Utilisez des politiques IAM gérées avec Ground Truth - Amazon SageMaker

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisez des politiques IAM gérées avec Ground Truth

SageMaker et Ground Truth fournissent des politiques AWS gérées que vous pouvez utiliser pour créer une tâche d'étiquetage. Si vous commencez à utiliser Ground Truth et que vous n'avez pas besoin d'autorisations détaillées pour votre cas d'utilisation, il est recommandé d'utiliser les stratégies suivantes :

  • AmazonSageMakerFullAccess – Utilisez cette politique pour autoriser un utilisateur ou un rôle à créer une tâche d'étiquetage. Il s'agit d'une politique générale qui accorde à une entité l'autorisation SageMaker d'utiliser les fonctionnalités, ainsi que les fonctionnalités des AWS services nécessaires via la console etAPI. Cette politique donne à l'entité l'autorisation de créer une tâche d'étiquetage ainsi que de créer et de gérer des effectifs à l'aide d'Amazon Cognito. Pour en savoir plus, consultez AmazonSageMakerFullAccess la section Politique.

  • AmazonSageMakerGroundTruthExecution – Pour créer un rôle d'exécution, vous pouvez attacher la politique AmazonSageMakerGroundTruthExecution à un rôle. Un rôle d'exécution est le rôle que vous spécifiez lorsque vous créez une tâche d'étiquetage et il est utilisé pour démarrer votre tâche d'étiquetage. Cette stratégie vous permet de créer des tâches d'étiquetage en streaming et ponctuelles, et de créer une tâche d'étiquetage à l'aide de n'importe quel type de tâche. Notez les limites suivantes de cette stratégie gérée.

    • Autorisations Amazon S3 : cette stratégie accorde une autorisation de rôle d'exécution pour accéder aux compartiments Amazon S3 dont le nom contient les chaînes suivantes : GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker et sagemaker ou un compartiment avec une balise d'objet qui inclut SageMaker dans le nom (insensible à la casse). Assurez-vous que vos noms de compartiment source et de sortie incluent ces chaînes, ou ajoutez des autorisations supplémentaires à votre rôle d'exécution sur Accorder l'autorisation d'accéder à vos compartiments Amazon S3. Vous devez autoriser ce rôle à effectuer les actions suivantes sur vos compartiments Amazon S3 : AbortMultipartUpload, GetObject et PutObject.

    • Flux de travail personnalisés : lorsque vous créez un flux de travail d'étiquetage personnalisé, ce rôle d'exécution est limité à l'appel de AWS Lambda fonctions avec l'une des chaînes suivantes dans le nom de la fonction : GtRecipeSageMaker,, Sagemakersagemaker, ouLabelingFunction. Cela s'applique à la fois aux fonctions Lambdas de pré-annotation et de post-annotation. Si vous choisissez d'utiliser des noms ne comportant pas ces chaînes, vous devez fournir explicitement l'autorisation lambda:InvokeFunction au rôle IAM utilisé pour créer la tâche d'étiquetage.

Pour savoir comment associer une politique AWS gérée à un utilisateur ou à un rôle, reportez-vous à la section Ajouter et supprimer des autorisations IAM d'identité dans le Guide de IAM l'utilisateur.