Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Es posible que tenga que configurar algunos o todos los siguientes elementos para crear y usar AWS Lambda con Ground Truth.
-
Debe conceder un permiso a un rol o usuario de IAM (en conjunto, una entidad de IAM) para crear las funciones Lambda previas y posteriores a la anotación mediante y elegirlas al crear el AWS Lambda trabajo de etiquetado.
-
La función de ejecución de IAM especificada al configurar el trabajo de etiquetado necesita permiso para invocar las funciones de Lambda preanotación y postanotación.
-
Es posible que las funciones de Lambda postanotación necesiten permiso para acceder a Amazon S3.
Utilice las siguientes secciones para obtener información sobre cómo crear las entidades de IAM y conceder los permisos descritos más arriba.
Temas
Otorgue permiso para crear y seleccionar una función AWS Lambda
Si no necesita permisos detallados para desarrollar funciones Lambda previas y posteriores a la anotación, puede adjuntar AWS la AWSLambda_FullAccess política gestionada a un usuario o rol. Esta política otorga amplios permisos para usar todas las funciones de Lambda, así como permisos para realizar acciones en otros AWS servicios con los que Lambda interactúa.
Para crear una política más detallada para los casos de uso sensibles a la seguridad, consulte la documentación Políticas de IAM basadas en la identidad para Lambda en la Guía para desarrolladores para obtener información sobre cómo crear una política de IAM que se adapte a su caso de uso. AWS Lambda
Políticas de uso de la consola de Lambda
Si desea conceder permiso a una entidad de IAM para usar la consola Lambda, consulte Uso de la consola Lambda en la Guía para desarrolladores. AWS Lambda
Además, si desea que el usuario pueda acceder e implementar las funciones iniciales de anotación previa y posterior a la anotación de Ground Truth mediante AWS Serverless Application Repository la consola de Lambda, debe especificar el <aws-region>
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"serverlessrepo:ListApplicationVersions",
"serverlessrepo:GetApplication",
"serverlessrepo:CreateCloudFormationTemplate"
],
"Resource": "arn:aws:serverlessrepo:<aws-region>:838997950401:applications/aws-sagemaker-ground-truth-recipe"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "serverlessrepo:SearchApplications",
"Resource": "*"
}
]
}Políticas para ver las funciones de Lambda en la consola de Ground Truth
Para conceder a una entidad de IAM permiso para ver las funciones de Lambda en la consola de Ground Truth cuando el usuario crea un trabajo de etiquetado personalizado, la entidad debe tener los permisos que se describen Conceda permiso a IAM para usar la consola Amazon SageMaker Ground Truth, incluidos los permisos descritos en la sección Permisos del flujo de trabajo de etiquetado personalizado.
Conceda permiso al rol de ejecución de IAM para invocar funciones AWS Lambda
Si añade la política gestionada de IAM AmazonSageMakerGroundTruthExecutionGtRecipe:SageMaker,,, Sagemaker o. sagemaker LabelingFunction
Si los nombres de las funciones de Lambda preanotación y postanotación no incluyen uno de los términos del párrafo anterior, o si necesita un permiso más detallado que los de la política administrada AmazonSageMakerGroundTruthExecution, puede añadir una política similar a la siguiente para dar permiso al rol de ejecución para invocar las funciones preanotación y postanotación.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action":
"lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>",
"arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>"
]
}
]
}Otorgue permisos de Lambda postanotación para acceder a la anotación
Como se describe en La función Lambda de postanotación, la solicitud de Lambda postanotación incluye la ubicación de los datos de la anotación en Amazon S3. Esta ubicación se identifica mediante la cadena s3Uri del objeto payload. Para procesar las anotaciones a medida que van llegando, incluso para una función de transferencia simple, debe asignar los permisos necesarios al rol de ejecución de Lambda postanotación para leer archivos de Amazon S3.
Hay muchas maneras de configurar su Lambda para obtener acceso a los datos de anotaciones en Amazon S3. Las dos formas más comunes son:
-
Permita que la función de ejecución de Lambda asuma la función de ejecución de SageMaker IA identificada
roleArnen la solicitud de Lambda posterior a la anotación. Esta función de ejecución de SageMaker IA es la que se utiliza para crear el trabajo de etiquetado y tiene acceso al depósito de salida de Amazon S3 donde se almacenan los datos de anotación. -
Conceda permiso al rol de ejecución de Lambda para obtener acceso directo al bucket de salida de Amazon S3.
Utilice las siguientes secciones para aprender a configurar estas opciones.
Otorgue permiso a Lambda para asumir la función de ejecución de SageMaker IA
Para permitir que una función de Lambda asuma una función de ejecución de SageMaker IA, debe adjuntar una política a la función de ejecución de la función de Lambda y modificar la relación de confianza de la función de ejecución de SageMaker IA para permitir que Lambda la asuma.
-
Adjunte la siguiente política de IAM a la función de ejecución de su función Lambda para asumir SageMaker la función de ejecución de IA identificada en.
ResourceReemplace222222222222sm-execution-role{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::222222222222:role/sm-execution-role" } } -
Modifique la política de confianza de la función de ejecución de la SageMaker IA para incluir lo siguiente.
StatementReemplace222222222222my-lambda-execution-role{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::222222222222:role/my-lambda-execution-role" }, "Action": "sts:AssumeRole" } ] }
Conceda permiso al rol de ejecución de Lambda para acceder a S3
Puede añadir una política similar a la siguiente al rol de ejecución de la función de Lambda postanotación para concederle permisos de lectura de S3. amzn-s3-demo-bucketSustitúyalo por el nombre del depósito de salida que especifique al crear un trabajo de etiquetado.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}Para añadir permisos de lectura de S3 a un rol de ejecución de Lambda en la consola de Lambda, utilice el siguiente procedimiento.
Añada permisos de lectura de S3 a la función de Lambda postanotación:
-
Abra la página Funciones en la consola de Lambda.
-
Elija el nombre de la función postanotación.
-
Elija Configuración y, a continuación, seleccione Permisos.
-
Seleccione el Nombre del rol y la página de resumen de ese rol se abrirá en la consola de IAM en una pestaña nueva.
-
Seleccione Asociar políticas.
-
Realice una de las siguientes acciones:
-
Busque y seleccione
AmazonS3ReadOnlyAccesspara dar permiso a la función para leer todos los buckets y objetos de la cuenta. -
Si necesita permisos más detallados, seleccione Crear política y utilice el ejemplo de política de la sección anterior para crear una política. Tenga en cuenta que debe volver a la página de resumen del rol de ejecución después de crear la política.
-
-
Si utilizó la política administrada
AmazonS3ReadOnlyAccess, seleccione Asociar política.Si creó una política nueva, vuelva a la página de resumen del rol de ejecución de Lambda y asocie la política que acaba de crear.
