AWS KMS key Enkripsi terkelola pelanggan untuk SageMaker HyperPod - Amazon SageMaker AI
IzinCara menggunakan kunci KMS Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS key Enkripsi terkelola pelanggan untuk SageMaker HyperPod

Secara default, volume root Amazon EBS yang dilampirkan ke SageMaker HyperPod cluster Anda dienkripsi menggunakan milik. AWS KMS key AWS Anda sekarang memiliki opsi untuk mengenkripsi volume Amazon EBS root dan volume sekunder dengan kunci KMS yang dikelola pelanggan Anda sendiri. Topik berikut menjelaskan cara kerja kunci yang dikelola pelanggan (CMKs) dengan volume dalam HyperPod cluster.

catatan

Pengecualian berikut berlaku saat menggunakan kunci yang dikelola pelanggan untuk SageMaker HyperPod klaster:

  • Enkripsi kunci terkelola pelanggan hanya didukung untuk cluster yang menggunakan mode penyediaan node berkelanjutan. Grup instans terbatas tidak mendukung kunci yang dikelola pelanggan.

  • HyperPod cluster saat ini tidak mendukung konteks AWS KMS enkripsi yang lewat dalam permintaan enkripsi kunci yang dikelola pelanggan. Oleh karena itu, pastikan kebijakan kunci KMS Anda tidak dicakup menggunakan kondisi konteks enkripsi, karena ini mencegah cluster menggunakan kunci.

  • Transisi kunci KMS saat ini tidak didukung, sehingga Anda tidak dapat mengubah kunci KMS yang ditentukan dalam konfigurasi Anda. Untuk menggunakan kunci yang berbeda, buat grup instance baru dengan kunci yang diinginkan dan hapus grup instans lama Anda.

  • Menentukan kunci terkelola pelanggan untuk HyperPod cluster melalui konsol saat ini tidak didukung.

Izin

Sebelum Anda dapat menggunakan kunci yang dikelola pelanggan HyperPod, Anda harus menyelesaikan prasyarat berikut:

  • Pastikan bahwa peran eksekusi AWS IAM yang Anda gunakan untuk SageMaker AI memiliki izin berikut untuk AWS KMS ditambahkan. kms:CreateGrantIzin memungkinkan HyperPod untuk mengambil tindakan berikut menggunakan izin ke kunci KMS Anda:

    • Menskalakan jumlah instans Anda (UpdateCluster operasi)

    • Menambahkan node cluster (BatchAddClusterNodes operasi)

    • Perangkat lunak penambalan (UpdateClusterSoftware operasi)

    Untuk informasi selengkapnya tentang memperbarui izin peran IAM, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

  • Tambahkan izin berikut ke kebijakan kunci KMS Anda. Untuk informasi selengkapnya, lihat Mengubah kebijakan utama di Panduan AWS KMS Pengembang.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Id": "hyperpod-key-policy",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<iam-role>"
            },
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<iam-role>"
            },
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Cara menggunakan kunci KMS Anda

Anda dapat menentukan kunci terkelola pelanggan saat membuat atau memperbarui klaster menggunakan operasi CreateClusterdan UpdateClusterAPI. InstanceStorageConfigsStrukturnya memungkinkan hingga dua EbsVolumeConfig konfigurasi, di mana Anda dapat mengonfigurasi volume root Amazon EBS dan, secara opsional, volume sekunder. Anda dapat menggunakan tombol KMS yang sama atau tombol KMS yang berbeda untuk setiap volume, tergantung pada kebutuhan Anda.

Anda dapat memilih untuk menentukan kunci yang dikelola pelanggan untuk keduanya, keduanya, atau salah satu volume. Namun, Anda tidak dapat menentukan dua volume root atau dua volume sekunder.

Saat mengonfigurasi volume root, persyaratan berikut berlaku:

  • RootVolume harus diatur ke True. Nilai defaultnya adalahFalse, yang mengkonfigurasi volume sekunder sebagai gantinya.

  • VolumeKmsKeyIdBidang diperlukan dan Anda harus menentukan kunci yang dikelola pelanggan Anda. Ini karena volume root harus selalu dienkripsi dengan kunci yang AWS dimiliki atau kunci yang dikelola pelanggan (jika Anda tidak menentukan sendiri, maka kunci yang AWS dimiliki digunakan).

  • Anda tidak dapat menentukan VolumeSizeInGB bidang untuk volume root karena HyperPod menentukan ukuran volume root untuk Anda.

Saat mengonfigurasi volume sekunder, persyaratan berikut berlaku:

  • RootVolumeharus False (nilai default bidang ini adalahFalse).

  • VolumeKmsKeyIdBidang ini opsional. Anda dapat menggunakan kunci terkelola pelanggan yang sama yang Anda tentukan untuk volume root, atau Anda dapat menggunakan kunci yang berbeda.

  • VolumeSizeInGBBidang diperlukan, karena Anda harus menentukan ukuran yang Anda inginkan untuk volume sekunder.

penting

Saat menggunakan kunci yang dikelola pelanggan, kami sangat menyarankan agar Anda menggunakan kunci KMS yang berbeda untuk setiap grup instans di klaster Anda. Menggunakan kunci terkelola pelanggan yang sama di beberapa grup instans dapat menyebabkan izin lanjutan yang tidak disengaja meskipun Anda mencoba mencabut hibah. Misalnya, jika Anda mencabut AWS KMS hibah untuk volume satu grup instans, grup instans tersebut mungkin masih mengizinkan operasi penskalaan dan penambalan karena hibah yang ada di grup instans lain menggunakan kunci yang sama. Untuk mencegah masalah ini, pastikan Anda menetapkan kunci KMS unik ke setiap grup instans di klaster Anda. Jika Anda perlu membatasi izin pada grup instans, Anda dapat mencoba salah satu opsi berikut:

  • Nonaktifkan tombol KMS.

  • Terapkan kebijakan penolakan ke kebijakan kunci KMS.

  • Cabut semua hibah grup instance untuk kunci (daripada mencabut satu hibah).

  • Hapus grup instance.

  • Hapus klaster .

Contoh berikut menunjukkan cara menentukan kunci terkelola pelanggan untuk volume root dan sekunder menggunakan CreateCluster dan UpdateCluster APIs. Contoh-contoh ini hanya menampilkan bidang wajib untuk integrasi kunci yang dikelola pelanggan. Untuk mengonfigurasi kunci yang dikelola pelanggan hanya untuk satu volume, maka tentukan hanya satuEbsVolumeConfig.

Untuk informasi selengkapnya tentang mengonfigurasi permintaan pembuatan dan pembaruan klaster, lihat Membuat SageMaker HyperPod cluster danMemperbarui konfigurasi SageMaker HyperPod cluster.

CreateCluster

Contoh berikut menunjukkan AWS CLI permintaan create-cluster dengan enkripsi kunci terkelola pelanggan.

aws sagemaker create-cluster \
  --cluster-name <your-hyperpod-cluster> \
  --instance-groups '[{
    "ExecutionRole": "arn:aws:iam::111122223333:role/<your-SageMaker-Execution-Role>",
    "InstanceCount": 2,
    "InstanceGroupName": "<your-ig-name>",
    "InstanceStorageConfigs": [
            {
                "EbsVolumeConfig": {
                    "RootVolume": True,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
                }
            },
            {
                "EbsVolumeConfig": {
                    "VolumeSizeInGB": 100,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
                }
            }
    ],
    "InstanceType": "<desired-instance-type>"
  }]' \
  --vpc-config '{
    "SecurityGroupIds": ["<sg-id>"],
    "Subnets": ["<subnet-id>"]
  }'
UpdateCluster

Contoh berikut menunjukkan AWS CLI permintaan update-cluster dengan enkripsi kunci terkelola pelanggan.

aws sagemaker update-cluster \
  --cluster-name <your-hyperpod-cluster> \
  --instance-groups '[{
    "InstanceGroupName": "<your-ig-name>",
    "InstanceStorageConfigs": [
            {
                "EbsVolumeConfig": {
                    "RootVolume": true,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
                }
            },
            {
                "EbsVolumeConfig": {
                    "VolumeSizeInGB": 100,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
                }
            }
    ]
  }]'