ワークフォースの認証と制限 - Amazon SageMaker
ワークフォースタイプへのアクセスを制限する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークフォースの認証と制限

Ground Truth では、独自のプライベートワークフォースを使用してラベル付けジョブに取り組むことができます。プライベートワークフォースは、抽象的な概念であり、会社のために働く一連の人々を指します。各ラベル付けジョブは、ワークフォース内のワーカーで構成されるワークチームを使用して作成されます。Ground Truth は、Amazon Cognito を使用してプライベートワークフォースの作成をサポートします。

Ground Truth ワークフォースは Amazon Cognito ユーザープールにマップされます。Ground Truth ワークチームは Amazon Cognito ユーザーグループにマッピングされます。Amazon Cognito はワーカー認証を管理します。Amazon Cognito は Open ID 接続 (OIDC) をサポートしており、お客様は独自の ID プロバイダー (IdP) を使用して Amazon Cognito フェデレーションを設定できます。

Ground Truth では、アカウントごとに AWS リージョンごとに 1 つのワークフォースしか許可されません。各ワークフォースには、専用の Ground Truth ワークポータルログイン がありますURL。

また、ワーカーをクラスレスドメイン間ルーティング (CIDR) ブロック/IP アドレス範囲に制限することもできます。つまり、アノテーターは、注釈サイトにアクセスするために特定のネットワーク上にある必要があります。1 つのワークフォースに最大 10 個のCIDRブロックを追加できます。詳細については、「Amazon を使用したプライベートワークフォース管理 SageMaker API」を参照してください。

プライベートワーカーを作成する方法については、プライベートワークフォースを作成する (Amazon Cognito) を参照してください。

ワークフォースタイプへのアクセスを制限する

Amazon SageMaker Ground Truth の作業チームは、パブリック (Amazon Mechanical Turk を使用)、プライベート、ベンダーの 3 つのワークフォースタイプのいずれかに分類されます。これらのタイプのいずれかまたは作業チーム を使用して特定の作業チームへのユーザーアクセスを制限するにはARN、 sagemaker:WorkteamTypeおよび/または sagemaker:WorkteamArn 条件キーを使用します。sagemaker:WorkteamType 条件キーには、文字列条件演算子を使用します。sagemaker:WorkteamArn 条件キーには、Amazon リソースネーム (ARN) 条件演算子 を使用します。ユーザーが制限された作業チームを使用してラベル付けジョブを作成しようとすると、 はアクセス拒否エラー SageMaker を返します。

以下のポリシーは、sagemaker:WorkteamType および sagemaker:WorkteamArn 条件キーを適切な条件演算子および有効な条件値と共に使用するさまざまな方法を示しています。

以下の例では、sagemaker:WorkteamType 条件キーと StringEquals 条件演算子を使用して、パブリック作業チームへのアクセスを制限しています。次の形式で条件値を受け入れます: workforcetype-crowd、ここで workforcetype は、publicprivate、または に等しくなりますvendor

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

以下のポリシーは、sagemaker:WorkteamArn 条件キーを使用してパブリック作業チームへのアクセスを制限する方法を示しています。1 つ目は、作業チームとARNArnLike条件演算子の有効なIAM正規表現バリアントでそれを使用する方法を示しています。2 つ目は、ArnEquals条件演算子 と作業チーム で使用する方法を示していますARN。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}