Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protéger les données au repos à l’aide du chiffrement
Amazon SageMaker AI chiffre automatiquement vos données à l'aide d'un Clé gérée par AWS pour Amazon S3 (SSE-S3) par défaut pour les fonctionnalités suivantes : blocs-notes Studio, instances de blocs-notes, données de création de modèles, artefacts de modèles et résultats des tâches de formation, de transformation par lots et de traitement.
Pour l'accès entre comptes, vous devez spécifier votre propre clé gérée par le client lors de la création de ressources d' SageMaker IA, car la valeur par défaut Clé gérée par AWS d'Amazon S3 ne peut pas être partagée entre les comptes. Pour la sortie de données vers Amazon S3 Express One Zone, les données sont chiffrées à l’aide d’un chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). En outre, les données sorties vers les compartiments d'annuaire Amazon S3 ne peuvent pas être chiffrées à l'aide du chiffrement côté serveur à l'aide de AWS Key Management Service clés (SSE-KMS). Pour plus d'informations AWS KMS, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Blocs-notes Studio](encryption-at-rest-studio.md)
+ [Instances de bloc-notes, tâches d' SageMaker IA et points de terminaison](encryption-at-rest-nbi.md)
+ [SageMaker capacités géospatiales](geospatial-encryption-at-rest.md)
# Blocs-notes Studio
Dans Amazon SageMaker Studio, vos blocs-notes et données SageMaker Studio peuvent être stockés aux emplacements suivants :
+ Un compartiment S3 : lorsque vous intégrez Studio et que vous activez les ressources de bloc-notes partageables, SageMaker AI partage les instantanés et les métadonnées des blocs-notes dans un compartiment Amazon Simple Storage Service (Amazon S3).
+ Un volume EFS : lorsque vous intégrez Studio, SageMaker AI attache un volume Amazon Elastic File System (Amazon EFS) à votre domaine pour stocker vos blocs-notes et fichiers de données Studio. Le volume EFS persiste après la suppression du domaine.
+ Un volume EBS – Lorsque vous ouvrez un bloc-notes dans Studio, un Amazon Elastic Block Store (Amazon EBS) est attaché à l'instance sur laquelle s'exécute le bloc-notes. Le volume EBS persiste pendant la durée de l’instance.
SageMaker AI utilise le AWS Key Management Service (AWS KMS) pour chiffrer le compartiment S3 et les deux volumes. Par défaut, il utilise une clé KMS gérée dans un compte de service AWS . Pour plus de contrôle, vous pouvez spécifier votre propre clé gérée par le client lors de votre intégration à Studio ou via l' SageMaker API. Pour plus d’informations, consultez [Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md) et [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Dans l'API `CreateDomain`, vous utilisez le paramètre `S3KmsKeyId` pour spécifier la clé gérée par le client pour les blocs-notes partageables. Vous utilisez le paramètre `KmsKeyId` pour spécifier la clé gérée par le client pour les volumes EFS et EBS. La même clé gérée par le client est utilisée pour les deux volumes. La clé gérée par le client pour les blocs-notes partageables peut être la même clé gérée par le client que celle utilisée pour les volumes ou une autre clé gérée par le client.
**Important**
Le répertoire de travail de vos utilisateurs dans le volume de stockage est `/home/sagemaker-user`. Si vous spécifiez votre propre AWS KMS clé, tout le contenu du répertoire de travail est chiffré à l'aide de votre clé gérée par le client. Si vous ne spécifiez pas de AWS KMS clé, les données qu'elles contiennent `/home/sagemaker-user` sont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée.
# Instances de bloc-notes, tâches d' SageMaker IA et points de terminaison
Pour chiffrer le volume de stockage d'apprentissage automatique (ML) attaché aux blocs-notes, aux tâches de traitement, aux tâches de formation, aux tâches de réglage des hyperparamètres, aux tâches de transformation par lots et aux terminaux, vous pouvez transmettre une AWS KMS clé à AI. SageMaker Si vous ne spécifiez pas de clé KMS, SageMaker AI chiffre les volumes de stockage à l'aide d'une clé transitoire et la supprime immédiatement après le chiffrement du volume de stockage. Pour les instances de bloc-notes, si vous ne spécifiez pas de clé KMS, SageMaker AI chiffre à la fois les volumes du système d'exploitation et les volumes de données ML à l'aide d'une clé KMS gérée par le système.
Vous pouvez utiliser une AWS KMS clé AWS gérée pour chiffrer tous les volumes du système d'exploitation de l'instance. Vous pouvez chiffrer tous les volumes de données ML pour toutes les instances d' SageMaker IA à l'aide d'une AWS KMS clé que vous spécifiez. Les volumes de stockage ML sont montés comme suit :
+ Blocs-notes : `/home/ec2-user/SageMaker`
+ Traitement : `/opt/ml/processing` et `/tmp/`
+ Entraînement : `/opt/ml/` et `/tmp/`
+ Traitement par lots : `/opt/ml/` et `/tmp/`
+ Points de terminaison : `/opt/ml/` et `/tmp/`
Les conteneurs des tâches de traitement, de traitement par lots et d’entraînement, ainsi que leur stockage, sont de nature éphémère. Lorsque le travail est terminé, la sortie est téléchargée sur Amazon S3 à l'aide d'un AWS KMS chiffrement avec une AWS KMS clé optionnelle que vous spécifiez et l'instance est démolie. Si aucune AWS KMS clé n'est fournie dans la demande de travail, SageMaker AI utilise la AWS KMS clé par défaut d'Amazon S3 pour le compte de votre rôle. Si les données de sortie sont stockées dans Amazon S3 Express One Zone, elles sont chiffrées à l’aide d’un chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS) n'est actuellement pas pris en charge pour le stockage des données de sortie de l' SageMaker IA dans les compartiments d'annuaire Amazon S3.
**Note**
La politique clé d'une clé AWS gérée pour Amazon S3 ne peut pas être modifiée. Par conséquent, les autorisations entre comptes ne peuvent pas être accordées pour ces politiques clés. Si le compartiment Amazon S3 de sortie pour la demande provient d'un autre compte, spécifiez votre propre clé AWS KMS client dans la demande de tâche et assurez-vous que le rôle d'exécution de la tâche est autorisé à chiffrer les données avec cette clé.
**Important**
Les données sensibles qui doivent être chiffrées avec une clé KMS pour des raisons de conformité doivent être stockées dans le volume de stockage ML ou dans Amazon S3, tous deux pouvant être chiffrés à l’aide d’une clé KMS que vous spécifiez.
Lorsque vous ouvrez une instance de bloc-notes, SageMaker AI l'enregistre, ainsi que tous les fichiers qui lui sont associés, dans le dossier SageMaker AI du volume de stockage ML par défaut. Lorsque vous arrêtez une instance de bloc-notes, SageMaker AI crée un instantané du volume de stockage ML. Toutes les personnalisations du système d'exploitation de l'instance arrêtée, telles que les bibliothèques personnalisées installées ou les paramètres au niveau du système d'exploitation, enregistrées en dehors du dossier `/home/ec2-user/SageMaker` sont perdues. Pensez à utiliser une configuration de cycle de vie pour automatiser les personnalisations de l’instance de bloc-notes par défaut. Lorsque vous terminez une instance, le snapshot et le volume de stockage ML sont supprimés. Toutes les données dont vous avez besoin au-delà de la durée de vie de l’instance de bloc-notes doivent être transférées dans un compartiment Amazon S3.
Si l'instance du bloc-notes n'est pas mise à jour et exécute un logiciel non sécurisé, SageMaker AI peut régulièrement mettre à jour l'instance dans le cadre d'une maintenance régulière. Au cours de ces mises à jour, les données situées en dehors du dossier ne `/home/ec2-user/SageMaker` sont pas conservées. Pour plus d'informations sur les correctifs de maintenance et de sécurité, consultez[Maintenance](nbi.md#nbi-maintenance).
**Note**
Certaines instances d' SageMaker IA basées sur Nitro incluent le stockage local, selon le type d'instance. Les volumes de stockage local sont chiffrés à l’aide d’un module matériel sur l’instance. Vous ne pouvez pas utiliser de clé KMS sur un type d’instance avec un stockage local. Pour obtenir la liste des types d’instance qui prennent en charge le stockage d’instance local, consultez [Volumes de stockage d’instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez [Amazon EBS et NVMe sur les instances Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Pour plus d’informations sur le chiffrement du stockage d’instance local, consultez [Volumes de stockage d’instance SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker capacités géospatiales
Vous pouvez protéger vos données au repos en utilisant le chiffrement pour les données SageMaker géospatiales.
**Chiffrement côté serveur avec clé appartenant à Amazon SageMaker Geospatial (par défaut)**
Les fonctionnalités SageMaker géospatiales d'Amazon chiffrent toutes vos données, y compris les résultats de calcul provenant de vos métadonnées de `EarthObservationJobs` service et `VectorEnrichmentJobs` de celles de celles-ci. Aucune donnée n'est stockée non cryptée dans Amazon SageMaker AI. Il utilise une valeur par défaut Clé détenue par AWS pour chiffrer toutes vos données.
**Chiffrement côté serveur avec clés KMS stockées dans AWS Key Management Service (SSE-KMS)**
Les fonctionnalités SageMaker géospatiales d'Amazon prennent en charge le chiffrement à l'aide d'une clé KMS appartenant au client. Pour plus d'informations, consultez [Utiliser AWS KMS les autorisations pour les fonctionnalités SageMaker géospatiales d'Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).