ノートブックインスタンス、SageMaker AI ジョブ、エンドポイント - Amazon SageMaker AI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ノートブックインスタンス、SageMaker AI ジョブ、エンドポイント

ノートブック、処理ジョブ、トレーニングジョブ、ハイパーパラメータ調整ジョブ、バッチ変換ジョブ、エンドポイントにアタッチされている機械学習 (ML) ストレージボリュームを暗号化するには、 AWS KMS キーを SageMaker AI に渡すことができます。KMS キーを指定しないと、SageMaker AI は一時的なキーを使ってストレージボリュームを暗号化し、ストレージボリュームを暗号化した直後に一時的なキーを破棄します。ノートブックインスタンスの場合、KMS キーを指定しないと、SageMaker AI は OS ボリュームと ML データボリュームの両方をシステム管理の KMS キーで暗号化します。

AWS マネージド AWS KMS キーを使用して、すべてのインスタンス OS ボリュームを暗号化できます。指定した AWS KMS キーを使用して、すべての SageMaker AI インスタンスのすべての ML データボリュームを暗号化できます。ML ストレージボリュームは、次のようにマウントされます。

  • ノートブック - /home/ec2-user/SageMaker

  • 処理中 - /opt/ml/processing および /tmp/

  • トレーニング - /opt/ml/ および /tmp/

  • バッチ - /opt/ml/ および /tmp/

  • エンドポイント - /opt/ml/ および /tmp/

処理、バッチ変換、およびトレーニングジョブのコンテナやストレージは、その性質上、エフェメラル (一時的) です。ジョブが完了すると、指定したオプションの AWS KMS キーを使用した暗号化を使用して AWS KMS 出力が Amazon S3 にアップロードされ、インスタンスが破棄されます。ジョブリクエストで AWS KMS キーが指定されていない場合、SageMaker AI はロールのアカウントに Amazon S3 のデフォルト AWS KMS キーを使用します。出力データが Amazon S3 Express One Zone に保存される場合、Amazon S3 マネージドキー (SSE-S3) を使用したサーバー側暗号化で暗号化されます。現時点では、SageMaker AI 出力データを Amazon S3 ディレクトリバケットに保存する場合、 AWS KMS キーを使用したサーバー側の暗号化 (SSE-KMS) はサポートされていません。

注記

Amazon S3 用 AWS マネージドキーのキーポリシーは編集できないため、これらのキーポリシーにクロスアカウントアクセス許可を付与することはできません。リクエストの出力 Amazon S3 バケットが別のアカウントからのものである場合は、ジョブリクエストで独自の AWS KMS カスタマーキーを指定し、ジョブの実行ロールにデータを暗号化するアクセス許可があることを確認します。

重要

コンプライアンス上の理由から KMS キーを使用して暗号化する必要がある機密データは、ML ストレージボリュームまたは Amazon S3 に保存する必要があります。どちらの場合も、必要に応じて、指定した KMS キーを使用して暗号化できます。

ノートブックインスタンスを開いた場合、SageMaker AI は、デフォルトでそのインスタンスおよび関連ファイルを ML ストレージボリューム内の SageMaker AI フォルダに保存します。ノートブックインスタンスを停止すると、SageMaker AI は ML ストレージボリュームのスナップショットを作成します。フォルダの外部に保存されている、インストールされたカスタムライブラリやオペレーティングシステムレベルの設定など、停止したインスタンスのオペレーティングシステムに対するカスタマイズ/home/ec2-user/SageMakerは失われます。デフォルトのノートブックインスタンスのカスタマイズを自動化するには、ライフサイクル設定の使用を検討してください。インスタンスを終了すると、スナップショットと ML ストレージボリュームは削除されます。ノートブックインスタンスの存続期間を超えて保持する必要があるデータは、Amazon S3 バケットに転送してください。

ノートブックインスタンスが更新されず、安全でないソフトウェアが実行されている場合、SageMaker AI は定期的なメンテナンスの一環としてインスタンスを定期的に更新することがあります。これらの更新中、フォルダ外のデータは保持/home/ec2-user/SageMakerされません。メンテナンスパッチとセキュリティパッチの詳細については、「」を参照してくださいメンテナンス

注記

特定の Nitro ベースの SageMaker AI インスタンスには、インスタンスタイプに応じたローカルストレージが含まれます。ローカルストレージボリュームは、インスタンスのハードウェアモジュールを使用して暗号化されます。ローカルストレージのインスタンスタイプで KMS キーを使用することはできません。ローカルインスタンスストレージをサポートするインスタンスタイプのリストについては、「インスタンスストアボリューム」を参照してください。Nitro ベースのインスタンスのストレージボリュームの詳細については、「Linux インスタンスでの Amazon EBS および NVMe」を参照してください。

ローカルインスタンスストレージの暗号化の詳細については、「SSD インスタンスストアボリューム」を参照してください。