翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 出力データとストレージボリュームの暗号化
<a name="sms-security"></a>

Amazon SageMaker Ground Truth を使用すると、高度な機密データにラベル付けし、データを管理し、セキュリティのベストプラクティスを採用できます。ラベル付けジョブの実行中に、Ground Truth は転送中および保管中のデータを暗号化します。さらに、Ground Truth で AWS Key Management Service (AWS KMS) を使用して以下を実行できます。
+ [カスタマーマネージド型キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)を使用して出力データを暗号化する。
+ 自動データラベリングジョブで AWS KMS カスタマーマネージドキーを使用して、モデルのトレーニングと推論に使用されるコンピューティングインスタンスにアタッチされたストレージボリュームを暗号化します。

これらの Ground Truth セキュリティ機能の詳細については、このページのトピックを参照してください。

## KMS キーを使用して出力データを暗号化する
<a name="sms-security-kms-output-data"></a>

必要に応じて、Ground Truth が出力データの暗号化に使用するラベル付けジョブを作成するときに、 AWS KMS カスタマーマネージドキーを指定できます。

カスタマーマネージドキーを指定しない場合、Amazon SageMaker AI はロールのアカウントの Amazon S3 のデフォルト AWS マネージドキー を使用して出力データを暗号化します。

カスタマーマネージド型キーを指定する場合は、[で出力データとストレージボリュームを暗号化する AWS KMS](sms-security-kms-permissions.md) で説明されているキーに必要な許可を追加する必要があります。API オペレーション `CreateLabelingJob` を使用する場合は、パラメータ `[KmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobOutputConfig.html#sagemaker-Type-LabelingJobOutputConfig-KmsKeyId)` を使用してカスタマーマネージド型キー ID を指定できます。コンソールを使用してラベル付けジョブを作成するときに、カスタマーマネージド型キーを追加する方法については、次の手順を実行します。

**出力データを暗号化する AWS KMS キーを追加するには (コンソール):**

1. [ラベル付けジョブの作成 (コンソール)](sms-create-labeling-job-console.md) の最初の 7 つの手順を完了します。

1. 手順 8 で、**[Additional configuration]** (追加設定) の横にある矢印を選択し、このセクションを展開します。

1. **暗号化キー**で、出力データの暗号化に使用する AWS KMS キーを選択します。

1. [ラベル付けジョブの作成 (コンソール)](sms-create-labeling-job-console.md) の残りのステップを完了してラベル付けジョブを作成します。

## KMS キーを使用して自動データラベリングのストレージボリュームを暗号化する (API のみ)
<a name="sms-security-kms-storage-volume"></a>

`CreateLabelingJob` API オペレーションを使用して自動データラベリングのラベル付けジョブを作成する場合、トレーニングジョブと推論ジョブを実行する機械学習コンピューティングインスタンスにアタッチされたストレージボリュームを暗号化するオプションがあります。ストレージボリュームに暗号化を追加するには、 パラメータ`VolumeKmsKeyId`を使用して AWS KMS カスタマーマネージドキーを入力します。このパラメータの詳細については、「`[LabelingJobResourceConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)`」を参照してください。

キー ID または `VolumeKmsKeyId` のARN を使用する場合は、SageMaker AI 実行ロールに `kms:CreateGrant` を呼び出すアクセス許可が含まれている必要があります 。このアクセス許可を実行ロールに追加する方法については、[Ground Truth ラベル付けジョブの SageMaker AI 実行ロールを作成する](sms-security-permission-execution-role.md) を参照してください。

**注記**  
コンソールでラベル付けジョブを作成するときに AWS KMS カスタマーマネージドキーを指定すると、そのキーは出力データの暗号化*にのみ*使用されます。自動データラベリングに使用される機械学習コンピューティングインスタンスにアタッチされたストレージボリュームの暗号化には使用されません。