기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Ground Truth 레이블 지정 작업에 대한 SageMaker AI 실행 역할 생성
레이블 지정 작업을 구성할 때 SageMaker AI가 레이블 지정 작업을 시작하고 실행할 수 있는 권한이 있는 역할인 실행 역할을 제공해야 합니다.
이 역할은 다음에 액세스할 수 있는 권한을 Ground Truth에 부여해야 합니다.
-
Amazon S3를 사용하여 입력 데이터를 검색하고 Amazon S3 버킷에 출력 데이터를 쓸 수 있습니다. 버킷 ARN을 제공하여 전체 버킷에 액세스할 수 있는 권한을 IAM 역할에 부여하거나, 버킷의 특정 리소스에 액세스하기 위해 역할에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 버킷의 ARN은
arn:aws:s3:::amzn-s3-demo-bucket1와(과) 비슷할 수 있으며 Amazon S3 버킷에 있는 리소스의 ARN은arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png와(과) 비슷할 수 있습니다. Amazon S3 버킷의 모든 리소스에 작업을 적용하려면 와일드카드*을(를) 사용하면 됩니다. 예:arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 리소스를 참조하세요. -
작업자 지표 및 레이블 지정 작업 상태 로깅을 위한 CloudWatch
-
AWS KMS 데이터 암호화용. (선택 사항)
-
AWS Lambda 사용자 지정 워크플로를 생성할 때 입력 및 출력 데이터를 처리하기 위한 입니다.
또한 스트리밍 레이블 지정 작업을 생성하는 경우 이 역할에 다음에 대한 액세스 권한이 있어야 합니다.
-
Amazon SQS는 레이블 지정 요청을 관리하는 데 사용되는 SQS 대기열과의 상호 작용을 생성합니다.
-
Amazon SNS를 사용하여 Amazon SNS 입력 주제를 구독하고 메시지를 검색하며, Amazon SNS 출력 주제로 메시지를 전송할 수 있습니다.
AmazonSageMakerGroundTruthExecution 관리형 정책을 통해 이러한 권한을 모두 부여할 수 있습니다. 단, 다음과 같은 권한은 예외입니다.
-
Amazon S3 버킷의 데이터 및 스토리지 볼륨 암호화 이러한 권한을 구성하는 방법에 대해 알아보려면 AWS KMS을(를) 이용한 출력 데이터 및 스토리지 볼륨 암호화을(를) 참조하세요.
-
함수 이름에
GtRecipe,SageMaker,Sagemaker,sagemaker, 또는LabelingFunction을(를) 포함하지 않는 Lambda 함수를 선택하고 간접 호출할 수 있는 권한입니다. -
접두사 또는 버킷 이름에
GroundTruth,Groundtruth,groundtruth,SageMaker,Sagemaker, 또는sagemaker을(를) 포함하지 않는 Amazon S3 버킷 또는 이름에SageMaker을(를) 포함한(대/소문자 구분 안 함) 객체 태그.
AmazonSageMakerGroundTruthExecution에 제공된 권한보다 더 세분화된 권한이 필요한 경우 다음 정책 예제를 사용하여 특정 사용 사례에 맞는 실행 역할을 생성하세요.
주제
기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항
다음 정책은 기본 제공 태스크 유형에 대한 레이블 지정 작업을 만들 수 있는 권한을 부여합니다. 이 실행 정책에는 AWS KMS 데이터 암호화 또는 복호화에 대한 권한이 포함되지 않습니다. 빨간색, 기울임꼴로 표시된 각 ARN을 사용자의 Amazon S3 ARN으로 교체하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ViewBuckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>", "arn:aws:s3:::<output-bucket-name>" ] }, { "Sid": "S3GetPutObjects", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>/*", "arn:aws:s3:::<output-bucket-name>/*" ] }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" } ] }
기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항
스트리밍 레이블 지정 작업을 생성하는 경우 레이블 지정 작업을 만들 때 사용할 실행 역할에 다음과 유사한 정책을 추가해야 합니다. 정책의 범위를 좁히려면의를 IAM 역할에 액세스 및 사용 권한을 부여하려는 특정 AWS 리소스*Resource로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>/*", "arn:aws:s3:::<output-bucket-name>/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>", "arn:aws:s3:::<output-bucket-name>" ] }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" }, { "Sid": "StreamingQueue", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:DeleteMessage", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ReceiveMessage", "sqs:SendMessage", "sqs:SendMessageBatch", "sqs:SetQueueAttributes" ], "Resource": "arn:aws:sqs:*:*:*GroundTruth*" }, { "Sid": "StreamingTopicSubscribe", "Effect": "Allow", "Action": "sns:Subscribe", "Resource": [ "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>" ], "Condition": { "StringEquals": { "sns:Protocol": "sqs" }, "StringLike": { "sns:Endpoint": "arn:aws:sns:<aws-region>:<aws-account-number>:*GroundTruth*" } } }, { "Sid": "StreamingTopic", "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>" ] }, { "Sid": "StreamingTopicUnsubscribe", "Effect": "Allow", "Action": [ "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>" ] } ] }
사용자 지정 태스크 유형의 실행 역할 요구 사항
사용자 지정 레이블 워크플로를 만들려면 기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항 또는 기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항에 있는 것과 같은 실행 역할 정책에 다음 명령문을 추가하세요.
이 정책은 Invoke 사전 주석 및 사후 주석 Lambda 함수에 실행 역할 권한을 부여합니다.
{ "Sid": "LambdaFunctions", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>", "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>" ] }
자동 데이터 레이블링 권한 요구 사항
자동 데이터 레이블링을 활성화하여 레이블 지정 작업을 생성하려면 1) 실행 역할에 연결된 IAM 정책에 정책 하나를 추가하고 2) 실행 역할의 신뢰 정책을 업데이트해야 합니다.
다음 문은 IAM 실행 역할을 SageMaker AI에 전달하여 각각 활성 학습 및 자동 데이터 레이블 지정에 사용되는 훈련 및 추론 작업을 실행하는 데 사용할 수 있도록 허용합니다. 기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항 또는 기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항에 있는 것과 같이 실행 역할 정책에 이 명령문을 추가하세요. arn:aws:iam::<account-number>:role/<role-name>
{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com" ] } } }
다음 문을 통해 SageMaker AI는 실행 역할을 수임하여 SageMaker 훈련 및 추론 작업을 생성하고 관리할 수 있습니다. 이 정책은 실행 역할의 신뢰 관계에 추가되어야 합니다. IAM 역할 신뢰 정책을 추가하거나 수정하는 방법을 알아보려면 IAM 사용 설명서의 역할 수정을 참조하세요.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } }
