Conceda IAM permiso para usar la consola Amazon SageMaker Ground Truth - Amazon SageMaker AI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conceda IAM permiso para usar la consola Amazon SageMaker Ground Truth

Para usar el área Ground Truth de la consola de SageMaker IA, debes conceder permiso a una entidad para acceder a la SageMaker IA y a otros AWS servicios con los que Ground Truth interactúa. Los permisos necesarios para acceder a otros AWS servicios dependen del caso de uso:

  • Se requieren permisos de Amazon S3 para todos los casos de uso. Estos permisos deben conceder acceso a los buckets de Amazon S3 que contienen datos de entrada y salida.

  • AWS Marketplace se requieren permisos para utilizar la fuerza laboral de un proveedor.

  • Se requiere el permiso de Amazon Cognito para configurar un equipo de trabajo privado.

  • AWS KMS se requieren permisos para ver AWS KMS las claves disponibles que se pueden utilizar para el cifrado de los datos de salida.

  • IAMse necesitan permisos para enumerar las funciones de ejecución preexistentes o para crear una nueva. Además, debe utilizar el PassRole permiso de adición para permitir que SageMaker AI utilice la función de ejecución elegida para iniciar el trabajo de etiquetado.

En las siguientes secciones, se enumeran las políticas que puede conceder a un rol para usar una o más funciones de Ground Truth.

Permisos de la consola de Ground Truth

Para conceder permiso a un usuario o rol para usar el área Ground Truth de la consola de SageMaker IA para crear un trabajo de etiquetado, adjunta la siguiente política al usuario o rol. La siguiente política otorgará a un IAM rol permiso para crear un trabajo de etiquetado utilizando un tipo de tarea integrado. Si desea crear un flujo de trabajo de etiquetado personalizado, añada la política en Permisos del flujo de trabajo de etiquetado personalizado a la siguiente política. Cada Statement incluida en la siguiente política se describe debajo de este bloque de código.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "KmsKeysForCreateForms", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid": "ListAndCreateExecutionRoles", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "groundtruthlabeling:*", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketCors", "s3:PutBucketCors", "s3:ListAllMyBuckets", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" } ] }

Esta política incluye las siguientes declaraciones. Puede reducir el alcance de cualquiera de estas declaraciones añadiendo recursos específicos a la lista de Resource de esa declaración.

SageMakerApis

Esta declaración incluyesagemaker:*, que permite al usuario realizar todas las APIacciones de SageMaker IA. Puede reducir el alcance de esta política impidiendo que los usuarios realicen acciones que no se utilicen para crear y supervisar un trabajo de etiquetado.

KmsKeysForCreateForms

Solo necesita incluir esta declaración si desea conceder permiso a un usuario para enumerar y seleccionar AWS KMS claves en la consola Ground Truth para usarlas en el cifrado de datos de salida. La política anterior otorga al usuario permiso para enumerar y seleccionar cualquier clave de la cuenta en AWS KMS. Para restringir las claves que un usuario puede enumerar y seleccionar, ARNs especifíquelasResource.

SecretsManager

Esta declaración otorga al usuario permiso para describir, enumerar y crear los recursos AWS Secrets Manager necesarios para crear el trabajo de etiquetado.

ListAndCreateExecutionRoles

Esta declaración otorga al usuario permiso para enumerar (ListRoles) y crear (CreateRole) IAM roles en su cuenta. También otorga al usuario permiso para crear (CreatePolicy) políticas y asociar políticas (AttachRolePolicy) a las entidades. Son necesarios para enumerar, seleccionar y, si es necesario, crear un rol de ejecución en la consola.

Si ya ha creado un rol de ejecución y desea limitar el alcance de esta declaración para que los usuarios solo puedan seleccionar ese rol en la consola, especifique ARNs los roles que desea que el usuario tenga permiso para ver Resource y eliminar las acciones CreateRoleCreatePolicy, yAttachRolePolicy.

AccessAwsMarketplaceSubscriptions

Estos permisos son necesarios para ver y elegir los equipos de trabajo de los proveedores a los que ya esté suscrito al crear un trabajo de etiquetado. Para conceder al usuario permiso para suscribirse a los equipos de trabajo de los proveedores, añada la declaración en Permisos de personal de proveedores a la política anterior

PassRoleForExecutionRoles

Esto es necesario para que el creador del trabajo de etiquetado pueda obtener una vista previa de la IU del trabajador y comprobar que los datos de entrada, las etiquetas y las instrucciones se muestran correctamente. Esta declaración otorga a una entidad permisos para transferir la función de IAM ejecución utilizada para crear el trabajo de etiquetado a SageMaker AI para renderizar y obtener una vista previa de la interfaz de usuario del trabajador. Para limitar el alcance de esta política, añada a continuación la función ARN de ejecución utilizada para crear la tarea de etiquetadoResource.

GroundTruthConsole

  • groundtruthlabeling: esto permite al usuario realizar las acciones necesarias para usar ciertas características de la consola de Ground Truth. Entre ellos, se incluyen permisos para describir el estado del trabajo de etiquetado (DescribeConsoleJob), enumerar todos los objetos del conjunto de datos en el archivo de manifiesto de entrada (ListDatasetObjects), filtrar el conjunto de datos si se selecciona el muestreo del conjunto de datos (RunFilterOrSampleDatasetJob) y generar archivos de manifiesto de entrada si se utiliza el etiquetado de datos automatizado (RunGenerateManifestByCrawlingJob). Estas acciones solo están disponibles cuando se usa la consola Ground Truth y no se pueden invocar directamente con unAPI.

  • lambda:InvokeFunction y lambda:ListFunctions: estas acciones conceden a los usuarios permiso para enumerar e invocar las funciones de Lambda que se utilizan para ejecutar un flujo de trabajo de etiquetado personalizado.

  • s3:*— Todos los permisos de Amazon S3 incluidos en esta declaración se utilizan para ver los buckets de Amazon S3 para la configuración automática de datos (ListAllMyBuckets), acceder a los datos de entrada en Amazon S3 (ListBucket,GetObject), comprobar y crear una CORS política en Amazon S3 si es necesario (GetBucketCorsyPutBucketCors) y escribir los archivos de salida de los trabajos de etiquetado en S3 (PutObject).

  • cognito-idp: estos permisos se utilizan para crear, ver y administrar personal privado mediante Amazon Cognito. Para obtener más información sobre estas acciones, consulte las Referencias de Amazon Cognito API.

Permisos del flujo de trabajo de etiquetado personalizado

Añada la siguiente declaración a una política similar a la de Permisos de la consola de Ground Truth para conceder a un usuario permiso para seleccionar funciones de Lambda preexistentes antes y después de la anotación y, al mismo tiempo, crear un flujo de trabajo de etiquetado personalizado.

{ "Sid": "GroundTruthConsoleCustomWorkflow", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:ListFunctions" ], "Resource": "*" }

Para obtener información sobre cómo conceder permiso a una entidad para crear y probar funciones de Lambda preanotación y postanotación, consulte Required Permissions To Use Lambda With Ground Truth.

Permisos del personal privado

Cuando se añade a una política de permisos, el siguiente permiso concede acceso para crear y administrar personal privado y un equipo de trabajo con Amazon Cognito. Estos permisos no son necesarios para utilizar un personal de OIDCIdP.

{ "Effect": "Allow", "Action": [ "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" }

Para obtener más información acerca de la creación de personal privado con Amazon Cognito, consulte Personal de Amazon Cognito.

Permisos de personal de proveedores

Puede añadir la siguiente declaración a la política en Conceda IAM permiso para usar la consola Amazon SageMaker Ground Truth para conceder a una entidad permiso para suscribirse al personal de un proveedor.

{ "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }