Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Concedi a IAM il permesso di utilizzare la console Amazon SageMaker Ground Truth

PDF
RSS
Modalità Focus
Concedi a IAM il permesso di utilizzare la console Amazon SageMaker Ground Truth - Amazon SageMaker AI
Autorizzazioni della console Ground TruthAutorizzazioni personalizzate per il flusso di lavoro di etichettaturaAutorizzazioni per la forza lavoro privataAutorizzazioni per la forza lavoro del fornitore

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per utilizzare l'area Ground Truth della console SageMaker AI, devi concedere l'autorizzazione a un'entità per accedere all' SageMaker IA e ad altri AWS servizi con cui interagisce Ground Truth. Le autorizzazioni richieste per accedere ad altri AWS servizi dipendono dal caso d'uso:

  • Le autorizzazioni di Amazon S3 sono necessarie per tutti i casi d'uso. Queste autorizzazioni devono concedere l'accesso ai bucket Amazon S3 che contengono dati di input e output.

  • Marketplace AWS le autorizzazioni sono necessarie per utilizzare la forza lavoro di un fornitore.

  • Per la configurazione del team di lavoro privato è richiesta l'autorizzazione di Amazon Cognito.

  • AWS KMS sono necessarie le autorizzazioni per visualizzare le AWS KMS chiavi disponibili che possono essere utilizzate per la crittografia dei dati di output.

  • Le autorizzazioni IAM sono necessarie per elencare i ruoli di esecuzione preesistenti o per creare un nuovo ruolo. Inoltre, è necessario utilizzare add a PassRole permission per consentire all' SageMaker IA di utilizzare il ruolo di esecuzione scelto per avviare il processo di etichettatura.

Le sezioni seguenti elencano le policy che potresti voler concedere a un ruolo per utilizzare una o più funzioni di Ground Truth.

Autorizzazioni della console Ground Truth

Per concedere l'autorizzazione a un utente o a un ruolo di utilizzare l'area Ground Truth della console SageMaker AI per creare un processo di etichettatura, allega la seguente politica all'utente o al ruolo. La seguente policy concede a un ruolo IAM l'autorizzazione per creare un processo di etichettatura utilizzando un tipo di attività predefinito. Se desideri creare un flusso di lavoro di etichettatura personalizzato, aggiungi la policy Autorizzazioni personalizzate per il flusso di lavoro di etichettatura alla policy seguente. Ciascun criterio Statement incluso nella seguente policy è descritto sotto questo blocco di codice.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerApis",
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessAwsMarketplaceSubscriptions",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ViewSubscriptions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListAndCreateExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleForExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GroundTruthConsole",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*",
                "lambda:InvokeFunction",
                "lambda:ListFunctions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:ListAllMyBuckets",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient"
            ],
            "Resource": "*"
        }
    ]
}

Questa policy include le seguenti istruzioni. È possibile definire una qualsiasi di queste istruzioni aggiungendo risorse specifiche all'elenco Resource relativo a tale istruzione.

SageMakerApis

Questa dichiarazione includesagemaker:*, che consente all'utente di eseguire tutte le azioni dell'API SageMaker AI. È possibile ridurre l'ambito di questa policy impedendo agli utenti di eseguire operazioni che non vengono utilizzate per creare e monitorare un processo di etichettatura.

KmsKeysForCreateForms

È necessario includere questa dichiarazione solo se si desidera concedere a un utente l'autorizzazione a elencare e selezionare AWS KMS le chiavi nella console Ground Truth da utilizzare per la crittografia dei dati di output. La policy di cui sopra concede all'utente l'autorizzazione a elencare e selezionare qualsiasi chiave nell'account in AWS KMS. Per limitare le chiavi che un utente può elencare e selezionare, specifica tali chiavi ARNs inResource.

SecretsManager

Questa istruzione fornisce all'utente il permesso di descrivere, elencare e creare le risorse AWS Secrets Manager necessarie per creare il processo di etichettatura.

ListAndCreateExecutionRoles

Questa istruzione fornisce all'utente l'autorizzazione a elencare (ListRoles) e creare (CreateRole) i ruoli IAM nel tuo account. Inoltre, concede all'utente l'autorizzazione a creare (CreatePolicy) policy e collegare (AttachRolePolicy) policy alle entità. Sono necessarie per elencare, selezionare e, se necessario, creare un ruolo di esecuzione nella console.

Se hai già creato un ruolo di esecuzione e desideri restringere l'ambito di questa istruzione in modo che gli utenti possano selezionare solo quel ruolo nella console, specifica i ARNs ruoli a cui desideri che l'utente abbia l'autorizzazione a visualizzare Resource e rimuovere le azioni e CreateRole CreatePolicyAttachRolePolicy,

AccessAwsMarketplaceSubscriptions

Queste autorizzazioni sono necessarie per visualizzare e scegliere i team di lavoro dei fornitori a cui sei già iscritto quando crei un processo di etichettatura. Per concedere all'utente l'autorizzazione a iscriversi ai team di lavoro dei fornitori, aggiungi l’istruzione in Autorizzazioni per la forza lavoro del fornitore alla policy di cui sopra.

PassRoleForExecutionRoles

Ciò è necessario per concedere al creatore del processo di etichettatura l'autorizzazione a visualizzare in anteprima l'interfaccia utente del worker e verificare che i dati di input, le etichette e le istruzioni vengano visualizzati correttamente. Questa istruzione fornisce a un'entità le autorizzazioni per passare il ruolo di esecuzione IAM utilizzato per creare il processo di etichettatura all' SageMaker IA per il rendering e l'anteprima dell'interfaccia utente del lavoratore. Per restringere l'ambito di questa policy, aggiungi il ruolo ARN del ruolo di esecuzione utilizzato per creare il processo di etichettatura in Resource.

GroundTruthConsole

  • groundtruthlabeling – Ciò consente all'utente di eseguire le azioni necessarie per utilizzare determinate funzionalità della console Ground Truth. Queste includono le autorizzazioni per descrivere lo stato del processo di etichettatura (DescribeConsoleJob), elencare tutti gli oggetti del set di dati nel file manifesto di input (ListDatasetObjects), filtrare il set di dati se è selezionato il campionamento del set di dati (RunFilterOrSampleDatasetJob) e generare file manifesto di input se viene utilizzata l'etichettatura automatizzata dei dati (RunGenerateManifestByCrawlingJob). Queste azioni sono disponibili solo quando si utilizza la console Ground Truth e non possono essere richiamate direttamente utilizzando un'API.

  • lambda:InvokeFunction e lambda:ListFunctions: queste azioni forniscono agli utenti l'autorizzazione a elencare e richiamare le funzioni Lambda utilizzate per eseguire un flusso di lavoro di etichettatura personalizzato.

  • s3:*: tutte le autorizzazioni Amazon S3 incluse in questa istruzione vengono utilizzate per visualizzare i bucket Amazon S3 per la configurazione automatizzata dei dati (ListAllMyBuckets), accedere ai dati di input in Amazon S3 (ListBucket, GetObject), cercare e creare una policy CORS in Amazon S3, se necessario (GetBucketCors e PutBucketCors) e scrivere file di output del processo di etichettatura su S3 (PutObject).

  • cognito-idp: queste autorizzazioni vengono utilizzate per creare, visualizzare e gestire una forza lavoro privata utilizzando Amazon Cognito. Per ulteriori informazioni su queste azioni, consulta Amazon Cognito API Reference.

Autorizzazioni personalizzate per il flusso di lavoro di etichettatura

Aggiungi la seguente istruzione a una policy simile a quella in uso in Autorizzazioni della console Ground Truth per concedere all'utente l'autorizzazione a selezionare funzioni Lambda preesistenti di pre-annotazione e post-annotazione durante la creazione di un flusso di lavoro di etichettatura personalizzato.

{
    "Sid": "GroundTruthConsoleCustomWorkflow",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction",
        "lambda:ListFunctions"
    ],
    "Resource": "*"
}

Per informazioni su come concedere a un'entità l'autorizzazione a creare e testare le funzioni Lambda di pre-annotazione e post-annotazione, consulta Required Permissions to Use Lambda With Ground Truth.

Autorizzazioni per la forza lavoro privata

Quando viene aggiunta a una policy di autorizzazione, la seguente autorizzazione concede l'accesso per creare e gestire una forza lavoro privata e un team di lavoro usando Amazon Cognito. Queste autorizzazioni non sono necessarie per utilizzare una forza lavoro IdP OIDC.

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:ListGroups",
        "cognito-idp:ListIdentityProviders",
        "cognito-idp:ListUsers",
        "cognito-idp:ListUsersInGroup",
        "cognito-idp:ListUserPoolClients",
        "cognito-idp:ListUserPools",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient"
        ],
    "Resource": "*"
}

Per ulteriori informazioni sulla creazione di forza lavoro privata con Amazon Cognito, consulta Forze lavoro di Amazon Cognito.

Autorizzazioni per la forza lavoro del fornitore

È possibile aggiungere la seguente istruzione alla policy in Concedi a IAM il permesso di utilizzare la console Amazon SageMaker Ground Truth per concedere a un'entità l'autorizzazione di iscriversi alla forza lavoro di un fornitore.

{
    "Sid": "AccessAwsMarketplaceSubscriptions",
    "Effect": "Allow",
    "Action": [
        "aws-marketplace:Subscribe",
        "aws-marketplace:Unsubscribe",
        "aws-marketplace:ViewSubscriptions"
    ],
    "Resource": "*"
}

In questa pagina

Related resources

Amazon SageMaker AI Riferimento API
AWS CLI comandi per Amazon SageMaker AI
SDKs & Strumenti 

Related resources

Amazon SageMaker AI Riferimento API
AWS CLI comandi per Amazon SageMaker AI
SDKs & Strumenti 
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.