Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS KMS key Enkripsi terkelola pelanggan untuk SageMaker HyperPod
Secara default, volume root Amazon EBS yang dilampirkan ke SageMaker HyperPod cluster Anda dienkripsi menggunakan milik. AWS KMS key AWS Anda sekarang memiliki opsi untuk mengenkripsi volume Amazon EBS root dan volume sekunder dengan kunci KMS yang dikelola pelanggan Anda sendiri. Topik berikut menjelaskan cara kerja kunci yang dikelola pelanggan (CMKs) dengan volume dalam HyperPod cluster.
**catatan**
Pengecualian berikut berlaku saat menggunakan kunci yang dikelola pelanggan untuk SageMaker HyperPod klaster:
Enkripsi kunci terkelola pelanggan hanya didukung untuk cluster yang menggunakan mode penyediaan node berkelanjutan. Grup instans terbatas tidak mendukung kunci yang dikelola pelanggan.
HyperPod cluster saat ini tidak mendukung konteks AWS KMS enkripsi yang lewat dalam permintaan enkripsi kunci yang dikelola pelanggan. Oleh karena itu, pastikan kebijakan kunci KMS Anda tidak tercakup menggunakan kondisi konteks enkripsi, karena ini mencegah klaster menggunakan kunci.
Transisi kunci KMS saat ini tidak didukung, sehingga Anda tidak dapat mengubah kunci KMS yang ditentukan dalam konfigurasi Anda. Untuk menggunakan kunci yang berbeda, buat grup instance baru dengan kunci yang diinginkan dan hapus grup instans lama Anda.
Menentukan kunci terkelola pelanggan untuk HyperPod cluster melalui konsol saat ini tidak didukung.
## Izin
Sebelum Anda dapat menggunakan kunci yang dikelola pelanggan HyperPod, Anda harus menyelesaikan prasyarat berikut:
+ Pastikan bahwa peran eksekusi AWS IAM yang Anda gunakan untuk SageMaker AI memiliki izin berikut untuk AWS KMS ditambahkan. `[ kms:CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)`Izin memungkinkan HyperPod untuk mengambil tindakan berikut menggunakan izin ke kunci KMS Anda:
+ Menskalakan jumlah instans Anda (UpdateCluster operasi)
+ Menambahkan node cluster (BatchAddClusterNodes operasi)
+ Perangkat lunak penambalan (UpdateClusterSoftware operasi)
*Untuk informasi selengkapnya tentang memperbarui izin peran IAM, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
+ Tambahkan izin berikut ke kebijakan kunci KMS Anda. Untuk informasi selengkapnya, lihat [Mengubah kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) di *Panduan AWS KMS Pengembang*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "hyperpod-key-policy",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/"
},
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/"
},
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
## Cara menggunakan kunci KMS Anda
Anda dapat menentukan kunci terkelola pelanggan saat membuat atau memperbarui klaster menggunakan operasi [CreateCluster](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCluster.html)dan [UpdateCluster](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateCluster.html)API. `InstanceStorageConfigs`Strukturnya memungkinkan hingga dua `EbsVolumeConfig` konfigurasi, di mana Anda dapat mengonfigurasi volume root Amazon EBS dan, secara opsional, volume sekunder. Anda dapat menggunakan tombol KMS yang sama atau tombol KMS yang berbeda untuk setiap volume, tergantung pada kebutuhan Anda.
Anda dapat memilih untuk menentukan kunci yang dikelola pelanggan untuk keduanya, keduanya, atau salah satu volume. Namun, Anda tidak dapat menentukan dua volume root atau dua volume sekunder.
Saat mengonfigurasi volume root, persyaratan berikut berlaku:
+ `RootVolume` harus diatur ke `True`. Nilai defaultnya adalah`False`, yang mengkonfigurasi volume sekunder sebagai gantinya.
+ `VolumeKmsKeyId`Bidang ini diperlukan dan Anda harus menentukan kunci yang dikelola pelanggan Anda. Ini karena volume root harus selalu dienkripsi dengan kunci yang AWS dimiliki atau kunci yang dikelola pelanggan (jika Anda tidak menentukan sendiri, maka kunci yang AWS dimiliki digunakan).
+ Anda tidak dapat menentukan `VolumeSizeInGB` bidang untuk volume root karena HyperPod menentukan ukuran volume root untuk Anda.
Saat mengonfigurasi volume sekunder, persyaratan berikut berlaku:
+ `RootVolume`harus `False` (nilai default bidang ini adalah`False`).
+ `VolumeKmsKeyId`Bidang ini opsional. Anda dapat menggunakan kunci terkelola pelanggan yang sama yang Anda tentukan untuk volume root, atau Anda dapat menggunakan kunci yang berbeda.
+ `VolumeSizeInGB`Bidang diperlukan, karena Anda harus menentukan ukuran yang Anda inginkan untuk volume sekunder.
**penting**
Saat menggunakan kunci yang dikelola pelanggan, kami sangat menyarankan agar Anda menggunakan kunci KMS yang berbeda untuk setiap grup instans di klaster Anda. Menggunakan kunci terkelola pelanggan yang sama di beberapa grup instans dapat menyebabkan izin lanjutan yang tidak disengaja meskipun Anda mencoba mencabut hibah. Misalnya, jika Anda mencabut AWS KMS hibah untuk volume satu grup instans, grup instans tersebut mungkin masih mengizinkan operasi penskalaan dan penambalan karena hibah yang ada di grup instans lain menggunakan kunci yang sama. Untuk mencegah masalah ini, pastikan Anda menetapkan kunci KMS unik ke setiap grup instans di klaster Anda. Jika Anda perlu membatasi izin pada grup instans, Anda dapat mencoba salah satu opsi berikut:
Nonaktifkan tombol KMS.
Terapkan kebijakan penolakan ke kebijakan kunci KMS.
Cabut semua hibah grup instance untuk kunci (daripada mencabut satu hibah).
Hapus grup instance.
Hapus klaster .
Contoh berikut menunjukkan cara menentukan kunci terkelola pelanggan untuk volume root dan sekunder menggunakan CreateCluster dan UpdateCluster APIs. Contoh-contoh ini hanya menampilkan bidang wajib untuk integrasi kunci yang dikelola pelanggan. Untuk mengonfigurasi kunci yang dikelola pelanggan hanya untuk satu volume, maka tentukan hanya satu`EbsVolumeConfig`.
Untuk informasi selengkapnya tentang mengonfigurasi permintaan pembuatan dan pembaruan klaster, lihat [Membuat SageMaker HyperPod cluster](sagemaker-hyperpod-eks-operate-cli-command-create-cluster.md) dan[Memperbarui konfigurasi SageMaker HyperPod cluster](sagemaker-hyperpod-eks-operate-cli-command-update-cluster.md).
------
#### [ CreateCluster ]
Contoh berikut menunjukkan AWS CLI permintaan [create-cluster](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-cluster.html) dengan enkripsi kunci terkelola pelanggan.
```
aws sagemaker create-cluster \
--cluster-name \
--instance-groups '[{
"ExecutionRole": "arn:aws:iam::111122223333:role/",
"InstanceCount": 2,
"InstanceGroupName": "",
"InstanceStorageConfigs": [
{
"EbsVolumeConfig": {
"RootVolume": True,
"VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
}
},
{
"EbsVolumeConfig": {
"VolumeSizeInGB": 100,
"VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
}
}
],
"InstanceType": ""
}]' \
--vpc-config '{
"SecurityGroupIds": [""],
"Subnets": [""]
}'
```
------
#### [ UpdateCluster ]
Contoh berikut menunjukkan AWS CLI permintaan [update-cluster](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/update-cluster.html) dengan enkripsi kunci terkelola pelanggan.
```
aws sagemaker update-cluster \
--cluster-name \
--instance-groups '[{
"InstanceGroupName": "",
"InstanceStorageConfigs": [
{
"EbsVolumeConfig": {
"RootVolume": true,
"VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
}
},
{
"EbsVolumeConfig": {
"VolumeSizeInGB": 100,
"VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
}
}
]
}]'
```
------