Erteilen Sie IAM-Berechtigungen zur Nutzung der Amazon SageMaker Ground Truth Console - Amazon SageMaker KI
Konsolenberechtigungen für Ground TruthWorkflow-Berechtigungen für benutzerdefinierte KennzeichnungsaufträgeBerechtigungen für private ArbeitskräfteBerechtigungen der Arbeitskräfte von Anbietern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen Sie IAM-Berechtigungen zur Nutzung der Amazon SageMaker Ground Truth Console

Um den Ground-Truth-Bereich der SageMaker KI-Konsole nutzen zu können, müssen Sie einer Entität die Erlaubnis erteilen, auf SageMaker KI und andere AWS Dienste zuzugreifen, mit denen Ground Truth interagiert. Die erforderlichen Berechtigungen für den Zugriff auf andere AWS Dienste hängen von Ihrem Anwendungsfall ab:

  • Amazon S3-Berechtigungen sind für alle Anwendungsfälle erforderlich. Diese Berechtigungen müssen den Zugriff auf die Amazon-S3-Buckets gewähren, die Eingabe- und Ausgabedaten enthalten.

  • AWS Marketplace Für den Einsatz von Mitarbeitern eines Anbieters sind Berechtigungen erforderlich.

  • Für die Einrichtung eines privaten Arbeitsteams ist eine Amazon Cognito-Berechtigung erforderlich.

  • AWS KMS Zum Anzeigen verfügbarer AWS KMS Schlüssel, die für die Verschlüsselung der Ausgabedaten verwendet werden können, sind Berechtigungen erforderlich.

  • Um bereits vorhandene Ausführungsrollen aufzulisten oder eine neue zu erstellen sind IAM-Berechtigungen erforderlich. Darüber hinaus müssen Sie die Option „PassRoleBerechtigung hinzufügen“ verwenden, damit SageMaker KI die Ausführungsrolle verwenden kann, die ausgewählt wurde, um den Labeling-Job zu starten.

In den folgenden Abschnitten sind Richtlinien aufgeführt, die Sie einer Rolle ggf. zuweisen sollten, um eine oder mehrere Funktionen von Ground Truth zu nutzen.

Konsolenberechtigungen für Ground Truth

Um einem Benutzer oder einer Rolle die Erlaubnis zu erteilen, den Ground Truth Truth-Bereich der SageMaker KI-Konsole zur Erstellung eines Labeling-Jobs zu verwenden, fügen Sie dem Benutzer oder der Rolle die folgende Richtlinie bei. Mit der folgenden Richtlinie wird einer IAM-Rolle die Berechtigung erteilt, einen Kennzeichnungsauftrag unter Verwendung eines integrierten Aufgabentyps zu erstellen. Wenn Sie einen benutzerdefinierten Kennzeichnungs-Workflow erstellen möchten, fügen Sie die Richtlinie in Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge zu der folgenden Richtlinie hinzu. Jede der in der folgenden Richtlinie enthaltene Statement wird unter diesem Codeblock beschrieben.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerApis",
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessAwsMarketplaceSubscriptions",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ViewSubscriptions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListAndCreateExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleForExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GroundTruthConsole",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*",
                "lambda:InvokeFunction",
                "lambda:ListFunctions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:ListAllMyBuckets",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient"
            ],
            "Resource": "*"
        }
    ]
}

Diese Richtlinie enthält die folgenden Aussagen. Sie können jede dieser Aussagen eingrenzen, indem Sie konkrete Ressourcen auf die Resource Liste für diese Anweisung setzen.

SageMakerApis

Diese Aussage beinhaltetsagemaker:*, was es dem Benutzer ermöglicht, alle SageMaker KI-API-Aktionen durchzuführen. Sie können den Umfang dieser Richtlinie einschränken, indem Sie Benutzer daran hindern, Aktionen auszuführen, die bei der Erstellung und Überwachung eines Kennzeichnungsauftrags keine Anwendung finden.

KmsKeysForCreateForms

Sie müssen diese Anweisung nur angeben, wenn Sie einem Benutzer die Erlaubnis erteilen möchten, AWS KMS Schlüssel in der Ground Truth Konsole aufzulisten und auszuwählen, die für die Verschlüsselung der Ausgabedaten verwendet werden sollen. Die o.g. Richtlinie gibt dem Benutzer die Berechtigung, im Konto unter AWS KMS beliebige Schlüssel aufzulisten und auszuwählen. Um die Schlüssel einzuschränken, die ein Benutzer auflisten und auswählen kann, geben Sie diese Schlüssel ARNs in einResource.

SecretsManager

Diese Anweisung gibt dem Benutzer die Erlaubnis, Ressourcen zu beschreiben, aufzulisten und zu erstellen, die für die Erstellung des Labeling-Jobs AWS Secrets Manager erforderlich sind.

ListAndCreateExecutionRoles

Diese Anweisung erteilt einem Benutzer die Berechtigung, IAM-Rollen in Ihrem Konto aufzulisten (ListRoles) und zu erstellen (CreateRole). Sie gibt dem Benutzer auch die Berechtigung, Richtlinien zu erstellen (CreatePolicy) und sie an Entitäten anzuhängen (AttachRolePolicy). Diese sind erforderlich, um in der Konsole eine Ausführungsrolle aufzulisten, auszuwählen und ggf. zu erstellen.

Wenn Sie bereits eine Ausführungsrolle erstellt haben und den Geltungsbereich dieser Anweisung einschränken möchten, sodass Benutzer nur diese Rolle in der Konsole auswählen können, geben Sie die ARNs Rollen an, für die der Benutzer berechtigt sein soll, die Aktionen anzuzeigen Resource und zu entfernen CreateRoleCreatePolicy, undAttachRolePolicy.

AccessAwsMarketplaceSubscriptions

Diese Berechtigungen sind erforderlich, um Arbeitsteams von Lieferanten anzeigen und auswählen zu können, die Sie bei der Erstellung eines Kennzeichnungsauftrags bereits abonniert haben. Um dem Benutzer die Berechtigung zu geben, Arbeitsteams von Lieferanten zu abonnieren, fügen Sie die Anweisung in Berechtigungen der Arbeitskräfte von Anbietern zu der obigen Richtlinie hinzu

PassRoleForExecutionRoles

Dies ist erforderlich, um dem Ersteller des Kennzeichnungsauftrags die Berechtigung zu geben, eine Vorschau der Worker-Benutzeroberfläche anzuzeigen und zu überprüfen, ob Eingabedaten, Beschriftungen und Anweisungen korrekt angezeigt werden. Diese Anweisung erteilt einer Entität die Erlaubnis, die IAM-Ausführungsrolle, die zur Erstellung des Labeling-Jobs verwendet wurde, an SageMaker KI zu übergeben, um die Worker-Benutzeroberfläche zu rendern und eine Vorschau anzuzeigen. Um den Umfang dieser Richtlinie einzugrenzen, fügen Sie unter Resource die Rollen-ARN der Ausführungsrolle hinzu, mit der der Kennzeichnungsauftrag erstellt wurde.

GroundTruthConsole

  • groundtruthlabeling – Damit kann ein Benutzer Aktionen ausführen, die für die Nutzung bestimmter Funktionen der Ground-Truth-Konsole erforderlich sind. Dazu gehören Berechtigungen zur Beschreibung des Status des Kennzeichnungsauftrags (DescribeConsoleJob), zum Auflisten aller Datensatz-Objekte in der Eingabe-Manifestdatei (ListDatasetObjects), zum Filtern des Datensatzes, wenn die Datensatz-Probenahme ausgewählt ist (RunFilterOrSampleDatasetJob), sowie zum Generieren von Eingabe-Manifestdateien, falls das automatische Daten-Labeling verwendet wird (RunGenerateManifestByCrawlingJob). Diese Aktionen stehen nur bei Verwendung der Ground-Truth-Konsole zur Verfügung und können nicht direkt über eine API aufgerufen werden.

  • lambda:InvokeFunction und lambda:ListFunctions – diese Aktionen geben dem Benutzer die Berechtigung, Lambda-Funktionen aufzulisten und aufzurufen, die zur Ausführung eines benutzerdefinierten Kennzeichnungs-Workflows verwendet werden.

  • s3:* – Alle in dieser Anweisung enthaltenen Amazon S3-Berechtigungen dienen dazu, Amazon-S3-Buckets für die automatisierte Dateneinrichtung anzuzeigen (ListAllMyBuckets), in Amazon S3 auf Eingabedaten zuzugreifen (ListBucket,GetObject), ggf. nach CORS-Richtlinien in Amazon S3 zu suchen und diese zu erstellen (GetBucketCors und PutBucketCors) und Ausgabedateien für Kennzeichnungsaufträge in S3 zu schreiben (PutObject).

  • cognito-idp- Diese Berechtigungen dienen dazu, mithilfe von Amazon Cognito private Arbeitskräfte zu erstellen, anzuzeigen und zu verwalten. Weitere Informationen zu diesen Aktionen finden Sie in den Amazon Cognito API-Referenzen.

Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge

Fügen Sie die folgende Anweisung zu einer Richtlinie hinzu, ähnlich der in Konsolenberechtigungen für Ground Truth, um einem Benutzer die Berechtigung zu erteilen, bereits vorhandene Lambda-Funktionen vor und nach der Anmerkung auszuwählen und dabei einen benutzerdefinierten Kennzeichnungs-Workflow zu erstellen.

{
    "Sid": "GroundTruthConsoleCustomWorkflow",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction",
        "lambda:ListFunctions"
    ],
    "Resource": "*"
}

Informationen darüber, wie Sie einer Entität die Berechtigung erteilen, Lambda-Funktionen vor und nach der Annotation zu erstellen und zu testen, finden Sie unter Erforderliche Berechtigungen zur Verwendung von Lambda mit Ground Truth.

Berechtigungen für private Arbeitskräfte

Wenn die folgende Berechtigung zu einer Berechtigungsrichtlinie hinzugefügt wird, gewährt sie Zugriff auf die Erstellung und Verwaltung privater Arbeitskräfte und eines Arbeitsteams mit Hilfe von Amazon Cognito. Diese Berechtigungen sind nicht erforderlich, um OIDC-IdP-Arbeitskräfte zu verwenden.

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:ListGroups",
        "cognito-idp:ListIdentityProviders",
        "cognito-idp:ListUsers",
        "cognito-idp:ListUsersInGroup",
        "cognito-idp:ListUserPoolClients",
        "cognito-idp:ListUserPools",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient"
        ],
    "Resource": "*"
}

Weitere Informationen zum Erstellen privater Arbeitskräfte mit Hilfe von Amazon Cognito finden Sie unter Amazon Cognito Belegschaft.

Berechtigungen der Arbeitskräfte von Anbietern

Sie können zu der Richtlinie in Erteilen Sie IAM-Berechtigungen zur Nutzung der Amazon SageMaker Ground Truth Console die folgende Erklärung hinzufügen, um einer Entität die Berechtigung zu erteilen, Arbeitskräfte von einem Anbieter zu abonnieren.

{
    "Sid": "AccessAwsMarketplaceSubscriptions",
    "Effect": "Allow",
    "Action": [
        "aws-marketplace:Subscribe",
        "aws-marketplace:Unsubscribe",
        "aws-marketplace:ViewSubscriptions"
    ],
    "Resource": "*"
}