输出数据和存储卷加密 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

输出数据和存储卷加密

借助 Amazon SageMaker Ground Truth,您可以标记高度敏感的数据,控制数据,并采用安全最佳实践。在运行标记作业时,God ThanGround Truth 对传输中的数据和静态数据进行加密。此外,您可以使用Amazon Key Management Service(Amazon KMS)以执行以下操作:

  • 使用客户托管密钥对输出数据进行加密。

  • 使用Amazon KMS客户托管密钥与您的自动化数据标签作业相结合,以加密连接到用于模型训练和推理的计算实例的存储卷。

可以使用该页面上的主题以了解这些 Ground Truth 安全功能。

使用 KMS 密钥加密输出数据

您可以选择提供Amazon KMS客户管理的密钥在创建标记作业时使用该密钥对输出数据进行加密。

如果您未提供客户管理的密钥,则 Amazon SageMaker 使用默认的Amazon 托管式密钥,以便 Amazon S3 的角色账户对您的输出数据进行加密。

如果您提供客户管理的密钥,则必须将所需的权限添加到使用加密输出数据和存储卷Amazon KMS. 当您使用 API 操作时CreateLabelingJob,您可以使用参数KmsKeyId. 请参阅以下过程以了解如何在使用控制台创建标记作业时添加客户托管的密钥。

添加Amazon KMS密钥以加密输出数据(控制台):

  1. 完成前 7 个步骤创建标记作业(控制台).

  2. 在步骤 8 中,选择其他配置以展开此部分。

  3. 适用于加密密钥中,选择Amazon KMS密钥用于加密输出数据。

  4. 完成中的剩余步骤创建标记作业(控制台)创建标记作业。

使用 KMS 密钥加密自动化数据标记存储卷(仅限 API)

在使用自动数据标签创建标记作业时,您可以使用CreateLabelingJobAPI 操作时,您可以选择对附加到运行训练和推断作业的 ML 计算实例的存储卷进行加密。要将加密添加到存储卷中,请使用参数VolumeKmsKeyId输入Amazon KMS客户托管密钥。有关该参数的更多信息,请参阅LabelingJobResourceConfig

如果指定密钥 ID 或 ARNVolumeKmsKeyId,则您的 SageMaker 执行角色必须包含调用kms:CreateGrant. 要了解如何将该权限添加到执行角色中,请参阅为 Ground Truth 标注 Job 创建 SageMaker 执行角色

注意

如果您指定Amazon KMS在控制台中创建标记作业时,该密钥是仅限用于加密您的输出数据。它不用于加密连接到用于自动化数据标记的 ML 计算实例的存储卷。