Buat Peran SageMaker Eksekusi untuk Pekerjaan Pelabelan Ground Truth - Amazon SageMaker
Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)Persyaratan Peran Eksekusi Jenis Tugas (Streaming) BawaanPersyaratan Peran Eksekusi untuk Jenis Tugas KustomPersyaratan Izin Pelabelan Data Otomatis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat Peran SageMaker Eksekusi untuk Pekerjaan Pelabelan Ground Truth

Saat mengonfigurasi pekerjaan pelabelan, Anda perlu memberikan peran eksekusi, yang merupakan peran yang SageMaker memiliki izin untuk memulai dan menjalankan pekerjaan pelabelan Anda.

Peran ini harus memberikan izin Ground Truth untuk mengakses hal-hal berikut:

  • Amazon S3 untuk mengambil data input Anda dan menulis data keluaran ke bucket Amazon S3. Anda dapat memberikan izin untuk IAM peran untuk mengakses seluruh bucket dengan menyediakan bucketARN, atau Anda dapat memberikan akses ke peran tersebut untuk mengakses sumber daya tertentu dalam bucket. Misalnya, bucket ARN untuk mungkin terlihat mirip arn:aws:s3:::amzn-s3-demo-bucket1 dan sumber daya di bucket Amazon S3 mungkin terlihat mirip dengan. ARN arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png Untuk menerapkan tindakan ke semua sumber daya di bucket Amazon S3, Anda dapat menggunakan wild card:. * Misalnya, arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*. Untuk informasi selengkapnya, lihat Sumber Daya Amazon S3 Amazon di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  • CloudWatch untuk mencatat metrik pekerja dan memberi label status pekerjaan.

  • AWS KMS untuk enkripsi data. (Opsional)

  • AWS Lambda untuk memproses data input dan output saat Anda membuat alur kerja khusus.

Selain itu, jika Anda membuat pekerjaan pelabelan streaming, peran ini harus memiliki izin untuk mengakses:

  • Amazon SQS untuk membuat interaksi dengan SQS antrian yang digunakan untuk mengelola permintaan pelabelan.

  • Amazon SNS untuk berlangganan dan mengambil pesan dari topik SNS input Amazon Anda dan mengirim pesan ke topik SNS keluaran Amazon Anda.

Semua izin ini dapat diberikan dengan kebijakan AmazonSageMakerGroundTruthExecution terkelola kecuali:

  • Enkripsi volume data dan penyimpanan bucket Amazon S3 Anda. Untuk mempelajari cara mengonfigurasi izin ini, lihatEnkripsi Data Output dan Volume Penyimpanan dengan AWS KMS.

  • Izin untuk memilih dan memanggil fungsi Lambda yang tidak GtRecipe menyertakanSageMaker,,Sagemaker,sagemaker, LabelingFunction atau dalam nama fungsi.

  • Bucket Amazon S3 yang tidak menyertakanGroundTruth,,,, Groundtruth groundtruth SageMakerSagemaker, dan sagemaker dalam awalan atau nama bucket atau tag objek yang disertakan SageMaker dalam nama (tidak peka huruf besar/kecil).

Jika Anda memerlukan izin yang lebih terperinci daripada yang disediakanAmazonSageMakerGroundTruthExecution, gunakan contoh kebijakan berikut untuk membuat peran eksekusi yang sesuai dengan kasus penggunaan spesifik Anda.

Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)

Kebijakan berikut memberikan izin untuk membuat pekerjaan pelabelan untuk jenis tugas bawaan. Kebijakan eksekusi ini tidak menyertakan izin untuk enkripsi atau dekripsi AWS KMS data. Ganti setiap merah, dicetak miring ARN dengan Amazon S3 Anda sendiri. ARNs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ViewBuckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "S3GetPutObjects",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan

Jika Anda membuat pekerjaan pelabelan streaming, Anda harus menambahkan kebijakan yang mirip dengan berikut ini ke peran eksekusi yang Anda gunakan untuk membuat pekerjaan pelabelan. Untuk mempersempit cakupan kebijakan, ganti * in Resource dengan AWS sumber daya tertentu yang ingin Anda berikan izin IAM peran untuk mengakses dan menggunakan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SendMessageBatch",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sns:<aws-region>:<aws-account-number>:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        }
    ]
}

Persyaratan Peran Eksekusi untuk Jenis Tugas Kustom

Jika Anda ingin membuat alur kerja pelabelan kustom, tambahkan pernyataan berikut ke kebijakan peran eksekusi seperti yang ditemukan di Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming) atau. Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan

Kebijakan ini memberikan izin peran eksekusi ke fungsi Lambda pra-anotasi dan pasca-anotasi Invoke Anda.

{
    "Sid": "LambdaFunctions",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction"
    ],
    "Resource": [
        "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>",
        "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>"
    ]
}

Persyaratan Izin Pelabelan Data Otomatis

Jika Anda ingin membuat pekerjaan pelabelan dengan pelabelan data otomatis diaktifkan, Anda harus 1) menambahkan satu kebijakan ke IAM kebijakan yang dilampirkan pada peran eksekusi dan 2) memperbarui kebijakan kepercayaan peran eksekusi.

Pernyataan berikut memungkinkan peran IAM eksekusi diteruskan SageMaker sehingga dapat digunakan untuk menjalankan pekerjaan pelatihan dan inferensi yang digunakan untuk pembelajaran aktif dan pelabelan data otomatis masing-masing. Tambahkan pernyataan ini ke kebijakan peran eksekusi seperti yang ditemukan di Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming) atauPersyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan. Ganti arn:aws:iam::<account-number>:role/<role-name> dengan peran eksekusiARN. Anda dapat menemukan IAM peran Anda ARN di IAM konsol di bawah Peran. 

{
    "Effect": "Allow",
    "Action": [
        "iam:PassRole"
    ],
    "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": [
                "sagemaker.amazonaws.com"
            ]
        }
    }
}

Pernyataan berikut memungkinkan SageMaker untuk mengasumsikan peran eksekusi untuk membuat dan mengelola pekerjaan SageMaker pelatihan dan inferensi. Kebijakan ini harus ditambahkan ke hubungan kepercayaan dari peran eksekusi. Untuk mempelajari cara menambahkan atau mengubah kebijakan kepercayaan IAM peran, lihat Memodifikasi peran dalam Panduan IAM Pengguna.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"Service": "sagemaker.amazonaws.com" },
        "Action": "sts:AssumeRole"
    }
}