输出数据和存储卷加密 - Amazon SageMaker
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

输出数据和存储卷加密

借助 Amazon SageMaker Ground Truth,您可以标记高度敏感的数据,控制数据,并采取安全最佳实践。当标记作业正在运行时, 会Ground Truth加密传输中的数据和静态数据。此外,您可以将 AWS Key Management Service (AWS KMS) 与 结合使用Ground Truth来执行以下操作:

  • 使用 AWS KMS 客户托管客户主密钥 (CMK) 加密输出数据。

  • 将AWS KMS客户托管 CMK 与自动数据标记作业结合使用,以加密附加到用于计算实例(用于模型训练和推理)的存储卷。

可以使用此页面上的主题了解有关这些Ground Truth安全功能的更多信息。

使用您的 KMS 密钥加密输出数据

(可选)您可以在创建标记作业时提供 AWS KMS 客户托管 CMK, Ground Truth 使用该 CMK 加密输出数据。

如果您未提供客户托管密钥, Amazon SageMaker 将使用适用于您的角色账户的 Amazon S3 的默认 AWS 托管 CMK 来加密输出数据。

如果您提供了客户托管 CMK,则必须将所需权限添加到中所述的密钥使用 加密输出数据和存储卷 AWS KMS。在使用 API 操作 时CreateLabelingJob,您可以使用参数 指定 CMK 的 KmsKeyIdID。请参阅以下过程,了解如何在使用控制台创建标记作业时添加客户托管 CMK。

添加 AWS KMS 密钥来加密输出数据(控制台):

  1. 完成 中的前 7 个步骤创建标记作业(控制台)

  2. 在步骤 8 中,选择 Additional configuration (其他配置) 旁边的箭头以展开此部分。

  3. 对于 Encryption key (加密密钥),选择要用于加密输出数据的AWS KMS密钥。

  4. 完成中的其余步骤创建标记作业(控制台)以创建标记作业。

使用您的 KMS 密钥加密自动数据标记存储卷 (仅限 API)

在使用 CreateLabelingJob API 操作创建具有自动数据标记的标记作业时,您可以选择加密附加到运行训练和推理作业的 ML 计算实例的存储卷。要向存储卷添加加密,请使用 参数VolumeKmsKeyId输入 AWS KMS 客户托管 CMK。有关该参数的更多信息,请参阅LabelingJobResourceConfig

如果您为 指定密钥 ID 或 VolumeKmsKeyIdARN,则执行SageMaker角色必须包含调用 的权限kms:CreateGrant。要了解如何将该权限添加到执行角色中,请参阅创建执行角色以启动标记作业

注意

如果您在控制台中创建标记作业时指定AWS KMS了 客户托管 CMK,则该密钥仅用于加密输出数据。它不用于加密附加到用于自动数据标记的 ML 计算实例的存储卷。