输出数据和存储卷加密 - Amazon SageMaker
使用 KMS 密钥加密输出数据使用 KMS 密钥加密自动数据标记存储卷(仅限 API)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

输出数据和存储卷加密

使用 Amazon SageMaker Ground Truth,您可以标记高度敏感的数据、控制数据以及采用安全最佳实践。在标记作业运行时,Ground Truth 会对传输中的数据和静态数据进行加密。此外,你可以使用Amazon Key Management Service(Amazon KMS)使用 Ground Truth 来执行以下操作:

  • 使用客户托管密钥加密输出数据。

  • 使用Amazon KMS带有自动数据标记作业的客户托管密钥,用于加密附加到用于模型训练和推断的计算实例的存储卷。

可以使用该页面上的主题以了解有关 Ground Truth 安全功能的更多信息。

使用 KMS 密钥加密输出数据

您可以选择提供Amazon KMS在您创建标记作业时客户托管式密钥,Ground Truth 使用该密钥对输出数据进行加密。

如果您没有提供客户管理的密钥,亚马逊 SageMaker 使用默认设置Amazon 托管式密钥对于您的角色账户的 Amazon S3 来加密输出数据。

如果您提供了客户托管式密钥,则必须向中描述的密钥添加所需的权限。使用加密输出数据和存储卷Amazon KMS. 当您使用 API 操作时CreateLabelingJob,您可以使用参数指定您的客户托管密钥 ID。KmsKeyId. 要了解在使用控制台创建标记作业时如何添加客户托管密钥,请参阅以下过程。

添加Amazon KMS密钥来加密输出数据(控制台):

  1. 完成中的前 7 个步骤创建标记作业(控制台).

  2. 在步骤 8 中,选择旁边的箭头其他配置以扩展此部分。

  3. 适用于加密密钥,请选择Amazon KMS密钥,您要用于加密输出数据。

  4. 完成中的剩余步骤创建标记作业(控制台)创建标记作业。

使用 KMS 密钥加密自动数据标记存储卷(仅限 API)

在使用自动数据标记创建标记作业时,请使用CreateLabelingJobAPI 操作,您可以选择对附加到运行训练和推理作业的 ML 计算实例的存储卷进行加密。要将加密添加到存储卷中,请使用参数VolumeKmsKeyId要输入Amazon KMS客户托管密钥。有关该参数的更多信息,请参阅LabelingJobResourceConfig

如果您为指定密钥 ID 或 ARNVolumeKmsKeyId,您的 SageMaker 执行角色必须包含调用的权限kms:CreateGrant. 要了解如何将该权限添加到执行角色中,请参阅创建 SageMaker Ground Truth 标签 Job 的执行角色

注意

如果你指定Amazon KMS在控制台中创建标记作业时,该密钥是仅限用于加密您的输出数据。它不用于加密附加到用于自动化数据标记的 ML 计算实例的存储卷。