Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans Amazon SageMaker AI
Protection des données
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon SageMaker AI. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon SageMaker AI ou une autre entreprise Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [
# Protéger les données au repos à l’aide du chiffrement
](encryption-at-rest.md)
+ [
# Protection des données en transit à l’aide du chiffrement
](encryption-in-transit.md)
+ [
# Gestion des clés
](key-management.md)
+ [
# Confidentialité du trafic inter-réseaux
](inter-network-privacy.md)
# Protéger les données au repos à l’aide du chiffrement
Amazon SageMaker AI chiffre automatiquement vos données à l'aide d'un Clé gérée par AWS pour Amazon S3 (SSE-S3) par défaut pour les fonctionnalités suivantes : blocs-notes Studio, instances de blocs-notes, données de création de modèles, artefacts de modèles et résultats des tâches de formation, de transformation par lots et de traitement.
Pour l'accès entre comptes, vous devez spécifier votre propre clé gérée par le client lors de la création de ressources d' SageMaker IA, car la valeur par défaut Clé gérée par AWS d'Amazon S3 ne peut pas être partagée entre les comptes. Pour la sortie de données vers Amazon S3 Express One Zone, les données sont chiffrées à l’aide d’un chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). En outre, les données sorties vers les compartiments d'annuaire Amazon S3 ne peuvent pas être chiffrées à l'aide du chiffrement côté serveur à l'aide de AWS Key Management Service clés (SSE-KMS). Pour plus d'informations AWS KMS, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [
# Blocs-notes Studio
](encryption-at-rest-studio.md)
+ [
# Instances de bloc-notes, tâches d' SageMaker IA et points de terminaison
](encryption-at-rest-nbi.md)
+ [
# SageMaker capacités géospatiales
](geospatial-encryption-at-rest.md)
# Blocs-notes Studio
Dans Amazon SageMaker Studio, vos blocs-notes et données SageMaker Studio peuvent être stockés aux emplacements suivants :
+ Un compartiment S3 : lorsque vous intégrez Studio et que vous activez les ressources de bloc-notes partageables, SageMaker AI partage les instantanés et les métadonnées des blocs-notes dans un compartiment Amazon Simple Storage Service (Amazon S3).
+ Un volume EFS : lorsque vous intégrez Studio, SageMaker AI attache un volume Amazon Elastic File System (Amazon EFS) à votre domaine pour stocker vos blocs-notes et fichiers de données Studio. Le volume EFS persiste après la suppression du domaine.
+ Un volume EBS – Lorsque vous ouvrez un bloc-notes dans Studio, un Amazon Elastic Block Store (Amazon EBS) est attaché à l'instance sur laquelle s'exécute le bloc-notes. Le volume EBS persiste pendant la durée de l’instance.
SageMaker AI utilise le AWS Key Management Service (AWS KMS) pour chiffrer le compartiment S3 et les deux volumes. Par défaut, il utilise une clé KMS gérée dans un compte de service AWS . Pour plus de contrôle, vous pouvez spécifier votre propre clé gérée par le client lors de votre intégration à Studio ou via l' SageMaker API. Pour plus d’informations, consultez [Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md) et [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Dans l'API `CreateDomain`, vous utilisez le paramètre `S3KmsKeyId` pour spécifier la clé gérée par le client pour les blocs-notes partageables. Vous utilisez le paramètre `KmsKeyId` pour spécifier la clé gérée par le client pour les volumes EFS et EBS. La même clé gérée par le client est utilisée pour les deux volumes. La clé gérée par le client pour les blocs-notes partageables peut être la même clé gérée par le client que celle utilisée pour les volumes ou une autre clé gérée par le client.
**Important**
Le répertoire de travail de vos utilisateurs dans le volume de stockage est `/home/sagemaker-user`. Si vous spécifiez votre propre AWS KMS clé, tout le contenu du répertoire de travail est chiffré à l'aide de votre clé gérée par le client. Si vous ne spécifiez pas de AWS KMS clé, les données qu'elles contiennent `/home/sagemaker-user` sont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée.
# Instances de bloc-notes, tâches d' SageMaker IA et points de terminaison
Pour chiffrer le volume de stockage d'apprentissage automatique (ML) attaché aux blocs-notes, aux tâches de traitement, aux tâches de formation, aux tâches de réglage des hyperparamètres, aux tâches de transformation par lots et aux terminaux, vous pouvez transmettre une AWS KMS clé à AI. SageMaker Si vous ne spécifiez pas de clé KMS, SageMaker AI chiffre les volumes de stockage à l'aide d'une clé transitoire et la supprime immédiatement après le chiffrement du volume de stockage. Pour les instances de bloc-notes, si vous ne spécifiez pas de clé KMS, SageMaker AI chiffre à la fois les volumes du système d'exploitation et les volumes de données ML à l'aide d'une clé KMS gérée par le système.
Vous pouvez utiliser une AWS KMS clé AWS gérée pour chiffrer tous les volumes du système d'exploitation de l'instance. Vous pouvez chiffrer tous les volumes de données ML pour toutes les instances d' SageMaker IA à l'aide d'une AWS KMS clé que vous spécifiez. Les volumes de stockage ML sont montés comme suit :
+ Blocs-notes : `/home/ec2-user/SageMaker`
+ Traitement : `/opt/ml/processing` et `/tmp/`
+ Entraînement : `/opt/ml/` et `/tmp/`
+ Traitement par lots : `/opt/ml/` et `/tmp/`
+ Points de terminaison : `/opt/ml/` et `/tmp/`
Les conteneurs des tâches de traitement, de traitement par lots et d’entraînement, ainsi que leur stockage, sont de nature éphémère. Lorsque le travail est terminé, la sortie est téléchargée sur Amazon S3 à l'aide d'un AWS KMS chiffrement avec une AWS KMS clé optionnelle que vous spécifiez et l'instance est démolie. Si aucune AWS KMS clé n'est fournie dans la demande de travail, SageMaker AI utilise la AWS KMS clé par défaut d'Amazon S3 pour le compte de votre rôle. Si les données de sortie sont stockées dans Amazon S3 Express One Zone, elles sont chiffrées à l’aide d’un chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS) n'est actuellement pas pris en charge pour le stockage des données de sortie de l' SageMaker IA dans les compartiments d'annuaire Amazon S3.
**Note**
La politique clé d'une clé AWS gérée pour Amazon S3 ne peut pas être modifiée. Par conséquent, les autorisations entre comptes ne peuvent pas être accordées pour ces politiques clés. Si le compartiment Amazon S3 de sortie pour la demande provient d'un autre compte, spécifiez votre propre clé AWS KMS client dans la demande de tâche et assurez-vous que le rôle d'exécution de la tâche est autorisé à chiffrer les données avec cette clé.
**Important**
Les données sensibles qui doivent être chiffrées avec une clé KMS pour des raisons de conformité doivent être stockées dans le volume de stockage ML ou dans Amazon S3, tous deux pouvant être chiffrés à l’aide d’une clé KMS que vous spécifiez.
Lorsque vous ouvrez une instance de bloc-notes, SageMaker AI l'enregistre, ainsi que tous les fichiers qui lui sont associés, dans le dossier SageMaker AI du volume de stockage ML par défaut. Lorsque vous arrêtez une instance de bloc-notes, SageMaker AI crée un instantané du volume de stockage ML. Toutes les personnalisations du système d'exploitation de l'instance arrêtée, telles que les bibliothèques personnalisées installées ou les paramètres au niveau du système d'exploitation, enregistrées en dehors du dossier `/home/ec2-user/SageMaker` sont perdues. Pensez à utiliser une configuration de cycle de vie pour automatiser les personnalisations de l’instance de bloc-notes par défaut. Lorsque vous terminez une instance, le snapshot et le volume de stockage ML sont supprimés. Toutes les données dont vous avez besoin au-delà de la durée de vie de l’instance de bloc-notes doivent être transférées dans un compartiment Amazon S3.
Si l'instance du bloc-notes n'est pas mise à jour et exécute un logiciel non sécurisé, SageMaker AI peut régulièrement mettre à jour l'instance dans le cadre d'une maintenance régulière. Au cours de ces mises à jour, les données situées en dehors du dossier ne `/home/ec2-user/SageMaker` sont pas conservées. Pour plus d'informations sur les correctifs de maintenance et de sécurité, consultez[Maintenance](nbi.md#nbi-maintenance).
**Note**
Certaines instances d' SageMaker IA basées sur Nitro incluent le stockage local, selon le type d'instance. Les volumes de stockage local sont chiffrés à l’aide d’un module matériel sur l’instance. Vous ne pouvez pas utiliser de clé KMS sur un type d’instance avec un stockage local. Pour obtenir la liste des types d’instance qui prennent en charge le stockage d’instance local, consultez [Volumes de stockage d’instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez [Amazon EBS et NVMe sur les instances Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Pour plus d’informations sur le chiffrement du stockage d’instance local, consultez [Volumes de stockage d’instance SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker capacités géospatiales
SageMaker capacités géospatiales
Vous pouvez protéger vos données au repos en utilisant le chiffrement pour les données SageMaker géospatiales.
**Chiffrement côté serveur avec clé appartenant à Amazon SageMaker Geospatial (par défaut)**
Les fonctionnalités SageMaker géospatiales d'Amazon chiffrent toutes vos données, y compris les résultats de calcul provenant de vos métadonnées de `EarthObservationJobs` service et `VectorEnrichmentJobs` de celles de celles-ci. Aucune donnée n'est stockée non cryptée dans Amazon SageMaker AI. Il utilise une valeur par défaut Clé détenue par AWS pour chiffrer toutes vos données.
**Chiffrement côté serveur avec clés KMS stockées dans AWS Key Management Service (SSE-KMS)**
Les fonctionnalités SageMaker géospatiales d'Amazon prennent en charge le chiffrement à l'aide d'une clé KMS appartenant au client. Pour plus d'informations, consultez [Utiliser AWS KMS les autorisations pour les fonctionnalités SageMaker géospatiales d'Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Protection des données en transit à l’aide du chiffrement
Toutes les données en transit inter-réseau prennent en charge le chiffrement TLS 1.2. Nous vous recommandons d’utiliser TLS 1.3.
Avec Amazon SageMaker AI, les artefacts du modèle d'apprentissage automatique (ML) et les autres artefacts du système sont chiffrés en transit et au repos. Les demandes adressées à l'API et à la console SageMaker AI sont effectuées via une connexion sécurisée (SSL). Vous transmettez Gestion des identités et des accès AWS des rôles à l' SageMaker IA pour autoriser l'accès aux ressources en votre nom à des fins de formation et de déploiement.
Certaines données en transit intra-réseau (au sein de la plateforme de service) ne sont pas chiffrées. Cela inclut notamment les éléments suivants :
+ Communications de commande et de contrôle entre le plan de contrôle de service et les instances de tâche d’entraînement (pas les données client).
+ Communications entre les nœuds dans les tâches de traitement distribuées (intra-réseau).
+ Communications entre les nœuds dans les tâches d'entraînement distribué (intra-réseau).
Il n’existe aucune communication entre les nœuds pour le traitement par lots.
Vous pouvez choisir de chiffrer les communications entre les nœuds d'un cluster de tâches de formation et d'un cluster de tâches de traitement.
**Note**
Pour les cas d'utilisation dans le secteur de la santé, la bonne pratique en matière de sécurité consiste à chiffrer les communications entre les nœuds.
Pour plus d'informations sur la procédure à suivre pour chiffrer les communications, consultez la rubrique suivante : [Protection des communications entres instances de calcul ML dans une tâche d’entraînement distribué](train-encrypt.md).
**Note**
Le chiffrement du trafic entre conteneurs peut augmenter la durée de l'entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. Pour les algorithmes concernés, ce niveau de sécurité supplémentaire augmente également les coûts. Le temps de formation de la plupart des algorithmes intégrés à l' SageMaker IA XGBoost, tels que DeePar et Linear Learner, n'est généralement pas affecté.
Des points de terminaison validés FIPS sont disponibles pour l'API SageMaker AI et le routeur de requêtes pour les modèles hébergés (runtime). Pour plus d’informations sur les points de terminaison conformes aux standards FIPS, consultez [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
## Protégez les communications avec RStudio Amazon SageMaker AI
RStudio sur Amazon SageMaker AI fournit un chiffrement pour toutes les communications impliquant des composants d' SageMaker IA. Cependant, la version précédente ne prenait pas en charge le chiffrement entre les RSession applications RStudio ServerPro et.
RStudio a publié la version 2022.02.2-485.pro2 en avril 2022. Cette version prend en charge le chiffrement entre RStudio ServerPro et RSession les applications pour activer end-to-end le chiffrement. La mise à niveau de version n'est toutefois pas totalement rétrocompatible. Par conséquent, vous devez mettre à jour toutes vos RSession applications RStudio ServerPro et applications. Pour plus d’informations sur la mise à jour de vos applications, consultez [RStudio Versionnage](rstudio-version.md).
# Protection des communications entres instances de calcul ML dans une tâche d’entraînement distribué
Par défaut, Amazon SageMaker AI exécute des tâches de formation dans un Amazon Virtual Private Cloud (Amazon VPC) afin de garantir la sécurité de vos données. Pour protéger vos conteneurs d’entraînement et vos données, vous pouvez ajouter un autre niveau de sécurité en configurant un VPC *privé*. Les infrastructures et algorithmes ML distribués transmettent généralement des informations qui sont directement liées au modèle, telles que les pondérations, et non au jeu de données. Lorsque vous effectuez un entraînement distribué, vous pouvez mieux protéger les données qui sont transmises entre les instances. Cela peut vous aider à respecter les exigences réglementaires. Pour ce faire, utilisez le chiffrement du trafic entre conteneurs.
**Note**
Pour les cas d'utilisation dans le secteur de la santé, la bonne pratique en matière de sécurité consiste à chiffrer les communications entre les nœuds.
L’activation du chiffrement du trafic entre conteneurs peut augmenter la durée de l’entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. L’activation du chiffrement du trafic entre conteneurs n’affecte pas les tâches d’entraînement ayant une instance de calcul unique. Cependant, pour les tâches d’entraînement possédant plusieurs instances de calcul, l’incidence sur la durée d’entraînement dépend du volume de communication entre les instances de calcul. Pour les algorithmes concernés, l’ajout de ce niveau de sécurité augmente également les coûts. Le temps de formation de la plupart des algorithmes intégrés à l' SageMaker IA XGBoost, tels que DeePar et Linear Learner, n'est généralement pas affecté.
Vous pouvez activer le chiffrement du trafic entre conteneurs pour les tâches d’entraînement ou les tâches de réglage d’hyper-paramètre. Vous pouvez utiliser notre SageMaker APIs console pour activer le chiffrement du trafic entre conteneurs.
Pour plus d’informations sur l’exécution de tâches d’entraînement dans un VPC privé, consultez [Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC](train-vpc.md).
## Activez le chiffrement du trafic entre conteneurs (API)
Avant d'activer le chiffrement du trafic inter-conteneurs lors de tâches d'entraînement ou de réglage d'hyperparamètres APIs, ajoutez des règles entrantes et sortantes au groupe de sécurité de votre VPC privé.
**Pour activer le chiffrement du trafic entre conteneurs (API)**
1. Ajoutez les règles entrantes et sortantes suivantes au groupe de sécurité de votre VPC privé :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/train-encrypt.html)
1. Lorsque vous envoyez une requête à l’API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), spécifiez `True` pour le paramètre `EnableInterContainerTrafficEncryption`.
**Note**
Pour le `ESP 50` protocole, la console du groupe AWS de sécurité peut afficher la plage de ports sous la forme « Tous ». Toutefois, Amazon EC2 ignore la plage de ports indiquée, car elle n'est pas applicable pour le protocole IP ESP 50.
## Activer le chiffrement du trafic entre conteneurs (Console)
### Activer le chiffrement du trafic entre conteneurs dans une tâche d’entraînement
**Pour activer le chiffrement du trafic entre conteneurs dans une tâche d’entraînement**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Training (Entraînement)**, puis **Training jobs (Tâches d’entraînement)**.
1. Choisissez **Create training job (Créer une tâche d'entraînement)**.
1. Dans **Network (Réseau)**, choisissez un **VPC**. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.
1. Choisissez **Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs)**.
Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche d’entraînement. Pour de plus amples informations, veuillez consulter [Entraînement d’un modèle](ex1-train-model.md).
### Activez le chiffrement du trafic entre conteneurs dans une tâche de réglage d’hyper-paramètre
**Pour activer le chiffrement du trafic entre conteneurs dans une tâche de réglage d’hyper-paramètre**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Training (Entraînement)**, puis **Hyperparameter tuning jobs (Tâches de réglage d’hyper-paramètre)**.
1. Choisissez **Create hyperparameter tuning job (Créer une tâche de réglage d'hyperparamètre)**.
1. Dans **Network (Réseau)**, choisissez un **VPC**. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.
1. Choisissez **Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs)**.
Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche de réglage d’hyper-paramètre. Pour de plus amples informations, veuillez consulter [Configuration et lancement de la tâche de réglage des hyperparamètres](automatic-model-tuning-ex-tuning-job.md).
# Gestion des clés
Les clients peuvent spécifier des AWS KMS clés, notamment Bring Your Own Keys (BYOK), à utiliser pour le chiffrement des enveloppes avec les input/output buckets Amazon S3 et les volumes Amazon EBS basés sur le machine learning (ML). Les volumes ML pour les instances de blocs-notes et pour le traitement, la formation et les modèles de conteneurs Docker hébergés peuvent être chiffrés en option à l'aide de clés appartenant AWS KMS au client. Tous les volumes du système d'exploitation de l'instance sont chiffrés à l'aide d'une AWS KMS clé AWS gérée.
**Note**
Certaines instances basées sur Nitro incluent un stockage local, dépendant du type d’instance. Les volumes de stockage local sont chiffrés à l’aide d’un module matériel sur l’instance. Vous ne pouvez pas demander une valeur `VolumeKmsKeyId` lorsque vous utilisez un type d’instance avec stockage local.
Pour obtenir la liste des types d’instance qui prennent en charge le stockage d’instance local, consultez [Volumes de stockage d’instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Pour plus d’informations sur le chiffrement du stockage d’instance local, consultez [Volumes de stockage d’instance SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez [Amazon EBS et NVMe sur les instances Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Pour plus d'informations sur AWS KMS les clés, voir [Qu'est-ce que le service de gestion des AWS clés ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide AWS Key Management Service du développeur*.
# Confidentialité du trafic inter-réseaux
Cette rubrique décrit comment Amazon SageMaker AI sécurise les connexions entre le service et d'autres sites.
Les communications inter-réseau prennent en charge le chiffrement TLS 1.2 entre tous les composants et clients. Nous recommandons TLS 1.3.
Les instances peuvent être connectées au VPC client, ce qui permet d’accéder aux points de terminaison de VPC S3 ou aux référentiels client. La sortie Internet peut être gérée via cette interface par le client si la sortie Internet de la plateforme de service est désactivée pour les blocs-notes. Pour l’entraînement et l'hébergement, la sortie via la plateforme de service n'est pas disponible lorsqu'elle est connectée au VPC du client.
Par défaut, les appels d’API effectués vers des points de terminaison publiés traversent le réseau public vers le routeur de demande. SageMaker L'IA prend en charge les points de terminaison de l'interface Amazon Virtual Private Cloud alimentés par AWS PrivateLink une connectivité privée entre le VPC du client et le routeur de demande afin d'accéder aux points de terminaison des modèles hébergés. Pour obtenir des informations sur Amazon VPC, consultez [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md).