本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 5：（可选）加密训练文件
<a name="su-encrypt-bucket"></a>

您可以选择以下选项之一来加密控制台存储桶或外部 Amazon S3 存储桶中的 Amazon Rekognition Custom Labels 清单文件和图像文件。
+ 使用 Amazon S3 密钥 (SSE-S3)。
+ 用你的 AWS KMS key.
**注意**  
调用 [IAM 主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal%23intro-structure-principal)需要解密文件的权限。有关更多信息，请参阅 [解密使用加密的文件 AWS Key Management Service](#su-kms-encryption)。

有关如何加密 Amazon S3 存储桶的信息，请参阅[为 Amazon S3 存储桶设置默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。

## 解密使用加密的文件 AWS Key Management Service
<a name="su-kms-encryption"></a>

如果您使用 AWS Key Management Service (KMS) 加密您的 Amazon Rekognition 自定义标签清单文件和图像文件，请将调用 Amazon Rekognition 自定义标签的 IAM 委托人添加到 KMS 密钥的密钥策略中。这样做可以让 Amazon Rekognition Custom Labels 在训练之前解密清单和图像文件。有关更多信息，请参阅[我的 Amazon S3 存储桶使用自定义 AWS KMS 密钥进行默认加密。如何允许用户从存储桶下载内容以及上传内容到存储桶？](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-access-default-encryption/)

IAM 主体需要对 KMS 密钥具有以下权限。
+ kms: GenerateDataKey
+ kms:Decrypt

有关更多信息，请参阅[使用存储在 AWS Key Management Service 中的 KMS 密钥通过服务器端加密 (SSE-KMS) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。

## 对复制的训练和测试图像进行加密
<a name="w2aab8c21c11"></a>

为了训练您的模型，Amazon Rekognition Custom Labels 会复制您的源训练图像和测试图像。默认情况下，复制的图像使用 AWS 拥有和管理的密钥进行静态加密。您也可以选择使用自己的 AWS KMS key。如果使用自己的 KMS 密钥，则需要对该 KMS 密钥具有以下权限。
+ kms: CreateGrant
+ kms: DescribeKey

在使用控制台训练模型或者在调用 `CreateProjectVersion` 操作时，可以选择指定 KMS 密钥。所使用的 KMS 密钥不必与用于加密 Amazon S3 存储桶中的清单文件和图像文件的 KMS 密钥相同。有关更多信息，请参阅 [步骤 5：（可选）加密训练文件](#su-encrypt-bucket)。

有关更多信息，请参阅 [AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。源图像不受影响。

有关训练模型的信息，请参阅[训练 Amazon Rekognition Custom Labels 模型](training-model.md)。