使用加密输出数据和存储卷Amazon KMS - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用加密输出数据和存储卷Amazon KMS

您可以使用Amazon Key Management Service(Amazon KMS) 通过指定一个来加密标记作业的输出数据客户托管密钥当你创建标签作业时。如果您使用 API 操作CreateLabelingJob要创建使用自动数据标记的标记作业,您还可以使用客户托管密钥对附加到 ML 计算实例的存储卷进行加密,以运行训练和推理作业。

本节介绍了为启用输出数据加密而必须附加到客户托管密钥的 IAM 策略,以及使用存储卷加密必须附加到客户托管密钥和执行角色的策略。要了解有关这些选项的更多信息,请参阅 输出数据和存储卷加密

使用 KMS 加密输出数据

如果你指定Amazon KMS客户托管密钥要加密输出数据,您必须向该密钥添加类似以下内容的 IAM 策略。此策略授予您用于创建标签作业的 IAM 执行角色的权限,以便使用此密钥执行中列出的所有操作"Action". 要了解这些操作的更多信息,请参阅Amazon KMS许可中的Amazon Key Management Service开发人员指南 的第一个版本。

要使用此策略,请在中替换 IAM 服务角色 ARN"Principal"使用您用于创建标记作业的执行角色的 ARN。在控制台中创建标记作业时,这是您为其指定的角色。IAM 角色Job 概述部分。使用创建标记作业时CreateLabelingJob,这是你指定的 ARNRoleArn.

{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/example-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }

加密自动数据标记 ML 计算实例存储卷

如果你指定VolumeKmsKeyId要加密附加到机器学习计算实例的存储卷,用于自动化数据标签训练和推断,您必须执行以下操作:

  • 附加权限使用 KMS 加密输出数据转到客户托管密钥。

  • 将类似以下内容的策略附加到您用于创建标记作业的 IAM 执行角色。这是您为其指定的 IAM 角色RoleArnCreateLabelingJob. 要了解有关的更多信息"kms:CreateGrant"此策略允许的操作,请参阅CreateGrant中的Amazon Key Management ServiceAPI 参考。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*" } ] }

要详细了解 Ground Truth 存储卷加密,请参阅使用 KMS 密钥加密自动数据标记存储卷(仅限 API).