Amazon SageMaker Ground Truth IAM コンソールを使用するアクセス許可を付与する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SageMaker Ground Truth IAM コンソールを使用するアクセス許可を付与する

SageMaker コンソールの Ground Truth エリアを使用するには、Ground Truth がやり取りする SageMaker およびその他の AWS サービスへのアクセス許可をエンティティに付与する必要があります。他の AWS サービスにアクセスするために必要なアクセス許可は、ユースケースによって異なります。

  • Amazon S3 のアクセス許可は、すべてのユースケースで必要です。これらのアクセス許可は、入出力データを含む Amazon S3 バケットへのアクセス権を付与する必要があります。

  • AWS Marketplace ベンダーワークフォースを使用するには、 アクセス許可が必要です。

  • プライベートワークチームの設定には、Amazon Cognito アクセス許可が必要です。

  • AWS KMS 出力データの暗号化に使用できる AWS KMS キーを表示するには、 アクセス許可が必要です。

  • IAM 既存の実行ロールを一覧表示するか、新しい実行ロールを作成するには、 アクセス許可が必要です。さらに、ラベル付けジョブの開始に選択した実行ロールの使用 SageMaker を許可するPassRoleアクセス許可を追加する必要があります。

次のセクションでは、Ground Truth の 1 つ以上の機能を使用するためにロールに付与する可能性があるポリシーの一覧を示します。

Ground Truth コンソールのアクセス許可

SageMaker コンソールの Ground Truth エリアを使用してラベル付けジョブを作成するアクセス許可をユーザーまたはロールに付与するには、次のポリシーをユーザーまたはロールにアタッチします。次のポリシーは、組み込みタスクタイプタスクタイプを使用してラベル付けジョブを作成するアクセス許可をIAMロールに付与します。カスタムラベル付けワークフローを作成する場合は、カスタムラベル付けワークフローのアクセス許可 のポリシーを以下のポリシーに追加します。次のポリシーに含まれる各 Statement の説明は、このコードブロックの下にあります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "KmsKeysForCreateForms", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid": "ListAndCreateExecutionRoles", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "groundtruthlabeling:*", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketCors", "s3:PutBucketCors", "s3:ListAllMyBuckets", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" } ] }

このポリシーには、次のステートメントが含まれます。そのステートメントの Resource リストに特定のリソースを追加することにより、これらのステートメントのスコープを絞り込むことができます。

SageMakerApis

このステートメントにはsagemaker:*、ユーザーがすべてのSageMakerAPIアクションを実行できるようにする が含まれています。ユーザーに対し、ラベル付けジョブの作成と監視に使用されないアクションの実行を制限することで、このポリシーの範囲を縮小できます。

KmsKeysForCreateForms

このステートメントを含める必要があるのは、出力データの暗号化に使用する Ground Truth コンソールで AWS KMS キーを一覧表示して選択するアクセス許可をユーザーに付与する場合のみです。上記のポリシーは、 AWS KMSのアカウント内の任意のキーを一覧表示および選択する許可をユーザーに付与します。ユーザーが一覧表示および選択できるキーを制限するには、 ARNsでそれらのキーを指定しますResource

SecretsManager

このステートメントは、ラベル付けジョブの作成 AWS Secrets Manager に必要なリソースを記述、一覧表示、作成するアクセス許可をユーザーに付与します。

ListAndCreateExecutionRoles

このステートメントは、アカウントにIAMロールを一覧表示 (ListRoles) して作成する (CreateRole) 許可をユーザーに付与します。また、エンティティにポリシーを作成 (CreatePolicy) およびアタッチ (AttachRolePolicy) する許可をユーザーに付与します。これらは、コンソールで実行ロールを一覧表示、選択、必要に応じて作成する際に必要です。

実行ロールを既に作成していて、ユーザーがコンソールでそのロールのみを選択できるようにこのステートメントの範囲を絞り込む場合は、アクション CreateRole、、CreatePolicyおよび で表示Resourceおよび削除するアクセス許可をユーザーに付与するロールARNsの を指定しますAttachRolePolicy

AccessAwsMarketplaceSubscriptions

これらの権限は、ラベル付けジョブの作成時に既にサブスクライブしているベンダーワークチームを表示および選択するために必要です。ベンダーの作業チームにサブスクライブする許可をユーザーに与えるには、上記のポリシーに ベンダーワークフォースのアクセス許可 のステートメントを追加します

PassRoleForExecutionRoles

これは、ラベル付けジョブの作成者にワーカー UI をプレビューし、入力データ、ラベル、指示が正しく表示されることを確認する許可を与えるために必要です。このステートメントは、ワーカー UI をレンダリングおよびプレビューするためのラベル付けジョブの作成に使用されるIAM実行ロールを SageMaker に渡すアクセス許可をエンティティに付与します。このポリシーの範囲を絞り込むには、 のラベル付けジョブの作成に使用される実行ロールARNのロールを追加しますResource

GroundTruthConsole

  • groundtruthlabeling - これにより、ユーザーは Ground Truth コンソールの特定の機能を使用するために必要なアクションを実行できます。これには、ラベル付けジョブのステータスの記述 (DescribeConsoleJob)、入力マニフェストファイル内のすべてのデータセットオブジェクトの一覧表示 (ListDatasetObjects)、データセットサンプリングが選択されている場合は、データセットのフィルタリング (RunFilterOrSampleDatasetJob)、自動データラベリングが使用されている場合は、入力マニフェストファイルの生成 (RunGenerateManifestByCrawlingJob) の許可が含まれます。これらのアクションは Ground Truth コンソールを使用する場合にのみ使用でき、 を使用して直接呼び出すことはできませんAPI。

  • lambda:InvokeFunctionlambda:ListFunctions - これらのアクションは、カスタムラベル付けワークフローの実行に使用される Lambda 関数をリストして呼び出す許可をユーザーに付与します。

  • s3:* – このステートメントに含まれるすべての Amazon S3 アクセス許可は、自動データセットアップ用の Amazon S3 バケットの表示 (ListAllMyBuckets)、Amazon S3 の入力データへのアクセス (ListBucketGetObject)、必要に応じて Amazon S3 でCORSポリシーのチェックと作成 (GetBucketCors および PutBucketCors)、S3 へのラベル付けジョブ出力ファイルの書き込み () に使用されますPutObject

  • cognito-idp - これらのアクセス許可は、Amazon Cognito を使用してワークフォースを作成、表示、管理し、プライベートにするために使用されます。これらのアクションの詳細については、Amazon Cognito APIリファレンス」を参照してください。

カスタムラベル付けワークフローのアクセス許可

次のステートメントを、Ground Truth コンソールのアクセス許可 のポリシーと同様のポリシーに追加して、カスタムラベル付けワークフローの作成中に、既存の注釈前と注釈後の Lambda 関数を選択する許可をユーザーに付与します。

{ "Sid": "GroundTruthConsoleCustomWorkflow", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:ListFunctions" ], "Resource": "*" }

エンティティに、注釈前と注釈後の Lambda 関数の作成とテストを行う許可を与える方法については、「Required Permissions To Use Lambda With Ground Truth」を参照してください。

プライベートワークフォースのアクセス許可

アクセス許可ポリシーに追加すると、次のアクセス許可により、Amazon Cognito を使用してプライベートワークフォースとワークチームを作成および管理するアクセス許可が付与されます。これらのアクセス許可は、OIDCIdP ワークフォース を使用する必要はありません。

{ "Effect": "Allow", "Action": [ "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" }

Amazon Cognito を使用したプライベートワークフォースの作成の詳細については、「Amazon Cognito ワークフォース」を参照してください。

ベンダーワークフォースのアクセス許可

Amazon SageMaker Ground Truth IAM コンソールを使用するアクセス許可を付与する のポリシーに次のステートメントを追加して、ベンダーワークフォースにサブスクライブするアクセス許可をエンティティに付与できます。

{ "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }