Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concedi IAM l'autorizzazione all'uso della console Amazon SageMaker Ground Truth
Per utilizzare l'area Ground Truth della SageMaker console, devi concedere l'autorizzazione a un'entità per accedere SageMaker e ad altri AWS servizi con cui interagisce Ground Truth. Le autorizzazioni necessarie per accedere ad altri AWS servizi dipendono dal caso d'uso:
-
Le autorizzazioni di Amazon S3 sono necessarie per tutti i casi d'uso. Queste autorizzazioni devono concedere l'accesso ai bucket Amazon S3 che contengono dati di input e output.
-
Marketplace AWS le autorizzazioni sono necessarie per utilizzare la forza lavoro di un fornitore.
-
Per la configurazione del team di lavoro privato è richiesta l'autorizzazione di Amazon Cognito.
-
AWS KMS sono necessarie le autorizzazioni per visualizzare le AWS KMS chiavi disponibili che possono essere utilizzate per la crittografia dei dati di output.
-
IAMle autorizzazioni sono necessarie per elencare i ruoli di esecuzione preesistenti o per crearne uno nuovo. Inoltre, è necessario utilizzare add a
PassRolepermission per consentire SageMaker l'utilizzo del ruolo di esecuzione scelto per avviare il processo di etichettatura.
Le sezioni seguenti elencano le policy che potresti voler concedere a un ruolo per utilizzare una o più funzioni di Ground Truth.
Argomenti
Autorizzazioni della console Ground Truth
Per concedere l'autorizzazione a un utente o a un ruolo di utilizzare l'area Ground Truth della SageMaker console per creare un processo di etichettatura, allega la seguente politica all'utente o al ruolo. La seguente politica fornirà al IAM ruolo l'autorizzazione a creare un processo di etichettatura utilizzando un tipo di attività di tipo di attività integrato. Se desideri creare un flusso di lavoro di etichettatura personalizzato, aggiungi la policy Autorizzazioni personalizzate per il flusso di lavoro di etichettatura alla policy seguente. Ciascun criterio Statement incluso nella seguente policy è descritto sotto questo blocco di codice.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "KmsKeysForCreateForms", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid": "ListAndCreateExecutionRoles", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "groundtruthlabeling:*", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketCors", "s3:PutBucketCors", "s3:ListAllMyBuckets", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" } ] }
Questa policy include le seguenti istruzioni. È possibile definire una qualsiasi di queste istruzioni aggiungendo risorse specifiche all'elenco Resource relativo a tale istruzione.
SageMakerApis
Questa dichiarazione includesagemaker:*, che consente all'utente di eseguire tutte le SageMakerAPIazioni. È possibile ridurre l'ambito di questa policy impedendo agli utenti di eseguire operazioni che non vengono utilizzate per creare e monitorare un processo di etichettatura.
KmsKeysForCreateForms
È necessario includere questa dichiarazione solo se si desidera concedere a un utente l'autorizzazione a elencare e selezionare AWS KMS le chiavi nella console Ground Truth da utilizzare per la crittografia dei dati di output. La policy di cui sopra concede all'utente l'autorizzazione a elencare e selezionare qualsiasi chiave nell'account in AWS KMS. Per limitare le chiavi che un utente può elencare e selezionare, ARNs specificaleResource.
SecretsManager
Questa istruzione fornisce all'utente il permesso di descrivere, elencare e creare le risorse AWS Secrets Manager necessarie per creare il processo di etichettatura.
ListAndCreateExecutionRoles
Questa dichiarazione fornisce all'utente il permesso di elencare (ListRoles) e creare (CreateRole) IAM ruoli nel proprio account. Inoltre, concede all'utente l'autorizzazione a creare (CreatePolicy) policy e collegare (AttachRolePolicy) policy alle entità. Sono necessarie per elencare, selezionare e, se necessario, creare un ruolo di esecuzione nella console.
Se hai già creato un ruolo di esecuzione e desideri restringere l'ambito di questa istruzione in modo che gli utenti possano selezionare quel ruolo solo nella console, specifica i ARNs ruoli in cui desideri che l'utente abbia l'autorizzazione a visualizzare Resource e rimuovere le azioni CreateRoleCreatePolicy, eAttachRolePolicy.
AccessAwsMarketplaceSubscriptions
Queste autorizzazioni sono necessarie per visualizzare e scegliere i team di lavoro dei fornitori a cui sei già iscritto quando crei un processo di etichettatura. Per concedere all'utente l'autorizzazione a iscriversi ai team di lavoro dei fornitori, aggiungi l’istruzione in Autorizzazioni per la forza lavoro del fornitore alla policy di cui sopra.
PassRoleForExecutionRoles
Ciò è necessario per concedere al creatore del processo di etichettatura l'autorizzazione a visualizzare in anteprima l'interfaccia utente del worker e verificare che i dati di input, le etichette e le istruzioni vengano visualizzati correttamente. Questa istruzione fornisce a un'entità le autorizzazioni per passare il ruolo di IAM esecuzione utilizzato per creare il processo di etichettatura SageMaker per il rendering e l'anteprima dell'interfaccia utente del lavoratore. Per restringere l'ambito di questa politica, aggiungi il ruolo del ruolo ARN di esecuzione utilizzato per creare il processo di etichettatura in base al quale. Resource
GroundTruthConsole
-
groundtruthlabeling– Ciò consente all'utente di eseguire le azioni necessarie per utilizzare determinate funzionalità della console Ground Truth. Queste includono le autorizzazioni per descrivere lo stato del processo di etichettatura (DescribeConsoleJob), elencare tutti gli oggetti del set di dati nel file manifesto di input (ListDatasetObjects), filtrare il set di dati se è selezionato il campionamento del set di dati (RunFilterOrSampleDatasetJob) e generare file manifesto di input se viene utilizzata l'etichettatura automatizzata dei dati (RunGenerateManifestByCrawlingJob). Queste azioni sono disponibili solo quando si utilizza la console Ground Truth e non possono essere richiamate direttamente utilizzando unAPI. -
lambda:InvokeFunctionelambda:ListFunctions: queste azioni forniscono agli utenti l'autorizzazione a elencare e richiamare le funzioni Lambda utilizzate per eseguire un flusso di lavoro di etichettatura personalizzato. -
s3:*— Tutte le autorizzazioni Amazon S3 incluse in questa dichiarazione vengono utilizzate per visualizzare i bucket Amazon S3 per la configurazione automatica dei dati (ListAllMyBuckets), accedere ai dati di input in Amazon S3 (,GetObject)ListBucket, verificare e creare una policy in CORS Amazon S3 se necessario (e)GetBucketCorse scrivere file di output del processo di etichettatura su S3 (PutBucketCors).PutObject -
cognito-idp: queste autorizzazioni vengono utilizzate per creare, visualizzare e gestire una forza lavoro privata utilizzando Amazon Cognito. Per ulteriori informazioni su queste azioni, consulta i riferimenti di Amazon Cognito API.
Autorizzazioni personalizzate per il flusso di lavoro di etichettatura
Aggiungi la seguente istruzione a una policy simile a quella in uso in Autorizzazioni della console Ground Truth per concedere all'utente l'autorizzazione a selezionare funzioni Lambda preesistenti di pre-annotazione e post-annotazione durante la creazione di un flusso di lavoro di etichettatura personalizzato.
{ "Sid": "GroundTruthConsoleCustomWorkflow", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:ListFunctions" ], "Resource": "*" }
Per informazioni su come concedere a un'entità l'autorizzazione a creare e testare le funzioni Lambda di pre-annotazione e post-annotazione, consulta Required Permissions to Use Lambda With Ground Truth.
Autorizzazioni per la forza lavoro privata
Quando viene aggiunta a una policy di autorizzazione, la seguente autorizzazione concede l'accesso per creare e gestire una forza lavoro privata e un team di lavoro usando Amazon Cognito. Queste autorizzazioni non sono necessarie per utilizzare una forza lavoro OIDCIdP.
{ "Effect": "Allow", "Action": [ "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" }
Per ulteriori informazioni sulla creazione di forza lavoro privata con Amazon Cognito, consulta Crea e gestisci una forza lavoro Amazon Cognito.
Autorizzazioni per la forza lavoro del fornitore
È possibile aggiungere la seguente istruzione alla policy in Concedi IAM l'autorizzazione all'uso della console Amazon SageMaker Ground Truth per concedere a un'entità l'autorizzazione di iscriversi alla forza lavoro di un fornitore.
{ "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }
