人力身份验证和限制 - Amazon SageMaker
限制对人力类型的访问

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

人力身份验证和限制

Ground Truth 允许您使用自己的私有人力来处理标注作业。私有人力是一个抽象概念,是指为您工作的一群人。每个标注作业是使用工作团队(包含人力中的工作人员)创建的。Ground Truth 支持使用 Amazon Cognito 创建私有人力。

Ground Truth 人力映射到 Amazon Cognito 用户池。Ground Truth 工作团队映射到 Amazon Cognito 用户组。Amazon Cognito 管理工作人员身份验证。Amazon Cognito 支持开放身份连接 (OIDC),客户可以使用自己的身份提供商 (IdP) 建立亚马逊 Cognito 联合。

Ground Truth 每个 AWS 地区每个账户只允许一名员工。每位员工都有专门的 Ground Truth 工作门户登录名URL。

您也可以将工作人员限制在无类域间路由 (CIDR) 区块/IP 地址范围内。这意味着,注释者必须位于特定的网络才能访问注释站点。您最多可以为一名员工添加十个CIDR区块。要了解更多信息,请参阅 使用 Amazon 进行私人劳动力管理 SageMaker API

要了解如何创建私有人力,请参阅创建私有人力 (Amazon Cognito)

限制对人力类型的访问

Amazon G SageMaker round Truth 的工作团队分为三种劳动力类型之一:公共(使用 Amazon Mechanical Turk)、私人和供应商。要限制用户访问使用这些类型之一的特定工作团队或工作团队ARN,请使用sagemaker:WorkteamType和/或sagemaker:WorkteamArn条件键。对于 sagemaker:WorkteamType 条件键,请使用字符串条件运算符。对于sagemaker:WorkteamArn条件密钥,请使用 Amazon 资源名称 (ARN) 条件运算符。如果用户尝试使用受限的工作团队创建标签作业,则 SageMaker 会返回拒绝访问错误。

以下策略演示了将 sagemaker:WorkteamTypesagemaker:WorkteamArn 条件键与适当的条件运算符和有效条件值结合使用的不同方法。

以下示例使用 sagemaker:WorkteamType 条件键和 StringEquals 条件运算符一起限制对公有工作团队的访问。它接受以下格式的条件值:workforcetype-crowd,其中 workforcetype 可以等于publicprivate、或vendor

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

以下策略演示如何使用 sagemaker:WorkteamArn 条件键限制对公有工作团队的访问。第一个演示如何将其与工作团队ARN和ArnLike条件运IAM算符的有效正则表达式变体一起使用。第二个演示如何与ArnEquals条件操作员和工作团队一起使用它ARN。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}