本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 5：(可選) 加密培訓檔案
<a name="su-encrypt-bucket"></a>

您可以選擇以下其中一個選項來加密 Amazon Rekognition 自訂標籤位於主控台儲存貯體或外部 Amazon S3 儲存貯體中的清單檔案和圖像檔。
+ 使用 Amazon S3 金鑰 (SSE-S3)。
+ 使用您的 AWS KMS key。
**注意**  
呼叫 [IAM 主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal%23intro-structure-principal) 需要權限才能解密檔案。如需詳細資訊，請參閱[解密使用 加密的檔案 AWS Key Management Service](#su-kms-encryption)。

如需更多加密 Amazon S3 儲存貯體的詳細資訊，請參閱 [設定 Amazon S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。

## 解密使用 加密的檔案 AWS Key Management Service
<a name="su-kms-encryption"></a>

如果您使用 AWS Key Management Service (KMS) 來加密 Amazon Rekognition 自訂標籤清單檔案和映像檔案，請將呼叫 Amazon Rekognition 自訂標籤的 IAM 主體新增至 KMS 金鑰的金鑰政策。這樣做可讓 Amazon Rekognition 自訂標籤在培訓前解密您的清單檔案和圖像檔案。如需更多詳細資訊，請參閱 [我的 Amazon S3 儲存貯體使用自訂 AWS KMS 金鑰預設加密。如何允許使用者從儲存貯體中下載及上傳？](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-access-default-encryption/)

IAM 主體需要 KMS 金鑰的以下權限。
+ kms:產生資料金鑰
+ kms:解密

如需更多詳細資訊，請參閱 [使用儲存在 AWS 金鑰管理服務 (SSE-KMS) 中的 KMS 金鑰進行伺服器端加密來保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。

## 加密複製的培訓和測試圖像
<a name="w2aab8c21c11"></a>

為了培訓您的模型，Amazon Rekognition 自訂標籤會製作來源培訓和測試圖像的副本。在預設情況下，複製的圖像會使用 AWS 擁有和管理的金鑰進行靜態加密。您也可以選擇使用自己的 AWS KMS key。如果您使用自己的 KMS 金鑰，則需要擁有該 KMS 金鑰的以下權限。
+ kms:創建權限
+ kms:描述金鑰

當您使用主控台培訓模型或呼叫 `CreateProjectVersion` 操作時，您可以選擇性地指定 KMS 金鑰。您使用的 KMS 金鑰不需要與您在 Amazon S3 儲存貯體中用來加密清單檔案和圖像檔案的 KMS 金鑰相同。如需詳細資訊，請參閱[步驟 5：(可選) 加密培訓檔案](#su-encrypt-bucket)。

如需更多詳細資訊，請參閱 [AWS 金鑰管理服務概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。您的來源圖像不會受到影響。

如需培訓模型的資訊，請參閱 [培訓 Amazon Rekognition 自訂標籤模型](training-model.md)。