CORSRequisito di autorizzazione Aggiungi le autorizzazioni al IAM ruolo utilizzato per creare una definizione di flusso Crea un utente in grado di richiamare le operazioni di Amazon API A2I Crea un utente con autorizzazioni per richiamare Amazon A2I, Amazon Textract e Amazon Rekognition Operations API Abilitazione delle anteprime dei modelli di attività del worker Utilizzo di Amazon A2I con AWS KMS bucket crittografati Autorizzazioni aggiuntive e risorse di sicurezza

Autorizzazioni e sicurezza in IA aumentata Amazon

Quando utilizzi Amazon Augmented AI (Amazon A2I) per creare un flusso di lavoro di revisione umana per la tua applicazione ML/AI, crei e configuri risorse in SageMaker Amazon, come una forza lavoro umana e modelli di attività dei lavoratori. Per configurare e avviare un ciclo umano, puoi integrare Amazon A2I con altri AWS servizi come Amazon Textract o Amazon Rekognition oppure utilizzare Amazon Augmented AI Runtime. API Per creare un flusso di lavoro di revisione umana e avviare un ciclo umano, devi associare determinate politiche al tuo () ruolo o utente. AWS Identity and Access Management IAM Nello specifico:

Quando avvii un ciclo umano utilizzando dati di input di immagini a partire dal 12 gennaio 2020, devi aggiungere una policy di CORS intestazione al bucket Amazon S3 che contiene i dati di input. Per ulteriori informazioni, consulta CORSRequisito di autorizzazione.
Quando crei una definizione del flusso, devi fornire un ruolo che conceda ad Amazon A2I l'autorizzazione all'accesso ad Amazon S3 sia per la lettura degli oggetti che vengono visualizzati in un'interfaccia utente di attività umana sia per la scrittura dei risultati della revisione umana.

A questo ruolo deve inoltre essere associata una politica di fiducia che SageMaker autorizzi ad assumere il ruolo. Ciò consente ad Amazon A2I di eseguire le operazioni in base alle autorizzazioni collegate al ruolo.

Vedi Aggiungi le autorizzazioni al IAM ruolo utilizzato per creare una definizione di flusso per policy di esempio che puoi modificare e collegare al ruolo utilizzato per creare una definizione del flusso. Queste sono le politiche associate al IAM ruolo creato nella sezione Human Review workflows dell'area Amazon A2I della console. SageMaker
Per creare e avviare loop umani, puoi utilizzare un'APIoperazione da un tipo di task integrato (ad esempio DetectModerationLabel oAnalyzeDocument) o l'APIoperazione Amazon A2I Runtime StartHumanLoop in un'applicazione ML personalizzata. È necessario allegare la policy AmazonAugmentedAIFullAccess gestita all'utente che richiama queste API operazioni per concedere l'autorizzazione a questi servizi di utilizzare le operazioni di Amazon A2I. Per scoprire come, consulta Crea un utente in grado di richiamare le operazioni di Amazon API A2I.

Questa politica non concede l'autorizzazione a richiamare API le operazioni del AWS servizio associate ai tipi di attività integrati. Ad esempio, AmazonAugmentedAIFullAccess non concede l'autorizzazione a chiamare l'operazione Amazon Rekognition o l'operazione DetectModerationLabel API Amazon Textract. AnalyzeDocument API Puoi utilizzare la policy più generale, AmazonAugmentedAIIntegratedAPIAccess, per concedere queste autorizzazioni. Per ulteriori informazioni, consulta Crea un utente con autorizzazioni per richiamare Amazon A2I, Amazon Textract e Amazon Rekognition Operations API. Questa è una buona opzione quando desideri concedere a un utente ampie autorizzazioni per utilizzare Amazon A2I e le operazioni dei servizi integrati AWS . API

Se desideri configurare autorizzazioni più granulari, consulta Esempi di policy basate su identità di Amazon Rekognition e Esempi di policy basate su identità di Amazon Textract per le policy basate su identità che puoi utilizzare per concedere l'autorizzazione all'utilizzo di questi singoli servizi.
Per visualizzare in anteprima il modello di interfaccia utente di Worker Task personalizzato, è necessario un IAM ruolo con le autorizzazioni per leggere gli oggetti Amazon S3 che vengono renderizzati sulla tua interfaccia utente. Vedi un esempio di policy in Abilitazione delle anteprime dei modelli di attività del worker .

Argomenti

CORSRequisito di autorizzazione
Aggiungi le autorizzazioni al IAM ruolo utilizzato per creare una definizione di flusso
Crea un utente in grado di richiamare le operazioni di Amazon API A2I
Crea un utente con autorizzazioni per richiamare Amazon A2I, Amazon Textract e Amazon Rekognition Operations API
Abilitazione delle anteprime dei modelli di attività del worker
Utilizzo di Amazon A2I con AWS KMS bucket crittografati
Autorizzazioni aggiuntive e risorse di sicurezza

CORSRequisito di autorizzazione

All'inizio del 2020, i browser più diffusi come Chrome e Firefox hanno modificato il comportamento predefinito per la rotazione delle immagini in base ai metadati delle immagini, denominati dati. EXIF In precedenza, le immagini venivano sempre visualizzate nei browser esattamente come venivano archiviate su disco, che in genere non era ruotato. Dopo la modifica, le immagini ora ruotano in base a un frammento di metadati dell'immagine chiamato valore di orientamento. Ciò ha importanti implicazioni per l'intera comunità di machine learning (ML). Ad esempio, se non si considera l'EXIForientamento, le applicazioni utilizzate per annotare le immagini possono visualizzare le immagini con orientamenti imprevisti e generare etichette errate.

A partire da Chrome 89, non è più AWS possibile impedire automaticamente la rotazione delle immagini perché il gruppo di standard web W3C ha deciso che la possibilità di controllare la rotazione delle immagini viola la politica del Web relativa alla stessa origine. Pertanto, per garantire che gli operatori umani annotino le immagini di input con un orientamento prevedibile quando inviate richieste per creare un loop umano, dovete aggiungere una policy di CORS intestazione ai bucket S3 che contengono le immagini di input.

Importante

Se non aggiungi una CORS configurazione ai bucket S3 che contenga i tuoi dati di input, le attività di revisione umana per quegli oggetti di dati di input hanno esito negativo.

Puoi aggiungere una CORS policy a un bucket S3 che contiene dati di input nella console Amazon S3. Per impostare le CORS intestazioni richieste sul bucket S3 che contiene le immagini di input nella console S3, segui le istruzioni dettagliate in Come posso aggiungere la condivisione di risorse tra domini con? CORS . Usa il seguente codice CORS di configurazione per i bucket che ospitano le tue immagini. Se usi la console Amazon S3 per aggiungere la policy al tuo bucket, devi usare il formato. JSON

JSON


[{
   "AllowedHeaders": [],
   "AllowedMethods": ["GET"],
   "AllowedOrigins": ["*"],
   "ExposeHeaders": []
}]

XML


<CORSConfiguration>
 <CORSRule>
   <AllowedOrigin>*</AllowedOrigin>
   <AllowedMethod>GET</AllowedMethod>
 </CORSRule>
</CORSConfiguration>

Di seguito vengono GIF illustrate le istruzioni disponibili nella documentazione di Amazon S3 per aggiungere CORS una policy di intestazione utilizzando la console Amazon S3.

Gif su come aggiungere una policy di CORS intestazione utilizzando la console Amazon S3.

Aggiungi le autorizzazioni al IAM ruolo utilizzato per creare una definizione di flusso

Per creare una definizione di flusso, collega le politiche di questa sezione al ruolo che utilizzi quando crei un flusso di lavoro di revisione umana nella SageMaker console o quando usi l'CreateFlowDefinitionAPIoperazione.

Se utilizzi la console per creare un flusso di lavoro di revisione umana, inserisci il ruolo Amazon Resource Name (ARN) nel campo IAMruolo quando crei un flusso di lavoro di revisione umana nella console.
Quando crei una definizione di flusso utilizzando ilAPI, collega queste politiche al ruolo che viene passato al RoleArn parametro dell'CreateFlowDefinitionoperazione.

Quando crei un flusso di lavoro di revisione umana (definizione del flusso), Amazon A2I richiama Amazon S3 per completare l'attività. Per concedere ad Amazon A2I l'autorizzazione per recuperare e archiviare i file nel bucket Amazon S3, crea la policy seguente e collegala al ruolo. Ad esempio, se le immagini, i documenti e altri file che invii per la revisione umana sono memorizzati in un bucket S3 denominato my_input_bucket e se vuoi che le revisioni umane vengano archiviate in un bucket denominato my_output_bucket, crea la seguente policy.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_input_bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_output_bucket/*"
            ]
        }
    ]
}

Inoltre, il IAM ruolo deve avere la seguente politica di fiducia per SageMaker autorizzare l'assunzione del ruolo. Per ulteriori informazioni sulle politiche di IAM attendibilità, vedere la sezione Politiche basate sulle risorse di Criteri e autorizzazioni nella documentazione di AWS Identity and Access Management.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerToAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per ulteriori informazioni sulla creazione e la gestione di IAM ruoli e politiche, consulta i seguenti argomenti nella Guida per l'utente:AWS Identity and Access Management

Per creare un IAM ruolo, vedere Creazione di un ruolo per delegare le autorizzazioni a un IAM utente.
Per informazioni su come creare IAM politiche, consulta Creazione IAM di politiche.
Per informazioni su come associare una IAM politica a un ruolo, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità.

Crea un utente in grado di richiamare le operazioni di Amazon API A2I

Per utilizzare Amazon A2I per creare e avviare loop umani per Amazon Rekognition, Amazon Textract o il runtime Amazon A2I, API devi utilizzare un utente con le autorizzazioni per richiamare le operazioni di Amazon A2I. A tale scopo, utilizza la console per collegare la policy gestita a un utente nuovo o esistenteIAM. AmazonAugmentedAIFullAccess

Questa policy concede l'autorizzazione a un utente di richiamare API le operazioni da SageMaker API for flow definition creation and management e Amazon Augmented AI API Runtime per la creazione e la gestione di loop umani. Per ulteriori informazioni su queste API operazioni, consulta Use APIs in Amazon Augmented AI.

AmazonAugmentedAIFullAccessnon concede le autorizzazioni per utilizzare le operazioni di Amazon Rekognition o Amazon Textract. API

Nota

Puoi anche collegare la AmazonAugmentedAIFullAccess policy a un IAM ruolo utilizzato per creare e avviare un ciclo umano.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'AWS Identity and Access Management utente.

Crea un utente con autorizzazioni per richiamare Amazon A2I, Amazon Textract e Amazon Rekognition Operations API

Per creare un utente con l'autorizzazione a richiamare le API operazioni utilizzate dai tipi di task integrati (ovvero, DetectModerationLables per Amazon AnalyzeDocument Rekognition e Amazon Textract) e l'autorizzazione a API utilizzare tutte le operazioni di Amazon A2I, allega la policy gestita,. IAM AmazonAugmentedAIIntegratedAPIAccess Puoi utilizzare questo criterio quando desideri concedere autorizzazioni estese a un utente che utilizza Amazon A2I con più di un tipo di attività. Per ulteriori informazioni su queste API operazioni, consulta Use APIs in Amazon Augmented AI.

Nota

Puoi anche collegare la AmazonAugmentedAIIntegratedAPIAccess policy a un IAM ruolo utilizzato per creare e avviare un ciclo umano.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Per ulteriori informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'AWS Identity and Access Management utente.

Abilitazione delle anteprime dei modelli di attività del worker

Per personalizzare l'interfaccia e le istruzioni visualizzate dai worker quando utilizzano le attività, è possibile utilizzare un modello di attività del worker. È possibile creare il modello utilizzando l'CreateHumanTaskUioperazione o la SageMaker console.

Per visualizzare l'anteprima del modello, è necessario un IAM ruolo con le seguenti autorizzazioni per leggere gli oggetti Amazon S3 che vengono renderizzati sulla tua interfaccia utente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_input_bucket/*"
            ]
        }
    ]
}

Per i tipi di task Amazon Rekognition e Amazon Textract, puoi visualizzare in anteprima il modello utilizzando la sezione Amazon Augmented AI della console. SageMaker Per i tipi di attività personalizzati, puoi visualizzare in anteprima il modello richiamando l'operazione RenderUiTemplate. Per visualizzare l'anteprima del modello, segui le istruzioni per il tipo di attività:

SageMaker Tipi di attività Amazon Rekognition e Amazon Textract: nella console, usa l'ARNAmazon Resource Name () del ruolo nella procedura documentata in. Creazione di un modello di attività di worker
Tipi di attività personalizzati: nell'RenderUiTemplateoperazione, utilizza i ruoli nel parametro. ARN RoleArn

Utilizzo di Amazon A2I con AWS KMS bucket crittografati

Se specifichi una chiave gestita dal cliente AWS Key Management Service (AWS KMS) in cui crittografare i dati OutputConfig di output CreateFlowDefinition, devi aggiungere a quella chiave una IAM politica simile alla seguente. Questa policy concede al ruolo di IAM esecuzione utilizzato per creare i loop umani l'autorizzazione a utilizzare questa chiave per eseguire tutte le azioni elencate in. "Action" Per ulteriori informazioni su queste azioni, consulta le AWS KMS autorizzazioni nella Guida per gli AWS Key Management Service sviluppatori.

Per utilizzare questa politica, sostituisci il IAM ruolo di servizio "Principal" con il ruolo ARN ARN di esecuzione utilizzato per creare il flusso di lavoro di revisione umana (definizione del flusso). Quando crei un processo di etichettatura utilizzandoCreateFlowDefinition, questo è quello per ARN cui lo specifichi. RoleArn Tieni presente che non puoi fornire un KmsKeyId quando crei una definizione del flusso nella console.


{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Autorizzazioni aggiuntive e risorse di sicurezza

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Dati di output

CloudWatch Eventi