Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erteilen Sie die IAM Erlaubnis zur Nutzung der Amazon SageMaker Ground Truth Console
Um den Ground Truth Bereich der SageMaker Konsole nutzen zu können, müssen Sie einer Entität die Erlaubnis erteilen, auf andere AWS Dienste zuzugreifen, mit denen SageMaker Ground Truth interagiert. Die erforderlichen Berechtigungen für den Zugriff auf andere AWS Dienste hängen von Ihrem Anwendungsfall ab:
-
Amazon S3-Berechtigungen sind für alle Anwendungsfälle erforderlich. Diese Berechtigungen müssen den Zugriff auf die Amazon-S3-Buckets gewähren, die Eingabe- und Ausgabedaten enthalten.
-
AWS Marketplace Für den Einsatz von Mitarbeitern eines Anbieters sind Berechtigungen erforderlich.
-
Für die Einrichtung eines privaten Arbeitsteams ist eine Amazon Cognito-Berechtigung erforderlich.
-
AWS KMS Zum Anzeigen verfügbarer AWS KMS Schlüssel, die für die Verschlüsselung der Ausgabedaten verwendet werden können, sind Berechtigungen erforderlich.
-
IAMBerechtigungen sind erforderlich, um entweder bereits vorhandene Ausführungsrollen aufzulisten oder eine neue zu erstellen. Darüber hinaus müssen Sie die Option „
PassRoleBerechtigung hinzufügen“ verwenden, um die SageMaker zum Starten des Labeling-Jobs gewählte Ausführungsrolle verwenden zu können.
In den folgenden Abschnitten sind Richtlinien aufgeführt, die Sie einer Rolle ggf. zuweisen sollten, um eine oder mehrere Funktionen von Ground Truth zu nutzen.
Themen
Konsolenberechtigungen für Ground Truth
Um einem Benutzer oder einer Rolle die Erlaubnis zu erteilen, den Ground Truth Truth-Bereich der SageMaker Konsole zum Erstellen eines Labeling-Jobs zu verwenden, fügen Sie dem Benutzer oder der Rolle die folgende Richtlinie bei. Die folgende Richtlinie erteilt einer IAM Rolle die Berechtigung, einen Labeling-Job mithilfe eines integrierten Aufgabentyps zu erstellen. Wenn Sie einen benutzerdefinierten Kennzeichnungs-Workflow erstellen möchten, fügen Sie die Richtlinie in Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge zu der folgenden Richtlinie hinzu. Jede der in der folgenden Richtlinie enthaltene Statement wird unter diesem Codeblock beschrieben.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "KmsKeysForCreateForms", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid": "ListAndCreateExecutionRoles", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "groundtruthlabeling:*", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketCors", "s3:PutBucketCors", "s3:ListAllMyBuckets", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" } ] }
Diese Richtlinie enthält die folgenden Aussagen. Sie können jede dieser Aussagen eingrenzen, indem Sie konkrete Ressourcen auf die Resource Liste für diese Anweisung setzen.
SageMakerApis
Diese Anweisung beinhaltetsagemaker:*, was es dem Benutzer ermöglicht, alle SageMakerAPIAktionen auszuführen. Sie können den Umfang dieser Richtlinie einschränken, indem Sie Benutzer daran hindern, Aktionen auszuführen, die bei der Erstellung und Überwachung eines Kennzeichnungsauftrags keine Anwendung finden.
KmsKeysForCreateForms
Sie müssen diese Anweisung nur angeben, wenn Sie einem Benutzer die Erlaubnis erteilen möchten, AWS KMS Schlüssel in der Ground Truth Konsole aufzulisten und auszuwählen, die für die Verschlüsselung der Ausgabedaten verwendet werden sollen. Die o.g. Richtlinie gibt dem Benutzer die Berechtigung, im Konto unter AWS KMS beliebige Schlüssel aufzulisten und auszuwählen. Um die Schlüssel einzuschränken, die ein Benutzer auflisten und auswählen kann, geben Sie diese Schlüssel ARNs in einResource.
SecretsManager
Diese Anweisung gibt dem Benutzer die Erlaubnis, Ressourcen zu beschreiben, aufzulisten und zu erstellen, die für die Erstellung des Labeling-Jobs AWS Secrets Manager erforderlich sind.
ListAndCreateExecutionRoles
Diese Anweisung erteilt einem Benutzer die Erlaubnis, IAM Rollen in Ihrem Konto aufzulisten (ListRolesCreateRole) und zu erstellen (). Sie gibt dem Benutzer auch die Berechtigung, Richtlinien zu erstellen (CreatePolicy) und sie an Entitäten anzuhängen (AttachRolePolicy). Diese sind erforderlich, um in der Konsole eine Ausführungsrolle aufzulisten, auszuwählen und ggf. zu erstellen.
Wenn Sie bereits eine Ausführungsrolle erstellt haben und den Geltungsbereich dieser Anweisung einschränken möchten, sodass Benutzer nur diese Rolle in der Konsole auswählen können, geben Sie die ARNs Rollen an, für die der Benutzer berechtigt sein soll, die Aktionen anzuzeigen Resource und zu entfernen CreateRoleCreatePolicy, undAttachRolePolicy.
AccessAwsMarketplaceSubscriptions
Diese Berechtigungen sind erforderlich, um Arbeitsteams von Lieferanten anzeigen und auswählen zu können, die Sie bei der Erstellung eines Kennzeichnungsauftrags bereits abonniert haben. Um dem Benutzer die Berechtigung zu geben, Arbeitsteams von Lieferanten zu abonnieren, fügen Sie die Anweisung in Berechtigungen der Arbeitskräfte von Anbietern zu der obigen Richtlinie hinzu
PassRoleForExecutionRoles
Dies ist erforderlich, um dem Ersteller des Kennzeichnungsauftrags die Berechtigung zu geben, eine Vorschau der Worker-Benutzeroberfläche anzuzeigen und zu überprüfen, ob Eingabedaten, Beschriftungen und Anweisungen korrekt angezeigt werden. Diese Anweisung erteilt einer Entität die Berechtigung, die IAM Ausführungsrolle, mit der der Labeling-Job erstellt wurde, SageMaker an das Rendern und die Vorschau der Worker-Benutzeroberfläche zu übergeben. Um den Geltungsbereich dieser Richtlinie einzugrenzen, fügen Sie die Rolle ARN der Ausführungsrolle hinzu, die für die Erstellung des Labeling-Jobs verwendet wurde, unterResource.
GroundTruthConsole
-
groundtruthlabeling– Damit kann ein Benutzer Aktionen ausführen, die für die Nutzung bestimmter Funktionen der Ground-Truth-Konsole erforderlich sind. Dazu gehören Berechtigungen zur Beschreibung des Status des Kennzeichnungsauftrags (DescribeConsoleJob), zum Auflisten aller Datensatz-Objekte in der Eingabe-Manifestdatei (ListDatasetObjects), zum Filtern des Datensatzes, wenn die Datensatz-Probenahme ausgewählt ist (RunFilterOrSampleDatasetJob), sowie zum Generieren von Eingabe-Manifestdateien, falls das automatische Daten-Labeling verwendet wird (RunGenerateManifestByCrawlingJob). Diese Aktionen sind nur verfügbar, wenn Sie die Ground Truth Truth-Konsole verwenden, und können nicht direkt über eine aufgerufen werdenAPI. -
lambda:InvokeFunctionundlambda:ListFunctions– diese Aktionen geben dem Benutzer die Berechtigung, Lambda-Funktionen aufzulisten und aufzurufen, die zur Ausführung eines benutzerdefinierten Kennzeichnungs-Workflows verwendet werden. -
s3:*— Alle in dieser Erklärung enthaltenen Amazon S3-Berechtigungen werden verwendet, um Amazon S3-Buckets für die automatische Dateneinrichtung anzuzeigen (ListAllMyBuckets), auf Eingabedaten in Amazon S3 zuzugreifen (ListBucket,GetObject), bei Bedarf nach CORS Richtlinien in Amazon S3 zu suchen und diese zu erstellen (GetBucketCorsundPutBucketCors) und Ausgabedateien für Labeling-Jobs in S3 zu schreiben (PutObject). -
cognito-idp- Diese Berechtigungen dienen dazu, mithilfe von Amazon Cognito private Arbeitskräfte zu erstellen, anzuzeigen und zu verwalten. Weitere Informationen zu diesen Aktionen finden Sie in den Amazon Cognito API Cognito-Referenzen.
Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge
Fügen Sie die folgende Anweisung zu einer Richtlinie hinzu, ähnlich der in Konsolenberechtigungen für Ground Truth, um einem Benutzer die Berechtigung zu erteilen, bereits vorhandene Lambda-Funktionen vor und nach der Anmerkung auszuwählen und dabei einen benutzerdefinierten Kennzeichnungs-Workflow zu erstellen.
{ "Sid": "GroundTruthConsoleCustomWorkflow", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:ListFunctions" ], "Resource": "*" }
Informationen darüber, wie Sie einer Entität die Berechtigung erteilen, Lambda-Funktionen vor und nach der Annotation zu erstellen und zu testen, finden Sie unter Erforderliche Berechtigungen zur Verwendung von Lambda mit Ground Truth.
Berechtigungen für private Arbeitskräfte
Wenn die folgende Berechtigung zu einer Berechtigungsrichtlinie hinzugefügt wird, gewährt sie Zugriff auf die Erstellung und Verwaltung privater Arbeitskräfte und eines Arbeitsteams mit Hilfe von Amazon Cognito. Diese Berechtigungen sind nicht erforderlich, um eine OIDCIdP-Belegschaft einzusetzen.
{ "Effect": "Allow", "Action": [ "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" }
Weitere Informationen zum Erstellen privater Arbeitskräfte mit Hilfe von Amazon Cognito finden Sie unter Amazon Cognito Belegschaft.
Berechtigungen der Arbeitskräfte von Anbietern
Sie können zu der Richtlinie in Erteilen Sie die IAM Erlaubnis zur Nutzung der Amazon SageMaker Ground Truth Console die folgende Erklärung hinzufügen, um einer Entität die Berechtigung zu erteilen, Arbeitskräfte von einem Anbieter zu abonnieren.
{ "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }
