Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin dan Keamanan di Amazon Augmented AI
Saat menggunakan Amazon Augmented AI (Amazon A2I) untuk membuat alur kerja tinjauan manusia untuk aplikasi ML/AI Anda, Anda membuat dan mengonfigurasi sumber daya di SageMaker Amazon seperti templat tugas tenaga kerja manusia dan pekerja. Untuk mengonfigurasi dan memulai loop manusia, Anda dapat mengintegrasikan Amazon A2I dengan AWS layanan lain seperti Amazon Ttract atau Amazon Rekognition, atau menggunakan Amazon Augmented AI Runtime. API Untuk membuat alur kerja tinjauan manusia dan memulai loop manusia, Anda harus melampirkan kebijakan tertentu ke peran AWS Identity and Access Management (IAM) atau pengguna Anda. Secara khusus:
-
Saat memulai loop manusia menggunakan data input gambar pada atau setelah 12 Januari 2020, Anda harus menambahkan kebijakan CORS header ke bucket Amazon S3 yang berisi data input Anda. Lihat CORSPersyaratan Izin untuk mempelajari selengkapnya.
-
Saat membuat definisi aliran, Anda perlu memberikan peran yang memberikan izin Amazon A2I untuk mengakses Amazon S3 baik untuk membaca objek yang dirender di UI tugas manusia maupun untuk menulis hasil tinjauan manusia.
Peran ini juga harus memiliki kebijakan kepercayaan yang dilampirkan untuk memberikan SageMaker izin untuk mengambil peran tersebut. Hal ini memungkinkan Amazon A2I untuk melakukan tindakan sesuai dengan izin yang Anda lampirkan ke peran.
Lihat Menambahkan Izin ke IAM Peran yang Digunakan untuk Membuat Definisi Aliran misalnya kebijakan yang dapat Anda ubah dan lampirkan ke peran yang Anda gunakan untuk membuat definisi aliran. Ini adalah kebijakan yang dilampirkan pada IAM peran yang dibuat di bagian alur kerja tinjauan Manusia di area Amazon A2I konsol. SageMaker
-
Untuk membuat dan memulai loop manusia, Anda dapat menggunakan API operasi dari tipe tugas bawaan (seperti
DetectModerationLabelatauAnalyzeDocument) atau operasi Runtime Amazon A2IStartHumanLoopdalam aplikasi API HTML kustom. Anda harus melampirkan kebijakanAmazonAugmentedAIFullAccessterkelola ke pengguna yang memanggil API operasi ini untuk memberikan izin ke layanan ini untuk menggunakan operasi Amazon A2I. Untuk mempelajari caranya, lihat Buat Pengguna yang Dapat Memanggil Operasi Amazon API A2I.Kebijakan ini tidak memberikan izin untuk menjalankan API operasi AWS layanan yang terkait dengan tipe tugas bawaan. Misalnya,
AmazonAugmentedAIFullAccesstidak memberikan izin untuk memanggil operasi AmazonDetectModerationLabelAPI Rekognition atau operasi Amazon Texttract.AnalyzeDocumentAPI Anda dapat menggunakan kebijakan yang lebih umum,AmazonAugmentedAIIntegratedAPIAccess, untuk memberikan izin ini. Untuk informasi selengkapnya, lihat Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API. Ini adalah opsi yang baik ketika Anda ingin memberikan izin luas kepada pengguna untuk menggunakan Amazon A2I dan operasi layanan terintegrasi AWS . APIJika Anda ingin mengonfigurasi izin yang lebih terperinci, lihat Contoh Kebijakan Berbasis Identitas Amazon Rekognition dan Contoh Kebijakan Berbasis Identitas Amazon Textract untuk kebijakan berbasis identitas yang dapat Anda gunakan untuk memberikan izin untuk menggunakan layanan individual ini.
-
Untuk melihat pratinjau template UI tugas pekerja khusus, Anda memerlukan IAM peran dengan izin untuk membaca objek Amazon S3 yang dirender di antarmuka pengguna. Lihat contoh kebijakan diAktifkan Pratinjau Template Tugas Pekerja .
Topik
- CORSPersyaratan Izin
- Menambahkan Izin ke IAM Peran yang Digunakan untuk Membuat Definisi Aliran
- Buat Pengguna yang Dapat Memanggil Operasi Amazon API A2I
- Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API
- Aktifkan Pratinjau Template Tugas Pekerja
- Menggunakan Amazon A2I dengan AWS KMS Ember Terenkripsi
- Izin Tambahan dan Sumber Daya Keamanan
CORSPersyaratan Izin
Sebelumnya pada tahun 2020, browser yang banyak digunakan seperti Chrome dan Firefox mengubah perilaku default mereka untuk memutar gambar berdasarkan metadata gambar, yang disebut sebagai data. EXIF
Dimulai dengan Chrome 89, tidak AWS dapat lagi secara otomatis mencegah rotasi gambar karena grup standar web W3C telah memutuskan bahwa kemampuan untuk mengontrol rotasi gambar melanggar Kebijakan Same-Origin web. Oleh karena itu, untuk memastikan pekerja manusia membuat anotasi gambar input Anda dalam orientasi yang dapat diprediksi saat Anda mengirimkan permintaan untuk membuat loop manusia, Anda harus menambahkan kebijakan CORS header ke bucket S3 yang berisi gambar input Anda.
penting
Jika Anda tidak menambahkan CORS konfigurasi ke bucket S3 yang berisi data input Anda, tugas peninjauan manusia untuk objek data input tersebut gagal.
Anda dapat menambahkan CORS kebijakan ke bucket S3 yang berisi data input di konsol Amazon S3. Untuk menyetel CORS header yang diperlukan pada bucket S3 yang berisi gambar masukan Anda di konsol S3, ikuti petunjuk yang dijelaskan di Bagaimana cara menambahkan berbagi sumber daya lintas domain? CORS . Gunakan kode CORS konfigurasi berikut untuk bucket yang menampung gambar Anda. Jika Anda menggunakan konsol Amazon S3 untuk menambahkan kebijakan ke bucket, Anda harus menggunakan formatnyaJSON.
JSON
[{ "AllowedHeaders": [], "AllowedMethods": ["GET"], "AllowedOrigins": ["*"], "ExposeHeaders": [] }]
XML
<CORSConfiguration> <CORSRule> <AllowedOrigin>*</AllowedOrigin> <AllowedMethod>GET</AllowedMethod> </CORSRule> </CORSConfiguration>
Berikut ini GIF menunjukkan petunjuk yang ditemukan dalam dokumentasi Amazon S3 untuk menambahkan CORS kebijakan header menggunakan konsol Amazon S3.
Menambahkan Izin ke IAM Peran yang Digunakan untuk Membuat Definisi Aliran
Untuk membuat definisi alur, lampirkan kebijakan di bagian ini ke peran yang Anda gunakan saat membuat alur kerja tinjauan manusia di SageMaker konsol, atau saat menggunakan CreateFlowDefinition API operasi.
-
Jika Anda menggunakan konsol untuk membuat alur kerja tinjauan manusia, masukkan peran Amazon Resource Name (ARN) di bidang IAMperan saat membuat alur kerja tinjauan manusia di konsol.
-
Saat membuat definisi aliran menggunakanAPI, lampirkan kebijakan ini ke peran yang diteruskan ke
RoleArnparameterCreateFlowDefinitionoperasi.
Saat Anda membuat alur kerja tinjauan manusia (definisi alur), Amazon A2I memanggil Amazon S3 untuk menyelesaikan tugas Anda. Untuk memberikan izin Amazon A2I untuk mengambil dan menyimpan file Anda di bucket Amazon S3, buat kebijakan berikut dan lampirkan ke peran Anda. Misalnya, jika gambar, dokumen, dan file lain yang Anda kirim untuk ditinjau manusia disimpan dalam bucket S3 bernamamy_input_bucket, dan jika Anda ingin ulasan manusia disimpan dalam bucket bernamamy_output_bucket, buat kebijakan berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::my_input_bucket/*" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::my_output_bucket/*" ] } ] }
Selain itu, IAM peran tersebut harus memiliki kebijakan kepercayaan berikut untuk memberikan SageMaker izin untuk mengambil peran tersebut. Untuk mempelajari lebih lanjut tentang kebijakan IAM kepercayaan, lihat bagian Kebijakan Berbasis Sumber Daya dari Kebijakan dan Izin di dokumentasi AWS Identity and Access Management.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerToAssumeRole", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Untuk informasi selengkapnya tentang membuat dan mengelola IAM peran dan kebijakan, lihat topik berikut di Panduan AWS Identity and Access Management Pengguna:
-
Untuk membuat IAM peran, lihat Membuat Peran untuk Mendelegasikan Izin ke Pengguna. IAM
-
Untuk mempelajari cara membuat IAM kebijakan, lihat Membuat IAM Kebijakan.
-
Untuk mempelajari cara melampirkan IAM kebijakan ke peran, lihat Menambahkan dan Menghapus IAM Izin Identitas.
Buat Pengguna yang Dapat Memanggil Operasi Amazon API A2I
Untuk menggunakan Amazon A2I untuk membuat dan memulai loop manusia untuk Amazon Rekognition, Amazon Textract, atau runtime Amazon A2I, Anda harus menggunakan pengguna yang memiliki izin untuk menjalankan operasi API Amazon A2I. Untuk melakukannya, gunakan IAM konsol untuk melampirkan kebijakan AmazonAugmentedAIFullAccess
Kebijakan ini memberikan izin kepada pengguna untuk menjalankan API operasi dari pembuatan dan pengelolaan definisi aliran SageMaker API untuk serta API Runtime AI Augmented AI Amazon untuk pembuatan dan pengelolaan loop manusia. Untuk mempelajari lebih lanjut tentang API operasi ini, lihat Menggunakan APIs di Amazon Augmented AI.
AmazonAugmentedAIFullAccesstidak memberikan izin untuk menggunakan Amazon Rekognition atau operasi Amazon Texttract. API
catatan
Anda juga dapat melampirkan AmazonAugmentedAIFullAccess kebijakan ke IAM peran yang digunakan untuk membuat dan memulai loop manusia.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus IAM Izin Identitas di Panduan AWS Identity and Access Management Pengguna.
Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API
Untuk membuat pengguna yang memiliki izin untuk menjalankan API operasi yang digunakan oleh tipe tugas bawaan (yaitu, DetectModerationLables untuk Amazon AnalyzeDocument Rekognition dan Amazon Texttract) dan izin untuk menggunakan semua operasi API Amazon A2I, lampirkan kebijakan terkelola,. IAM AmazonAugmentedAIIntegratedAPIAccess Anda mungkin ingin menggunakan kebijakan ini saat ingin memberikan izin luas kepada pengguna yang menggunakan Amazon A2I dengan lebih dari satu jenis tugas. Untuk mempelajari lebih lanjut tentang API operasi ini, lihat Menggunakan APIs di Amazon Augmented AI.
catatan
Anda juga dapat melampirkan AmazonAugmentedAIIntegratedAPIAccess kebijakan ke IAM peran yang digunakan untuk membuat dan memulai loop manusia.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus IAM Izin Identitas di Panduan AWS Identity and Access Management Pengguna.
Aktifkan Pratinjau Template Tugas Pekerja
Untuk menyesuaikan antarmuka dan instruksi yang dilihat pekerja Anda saat mengerjakan tugas Anda, Anda membuat templat tugas pekerja. Anda dapat membuat template menggunakan CreateHumanTaskUioperasi atau SageMaker konsol.
Untuk melihat pratinjau templat, Anda memerlukan IAM peran dengan izin berikut untuk membaca objek Amazon S3 yang dirender di antarmuka pengguna.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::my_input_bucket/*" ] } ] }
Untuk jenis tugas Amazon Rekognition dan Amazon Textract, Anda dapat melihat pratinjau template menggunakan bagian Amazon Augmented AI di konsol. SageMaker Untuk jenis tugas khusus, Anda melihat pratinjau template Anda dengan menjalankan RenderUiTemplateoperasi. Untuk melihat pratinjau template Anda, ikuti petunjuk untuk jenis tugas Anda:
-
Jenis tugas Amazon Rekognition dan Amazon Texttract — Di SageMaker konsol, gunakan Amazon Resource Name ARN () peran dalam prosedur yang didokumentasikan. Buat Template Tugas Pekerja
-
Jenis tugas khusus - Dalam
RenderUiTemplateoperasi, gunakan peran ARN dalamRoleArnparameter.
Menggunakan Amazon A2I dengan AWS KMS Ember Terenkripsi
Jika Anda menentukan AWS Key Management Service (AWS KMS) kunci terkelola pelanggan untuk mengenkripsi data keluaran di OutputConfig of CreateFlowDefinition, Anda harus menambahkan IAM kebijakan yang mirip dengan berikut ini ke kunci tersebut. Kebijakan ini memberikan peran IAM eksekusi yang Anda gunakan untuk membuat izin loop manusia untuk menggunakan kunci ini untuk melakukan semua tindakan yang tercantum di dalamnya"Action". Untuk mempelajari lebih lanjut tentang tindakan ini, lihat AWS KMS izin di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kebijakan ini, ganti IAM peran layanan "Principal" dengan peran ARN eksekusi ARN yang Anda gunakan untuk membuat alur kerja tinjauan manusia (definisi alur). Saat Anda membuat pekerjaan pelabelan menggunakanCreateFlowDefinition, ini adalah yang ARN Anda tentukan RoleArn. Perhatikan bahwa Anda tidak dapat memberikan KmsKeyId ketika Anda membuat definisi aliran di konsol.
{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/service-role/example-role" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
Izin Tambahan dan Sumber Daya Keamanan
