本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 输出数据和存储卷加密
<a name="sms-security"></a>

借助 Amazon G SageMaker round Truth，您可以标记高度敏感的数据，控制自己的数据，并采用安全最佳实践。在标注作业运行时，Ground Truth 会对传输中数据和静态数据进行加密。此外，你可以使用 Amazon Key Management Service (Amazon KMS) 和 Ground Truth 来执行以下操作：
+ 使用[客户托管密钥](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#master_keys)对输出数据进行加密。
+ 在自动数据标签作业中使用 Amazon KMS 客户托管密钥，对附加到用于模型训练和推理的计算实例的存储卷进行加密。

使用本页上的主题了解有关这些 Ground Truth 安全功能的更多信息。

## 使用 KMS 密钥加密输出数据
<a name="sms-security-kms-output-data"></a>

或者，您可以在创建标签任务时提供 Amazon KMS 客户托管密钥，Ground Truth 使用该密钥来加密您的输出数据。

如果您不提供客户托管密钥，Amazon A SageMaker I 会使用您角色账户 Amazon 托管式密钥 的 Amazon S3 默认密钥来加密您的输出数据。

如果您提供了客户托管密钥，则必须向[使用加密输出数据和存储卷 Amazon KMS](sms-security-kms-permissions.md)中所述的密钥添加所需的权限。当您使用 API 操作 `CreateLabelingJob` 时，可以使用参数 `[KmsKeyId](https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_LabelingJobOutputConfig.html#sagemaker-Type-LabelingJobOutputConfig-KmsKeyId)` 指定客户托管密钥 ID。请参阅以下过程，了解如何在使用控制台创建标注作业时添加客户托管密钥。

**要添加 Amazon KMS 密钥以加密输出数据（控制台），请执行以下操作：**

1. 完成[创建标注作业（控制台）](sms-create-labeling-job-console.md)中的前 7 个步骤。

1. 在步骤 8 中，选择**其他配置**旁边的箭头以展开此部分。

1. 在**加密密 Amazon KMS 钥**中，选择要用于加密输出数据的密钥。

1. 完成[创建标注作业（控制台）](sms-create-labeling-job-console.md)中的其余步骤来创建标注作业。

## 使用 KMS 密钥加密自动数据标注存储卷（仅限 API）
<a name="sms-security-kms-storage-volume"></a>

使用 `CreateLabelingJob` API 操作创建带有自动数据标注功能的标注作业时，可以选择加密附加到运行训练和推理作业的 ML 计算实例的存储卷。要向存储卷添加加密，请使用参数`VolumeKmsKeyId`输入 Amazon KMS 客户托管密钥。有关该参数的更多信息，请参阅 `[LabelingJobResourceConfig](https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)`。

如果您为指定密钥 ID 或 ARN`VolumeKmsKeyId`，则您的 SageMaker AI 执行角色必须包含调用权限。`kms:CreateGrant`要了解如何将该权限添加到执行角色中，请参阅[为 Ground Truth 标签作业创建 SageMaker AI 执行角色](sms-security-permission-execution-role.md)。

**注意**  
如果您在控制台中创建标签任务时指定了 Amazon KMS 客户托管密钥，则该密钥*仅*用于加密您的输出数据。该密钥不用于加密附加到用于自动数据标注的 ML 计算实例的存储卷。