Berikan IAM Izin untuk Menggunakan Amazon SageMaker Ground Truth Console - Amazon SageMaker
Izin Konsol Ground TruthIzin Alur Kerja Pelabelan KustomIzin Tenaga Kerja PribadiIzin Tenaga Kerja Vendor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan IAM Izin untuk Menggunakan Amazon SageMaker Ground Truth Console

Untuk menggunakan area Ground Truth di SageMaker konsol, Anda harus memberikan izin kepada entitas untuk mengakses SageMaker dan AWS layanan lain yang berinteraksi dengan Ground Truth. Izin yang diperlukan untuk mengakses AWS layanan lain tergantung pada kasus penggunaan Anda:

  • Izin Amazon S3 diperlukan untuk semua kasus penggunaan. Izin ini harus memberikan akses ke bucket Amazon S3 yang berisi data input dan output.

  • AWS Marketplace izin diperlukan untuk menggunakan tenaga kerja vendor.

  • Izin Amazon Cognito diperlukan untuk penyiapan tim kerja pribadi.

  • AWS KMS izin diperlukan untuk melihat AWS KMS kunci yang tersedia yang dapat digunakan untuk enkripsi data keluaran.

  • IAMizin diperlukan untuk mencantumkan peran eksekusi yang sudah ada sebelumnya, atau untuk membuat yang baru. Selain itu, Anda harus menggunakan add a PassRole permission SageMaker untuk mengizinkan penggunaan peran eksekusi yang dipilih untuk memulai pekerjaan pelabelan.

Bagian berikut mencantumkan kebijakan yang mungkin ingin Anda berikan kepada peran untuk menggunakan satu atau beberapa fungsi Ground Truth.

Izin Konsol Ground Truth

Untuk memberikan izin kepada pengguna atau peran untuk menggunakan area Ground Truth SageMaker konsol untuk membuat pekerjaan pelabelan, lampirkan kebijakan berikut ke pengguna atau peran tersebut. Kebijakan berikut akan memberikan izin IAM peran untuk membuat pekerjaan pelabelan menggunakan tipe tugas tipe tugas bawaan. Jika Anda ingin membuat alur kerja pelabelan kustom, tambahkan kebijakan Izin Alur Kerja Pelabelan Kustom ke kebijakan berikut. Masing-masing yang Statement disertakan dalam kebijakan berikut dijelaskan di bawah blok kode ini.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerApis",
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessAwsMarketplaceSubscriptions",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ViewSubscriptions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListAndCreateExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleForExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GroundTruthConsole",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*",
                "lambda:InvokeFunction",
                "lambda:ListFunctions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:ListAllMyBuckets",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan ini mencakup pernyataan berikut. Anda dapat mencatat pernyataan ini dengan menambahkan sumber daya tertentu ke Resource daftar untuk pernyataan itu.

SageMakerApis

Pernyataan ini termasuksagemaker:*, yang memungkinkan pengguna untuk melakukan semua SageMakerAPItindakan. Anda dapat mengurangi cakupan kebijakan ini dengan membatasi pengguna untuk melakukan tindakan yang tidak digunakan untuk membuat dan memantau pekerjaan pelabelan.

KmsKeysForCreateForms

Anda hanya perlu menyertakan pernyataan ini jika Anda ingin memberikan izin pengguna untuk membuat daftar dan memilih AWS KMS kunci di konsol Ground Truth yang akan digunakan untuk enkripsi data keluaran. Kebijakan di atas memberikan izin kepada pengguna untuk mendaftar dan memilih kunci apa pun di AWS KMS akun. Untuk membatasi kunci yang dapat dicantumkan dan dipilih pengguna, tentukan kunci ARNs tersebut. Resource

SecretsManager

Pernyataan ini memberikan izin pengguna untuk mendeskripsikan, membuat daftar, dan membuat sumber daya AWS Secrets Manager yang diperlukan untuk membuat pekerjaan pelabelan.

ListAndCreateExecutionRoles

Pernyataan ini memberikan izin pengguna untuk membuat daftar (ListRoles) dan membuat (CreateRole) IAM peran di akun Anda. Ini juga memberikan izin pengguna untuk membuat (CreatePolicy) kebijakan dan melampirkan (AttachRolePolicy) kebijakan ke entitas. Ini diperlukan untuk membuat daftar, memilih, dan jika diperlukan, membuat peran eksekusi di konsol.

Jika Anda telah membuat peran eksekusi, dan ingin mempersempit cakupan pernyataan ini sehingga pengguna hanya dapat memilih peran itu di konsol, tentukan peran yang Anda inginkan agar pengguna memiliki izin untuk melihat Resource dan menghapus tindakanCreateRole,CreatePolicy, danAttachRolePolicy. ARNs

AccessAwsMarketplaceSubscriptions

Izin ini diperlukan untuk melihat dan memilih tim kerja vendor yang sudah Anda langgani saat membuat pekerjaan pelabelan. Untuk memberikan izin kepada pengguna untuk berlangganan tim kerja vendor, tambahkan pernyataan Izin Tenaga Kerja Vendor ke kebijakan di atas

PassRoleForExecutionRoles

Ini diperlukan untuk memberikan izin pembuat pekerjaan pelabelan untuk melihat pratinjau UI pekerja dan memverifikasi bahwa data input, label, dan instruksi ditampilkan dengan benar. Pernyataan ini memberikan izin entitas untuk meneruskan peran IAM eksekusi yang digunakan untuk membuat pekerjaan pelabelan SageMaker untuk merender dan melihat pratinjau UI pekerja. Untuk mempersempit cakupan kebijakan ini, tambahkan peran peran ARN eksekusi yang digunakan untuk membuat pekerjaan pelabelan di bawahResource.

GroundTruthConsole

  • groundtruthlabeling— Hal ini memungkinkan pengguna untuk melakukan tindakan yang diperlukan untuk menggunakan fitur tertentu dari konsol Ground Truth. Ini termasuk izin untuk mendeskripsikan status pekerjaan pelabelan (DescribeConsoleJob), mencantumkan semua objek kumpulan data dalam file manifes masukan (ListDatasetObjects), memfilter kumpulan data jika pengambilan sampel kumpulan data dipilih (RunFilterOrSampleDatasetJob), dan untuk menghasilkan file manifes masukan jika pelabelan data otomatis digunakan (). RunGenerateManifestByCrawlingJob Tindakan ini hanya tersedia saat menggunakan konsol Ground Truth dan tidak dapat dipanggil langsung menggunakanAPI.

  • lambda:InvokeFunctiondan lambda:ListFunctions — tindakan ini memberi pengguna izin untuk membuat daftar dan memanggil fungsi Lambda yang digunakan untuk menjalankan alur kerja pelabelan khusus.

  • s3:*- Semua izin Amazon S3 yang disertakan dalam pernyataan ini digunakan untuk melihat bucket Amazon S3 untuk penyiapan data otomatis (), mengakses data input di Amazon S3 (,ListAllMyBuckets), memeriksa dan membuat kebijakan di CORS Amazon S3 jika diperlukan (ListBucketdanGetObject), GetBucketCors dan tulis file keluaran pekerjaan pelabelan ke S3 (PutBucketCors). PutObject

  • cognito-idp— Izin ini digunakan untuk membuat, melihat, dan mengelola serta tenaga kerja pribadi menggunakan Amazon Cognito. Untuk mempelajari lebih lanjut tentang tindakan ini, lihat Referensi Amazon Cognito API.

Izin Alur Kerja Pelabelan Kustom

Tambahkan pernyataan berikut ke kebijakan yang mirip dengan yang ada untuk memberikan izin kepada pengguna Izin Konsol Ground Truth untuk memilih fungsi Lambda pra-anotasi dan pasca-anotasi yang sudah ada sebelumnya sambil membuat alur kerja pelabelan kustom.

{
    "Sid": "GroundTruthConsoleCustomWorkflow",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction",
        "lambda:ListFunctions"
    ],
    "Resource": "*"
}

Untuk mempelajari cara memberikan izin entitas untuk membuat dan menguji fungsi Lambda pra-anotasi dan pasca-anotasi, lihat Izin yang Diperlukan Untuk Menggunakan Lambda Dengan Ground Truth.

Izin Tenaga Kerja Pribadi

Saat ditambahkan ke kebijakan izin, izin berikut memberikan akses untuk membuat dan mengelola tenaga kerja pribadi dan tim kerja menggunakan Amazon Cognito. Izin ini tidak diperlukan untuk menggunakan tenaga kerja OIDCIDP.

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:ListGroups",
        "cognito-idp:ListIdentityProviders",
        "cognito-idp:ListUsers",
        "cognito-idp:ListUsersInGroup",
        "cognito-idp:ListUserPoolClients",
        "cognito-idp:ListUserPools",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient"
        ],
    "Resource": "*"
}

Untuk mempelajari selengkapnya tentang membuat tenaga kerja pribadi menggunakan Amazon Cognito, lihat. Tenaga Kerja Amazon Cognito

Izin Tenaga Kerja Vendor

Anda dapat menambahkan pernyataan berikut ke kebijakan Berikan IAM Izin untuk Menggunakan Amazon SageMaker Ground Truth Console untuk memberikan izin entitas untuk berlangganan tenaga kerja vendor.

{
    "Sid": "AccessAwsMarketplaceSubscriptions",
    "Effect": "Allow",
    "Action": [
        "aws-marketplace:Subscribe",
        "aws-marketplace:Unsubscribe",
        "aws-marketplace:ViewSubscriptions"
    ],
    "Resource": "*"
}