Vom Kunden verwaltete Verschlüsselung für AWS KMS key SageMaker HyperPod - Amazon SageMaker KI
BerechtigungenSo verwenden Sie Ihren KMS-Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vom Kunden verwaltete Verschlüsselung für AWS KMS key SageMaker HyperPod

Standardmäßig wird das Amazon EBS-Root-Volume, das an Ihren SageMaker HyperPod Cluster angehängt ist, mit einem AWS KMS key eigenen Volume verschlüsselt. AWS Sie haben nun die Möglichkeit, sowohl das Root-Volume von Amazon EBS als auch das sekundäre Volume mit Ihren eigenen, vom Kunden verwalteten KMS-Schlüsseln zu verschlüsseln. Im folgenden Thema wird beschrieben, wie vom Kunden verwaltete Schlüssel (CMKs) mit Volumes in HyperPod Clustern funktionieren.

Anmerkung

Bei der Verwendung von kundenverwalteten Schlüsseln für SageMaker HyperPod Cluster gelten die folgenden Ausnahmen:

  • Die kundenseitig verwaltete Schlüsselverschlüsselung wird nur für Cluster mit kontinuierlichem Knotenbereitstellungsmodus unterstützt. Eingeschränkte Instance-Gruppen unterstützen keine kundenseitig verwalteten Schlüssel.

  • HyperPod Cluster unterstützen derzeit nicht die Weitergabe von AWS KMS Verschlüsselungskontext in vom Kunden verwalteten Schlüsselverschlüsselungsanforderungen. Stellen Sie daher sicher, dass Ihre KMS-Schlüsselrichtlinie nicht anhand von Verschlüsselungskontextbedingungen begrenzt ist, da dies verhindert, dass der Cluster den Schlüssel verwendet.

  • Die Übertragung von KMS-Schlüsseln wird derzeit nicht unterstützt, sodass Sie den in Ihrer Konfiguration angegebenen KMS-Schlüssel nicht ändern können. Um einen anderen Schlüssel zu verwenden, erstellen Sie eine neue Instance-Gruppe mit dem gewünschten Schlüssel und löschen Sie Ihre alte Instance-Gruppe.

  • Die Angabe von kundenverwalteten Schlüsseln für HyperPod Cluster über die Konsole wird derzeit nicht unterstützt.

Berechtigungen

Bevor Sie Ihren vom Kunden verwalteten Schlüssel mit verwenden können HyperPod, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Stellen Sie sicher, dass der AWS IAM-Ausführungsrolle, die Sie für SageMaker KI verwenden, die folgenden Berechtigungen AWS KMS hinzugefügt wurden. Mit kms:CreateGrant dieser Berechtigung können HyperPod Sie mithilfe von Berechtigungen für Ihren KMS-Schlüssel die folgenden Aktionen ausführen:

    • Skalierung der Anzahl Ihrer Instanzen (UpdateCluster Operationen)

    • Hinzufügen von Clusterknoten (BatchAddClusterNodes Operationen)

    • Software patchen (UpdateClusterSoftware Operationen)

    Weitere Informationen zum Aktualisieren der Berechtigungen Ihrer IAM-Rolle finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

  • Fügen Sie Ihrer KMS-Schlüsselrichtlinie die folgenden Berechtigungen hinzu. Weitere Informationen finden Sie unter Ändern einer Schlüsselrichtlinie im AWS KMS-Entwicklerhandbuch.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Id": "hyperpod-key-policy",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<iam-role>"
            },
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<iam-role>"
            },
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

So verwenden Sie Ihren KMS-Schlüssel

Sie können Ihre vom Kunden verwalteten Schlüssel angeben, wenn Sie einen Cluster mithilfe der Operationen CreateClusterund UpdateClusterAPI erstellen oder aktualisieren. Die InstanceStorageConfigs-Struktur ermöglicht bis zu zwei EbsVolumeConfig-Konfigurationen, in denen Sie das Amazon EBS-Stammvolume und optional ein sekundäres Volume konfigurieren können. Sie können entweder denselben KMS-Schlüssel oder einen anderen KMS-Schlüssel für jedes Volume verwenden, je nach Ihren Anforderungen.

Sie können wählen, ob Sie einen kundenseitig verwalteten Schlüssel für keinen, beide oder einen der beiden Volumes angeben möchten. Sie können jedoch nicht zwei Root-Volumes oder zwei sekundäre Volumes angeben.

Bei der Konfiguration des Root-Volumes gelten folgende Anforderungen:

  • muss RootVolume auf True festgelegt sein. Der Standardwert ist False, wodurch stattdessen das sekundäre Volume konfiguriert wird.

  • Das VolumeKmsKeyId-Feld ist erforderlich und Sie müssen Ihren kundenseitig verwalteten Schlüssel angeben. Das liegt daran, dass das Root-Volume immer entweder mit einem AWS eigenen Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt werden muss (wenn Sie keinen eigenen angeben, wird ein AWS eigener Schlüssel verwendet).

  • Sie können das VolumeSizeInGB Feld für Root-Volumes nicht angeben, da es die Größe des Root-Volumes für Sie HyperPod bestimmt.

Bei der Konfiguration des sekundären Volumes gelten folgende Anforderungen:

  • RootVolume muss False sein (der Wert für dieses Feld ist standardmäßig False).

  • Das Feld VolumeKmsKeyId ist optional. Sie können denselben kundenseitig verwalteten Schlüssel verwenden, den Sie für das Root-Volume angegeben haben, oder Sie können einen anderen Schlüssel verwenden.

  • Das Feld VolumeSizeInGB ist erforderlich, da Sie die gewünschte Größe für das sekundäre Volume angeben müssen.

Wichtig

Wenn Sie kundenseitig verwaltete Schlüssel verwenden, empfehlen wir Ihnen dringend, für jede Instance-Gruppe in Ihrem Cluster unterschiedliche KMS-Schlüssel zu verwenden. Die Verwendung desselben kundenseitig verwalteten Schlüssels für mehrere Instance-Gruppen kann dazu führen, dass Berechtigungen unbeabsichtigt bestehen bleiben, selbst wenn Sie versuchen, eine Erteilung zu widerrufen. Wenn Sie beispielsweise einen AWS KMS Zuschuss für die Volumes einer Instanzgruppe widerrufen, kann diese Instanzgruppe weiterhin Skalierungs- und Patching-Operationen zulassen, da Zuschüsse für andere Instanzgruppen mit demselben Schlüssel bestehen. Um dieses Problem zu vermeiden, stellen Sie sicher, dass Sie jeder Instance-Gruppe in Ihrem Cluster eindeutige KMS-Schlüssel zuweisen. Wenn Sie Berechtigungen für Instance-Gruppen einschränken müssen, können Sie eine der folgenden Optionen verwenden:

  • Deaktivieren Sie den KMS-Schlüssel.

  • Wenden Sie Ablehnungsrichtlinien auf die KMS-Schlüsselrichtlinie an.

  • Widerrufen Sie alle Instance-Gruppenberechtigungen für den Schlüssel (anstatt nur eine Berechtigung zu widerrufen).

  • Löschen Sie die Instance-Gruppe.

  • Löschen Sie den Cluster.

Die folgenden Beispiele zeigen, wie Sie mithilfe von und vom Kunden verwaltete Schlüssel sowohl für Stamm- als auch für Sekundärvolumes angeben. CreateCluster UpdateCluster APIs Diese Beispiele zeigen nur die erforderlichen Felder für die Integration von kundenseitig verwalteten Schlüsseln. Um einen kundenseitig verwalteten Schlüssel nur für eines der Volumes zu konfigurieren, geben Sie nur eine EbsVolumeConfig an.

Weitere Informationen zur Konfiguration von Clustererstellung und Aktualisierungsanforderungen finden Sie unter Einen SageMaker HyperPod Cluster erstellen und Die SageMaker HyperPod Cluster-Konfiguration wird aktualisiert.

CreateCluster

Das folgende Beispiel zeigt eine AWS CLI Anfrage zur Clustererstellung mit vom Kunden verwalteter Schlüsselverschlüsselung.

aws sagemaker create-cluster \
  --cluster-name <your-hyperpod-cluster> \
  --instance-groups '[{
    "ExecutionRole": "arn:aws:iam::111122223333:role/<your-SageMaker-Execution-Role>",
    "InstanceCount": 2,
    "InstanceGroupName": "<your-ig-name>",
    "InstanceStorageConfigs": [
            {
                "EbsVolumeConfig": {
                    "RootVolume": True,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
                }
            },
            {
                "EbsVolumeConfig": {
                    "VolumeSizeInGB": 100,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
                }
            }
    ],
    "InstanceType": "<desired-instance-type>"
  }]' \
  --vpc-config '{
    "SecurityGroupIds": ["<sg-id>"],
    "Subnets": ["<subnet-id>"]
  }'
UpdateCluster

Das folgende Beispiel zeigt eine AWS CLICluster-Update-Anfrage mit vom Kunden verwalteter Schlüsselverschlüsselung.

aws sagemaker update-cluster \
  --cluster-name <your-hyperpod-cluster> \
  --instance-groups '[{
    "InstanceGroupName": "<your-ig-name>",
    "InstanceStorageConfigs": [
            {
                "EbsVolumeConfig": {
                    "RootVolume": true,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
                }
            },
            {
                "EbsVolumeConfig": {
                    "VolumeSizeInGB": 100,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
                }
            }
    ]
  }]'