授权 IAM 使用 Amazon SageMaker Ground Truth Truth 控制台 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授权 IAM 使用 Amazon SageMaker Ground Truth Truth 控制台

要使用 SageMaker 控制台的 Ground Truth 区域,您需要向 IAM 实体授予访问 SageMaker 和其他AmazonGround Truth 与交互的服务。访问其他所需权限Amazon服务取决于您的使用情形:

  • 所有使用案例都需要 Amazon S3 权限。这些权限必须授予对包含输入和输出数据的 Amazon S3 存储桶的访问权限。

  • Amazon Web Services Marketplace使用供应商人力需要权限。

  • 私人工作团队设置需要 Amazon Cognito 许可。

  • Amazon KMS权限才能查看可用Amazon KMS密钥,可用于输出数据加密。

  • 需要 IAM 权限才能列出预先存在的执行角色或创建新的执行角色。此外,您必须使用添加PassRole权限,以允许 SageMaker 使用选定的执行角色来启动标注作业。

以下部分列出了您可能希望授予 IAM 角色以使用 “Ground Truth” 的一个或多个功能的策略。

Ground Truth 控制台权限

要授予 IAM 用户或角色使用 SageMaker 控制台的 “Ground Truth” 区域创建标记作业的权限,请将以下策略附加到该用户或角色。以下策略将授予 IAM 角色使用创建标记作业的权限。内置任务类型任务类型。如果您要创建自定义标记工作流,请在自定义标记工作流权限添加到以下策略。EAGEStatement包含在以下策略中的代码块下面进行了描述。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "KmsKeysForCreateForms", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases" ], "Resource": "*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Sid": "SecretsManager", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid": "ListAndCreateExecutionRoles", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "groundtruthlabeling:*", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketCors", "s3:PutBucketCors", "s3:ListAllMyBuckets", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" } ] }

此策略包括以下语句。您可以通过将特定资源添加到Resource列表中的语句。

SageMakerApis

此声明包括sagemaker:*,它允许用户执行所有SageMaker API 操作. 您可以通过限制用户执行不用于创建和监视标签作业的操作来缩小此策略的范围。

KmsKeysForCreateForms

如果您希望授予用户列出的权限并选择Amazon KMS密钥 Ground Truth 用于输出数据加密。上面的策略授予用户列出和选择Amazon KMS. 要限制用户可以列出和选择的密钥,请在Resource.

SecretsManager

该语句授予用户在中描述、列出和创建资源的权限。Amazon Secrets Manager创建标注作业所需的。

ListAndCreateExecutionRoles

此语句授予用户列出 (ListRoles)并创建(CreateRole) 账户中的 IAM 角色。它还授予用户创建(CreatePolicy) 策略并附加 (AttachRolePolicy) 策略添加到 IAM 实体。在控制台中列出、选择并根据需要创建执行角色时,需要执行这些操作。

如果您已经创建了执行角色,并希望缩小此语句的范围,以便用户只能在控制台中选择该角色,请指定您希望用户有权在Resource并删除操作CreateRoleCreatePolicy, 和AttachRolePolicy.

AccessAwsMarketplaceSubscriptions

要查看和选择您在创建标签作业时已订阅的供应商工作小组,需要这些权限。向用户提供对订阅添加到供应商工作团队,请将语句添加到供应商人力权限到上述政策

PassRoleForExecutionRoles

为标注作业创建者授予预览工作人员 UI 并验证输入数据、标签和指令是否正确显示,这是必需的。此语句授予 IAM 实体权限,以便将用于创建标签作业的 IAM 执行角色传递给 SageMaker,以呈现和预览工作程序 UI。要缩小此策略的范围,请将用于创建标签作业的执行角色的角色 ARN 添加到Resource.

GroundTruthConsole

  • groundtruthlabeling— 这允许用户执行使用 “Ground Truth” 控制台的某些功能所需的操作。这些权限包括描述标记作业状态 (DescribeConsoleJob)中,列出输入清单文件中的所有数据集对象(ListDatasetObjects),如果选择了数据集采样,则过滤数据集(RunFilterOrSampleDatasetJob),并在使用自动数据标签时生成输入清单文件(RunGenerateManifestByCrawlingJob)。这些操作仅在使用 Ground Truth 控制台时可用,不能直接使用 API 调用。

  • lambda:InvokeFunctionlambda:ListFunctions— 这些操作授予用户列出和调用用于运行自定义标签工作流的 Lambda 函数的权限。

  • s3:*— 此语句中包含的所有 Amazon S3 权限都用于查看自动化数据设置(ListAllMyBuckets),访问 Amazon S3 中的输入数据(ListBucketGetObject),请根据需要在 Amazon S3 中检查并创建 CORS 策略(GetBucketCorsPutBucketCors),并将标签作业输出文件写入 S3 (PutObject)。

  • cognito-idp— 这些权限用于使用 Amazon Cognito 创建、查看和管理和私人员工。要了解有关这些操作的更多信息,请参阅Amazon Cognito API 参考.

自定义标记工作流权限

将以下语句添加到与Ground Truth 控制台权限为 IAM 用户授予权限以选择预先存在的注释和注释后 Lambda 函数,而创建自定义标注工作流.

{ "Sid": "GroundTruthConsoleCustomWorkflow", "Effect": "Allow", "Action": [ "lambda:InvokeFunction", "lambda:ListFunctions" ], "Resource": "*" }

要了解如何授予 IAM 实体以创建和测试注释前和注释后 Lambda 函数的权限,请参阅使用具有 Ground Truth 的 Lambda 所需的权限.

私有人力权限

在添加到权限策略时,以下权限授予访问权限以使用 Amazon Cognito 创建和管理私有人力和工作组。这些权限不需要使用OIDC IdP 人力.

{ "Effect": "Allow", "Action": [ "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*" }

要了解有关使用 Amazon Cognito 创建私有人力的更多信息,请参阅创建和管理 Amazon Cognito 人力.

供应商人力权限

您可以将以下语句添加到授权 IAM 使用 Amazon SageMaker Ground Truth Truth 控制台授予 IAM 实体订阅供应商劳动力.

{ "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:Subscribe", "aws-marketplace:Unsubscribe", "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }