输出数据和存储卷加密 - Amazon SageMaker
使用 KMS 密钥加密输出数据使用 KMS 密钥加密自动数据标注存储卷(仅限 API)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

输出数据和存储卷加密

借助 Amazon SageMaker Ground Truth,您可以对高度敏感的数据进行标注,保持对数据的控制,并采用最佳安全实践。在标注作业运行时,Ground Truth 会对传输中数据和静态数据进行加密。此外,您可以在 Ground Truth 中使用 Amazon Key Management Service (Amazon KMS) 来执行以下操作:

  • 使用客户托管密钥对输出数据进行加密。

  • 在自动数据标注作业中使用 Amazon KMS 客户托管密钥,对附加到用于模型训练和推理的计算实例的存储卷进行加密。

使用本页上的主题了解有关这些 Ground Truth 安全功能的更多信息。

使用 KMS 密钥加密输出数据

(可选)您可以在创建标注作业时提供 Amazon KMS 客户托管密钥,Ground Truth 会使用该密钥对输出数据进行加密。

如果您没有提供客户托管密钥,Amazon SageMaker 会使用您角色账户的 Amazon S3 默认 Amazon 托管式密钥 来加密输出数据。

如果您提供了客户托管密钥,则必须向使用 Amazon KMS 加密输出数据和存储卷中所述的密钥添加所需的权限。当您使用 API 操作 CreateLabelingJob 时,可以使用参数 KmsKeyId 指定客户托管密钥 ID。请参阅以下过程,了解如何在使用控制台创建标注作业时添加客户托管密钥。

添加 Amazon KMS 密钥来加密输出数据(控制台):

  1. 完成创建标注作业(控制台)中的前 7 个步骤。

  2. 在步骤 8 中,选择其他配置旁边的箭头以展开此部分。

  3. 对于加密密钥,选择要用来加密输出数据的 Amazon KMS 密钥。

  4. 完成创建标注作业(控制台)中的其余步骤来创建标注作业。

使用 KMS 密钥加密自动数据标注存储卷(仅限 API)

使用 CreateLabelingJob API 操作创建带有自动数据标注功能的标注作业时,可以选择加密附加到运行训练和推理作业的 ML 计算实例的存储卷。要为存储卷添加加密功能,请使用参数 VolumeKmsKeyId 输入 Amazon KMS 客户托管密钥。有关该参数的更多信息,请参阅 LabelingJobResourceConfig

如果您为 VolumeKmsKeyId 指定密钥 ID 或 ARN,则 SageMaker 执行角色必须包含调用 kms:CreateGrant 的权限。要了解如何将该权限添加到执行角色中,请参阅为 Ground Truth 标注作业创建 SageMaker 执行角色

注意

如果您在控制台中创建标注作业时指定了 Amazon KMS 客户托管密钥,则该密钥用于加密输出数据。该密钥不用于加密附加到用于自动数据标注的 ML 计算实例的存储卷。