密钥添加类似于以下内容的 IAM 策略。此策略授予用于创建标签作业的 IAM 执行角色,以使用此密钥执行"Action". 要了解有关这些操作的更多信息,请参阅Amazon KMS权限中的Amazon Key Management Service开发人员指南 的第一个版本。

要使用此策略 ARN 请将"Principal"与用于创建标记作业的执行角色的 ARN。在控制台中创建标记作业时,这是您指定的角色。IAM 角色位置在Job 概述部分。当您使用创建标记作业时CreateLabelingJob,这是您指定的 ARNRoleArn.

{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/example-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }

加密自动数据标记 ML 计算实例存储卷

如果您指定VolumeKmsKeyId对连接到用于自动化数据标签培训和推理的 ML 计算实例的存储卷进行加密,则必须执行以下操作:

  • 附加权限,请参阅使用 KMS 加密输出数据添加到客户托管密钥。

  • 将类似于以下内容的策略附加到用于创建标签任务的 IAM 执行角色。这是您指定的 IAM 角色RoleArnCreateLabelingJob. 要了解有关"kms:CreateGrant"操作,请参阅CreateGrant中的Amazon Key Management ServiceAPI 参考。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*" } ] }

要了解有关 Ground Truth 值存储卷加密的详细信息,请参阅使用 KMS 密钥加密自动化数据标记存储卷(仅限 API).