本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
输出数据和存储卷加密
借助 Amazon G SageMaker round Truth,您可以标记高度敏感的数据,控制自己的数据,并采用安全最佳实践。在标注作业运行时,Ground Truth 会对传输中数据和静态数据进行加密。此外,你可以使用 Amazon Key Management Service (Amazon KMS) 和 Ground Truth 来执行以下操作:
-
使用客户托管密钥对输出数据进行加密。
-
在自动数据标签作业中使用 Amazon KMS 客户托管密钥,对附加到用于模型训练和推理的计算实例的存储卷进行加密。
使用本页上的主题了解有关这些 Ground Truth 安全功能的更多信息。
使用 KMS 密钥加密输出数据
或者,您可以在创建标签任务时提供 Amazon KMS 客户托管密钥,Ground Truth 使用该密钥来加密您的输出数据。
如果您不提供客户托管密钥,Amazon 会 SageMaker 使用您角色账户 Amazon 托管式密钥 的 Amazon S3 默认密钥来加密您的输出数据。
如果您提供了客户托管密钥,则必须向使用 Amazon KMS加密输出数据和存储卷中所述的密钥添加所需的权限。当您使用 API 操作 CreateLabelingJob 时,可以使用参数 KmsKeyId 指定客户托管密钥 ID。请参阅以下过程,了解如何在使用控制台创建标注作业时添加客户托管密钥。
要添加 Amazon KMS 密钥以加密输出数据(控制台),请执行以下操作:
-
完成创建标注作业(控制台)中的前 7 个步骤。
-
在步骤 8 中,选择其他配置旁边的箭头以展开此部分。
-
在加密密 Amazon KMS 钥中,选择要用于加密输出数据的密钥。
-
完成创建标注作业(控制台)中的其余步骤来创建标注作业。
使用 KMS 密钥加密自动数据标注存储卷(仅限 API)
使用 CreateLabelingJob API 操作创建带有自动数据标注功能的标注作业时,可以选择加密附加到运行训练和推理作业的 ML 计算实例的存储卷。要向存储卷添加加密,请使用参数VolumeKmsKeyId输入 Amazon KMS 客户托管密钥。有关该参数的更多信息,请参阅 LabelingJobResourceConfig。
如果您为指定密钥 ID 或 ARNVolumeKmsKeyId,则您的 SageMaker执行角色必须包含调用权限。kms:CreateGrant要了解如何将该权限添加到执行角色中,请参阅为 Ground Truth 标签作业创建 SageMaker 执行角色。
注意
如果您在控制台中创建标签任务时指定了 Amazon KMS 客户托管密钥,则该密钥仅用于加密您的输出数据。该密钥不用于加密附加到用于自动数据标注的 ML 计算实例的存储卷。