本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予 IAM 許可以使用 Amazon SageMaker Ground Truth 主控台
若要使用 SageMaker AI 主控台的 Ground Truth 區域,您需要將許可授予實體存取 SageMaker AI 和 Ground Truth 互動的其他 AWS 服務。存取其他服務所需的許可 AWS 取決於您的使用案例:
-
所有使用案例都需要 Amazon S3 許可。這些許可必須包含輸入和輸出資料之 Amazon S3 儲存貯體的授予存取權。
-
AWS Marketplace 需要 許可才能使用廠商人力資源。
-
私有工作團隊設定需要 Amazon Cognito 許可。
-
AWS KMS 需要 許可才能檢視可用於輸出資料加密的可用 AWS KMS 金鑰。
-
如需列出預先存在的執行角色或建立新角色時,需要 IAM 許可。此外,您必須使用新增
PassRole許可,以允許 SageMaker AI 使用選擇來啟動標籤工作的執行角色。
以下各節列出您可能想授予角色以使用 Ground Truth 的一個或多個功能之政策。
Ground Truth 主控台許可
若要授予許可給使用者或角色,以使用 SageMaker AI 主控台的 Ground Truth 區域來建立標籤工作,請將下列政策連接至使用者或角色。下列政策會授予 IAM 角色許可,使用內建任務類型任務類型建立標籤工作。如果您要建立自訂標籤工作流程,請將 自訂標籤工作流程許可 中的政策新增至下列政策。下列政策中包含的每個 Statement,都在此程式碼區塊下方提供說明。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "KmsKeysForCreateForms", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid": "ListAndCreateExecutionRoles", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "groundtruthlabeling:*", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketCors", "s3:PutBucketCors", "s3:ListAllMyBuckets", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" } ] }
此政策包含下列陳述式。您可以將特定資源新增至該陳述式的 Resource 清單,以限制任何這些陳述式的範圍。
SageMakerApis
此陳述式包含 sagemaker:*,可讓使用者執行所有 SageMaker AI API 動作。您可以禁止使用者執行非用於建立和監控標籤工作的動作,以限制此政策的範圍。
KmsKeysForCreateForms
只有在您想要授予使用者許可以列出和選取 Ground Truth 主控台中用於輸出資料加密的 AWS KMS 金鑰時,才需要包含此陳述式。上述政策授予使用者列出和選擇 AWS KMS帳戶中任何密鑰的許可。若要限制使用者可以列出和選取的金鑰,請在 Resource 中指定這些金鑰 ARN。
SecretsManager
此陳述式提供使用者在建立標籤任務 AWS Secrets Manager 所需的 中描述、列出和建立資源的許可。
ListAndCreateExecutionRoles
此陳述式授予使用者許可,在您的帳戶中列出 (ListRoles) 和建立 (CreateRole) IAM 角色。它也會授予使用者許可,以建立 (CreatePolicy) 政策和附加 (AttachRolePolicy) 政策至實體。要在主控台中列出、選擇並建立一個執行角色,這些為必要項目。
如果您已經建立一個執行角色,並想要縮小此陳述式的範圍,以便使用者只能在主控台中選取該角色,請在 Resource 中指定您希望使用者有權查看的角色 ARN,並移除動作 CreateRole、CreatePolicy 和 AttachRolePolicy。
AccessAwsMarketplaceSubscriptions
建立標籤工作時,需要這些許可才能檢視和選擇您已訂閱的廠商工作團隊。要授予使用者訂閱廠商工作團隊的許可,請將 廠商人力資源許可 中的陳述式新增到上面的政策中
PassRoleForExecutionRoles
為了授予標籤工作建立者預覽工作者使用者介面的許可,並驗證輸入資料、標籤和指示是否正確顯示,此為必要項目。此陳述式提供實體許可,以將用來建立標籤工作的 IAM 執行角色傳遞至 SageMaker AI,以轉譯和預覽工作者 UI。若要縮小此政策的範圍,請在 Resource 下方新增用來建立標籤工作之執行角色的角色 ARN。
GroundTruthConsole
-
groundtruthlabeling— 這允許使用者執行使用 Ground Truth 主控台某些功能所需的特定動作。其中包含描述標籤工作狀態的許可 (DescribeConsoleJob),列出輸入資訊清單檔案中的所有資料集物件 (ListDatasetObjects),篩選選取資料集取樣時的資料集 (RunFilterOrSampleDatasetJob),以及在使用自動化資料標籤時,產生輸入資訊清單檔案 (RunGenerateManifestByCrawlingJob)。這些動作僅在使用 Ground Truth 主控台時可用,無法使用 API 直接呼叫。 -
lambda:InvokeFunction和lambda:ListFunctions— 這些動作會授予使用者許可,以列出和調用用於執行自訂標籤工作流程的 Lambda 函式。 -
s3:*— 此陳述式中包含的所有 Amazon S3 許可都用於檢視 Amazon S3 儲存貯體以進行自動化資料設定 (ListAllMyBuckets)、存取 Amazon S3 中的輸入資料 (ListBucket,GetObject)、在 Amazon S3 中檢查並在需要時建立 CORS 政策 (GetBucketCors和PutBucketCors),以及將標籤工作輸出檔案寫入 S3 (PutObject)。 -
cognito-idp— 這些許可用於使用 Amazon Cognito 建立、檢視和管理員工以及私有人力資源。若要進一步了解這些動作,請參閱 Amazon Cognito API 參考資料。
自訂標籤工作流程許可
將下列陳述式新增至類似於 Ground Truth 主控台許可 中的政策,以授予使用者在建立自訂標籤工作流程時,選取預先存在的註釋前和註釋後 Lambda 函式的權限。
{ "Sid": "GroundTruthConsoleCustomWorkflow", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:ListFunctions" ], "Resource": "*" }
若要了解如何授予實體建立和測試註釋前和註釋後 Lambda 函式的許可,請參閱使用 Lambda 與 Ground Truth 的必要許可。
私有人力資源許可
新增至許可政策時,下列許可會授予使用 Amazon Cognito建立和管理私有人力資源和工作團隊的存取許可。使用 OIDC IdP 人力資源不需要這些許可。
{ "Effect": "Allow", "Action": [ "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" }
若要進一步了解如何使用 Amazon Cognito 建立私有人力資源,請參閱Amazon Cognito 人力資源。
廠商人力資源許可
您可以將下列陳述式新增至授予 IAM 許可以使用 Amazon SageMaker Ground Truth 主控台中的政策,以授予實體訂閱廠商人力資源的許可。
{ "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }
