Erstellen Sie eine SageMaker KI-Ausführungsrolle für einen Ground-Truth-Labeling-Job - Amazon SageMaker KI
Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)Anforderungen an die Ausführungsrolle für benutzerdefinierte AufgabentypenBerechtigungsanforderungen für die automatisierte Datenbeschriftung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine SageMaker KI-Ausführungsrolle für einen Ground-Truth-Labeling-Job

Wenn Sie Ihren Labeling-Job konfigurieren, müssen Sie eine Ausführungsrolle angeben. Dabei handelt es sich um eine Rolle, die SageMaker KI übernehmen darf, um Ihren Labeling-Job zu starten und auszuführen.

Diese Rolle muss Ground Truth die folgende Zugriffsberechtigung geben:

  • Amazon S3 kann Ihre Eingabedaten abrufen und Ausgabedaten in einen Amazon-S3-Bucket schreiben. Sie können entweder einer IAM-Rolle die Berechtigung für den Zugriff auf einen gesamten Bucket erteilen, indem Sie den Bucket-ARN angeben, oder Sie können der Rolle den Zugriff auf bestimmte Ressourcen in einem Bucket gewähren. Der ARN für einen Bucket kann z. B. so aussehen wie arn:aws:s3:::amzn-s3-demo-bucket1, und der ARN einer Ressource in einem Amazon-S3-Bucket kann so aussehen wie arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png. Um eine Aktion auf alle Ressourcen in einem Amazon-S3-Bucket anzuwenden, können Sie den Platzhalter * verwenden. Beispiel, arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*. Weitere Informationen finden Sie unter Amazon S3-Ressourcen im Benutzerhandbuch zum Amazon Simple Storage Service.

  • CloudWatch um Arbeitsmetriken und den Status von Labeling-Jobs zu protokollieren.

  • AWS KMS zur Datenverschlüsselung. (Optional)

  • AWS Lambda für die Verarbeitung von Eingabe- und Ausgabedaten, wenn Sie einen benutzerdefinierten Workflow erstellen.

Wenn Sie einen Streaming-Kennzeichnungsauftrag erstellen, muss diese Rolle außerdem über folgende Zugriffsberechtigungen verfügen:

  • Amazon SQS zur Erstellung einer Interaktion mit einer SQS-Warteschlange für die Verwaltung von Kennzeichnungsanfragen.

  • Amazon SNS, um Nachrichten aus Ihrem Amazon SNS-Eingabethema zu abonnieren und abzurufen und Nachrichten an Ihr Amazon SNS-Ausgabethema zu senden.

Alle diese Berechtigungen können mit der AmazonSageMakerGroundTruthExecution verwalteten Richtlinie erteilt werden, außer:

  • Verschlüsselung von Daten und Speicher-Volumes Ihrer Amazon-S3-Buckets. Informationen zum Einrichten dieser Berechtigungen finden Sie unter Verschlüsselung von Ausgabedaten und Speicher-Volumes mit AWS KMS.

  • Berechtigung zum Auswählen und Aufrufen von Lambda-Funktionen ohne GtRecipe, SageMaker, Sagemaker, sagemaker oder LabelingFunction im Funktionsnamen.

  • Amazon-S3-Buckets, die weder GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker noch sagemaker im Präfix oder im Bucket-Namen oder eine Objekt-Markierung enthalten, die SageMaker im Namen enthält (Groß- und Kleinschreibung wird nicht beachtet).

Wenn Sie präzisere Berechtigungen brauchen als die unter AmazonSageMakerGroundTruthExecution angegebenen, verwenden Sie die folgenden Richtlinienbeispiele, um eine Ausführungsrolle zu erstellen, die zu Ihrem speziellen Anwendungsfall passt.

Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)

Die folgende Richtlinie gewährt die Berechtigung, einen Kennzeichnungsauftrag für einen integrierten Aufgabentyp zu erstellen. Diese Ausführungsrichtlinie beinhaltet keine Berechtigungen für die AWS KMS Datenverschlüsselung oder -entschlüsselung. Ersetzen Sie jeden roten, kursiv geschriebenen ARN durch Ihren eigenen Amazon S3. ARNs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ViewBuckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "S3GetPutObjects",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)

Wenn Sie einen Kennzeichnungsauftrag mit Streaming erstellen, müssen Sie zu der Ausführungsrolle, mit der Sie den Kennzeichnungsauftrag erstellen, eine Richtlinie hinzufügen, ähnlich der folgenden. Um den Geltungsbereich der Richtlinie einzugrenzen, ersetzen Sie das Feld * in Resource durch spezifische AWS Ressourcen, für deren Zugriff und Nutzung Sie der IAM-Rolle Zugriff und Nutzung gewähren möchten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SendMessageBatch",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sns:<aws-region>:<aws-account-number>:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        }
    ]
}

Anforderungen an die Ausführungsrolle für benutzerdefinierte Aufgabentypen

Wenn Sie einen benutzerdefinierten Kennzeichnungs-Workflow erstellen möchten, fügen Sie die folgende Anweisung zur Richtlinie einer Ausführungsrolle hinzu, wie sie in Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming) oder Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming) zu finden ist.

Diese Richtlinie erteilt der Ausführungsrolle die Berechtigung zur Invoke Ihrer Lambda-Funktionen vor und nach der Anmerkung.

{
    "Sid": "LambdaFunctions",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction"
    ],
    "Resource": [
        "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>",
        "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>"
    ]
}

Berechtigungsanforderungen für die automatisierte Datenbeschriftung

Wenn Sie einen Kennzeichnungsauftrag mit aktivierter automatisierter Datenbeschriftung erstellen möchten, müssen Sie 1) zu der IAM-Richtlinie, die der Ausführungsrolle zugeordnet ist, eine Richtlinie hinzufügen und 2) die Vertrauensrichtlinie der Ausführungsrolle aktualisieren.

Mit der folgenden Anweisung kann die IAM-Ausführungsrolle an SageMaker KI übergeben werden, sodass sie zur Ausführung der Trainings- und Inferenzjobs verwendet werden kann, die für aktives Lernen bzw. für die automatische Datenkennzeichnung verwendet werden. Fügen Sie diese Anweisung zur Richtlinie für eine Ausführungsrolle hinzu, wie sie in Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming) oder Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming) zu finden sind. Ersetzen Sie arn:aws:iam::<account-number>:role/<role-name> durch den Ausführungsrollen-ARN. Den ARN Ihrer IAM-Rolle finden Sie in der IAM-Konsole unter Rollen. 

{
    "Effect": "Allow",
    "Action": [
        "iam:PassRole"
    ],
    "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": [
                "sagemaker.amazonaws.com"
            ]
        }
    }
}

Die folgende Anweisung ermöglicht es der SageMaker KI, die Ausführungsrolle für die Erstellung und Verwaltung der SageMaker Trainings- und Inferenzjobs zu übernehmen. Diese Richtlinie muss zur Vertrauensstellung der Ausführungsrolle hinzugefügt werden. Informationen zum Hinzufügen oder Ändern der Vertrauensrichtlinie für eine IAM-Rolle finden Sie unter Ändern einer Rolle im IAM-Benutzerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"Service": "sagemaker.amazonaws.com" },
        "Action": "sts:AssumeRole"
    }
}