出力データとストレージボリュームの暗号化 - Amazon SageMaker AI
KMS キーを使用して出力データを暗号化するKMS キーを使用して自動データラベリングのストレージボリュームを暗号化する (API のみ)

出力データとストレージボリュームの暗号化

Amazon SageMaker Ground Truth を使用すると、高度な機密データにラベル付けし、データを管理し、セキュリティのベストプラクティスを採用できます。ラベル付けジョブの実行中に、Ground Truth は転送中および保管中のデータを暗号化します。さらに、Ground Truth で AWS Key Management Service(AWS KMS) を使用して以下を実行できます。

  • カスタマーマネージド型キーを使用して出力データを暗号化する。

  • 自動データラベリングジョブで AWS KMS カスタマーマネージド型キーを使用して、モデルのトレーニングと推論に使用されるコンピューティングインスタンスにアタッチされたストレージボリュームを暗号化する。

これらの Ground Truth セキュリティ機能の詳細については、このページのトピックを参照してください。

KMS キーを使用して出力データを暗号化する

Ground Truth が出力データを暗号化するために使用するラベル付けジョブを作成するときに、必要に応じて、AWS KMS カスタマーマネージド型キーを指定できます。

カスタマーマネージドキーを指定しない場合、Amazon SageMaker AI はロールのアカウントの Amazon S3 のデフォルト AWS マネージドキー を使用して出力データを暗号化します。

カスタマーマネージド型キーを指定する場合は、AWS KMS で出力データとストレージボリュームを暗号化する で説明されているキーに必要な許可を追加する必要があります。API オペレーション CreateLabelingJob を使用する場合は、パラメータ KmsKeyId を使用してカスタマーマネージド型キー ID を指定できます。コンソールを使用してラベル付けジョブを作成するときに、カスタマーマネージド型キーを追加する方法については、次の手順を実行します。

AWS KMS キーを追加して出力データを暗号化するには (コンソール):

  1. ラベル付けジョブの作成 (コンソール) の最初の 7 つの手順を完了します。

  2. 手順 8 で、[Additional configuration] (追加設定) の横にある矢印を選択し、このセクションを展開します。

  3. [Encryption key] (暗号化キー) で、出力データの暗号化に使用する AWS KMS キーを選択します。

  4. ラベル付けジョブの作成 (コンソール) の残りのステップを完了してラベル付けジョブを作成します。

KMS キーを使用して自動データラベリングのストレージボリュームを暗号化する (API のみ)

CreateLabelingJob API オペレーションを使用して自動データラベリングのラベル付けジョブを作成する場合、トレーニングジョブと推論ジョブを実行する機械学習コンピューティングインスタンスにアタッチされたストレージボリュームを暗号化するオプションがあります。ストレージボリュームに暗号化を追加するには、パラメータ VolumeKmsKeyId を使用して AWS KMS カスタマーマネージド型キーを入力します。このパラメータの詳細については、「LabelingJobResourceConfig」を参照してください。

キー ID または VolumeKmsKeyId のARN を使用する場合は、SageMaker AI 実行ロールに kms:CreateGrant を呼び出すアクセス許可が含まれている必要があります 。このアクセス許可を実行ロールに追加する方法については、Ground Truth ラベル付けジョブの SageMaker AI 実行ロールを作成する を参照してください。

注記

コンソールでラベル付けジョブを作成するときに AWS KMS カスタマーマネージド型キーを指定する場合、そのキーは出力データの暗号化のみに使用されます。自動データラベリングに使用される機械学習コンピューティングインスタンスにアタッチされたストレージボリュームの暗号化には使用されません。