AWS KMS key Chiffrement géré par le client pour SageMaker HyperPod - Amazon SageMaker AI
PermissionsComment utiliser votre clé KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS key Chiffrement géré par le client pour SageMaker HyperPod

Par défaut, le volume Amazon EBS racine attaché à votre SageMaker HyperPod cluster est chiffré à l'aide d'un AWS KMS key propriétaire. AWS Vous avez désormais la possibilité de chiffrer à la fois le volume Amazon EBS racine et le volume secondaire avec vos propres clés KMS gérées par le client. La rubrique suivante décrit le fonctionnement des clés gérées par le client (CMKs) avec des volumes dans HyperPod des clusters.

Note

Les exclusions suivantes s'appliquent lors de l'utilisation de clés gérées par le client pour les SageMaker HyperPod clusters :

  • Le chiffrement de clé gérée par le client est pris en charge uniquement pour les clusters utilisant le mode de provisionnement continu des nœuds. Les groupes d’instances restreints ne prennent pas en charge les clés gérées par le client.

  • HyperPod les clusters ne prennent actuellement pas en charge le transfert du contexte de AWS KMS chiffrement dans les demandes de chiffrement par clé gérées par le client. Par conséquent, assurez-vous que votre stratégie de clé KMS n’est pas limitée par des conditions de contexte de chiffrement, car cela empêche le cluster d’utiliser la clé.

  • La transition de clé KMS n’étant pas prise en charge actuellement, vous ne pouvez pas modifier la clé KMS spécifiée dans votre configuration. Pour utiliser une autre clé, créez un nouveau groupe d’instances avec la clé souhaitée et supprimez votre ancien groupe d’instances.

  • La spécification de clés gérées par le client pour les HyperPod clusters via la console n'est actuellement pas prise en charge.

Permissions

Avant de pouvoir utiliser votre clé gérée par le client avec HyperPod, vous devez remplir les conditions préalables suivantes :

  • Assurez-vous que le rôle d'exécution AWS IAM que vous utilisez pour l' SageMaker IA dispose des autorisations d' AWS KMS ajout suivantes. L' kms:CreateGrantautorisation permet d' HyperPod effectuer les actions suivantes à l'aide des autorisations associées à votre clé KMS :

    • Diminution du nombre d'instances (UpdateCluster opérations)

    • Ajouter des nœuds de cluster (BatchAddClusterNodes opérations)

    • Logiciel d'application de correctifs (UpdateClusterSoftware opérations)

    Pour plus d’informations sur la mise à jour des autorisations de votre rôle IAM, consultez Ajout et suppression d’autorisations basées sur l’identité IAM dans le Guide de l’utilisateur IAM.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

  • Ajoutez les autorisations suivantes à votre stratégie de clé KMS. Pour plus d’informations, consultez Modification d’une stratégie de clé dans le Guide du développeur AWS KMS .

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Id": "hyperpod-key-policy",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<iam-role>"
            },
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/<iam-role>"
            },
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sagemaker.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Comment utiliser votre clé KMS

Vous pouvez spécifier les clés gérées par le client lors de la création ou de la mise à jour d'un cluster à l'aide des opérations CreateClusteret de UpdateClusterl'API. La structure InstanceStorageConfigs permet jusqu’à deux configurations EbsVolumeConfig, dans lesquelles vous pouvez configurer le volume Amazon EBS racine et, éventuellement, un volume secondaire. Vous pouvez utiliser la même clé KMS ou une autre clé KMS pour chaque volume, selon vos besoins.

Vous pouvez choisir de spécifier une clé gérée par le client pour aucun volume, pour les deux volumes, ou pour l’un ou l’autre volume. Toutefois, vous ne pouvez pas spécifier deux volumes racines ou deux volumes secondaires.

Lors de la configuration du volume racine, les conditions suivantes s’appliquent :

  • RootVolume doit être défini sur True. La valeur par défaut est False, qui configure le volume secondaire à la place.

  • Le champ VolumeKmsKeyId est requis et vous devez spécifier votre clé gérée par le client. En effet, le volume racine doit toujours être chiffré avec une clé AWS détenue ou une clé gérée par le client (si vous ne spécifiez pas la vôtre, une clé AWS détenue est utilisée).

  • Vous ne pouvez pas spécifier le VolumeSizeInGB champ pour les volumes racine, car HyperPod c'est vous qui déterminez la taille du volume racine.

Lors de la configuration du volume secondaire, les conditions suivantes s’appliquent :

  • RootVolume doit avoir pour valeur False (la valeur par défaut de ce champ est False).

  • Le champ VolumeKmsKeyId est facultatif. Vous pouvez utiliser la clé gérée par le client que vous avez spécifiée pour le volume racine, ou vous pouvez utiliser une clé différente.

  • Ce champ VolumeSizeInGB est obligatoire, car vous devez spécifier la taille souhaitée pour le volume secondaire.

Important

Lorsque vous utilisez des clés gérées par le client, nous vous recommandons vivement d’utiliser des clés KMS différentes pour chaque groupe d’instances dans votre cluster. L’utilisation de la même clé gérée par le client dans plusieurs groupes d’instances peut entraîner le maintien involontaire d’autorisations, même si vous essayez de révoquer une autorisation. Par exemple, si vous révoquez une AWS KMS autorisation pour les volumes d'un groupe d'instances, ce groupe d'instances peut toujours autoriser les opérations de dimensionnement et de correction en raison des autorisations existantes sur d'autres groupes d'instances utilisant la même clé. Pour éviter ce problème, assurez-vous d’attribuer des clés KMS uniques à chaque groupe d’instances de votre cluster. Pour restreindre les autorisations sur les groupes d’instances, vous pouvez essayer l’une des options suivantes :

  • Désactivez la clé KMS.

  • Appliquez des politiques de refus à la stratégie de clé KMS.

  • Révoquez toutes les autorisations de groupe d’instances pour la clé (plutôt que de révoquer une seule autorisation).

  • Supprimez le groupe d’instances.

  • Supprimez le cluster.

Les exemples suivants montrent comment spécifier des clés gérées par le client pour les volumes racine et secondaire à l'aide du CreateCluster et UpdateCluster APIs. Ces exemples montrent uniquement les champs obligatoires pour l’intégration des clés gérées par le client. Pour configurer une clé gérée par le client pour un seul des volumes, spécifiez un seul élément EbsVolumeConfig.

Pour plus d’informations sur la configuration de demandes de création et de mise à jour de clusters, consultez Création d'un SageMaker HyperPod cluster et Mettre à jour la configuration SageMaker HyperPod du cluster.

CreateCluster

L'exemple suivant montre une AWS CLI demande de création de cluster avec chiffrement par clé géré par le client.

aws sagemaker create-cluster \
  --cluster-name <your-hyperpod-cluster> \
  --instance-groups '[{
    "ExecutionRole": "arn:aws:iam::111122223333:role/<your-SageMaker-Execution-Role>",
    "InstanceCount": 2,
    "InstanceGroupName": "<your-ig-name>",
    "InstanceStorageConfigs": [
            {
                "EbsVolumeConfig": {
                    "RootVolume": True,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
                }
            },
            {
                "EbsVolumeConfig": {
                    "VolumeSizeInGB": 100,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
                }
            }
    ],
    "InstanceType": "<desired-instance-type>"
  }]' \
  --vpc-config '{
    "SecurityGroupIds": ["<sg-id>"],
    "Subnets": ["<subnet-id>"]
  }'
UpdateCluster

L'exemple suivant montre une AWS CLI demande de cluster de mise à jour avec chiffrement par clé géré par le client.

aws sagemaker update-cluster \
  --cluster-name <your-hyperpod-cluster> \
  --instance-groups '[{
    "InstanceGroupName": "<your-ig-name>",
    "InstanceStorageConfigs": [
            {
                "EbsVolumeConfig": {
                    "RootVolume": true,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/root-volume-key-id"
                }
            },
            {
                "EbsVolumeConfig": {
                    "VolumeSizeInGB": 100,
                    "VolumeKmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/secondary-volume-key-id"
                }
            }
    ]
  }]'