本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 輸出資料與儲存磁碟區加密
使用 Amazon SageMaker Ground Truth,您可以標籤高度敏感資料、維持資料的控制權,以及採用最佳安全實務。在執行標籤工作時,Ground Truth 會加密傳輸中和靜態的資料。此外,您可以搭配 Ground Truth 使用 AWS Key Management Service (AWS KMS) 來執行下列動作:
+ 使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)來加密您的輸出資料。
+ 將 AWS KMS 客戶受管金鑰與自動化資料標記任務搭配使用,以加密連接至用於模型訓練和推論之運算執行個體的儲存磁碟區。
請使用此頁面的主題來進一步了解 Ground Truth 安全性功能。
## 使用 KMS 金鑰加密輸出資料
或者,您可以在建立標記任務時提供 AWS KMS 客戶受管金鑰,Ground Truth 會使用該任務來加密輸出資料。
如果您未提供客戶受管金鑰,Amazon SageMaker AI 會使用您角色帳戶的 Amazon S3 預設值 AWS 受管金鑰 來加密您的輸出資料。
如果您提供客戶受管金鑰,您必須將必要許可新增至[使用 加密輸出資料和儲存磁碟區 AWS KMS](sms-security-kms-permissions.md)中所述的金鑰。當您使用 API 作業 `CreateLabelingJob`,您可以使用參數 `[KmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobOutputConfig.html#sagemaker-Type-LabelingJobOutputConfig-KmsKeyId)` 來指定客戶受管金鑰 ID。請參閱下列程序,了解如何在使用主控台建立標籤工作時新增客戶受管金鑰。
**若要新增 AWS KMS 金鑰來加密輸出資料 (主控台):**
1. 完成[建立標籤工作 (主控台)](sms-create-labeling-job-console.md)中的前 7 項步驟。
1. 在步驟 8,選取**其他組態**旁邊的箭頭以展開此區段。
1. 針對**加密金鑰**,選取您要用來加密輸出資料的 AWS KMS 金鑰。
1. 完成[建立標籤工作 (主控台)](sms-create-labeling-job-console.md)中的其餘步驟以建立標籤工作。
## 使用 KMS 金鑰加密自動化資料標籤儲存磁碟區 (僅限 API)
當您使用 `CreateLabelingJob` API 作業以建立自動化資料標籤的標籤工作時,您可以選擇將執行訓練和推論工作之機器學習 (ML) 運算執行個體,其連結之儲存磁碟區進行加密。若要將加密新增至您的儲存磁碟區,請使用 參數`VolumeKmsKeyId`輸入 AWS KMS 客戶受管金鑰。如需此參數的詳細資訊,請參閱`[LabelingJobResourceConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)`。
如果您為 `VolumeKmsKeyId` 指定一組金鑰 ID 或 ARN,您的 SageMaker AI 執行角色必須包含呼叫 `kms:CreateGrant` 的權限。若要了解如何將此權限新增至執行角色,請參閱[為 Ground Truth 標籤工作建立 SageMaker AI 執行角色](sms-security-permission-execution-role.md)。
**注意**
如果您在主控台中建立標記任務時指定 AWS KMS 客戶受管金鑰,則該金鑰*僅用於*加密輸出資料。它不會用來加密連接至用於自動化資料標籤之機器學習 (ML) 運算執行個體的儲存磁碟區。