Authentification et restrictions du personnel - Amazon SageMaker
Restreindre l'accès aux types de personnel

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et restrictions du personnel

Ground Truth vous permet d'utiliser votre propre main-d'œuvre privée pour travailler sur l'étiquetage des tâches. Une main-d'œuvre privée est un concept abstrait qui fait référence à un ensemble de personnes qui travaillent pour vous. Chaque tâche d'étiquetage est créée à l'aide d'une équipe de travail composée de travailleurs de votre personnel. Ground Truth prend charge la création de main-d'œuvre privée avec Amazon Cognito.

Une main-d'œuvre Ground Truth est mappée à un groupe d'utilisateurs Amazon Cognito. Une équipe de travail Ground Truth est mappée à un groupe d'utilisateurs Amazon Cognito. Amazon Cognito gère l'authentification de l'employé. Amazon Cognito prend en charge la connexion Open ID (OIDC) et les clients peuvent configurer la fédération Amazon Cognito avec leur propre fournisseur d'identité (IdP).

Ground Truth n'autorise qu'un seul employé par compte et par AWS région. Chaque collaborateur dispose d'un identifiant dédié au portail de travail Ground TruthURL.

Vous pouvez également limiter les travailleurs à une plage de blocs/adresses IP de routage interdomaines sans classe (CIDR). Cela signifie que les annotateurs doivent se trouver sur un réseau spécifique pour accéder au site d'annotations. Vous pouvez ajouter jusqu'à dix CIDR blocs pour un effectif. Pour en savoir plus, consultez Gestion du personnel privé à l'aide d'Amazon SageMaker API.

Pour savoir comment créer un personnel privé, consultez Création d'une main-d'œuvre privée (Amazon Cognito).

Restreindre l'accès aux types de personnel

Les équipes de travail d'Amazon SageMaker Ground Truth se répartissent en trois catégories de personnel : public (avec Amazon Mechanical Turk), privé et fournisseur. Pour restreindre l'accès des utilisateurs à une équipe de travail spécifique utilisant l'un de ces types ou l'équipe de travailARN, utilisez les touches sagemaker:WorkteamType et/ou les touches de sagemaker:WorkteamArn condition. Pour la clé de condition sagemaker:WorkteamType, utilisez les opérateurs de condition de chaîne. Pour la clé de sagemaker:WorkteamArn condition, utilisez les opérateurs de condition Amazon Resource Name (ARN). Si l'utilisateur tente de créer une tâche d'étiquetage avec une équipe de travail restreinte, SageMaker renvoie un message d'erreur de refus d'accès.

Les politiques ci-dessous illustrent différentes façons d'utiliser les clés de condition sagemaker:WorkteamArn et sagemaker:WorkteamType avec des opérateurs de condition appropriés et des valeurs de condition valides.

L'exemple suivant utilise la clé de condition sagemaker:WorkteamType avec l'opérateur de condition StringEquals pour restreindre l'accès à une équipe de travail public. Il accepte les valeurs de condition au format suivant :workforcetype-crowd, où workforcetype peut être égal à publicprivate, ouvendor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

Les politiques suivantes montrent comment restreindre l'accès à une équipe de travail public à l'aide de la clé de condition sagemaker:WorkteamArn. La première montre comment l'utiliser avec une IAM variante régulière valide de l'équipe de travail ARN et de l'opérateur de ArnLike condition. La seconde montre comment l'utiliser avec l'opérateur de ArnEquals maintenance et l'équipe de travailARN.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}