Creazione di un ruolo di SageMaker esecuzione per un lavoro di etichettatura di Ground Truth - Amazon SageMaker
Requisiti dei ruoli di esecuzione dei tipi di attività integrati (non in streaming)Requisiti dei ruoli di esecuzione dei tipi di attività integrati (in streaming)Requisiti del ruolo di esecuzione per i tipi di attività personalizzateRequisiti di autorizzazione per l'etichettatura automatizzata dei dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ruolo di SageMaker esecuzione per un lavoro di etichettatura di Ground Truth

Quando configuri il tuo lavoro di etichettatura, devi fornire un ruolo di esecuzione, ovvero un ruolo autorizzato ad assumere per avviare ed eseguire il processo di etichettatura. SageMaker

Questo ruolo deve concedere a Ground Truth l'autorizzazione per accedere ai seguenti elementi:

  • Amazon S3 per recuperare i dati di input e scrivere i dati di output in un bucket Amazon S3. È possibile concedere l'autorizzazione a un IAM ruolo di accedere a un intero bucket fornendo il bucket ARN oppure è possibile concedere l'accesso al ruolo per accedere a risorse specifiche in un bucket. Ad esempio, il bucket ARN for a potrebbe essere simile a arn:aws:s3:::amzn-s3-demo-bucket1 e il valore ARN di una risorsa in un bucket Amazon S3 potrebbe essere simile a. arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png Per applicare un'azione a tutte le risorse in un bucket Amazon S3, puoi utilizzare il carattere jolly: *. Ad esempio arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*. Per ulteriori informazioni, consulta Amazon S3 Resources nella Guida per l'utente di Amazon Simple Storage Service.

  • CloudWatch per registrare le metriche dei lavoratori ed etichettare lo stato delle mansioni.

  • AWS KMS per la crittografia dei dati. (Facoltativo)

  • AWS Lambda per l'elaborazione dei dati di input e output quando si crea un flusso di lavoro personalizzato.

Inoltre, se crei un processo di etichettatura in streaming, questo ruolo deve avere l'autorizzazione per accedere a:

  • Amazon SQS per creare un'interazione con una SQS coda utilizzata per gestire le richieste di etichettatura.

  • Amazon SNS per abbonarsi e recuperare messaggi dal tuo argomento di SNS input Amazon e per inviare messaggi al tuo argomento di SNS output Amazon.

Tutte queste autorizzazioni possono essere concesse con la policy gestita AmazonSageMakerGroundTruthExecution, tranne :

  • Crittografia dei dati e del volume di archiviazione dei bucket Amazon S3. Per informazioni su come configurare queste autorizzazioni, consulta Crittografare i dati di output e il volume di archiviazione con AWS KMS.

  • Autorizzazione a selezionare e richiamare funzioni Lambda che non includono GtRecipe, SageMaker, Sagemaker, sagemaker o LabelingFunction nel nome della funzione.

  • Bucket Amazon S3 che non includono né GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker e sagemaker né nel prefisso né nel nome del bucket o un tag di oggetto che include SageMaker nel nome (senza distinzione tra maiuscole e minuscole).

Se hai bisogno di autorizzazioni più granulari di quelle fornite in AmazonSageMakerGroundTruthExecution, usa i seguenti esempi di policy per creare un ruolo di esecuzione adatto al tuo caso d'uso specifico.

Requisiti dei ruoli di esecuzione dei tipi di attività integrati (non in streaming)

La seguente policy concede l'autorizzazione per creare un processo di etichettatura per un tipo di attività predefinito. Questa politica di esecuzione non include le autorizzazioni per la crittografia o la decrittografia AWS KMS dei dati. Sostituisci ogni colore rosso, in corsivo, ARN con il tuo Amazon S3 personalizzato. ARNs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ViewBuckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "S3GetPutObjects",
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        }
    ]
}

Requisiti dei ruoli di esecuzione dei tipi di attività integrati (in streaming)

Se crei un processo di etichettatura in streaming, devi aggiungere una policy simile alla seguente al ruolo di esecuzione utilizzato per creare il processo di etichettatura. Per restringere l'ambito della policy, sostituisci la policy Resource con AWS risorse specifiche * a cui desideri concedere l'autorizzazione di accesso e utilizzo al IAM ruolo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>/*",
                "arn:aws:s3:::<output-bucket-name>/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::<input-bucket-name>",
                "arn:aws:s3:::<output-bucket-name>"
            ]
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SendMessageBatch",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sns:<aws-region>:<aws-account-number>:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": [
                "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>",
                "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>"
            ]
        }
    ]
}

Requisiti del ruolo di esecuzione per i tipi di attività personalizzate

Se desideri creare un flusso di lavoro di etichettatura personalizzato, aggiungi la seguente istruzione a una policy del ruolo di esecuzione come quelle disponibili in Requisiti dei ruoli di esecuzione dei tipi di attività integrati (non in streaming) o Requisiti dei ruoli di esecuzione dei tipi di attività integrati (in streaming).

Questa policy concede l'autorizzazione del ruolo di esecuzione su Invoke per le funzioni Lambda di pre-annotazione e post-annotazione.

{
    "Sid": "LambdaFunctions",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction"
    ],
    "Resource": [
        "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>",
        "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>"
    ]
}

Requisiti di autorizzazione per l'etichettatura automatizzata dei dati

Se desideri creare un processo di etichettatura con l'etichettatura automatica dei dati abilitata, devi 1) aggiungere una politica alla IAM politica associata al ruolo di esecuzione e 2) aggiornare la politica di fiducia del ruolo di esecuzione.

La seguente istruzione consente di passare il ruolo di IAM esecuzione in SageMaker modo che possa essere utilizzato per eseguire i processi di formazione e inferenza utilizzati rispettivamente per l'apprendimento attivo e l'etichettatura automatica dei dati. Aggiungi questa istruzione a una policy relativa al ruolo di esecuzione come quelle che trovi in Requisiti dei ruoli di esecuzione dei tipi di attività integrati (non in streaming) o Requisiti dei ruoli di esecuzione dei tipi di attività integrati (in streaming). Sostituisci arn:aws:iam::<account-number>:role/<role-name> con il ruolo di esecuzione. ARN Puoi trovare il tuo IAM ruolo ARN nella IAM console alla voce Ruoli. 

{
    "Effect": "Allow",
    "Action": [
        "iam:PassRole"
    ],
    "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>",
    "Condition": {
        "StringEquals": {
            "iam:PassedToService": [
                "sagemaker.amazonaws.com"
            ]
        }
    }
}

La seguente dichiarazione consente di SageMaker assumere il ruolo di esecuzione per creare e gestire i lavori di SageMaker formazione e inferenza. Questa policy deve essere aggiunta alla relazione di attendibilità del ruolo di esecuzione. Per informazioni su come aggiungere o modificare una politica di attendibilità dei IAM ruoli, vedere Modificare un ruolo nella Guida per l'IAMutente.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"Service": "sagemaker.amazonaws.com" },
        "Action": "sts:AssumeRole"
    }
}