Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Permissões e segurança na Amazon Augmented AI

PDF
RSS
Modo de foco
Permissões e segurança na Amazon Augmented AI - SageMaker IA da Amazon
Requisitos de permissão do CORSAdicionar permissões ao perfil do IAM usadas para criar uma definição de fluxoCriar um usuário que possa invocar operações de API do Amazon A2ICrie um usuário com permissões para invocar as operações da API do Amazon A2I, Amazon Textract e Amazon RekognitionHabilitar visualizações do modelo de tarefa de operador Usando o Amazon A2I com AWS KMS buckets criptografadosPermissões e recursos de segurança adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ao usar o Amazon Augmented AI (Amazon A2I) para criar um fluxo de trabalho de revisão humana para seu aplicativo de ML/AI, você cria e configura recursos no SageMaker Amazon AI, como uma força de trabalho humana e modelos de tarefas de trabalhadores. Para configurar e iniciar um loop humano, você integra o Amazon A2I a outros AWS serviços, como o Amazon Textract ou o Amazon Rekognition, ou usa a API Amazon Augmented AI Runtime. Para criar um fluxo de trabalho de revisão humana e iniciar um ciclo humano, você deve anexar determinadas políticas à sua função ou usuário AWS Identity and Access Management (IAM). Especificamente:

  • Quando você inicia um ciclo humano usando dados de entrada de imagem em ou após 12 de janeiro de 2020, é necessário adicionar uma política de cabeçalho CORS (Cross-Origin Resource Sharing) ao bucket do Amazon S3 que contém seus dados de entrada. Para saber mais, consulte Requisitos de permissão do CORS.

  • Ao criar uma definição de fluxo, você precisa fornecer uma função que concede permissão ao Amazon A2I para acessar o Amazon S3, tanto para ler objetos que são renderizados em uma interface de tarefa humana quanto para gravar os resultados da revisão humana.

    Essa função também deve ter uma política de confiança anexada para dar permissão à SageMaker IA para assumir a função. Isso permite que o Amazon A2I execute ações de acordo com as permissões que você anexa à função.

    Consulte Adicionar permissões ao perfil do IAM usadas para criar uma definição de fluxo para obter políticas de exemplo que você pode modificar e anexar à função que você usa para criar uma definição de fluxo. Essas são as políticas anexadas à função do IAM criada na seção de fluxos de trabalho de revisão humana da área Amazon A2I do SageMaker console de IA.

  • Para criar e iniciar loops humanos, use uma operação de API em um tipo de tarefa interno (como DetectModerationLabel ou AnalyzeDocument) ou a operação de API StartHumanLoop do Amazon A2I runtime em uma aplicação de ML personalizada. Você precisa anexar a política gerenciada AmazonAugmentedAIFullAccess ao usuário que invoca essas operações de API para conceder permissão a esses serviços para usar operações do Amazon A2I. Para saber como, consulte Criar um usuário que possa invocar operações de API do Amazon A2I.

    Essa política não concede permissão para invocar as operações de API do AWS serviço associado aos tipos de tarefas incorporados. Por exemplo, a política AmazonAugmentedAIFullAccess não concede permissão para chamar a operação de API DetectModerationLabel do Amazon Rekognition ou a operação de API AnalyzeDocument do Amazon Textract. Você pode usar a política mais geral, AmazonAugmentedAIIntegratedAPIAccess, para conceder essas permissões. Para obter mais informações, consulte Crie um usuário com permissões para invocar as operações da API do Amazon A2I, Amazon Textract e Amazon Rekognition. Essa é uma boa opção quando você deseja conceder a um usuário amplas permissões para usar o Amazon A2I e as operações de API AWS dos serviços integrados.

    Se você quiser configurar permissões mais granulares, consulte Exemplos de políticas baseadas em identidade do Amazon Rekognition e Exemplos de políticas baseadas em identidade do Amazon Textract para obter políticas baseadas em identidade que podem ser usadas para conceder permissão para usar esses serviços individuais.

  • Para visualizar o modelo personalizado da interface do operador da tarefa, você precisa de um perfil do IAM com permissões para ler objetos do Amazon S3 que são renderizados na sua interface do usuário. Consulte um exemplo de política em Habilitar visualizações do modelo de tarefa de operador .

Requisitos de permissão do CORS

No início de 2020, navegadores amplamente utilizados como o Chrome e o Firefox alteraram seu comportamento padrão para girar imagens com base nos metadados da imagem, conhecidos como dados EXIF. Anteriormente, as imagens eram exibidas nos navegadores exatamente como eram armazenadas no disco, geralmente sem rotação. Após a alteração, as imagens agora giram de acordo com um metadado da imagem chamado valor de orientação. Isso tem implicações importantes para toda a comunidade de machine learning (ML). Por exemplo, se a orientação EXIF não for considerada, as aplicações usadas para anotar imagens podem exibir imagens em orientações inesperadas e resultar em rótulos incorretos.

A partir do Chrome 89, não é mais AWS possível impedir automaticamente a rotação de imagens porque o grupo de padrões da web W3C decidiu que a capacidade de controlar a rotação de imagens viola a Política de Mesma Origem da Web. Portanto, para garantir que os operadores humanos anotem suas imagens de entrada em uma orientação previsível ao enviar solicitações para criar um loop humano, você deve adicionar uma política de cabeçalho CORS aos buckets do S3 que contêm suas imagens de entrada.

Importante

Se você não adicionar uma configuração CORS aos buckets do S3 que contém seus dados de entrada, as tarefas de revisão humana desses objetos de dados de entrada falharão.

Você pode adicionar uma política de CORS a um bucket do S3 que contém dados de entrada no console do Amazon S3. Para definir os cabeçalhos CORS necessários no bucket do S3 que contém suas imagens de entrada no console do S3, siga as instruções detalhadas em Como faço para adicionar o compartilhamento de recursos entre domínios com o CORS?. Use o código de configuração CORS a seguir para os buckets que hospedam as imagens. Se você usar o console do Amazon S3 para adicionar a política ao bucket, deverá usar o formato JSON.

JSON

[{
   "AllowedHeaders": [],
   "AllowedMethods": ["GET"],
   "AllowedOrigins": ["*"],
   "ExposeHeaders": []
}]

XML

<CORSConfiguration>
 <CORSRule>
   <AllowedOrigin>*</AllowedOrigin>
   <AllowedMethod>GET</AllowedMethod>
 </CORSRule>
</CORSConfiguration>

O seguinte GIF demonstra as instruções encontradas na documentação do Amazon S3 para adicionar uma política de cabeçalho CORS usando o console do Amazon S3:

Gif de como adicionar uma política de cabeçalho CORS usando o console do Amazon S3.

Adicionar permissões ao perfil do IAM usadas para criar uma definição de fluxo

Para criar uma definição de fluxo, anexe as políticas desta seção à função que você usa ao criar um fluxo de trabalho de revisão humana no console de SageMaker IA ou ao usar a operação da CreateFlowDefinition API.

  • Se você estiver utilizando o console para criar um fluxo de trabalho de revisão humana, insira o nome do recurso da Amazon (ARN) do perfil no campo Perfil do IAM ao criar um fluxo de trabalho de análise humana no console.

  • Ao criar uma definição de fluxo usando a API, anexe essas políticas à função que é passada para o parâmetro RoleArn da operação CreateFlowDefinition.

Quando você cria um fluxo de trabalho de análise humana (definição de fluxo), o Amazon A2I invoca o Amazon S3 para concluir a tarefa. Para conceder permissão ao Amazon A2I para recuperar e armazenar seus arquivos no seu bucket do Amazon S3, crie a seguinte política e a anexe à sua função: Por exemplo, se as imagens, documentos e outros arquivos que você está enviando para revisão humana estiverem armazenados em um bucket do S3 chamado my_input_bucket e se você quiser que as revisões humanas sejam armazenadas em um bucket chamado my_output_bucket, crie a política a seguir. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_input_bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_output_bucket/*"
            ]
        }
    ]
}

Além disso, a função do IAM deve ter a seguinte política de confiança para dar permissão à SageMaker IA para assumir a função. Para obter mais informações sobre políticas de confiança do IAM, consulte a seção Políticas Baseadas em Recursos na sessão Políticas e Permissões da documentação do AWS Identity and Access Management (IAM).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerToAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para obter mais informações sobre como criar e gerenciar políticas e perfis do IAM, consulte os seguintes tópicos no Guia do usuário do AWS Identity and Access Management :

Criar um usuário que possa invocar operações de API do Amazon A2I

Para usar o Amazon A2I para criar e iniciar loops humanos para Amazon Rekognition, Amazon Textract ou API de runtime do Amazon A2I, você deve usar um usuário que tenha permissões para invocar operações do Amazon A2I. Para fazer isso, utilize o console do IAM para anexar a política gerenciada AmazonAugmentedAIFullAccess a um usuário novo ou existente.

Essa política concede permissão a um usuário para invocar operações de API da SageMaker API para criação e gerenciamento de definições de fluxo e da API Amazon Augmented AI Runtime para criação e gerenciamento de ciclos humanos. Para saber mais sobre essas operações de API, consulte Use APIs in Amazon Augmented AI.

A política AmazonAugmentedAIFullAccess não concede permissões para usar operações da API do Amazon Rekognition ou do Amazon Textract.

nota

Você também pode anexar a política AmazonAugmentedAIFullAccess a um perfil do IAM que é usada para criar e iniciar um ciclo humano.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do AWS Identity and Access Management .

Crie um usuário com permissões para invocar as operações da API do Amazon A2I, Amazon Textract e Amazon Rekognition

Para criar um usuário que tem permissão para invocar as operações da API usadas pelos tipos de tarefa incorporados (ou seja, DetectModerationLables para o Amazon Rekognition e AnalyzeDocument para o Amazon Textract) e permissão para usar todas as operações da API do Amazon A2I, anexe a política gerenciada do IAM, AmazonAugmentedAIIntegratedAPIAccess. Você pode querer usar essa política quando desejar conceder permissões amplas a um usuário que utiliza o Amazon A2I com mais de um tipo de tarefa. Para saber mais sobre essas operações de API, consulte Use APIs in Amazon Augmented AI.

nota

Você também pode anexar a política AmazonAugmentedAIIntegratedAPIAccess a um perfil do IAM que é usada para criar e iniciar um ciclo humano.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do AWS Identity and Access Management .

Habilitar visualizações do modelo de tarefa de operador

Para personalizar a interface e as instruções que os operadores veem ao trabalhar em suas tarefas, você cria um modelo de tarefa de operador. Você pode criar o modelo usando a CreateHumanTaskUioperação ou o console de SageMaker IA.

Para visualizar seu modelo, você precisa de um perfil do IAM com as seguintes permissões para ler objetos do Amazon S3 que são renderizados na sua interface do usuário: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_input_bucket/*"
            ]
        }
    ]
}

Para os tipos de tarefas Amazon Rekognition e Amazon Textract, você pode visualizar seu modelo usando a seção Amazon Augmented AI do console de IA. SageMaker Para tipos de tarefa personalizados, você visualiza seu modelo invocando a operação RenderUiTemplate. Para visualizar o modelo, siga as instruções para o tipo de tarefa:

  • SageMaker Tipos de tarefas Amazon Rekognition e Amazon Textract — No console de IA, use o Amazon Resource Name (ARN) da função no procedimento documentado em. Criar um modelo de tarefa de trabalho

  • Tipos de tarefa personalizados - Na operação RenderUiTemplate, utilize o ARN da função no parâmetro RoleArn.

Usando o Amazon A2I com AWS KMS buckets criptografados

Se você especificar uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente para criptografar os dados de saída em OutputConfig of CreateFlowDefinition, deverá adicionar uma política do IAM semelhante à seguinte para essa chave. Essa política dá à função de execução do IAM que você usa para criar seus loops humanos permissão para usar essa chave para realizar todas as ações listadas em "Action". Para saber mais sobre essas ações, consulte AWS KMS as permissões no Guia do AWS Key Management Service desenvolvedor.

Para usar essa política, substitua o ARN do perfil de serviço do IAM pelo ARN "Principal" da função de execução que você usa para criar o fluxo de trabalho de revisão humana (definição de fluxo). Quando você cria um trabalho de etiquetagem usando CreateFlowDefinition, esse é o ARN para o qual você especifica para RoleArn. Observe que você não pode fornecer um KmsKeyId ao criar uma definição de fluxo no console.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Permissões e recursos de segurança adicionais

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.