Conceda IAM permissão para usar o Amazon SageMaker Ground Truth Console - Amazon SageMaker
Permissões do console Ground TruthPersonalizar permissões de fluxo de trabalho de rotulagemPermissões de força de trabalho privadaPermissões da força de trabalho do fornecedor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceda IAM permissão para usar o Amazon SageMaker Ground Truth Console

Para usar a área Ground Truth do SageMaker console, você precisa conceder permissão a uma entidade para acessar SageMaker e outros AWS serviços com os quais o Ground Truth interage. As permissões necessárias para acessar outros AWS serviços dependem do seu caso de uso:

  • As permissões do Amazon S3 são necessárias para todos os casos de uso. Essas permissões devem conceder acesso aos buckets do Amazon S3 que contêm dados de entrada e saída.

  • AWS Marketplace são necessárias permissões para usar a força de trabalho de um fornecedor.

  • A permissão do Amazon Cognito é necessária para a configuração de uma equipe de trabalho privada.

  • AWS KMS são necessárias permissões para visualizar AWS KMS as chaves disponíveis que podem ser usadas para criptografia de dados de saída.

  • IAMsão necessárias permissões para listar funções de execução preexistentes ou para criar uma nova. Além disso, você deve usar adicionar uma PassRole permissão SageMaker para permitir o uso da função de execução escolhida para iniciar o trabalho de rotulagem.

As seções a seguir listam as políticas que você talvez queira conceder a uma função para usar uma ou mais funções do Ground Truth.

Permissões do console Ground Truth

Para conceder permissão a um usuário ou função para usar a área Ground Truth do SageMaker console para criar um trabalho de rotulagem, anexe a política a seguir ao usuário ou função. A política a seguir concederá a uma IAM função permissão para criar um trabalho de rotulagem usando um tipo de tarefa incorporado. Se você quiser criar um fluxo de trabalho de rotulagem personalizado, adicione a política em Personalizar permissões de fluxo de trabalho de rotulagem à política a seguir. Cada Statement incluído na política a seguir está descrito abaixo desse bloco de código.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerApis",
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessAwsMarketplaceSubscriptions",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ViewSubscriptions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListAndCreateExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleForExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GroundTruthConsole",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*",
                "lambda:InvokeFunction",
                "lambda:ListFunctions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:ListAllMyBuckets",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient"
            ],
            "Resource": "*"
        }
    ]
}

Esta política inclui as seguintes instruções: Você pode definir o escopo de qualquer uma dessas instruções adicionando recursos específicos à lista Resource dessa instrução.

SageMakerApis

Essa declaração incluisagemaker:*, que permite ao usuário realizar todas as SageMakerAPIações. Você pode reduzir o escopo dessa política restringindo os usuários de realizar ações que não são usadas para criar e monitorar um trabalho de rotulagem.

KmsKeysForCreateForms

Você só precisa incluir essa declaração se quiser conceder permissão ao usuário para listar e selecionar AWS KMS chaves no console do Ground Truth para usar na criptografia de dados de saída. A política acima concede ao usuário permissão para listar e selecionar qualquer chave na conta no AWS KMS. Para restringir as chaves que um usuário pode listar e selecionar, especifique essas chaves ARNsResource.

SecretsManager

Essa declaração dá ao usuário permissão para descrever, listar e criar recursos AWS Secrets Manager necessários para criar o trabalho de rotulagem.

ListAndCreateExecutionRoles

Essa declaração dá permissão ao usuário para listar (ListRoles) e criar (CreateRole) IAM funções em sua conta. Também concede ao usuário permissão para criar (CreatePolicy) políticas e anexar (AttachRolePolicy) políticas a entidades. Elas são necessários para listar, selecionar e, se necessário, criar uma função de execução no console.

Se você já criou uma função de execução e deseja restringir o escopo dessa instrução para que os usuários só possam selecionar essa função no console, especifique as ARNs funções que você deseja que o usuário tenha permissão para visualizar Resource e remover as ações CreateRoleCreatePolicy, AttachRolePolicy e.

AccessAwsMarketplaceSubscriptions

Essas permissões são necessárias para visualizar e escolher as equipes de trabalho do fornecedor nas quais você já está inscrito ao criar um trabalho de rotulagem. Para dar permissão ao usuário para se inscrever nas equipes de trabalho do fornecedor, adicione a instrução em Permissões da força de trabalho do fornecedor à política acima

PassRoleForExecutionRoles

Isso é necessário para permitir que o criador do trabalho de rotulagem visualize a interface do usuário do operador e verifique se os dados de entrada, os rótulos e as instruções estão exibidos corretamente. Essa declaração dá a uma entidade permissões para transmitir a função de IAM execução usada para criar o trabalho de rotulagem para SageMaker renderizar e visualizar a interface do usuário do trabalhador. Para restringir o escopo dessa política, adicione a função da função ARN de execução usada para criar a tarefa de rotulagem emResource.

GroundTruthConsole

  • groundtruthlabeling – Isso permite que o usuário execute as ações necessárias para usar determinados recursos do console do Ground Truth. Isso inclui permissões para descrever o status do trabalho de rotulagem (DescribeConsoleJob), listar todos os objetos de conjunto de dados no arquivo manifesto de entrada (ListDatasetObjects), filtrar o conjunto de dados se a amostragem do conjunto de dados for selecionada (RunFilterOrSampleDatasetJob) e gerar arquivos manifesto de entrada se a rotulagem automática de dados for usada (RunGenerateManifestByCrawlingJob). Essas ações só estão disponíveis ao usar o console Ground Truth e não podem ser chamadas diretamente usando umAPI.

  • lambda:InvokeFunction e lambda:ListFunctions – Essas ações dão aos usuários permissão para listar e invocar funções do Lambda que são usadas para executar um fluxo de trabalho de rotulagem personalizado.

  • s3:*— Todas as permissões do Amazon S3 incluídas nesta declaração são usadas para visualizar buckets do Amazon S3 para configuração automática de dados ListAllMyBuckets (), acessar dados de entrada no Amazon S3 (,)GetObject, verificar e criar uma política CORS no Amazon S3, se necessário ListBucket (e), PutBucketCors e gravar arquivos de saída do trabalho de rotulagem no S3 GetBucketCors (). PutObject

  • cognito-idp – Essas permissões são usadas para criar, visualizar e gerenciar uma força de trabalho privada usando o Amazon Cognito. Para saber mais sobre essas ações, consulte as Referências do Amazon Cognito API.

Personalizar permissões de fluxo de trabalho de rotulagem

Adicione a instrução a seguir a uma política semelhante à já existente em Permissões do console Ground Truth para dar permissão ao usuário para selecionar funções do Lambda preexistentes de pré-anotação e pós-anotação ao criar um fluxo de trabalho de rotulagem personalizado.

{
    "Sid": "GroundTruthConsoleCustomWorkflow",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction",
        "lambda:ListFunctions"
    ],
    "Resource": "*"
}

Para saber como dar permissão a uma entidade para criar e testar funções do Lambda de pré-anotação e pós-anotação, consulte Permissões obrigatórias para usar o Lambda com o Ground Truth.

Permissões de força de trabalho privada

Quando adicionada a uma política de permissões, a permissão a seguir concede acesso para criar e gerenciar uma força de trabalho privada e uma equipe de trabalho usando o Amazon Cognito. Essas permissões não são necessárias para usar uma força de trabalho do OIDCIdP.

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:ListGroups",
        "cognito-idp:ListIdentityProviders",
        "cognito-idp:ListUsers",
        "cognito-idp:ListUsersInGroup",
        "cognito-idp:ListUserPoolClients",
        "cognito-idp:ListUserPools",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient"
        ],
    "Resource": "*"
}

Para saber mais sobre como usar forças de trabalho privadas usando o Amazon Cognito, consulte Forças de trabalho do Amazon Cognito.

Permissões da força de trabalho do fornecedor

É possível adicionar a instrução a seguir à política em Conceda IAM permissão para usar o Amazon SageMaker Ground Truth Console para conceder permissão para que uma entidade se inscreva em uma força de trabalho do fornecedor.

{
    "Sid": "AccessAwsMarketplaceSubscriptions",
    "Effect": "Allow",
    "Action": [
        "aws-marketplace:Subscribe",
        "aws-marketplace:Unsubscribe",
        "aws-marketplace:ViewSubscriptions"
    ],
    "Resource": "*"
}