Erstellen Sie eine SageMaker Ausführungsrolle für einen Ground Truth Labeling-Job - Amazon SageMaker
Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)Anforderungen an die Ausführungsrolle für benutzerdefinierte AufgabentypenBerechtigungsanforderungen für die automatisierte Datenbeschriftung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine SageMaker Ausführungsrolle für einen Ground Truth Labeling-Job

Wenn Sie Ihren Labeling-Job konfigurieren, müssen Sie eine Ausführungsrolle angeben. Dabei handelt es sich um eine Rolle, die die Berechtigung SageMaker hat, Ihren Labeling-Job zu starten und auszuführen.

Diese Rolle muss Ground Truth die folgende Zugriffsberechtigung geben:

  • Amazon S3 kann Ihre Eingabedaten abrufen und Ausgabedaten in einen Amazon-S3-Bucket schreiben. Sie können entweder einer IAM Rolle die Erlaubnis erteilen, auf einen gesamten Bucket zuzugreifen, indem Sie den Bucket angebenARN, oder Sie können der Rolle Zugriff auf bestimmte Ressourcen in einem Bucket gewähren. Beispielsweise kann das ARN für einen Bucket ähnlich aussehen arn:aws:s3:::awsexamplebucket1 und das ARN einer Ressource in einem Amazon S3 S3-Bucket kann ähnlich aussehenarn:aws:s3:::awsexamplebucket1/prefix/file-name.png. Um eine Aktion auf alle Ressourcen in einem Amazon-S3-Bucket anzuwenden, können Sie den Platzhalter * verwenden. Beispiel, arn:aws:s3:::awsexamplebucket1/prefix/*. Weitere Informationen finden Sie unter Amazon S3-Ressourcen im Benutzerhandbuch zum Amazon Simple Storage Service.

  • CloudWatch um Arbeitsmetriken zu protokollieren und den Status von Labeljobs zu kennzeichnen.

  • AWS KMS zur Datenverschlüsselung. (Optional)

  • AWS Lambda für die Verarbeitung von Eingabe- und Ausgabedaten, wenn Sie einen benutzerdefinierten Workflow erstellen.

Wenn Sie einen Streaming-Kennzeichnungsauftrag erstellen, muss diese Rolle außerdem über folgende Zugriffsberechtigungen verfügen:

  • AmazonSQS, um eine Interaktion mit einer SQS Warteschlange zu erstellen, die zur Verwaltung von Kennzeichnungsanfragen verwendet wird.

  • AmazonSNS, um Nachrichten aus Ihrem SNS Amazon-Eingabethema zu abonnieren und abzurufen und Nachrichten an Ihr SNS Amazon-Ausgabethema zu senden.

Alle diese Berechtigungen können mit der AmazonSageMakerGroundTruthExecution verwalteten Richtlinie erteilt werden, außer:

  • Verschlüsselung von Daten und Speicher-Volumes Ihrer Amazon-S3-Buckets. Informationen zum Einrichten dieser Berechtigungen finden Sie unter Verschlüsselung von Ausgabedaten und Speicher-Volumes mit AWS KMS.

  • Berechtigung zum Auswählen und Aufrufen von Lambda-Funktionen ohne GtRecipe, SageMaker, Sagemaker, sagemaker oder LabelingFunction im Funktionsnamen.

  • Amazon-S3-Buckets, die weder GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker noch sagemaker im Präfix oder im Bucket-Namen oder eine Objekt-Markierung enthalten, die SageMaker im Namen enthält (Groß- und Kleinschreibung wird nicht beachtet).

Wenn Sie präzisere Berechtigungen brauchen als die unter AmazonSageMakerGroundTruthExecution angegebenen, verwenden Sie die folgenden Richtlinienbeispiele, um eine Ausführungsrolle zu erstellen, die zu Ihrem speziellen Anwendungsfall passt.

Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)

Die folgende Richtlinie gewährt die Berechtigung, einen Kennzeichnungsauftrag für einen integrierten Aufgabentyp zu erstellen. Diese Ausführungsrichtlinie beinhaltet keine Berechtigungen zur AWS KMS Datenverschlüsselung oder -entschlüsselung. Ersetzen Sie jedes Rot, kursiv geschrieben, ARN durch Ihr eigenes Amazon S3. ARNs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ViewBuckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "S3GetPutObjects",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)

Wenn Sie einen Kennzeichnungsauftrag mit Streaming erstellen, müssen Sie zu der Ausführungsrolle, mit der Sie den Kennzeichnungsauftrag erstellen, eine Richtlinie hinzufügen, ähnlich der folgenden. Um den Geltungsbereich der Richtlinie einzugrenzen, ersetzen Sie das * in Resource durch spezifische AWS Ressourcen, für die Sie der IAM Rolle Zugriff und Nutzung gewähren möchten.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SendMessageBatch",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sns:<aws-region>:<aws-account-number>:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        }
    ]
}

Anforderungen an die Ausführungsrolle für benutzerdefinierte Aufgabentypen

Wenn Sie einen benutzerdefinierten Kennzeichnungs-Workflow erstellen möchten, fügen Sie die folgende Anweisung zur Richtlinie einer Ausführungsrolle hinzu, wie sie in Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming) oder Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming) zu finden ist.

Diese Richtlinie erteilt der Ausführungsrolle die Berechtigung zur Invoke Ihrer Lambda-Funktionen vor und nach der Anmerkung.

{
    "Sid": "LambdaFunctions",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction"
    ],
    "Resource": [
        "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>",
        "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>"
    ]
}

Berechtigungsanforderungen für die automatisierte Datenbeschriftung

Wenn Sie einen Labeling-Job mit aktivierter automatisierter Datenbeschriftung erstellen möchten, müssen Sie 1) der Richtlinie, die der Ausführungsrolle zugeordnet ist, eine IAM Richtlinie hinzufügen und 2) die Vertrauensrichtlinie der Ausführungsrolle aktualisieren.

Mit der folgenden Anweisung kann die IAM Ausführungsrolle übergeben werden, SageMaker sodass sie zum Ausführen der Trainings- und Inferenzjobs verwendet werden kann, die für aktives Lernen bzw. für die automatische Datenbeschriftung verwendet werden. Fügen Sie diese Anweisung zur Richtlinie für eine Ausführungsrolle hinzu, wie sie in Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming) oder Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming) zu finden sind. Durch die arn:aws:iam::<account-number>:role/<role-name> Ausführungsrolle ARN ersetzen. Sie finden Ihre IAM Rolle ARN in der IAM Konsole unter Rollen. 

{
    "Effect": "Allow",
    "Action": [
        "iam:PassRole"
    ],
    "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": [
                "sagemaker.amazonaws.com"
            ]
        }
    }
}

Mit der folgenden Anweisung können SageMaker Sie die Ausführungsrolle übernehmen, um die SageMaker Trainings- und Inferenzjobs zu erstellen und zu verwalten. Diese Richtlinie muss zur Vertrauensstellung der Ausführungsrolle hinzugefügt werden. Informationen zum Hinzufügen oder Ändern einer IAM Rollenvertrauensrichtlinie finden Sie unter Ändern einer Rolle im IAM Benutzerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"Service": "sagemaker.amazonaws.com" },
        "Action": "sts:AssumeRole"
    }
}