Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan
<a name="aiml-security"></a>

**Tip**  
 [Daftar](https://events.eksworkshop.com/workshops/genai/) untuk AI/ML lokakarya Amazon EKS mendatang.

## Keamanan dan Kepatuhan
<a name="_security_and_compliance"></a>

### Pertimbangkan S3 dengan KMS untuk penyimpanan yang sesuai dengan enkripsi
<a name="_consider_s3_with_kms_for_encryption_compliant_storage"></a>

Kecuali Anda menentukan sebaliknya, semua bucket S3 digunakan secara [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)default untuk mengenkripsi objek saat istirahat. Namun, Anda dapat memilih untuk mengonfigurasi bucket untuk menggunakan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) () sebagai gantinya. SSE-KMS Kontrol keamanan di AWS KMS dapat membantu Anda memenuhi persyaratan kepatuhan terkait enkripsi. Anda dapat menggunakan kunci KMS ini untuk melindungi data Anda di bucket Amazon S3. Saat Anda menggunakan SSE-KMS enkripsi dengan bucket S3, kunci AWS KMS harus berada di Wilayah yang sama dengan bucket.

Konfigurasikan [bucket tujuan umum Anda untuk menggunakan Kunci Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html) [S3 untuk SSE-KMS, untuk](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#sse-kms-bucket-keys) mengurangi biaya permintaan AWS KMS hingga 99 persen dengan mengurangi lalu lintas permintaan dari Amazon S3 ke AWS KMS. Kunci Bucket S3 [selalu diaktifkan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-UsingKMSEncryption.html#s3-express-sse-kms-bucket-keys) untuk `GET` dan `PUT` beroperasi di bucket direktori dan tidak dapat dinonaktifkan.

Perhatikan bahwa [Amazon S3 Express One Zone](https://aws.amazon.com/s3/storage-classes/express-one-zone/) menggunakan jenis bucket tertentu yang disebut bucket direktori *S3*. Bucket direktori khusus untuk kelas penyimpanan S3 Express One Zone dan memungkinkan akses berkinerja tinggi dan latensi rendah. Untuk [mengonfigurasi enkripsi bucket default pada bucket direktori S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html), gunakan AWS CLI, dan tentukan ID kunci KMS atau ARN, bukan alias, seperti pada contoh berikut:

**Example**  

```
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'
```
Pastikan peran IAM pod EKS Anda memiliki izin KMS (misalnya,`kms:Decrypt`) untuk mengakses objek terenkripsi. Uji ini di lingkungan pementasan dengan mengunggah model sampel ke bucket, memasangnya di pod (misalnya, melalui driver Mountpoint S3 CSI), dan memverifikasi pod dapat membaca data terenkripsi tanpa kesalahan. Audit log melalui AWS CloudTrail untuk mengonfirmasi kepatuhan terhadap persyaratan enkripsi. Lihat [Dokumentasi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/) untuk detail penyiapan dan manajemen kunci.