本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 利用加密来保护传输中数据
所有传输中的网络间数据都支持 TLS 1.2 加密。建议使用 TLS 1.3。
借助 Amazon SageMaker AI,机器学习 (ML) 模型工件和其他系统工件在传输过程中和静态时均会被加密。对 SageMaker AI API 和控制台的请求是通过安全 (SSL) 连接发出的。您可以将 AWS Identity and Access Management 角色传递给 SageMaker AI,以提供代表您访问资源以进行训练和部署的权限。
部分网络内传输中数据(服务平台内部)未加密。其中包括:
+ 服务控制面板和训练作业实例(不是客户数据)之间的命令和控制通信。
+ 分布式处理作业(网络内)中节点之间的通信。
+ 分布式训练作业(网络内)中节点之间的通信。
没有用于批处理的节点间通信。
您可以选择对训练作业集群中的节点和处理作业集群中的节点之间的通信进行加密。
**注意**
对于医疗保健领域的使用案例,最佳安全实践是对节点之间的通信进行加密。
有关如何加密通信的信息,请参阅下一主题[保护分布式训练作业中机器学习计算实例之间的通信](train-encrypt.md)。
**注意**
容器间流量加密可能会增加训练时间,在您使用分布式深度学习算法时尤其如此。对于受影响的算法,此另一层安全性还会增加成本。 SageMaker 大多数 AI 内置算法(例如 XGBoost Deepar 和线性学习器)的训练时间通常不会受到影响。
经过 FIPS 验证的端点可用于 SageMaker AI API 和托管模型(运行时)的请求路由器。有关符合 FIPS 的端点的更多信息,请参阅[美国联邦信息处理标准 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)。
## 通过 Amaz RStudio on A SageMaker I 保护通信
RStudio 在 Amazon 上, SageMaker AI 为所有涉及 SageMaker AI 组件的通信提供加密。但是,以前的版本不支持 RStudioServerPro 和 RSession 应用程序之间的加密。
RStudio 2022 年 4 月发布了 2022.02.2-485.pro2 版本。此版本支持 RStudioServerPro 和 RSession 应用程序之间的加密以启用 end-to-end加密。但是,版本升级并不完全向后兼容。因此,您必须更新所有 RStudioServerPro 和 RSession 应用程序。有关如何更新应用程序的信息,请参阅[RStudio 版本控制](rstudio-version.md)。
# 保护分布式训练作业中机器学习计算实例之间的通信
默认情况下,Amazon SageMaker AI 在亚马逊虚拟私有云(亚马逊 VPC)中运行训练作业,以帮助保护您的数据安全。您可以通过配置一个*私有* VPC 添加另一层安全性来保护您的训练容器和数据。分布式机器学习框架和算法通常传输与模型直接相关的信息(如权重),而不是传输训练数据集。当执行分布式训练时,您可以进一步保护在实例之间传输的数据。这可以帮助您遵守法规要求。为此,请使用容器间流量加密。
**注意**
对于医疗保健领域的使用案例,最佳安全实践是对节点之间的通信进行加密。
启用容器间流量加密可能会延长训练时间,尤其是在使用分布式深度学习算法的情况下。启用容器间流量加密不会影响具有单个计算实例的训练作业。但是,对于具有多个计算实例的训练作业,对训练时间的影响取决于计算实例之间的通信量。对于受影响的算法,添加此另一层安全性还会增加成本。 SageMaker 大多数 AI 内置算法(例如 XGBoost Deepar 和线性学习器)的训练时间通常不会受到影响。
您可以为训练作业或超级参数优化作业启用容器间流量加密。您可以使用 SageMaker APIs 或控制台启用容器间流量加密。
有关在私有 VPC 中运行训练作业的信息,请参阅[让 SageMaker AI 训练作业访问您的 Amazon VPC 中的资源](train-vpc.md)。
## 启用容器间流量加密 (API)
在使用对训练或超参数调整任务启用容器间流量加密之前 APIs,请将入站和出站规则添加到您的私有 VPC 的安全组中。
**启用容器间流量加密 (API)**
1. 在安全组中为您的私有 VPC 添加以下入站和出站规则:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/sagemaker/latest/dg/train-encrypt.html)
1. 向 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) 或 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) API 发送请求时,为 `EnableInterContainerTrafficEncryption` 参数指定 `True`。
**注意**
对于该`ESP 50`协议, AWS 安全组控制台可能会将端口范围显示为 “全部”。但是,Amazon EC2 会忽略指定的端口范围,因为它不适用于 ESP 50 IP 协议。
## 启用容器间流量加密(控制台)
### 在训练作业中启用容器间流量加密
**在训练作业中启用容器间流量加密**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在导航窗格中,选择 **Training (训练)**,然后选择 **Training jobs (训练作业)**。
1. 选择 **Create training job (创建训练作业)**。
1. 在**网络**下,选择 **VPC**。可以使用默认 VPC 或您创建的 VPC。
1. 选择**启用容器间流量加密**。
启用容器间流量加密后,完成训练作业的创建。有关更多信息,请参阅 [训练模型](ex1-train-model.md)。
### 在超级参数优化作业中启用容器间流量加密
**在超级参数优化作业中启用容器间流量加密**
1. 打开 Amazon A SageMaker I 控制台,网址为[https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)。
1. 在导航窗格中,选择**训练**,然后选择**超参数优化作业**。
1. 选择 **Create hyperparameter tuning job (创建超参数优化作业)**。
1. 在**网络**下,选择 **VPC**。可以使用默认 VPC 或您创建的 VPC。
1. 选择**启用容器间流量加密**。
启用容器间流量加密后,完成超级参数优化作业的创建。有关更多信息,请参阅 [配置并启动超参数调优作业](automatic-model-tuning-ex-tuning-job.md)。