创建 SageMaker Ground Truth 标签 Job 的执行角色 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 SageMaker Ground Truth 标签 Job 的执行角色

在配置标记作业时,您需要提供执行角色,这是一个角色 SageMaker 有权假设启动和运行标签作业。

该角色必须为 Ground Truth 授予权限以访问以下内容:

  • Amazon S3 可检索输入数据并将输出数据写入到 Amazon S3 存储桶中。您可以提供存储桶 ARN,以便为 IAM 角色授予权限以访问整个存储桶,也可以为该角色授予访问权限以访问存储桶中的特定资源。例如,存储桶的 ARN 可能类似于arn:aws:s3:::awsexamplebucket1Amazon S3 存储桶中的资源 ARN 可能类似于arn:aws:s3:::awsexamplebucket1/prefix/file-name.png. 要对 Amazon S3 存储桶中的所有资源应用操作,您可以使用通配符:*. 例如,arn:aws:s3:::awsexamplebucket1/prefix/*. 有关更多信息,请参阅 。Amazon S3 资源在《Amazon Simple Storage Service 用户指南》中。

  • CloudWatch 可以记录工作人员指标并标记作业状态。

  • Amazon KMS用于数据加密。(可选)

  • Amazon Lambda在您创建自定义工作流时处理输入和输出数据。

此外,如果你创建直播标记作业,此角色必须具有访问的权限:

  • Amazon SQS 用于创建与以前的 SQS 队列交互管理标记请求.

  • Amazon SNS 用于订阅并从您的 Amazon SNS 输入主题中检索消息,并将消息发送到您的 Amazon SNS 输出主题。

所有这些权限都可以通过AmazonSageMakerGroundTruthExecution管理的策略除了

  • 对 Amazon S3 存储桶进行数据和存储卷加密。要了解如何配置这些权限,请参阅使用加密输出数据和存储卷Amazon KMS.

  • 选择和调用不包括的 Lambda 函数的权限GtRecipeSageMakerSagemakersagemaker,或者LabelingFunction在函数名称中。

  • 不包含任何一个存储桶的 Amazon S3 存储桶GroundTruthGroundtruthgroundtruthSageMakerSagemaker, 和sagemaker在前缀或存储桶名称中或对象标签这包括SageMaker名字(不区分大小写)。

如果您需要比中提供的权限更精细的权限AmazonSageMakerGroundTruthExecution,请使用以下策略示例创建适合您的特定使用案例的执行角色。

内置任务类型(非流式处理)执行角色要求

以下策略授予权限,以便为内置任务类型. 该执行策略不包括 Amazon KMS 数据加密或解密的权限。将每个红色的斜体 ARN 替换为您自己的 Amazon S3 ARN。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ViewBuckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>", "arn:aws:s3:::<output-bucket-name>" ] }, { "Sid": "S3GetPutObjects", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>/*", "arn:aws:s3:::<output-bucket-name>/*" ] }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" } ] }

内置任务类型(串流)执行角色要求

如果您创建流式标记作业,则必须向用于创建标记作业的执行角色添加类似以下内容的策略。要缩小策略的范围,请将*Resource有特定的Amazon要授予 IAM 角色访问和使用权限的资源。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>/*", "arn:aws:s3:::<output-bucket-name>/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>", "arn:aws:s3:::<output-bucket-name>" ] }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" }, { "Sid": "StreamingQueue", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:DeleteMessage", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ReceiveMessage", "sqs:SendMessage", "sqs:SendMessageBatch", "sqs:SetQueueAttributes" ], "Resource": "arn:aws:sqs:*:*:*GroundTruth*" }, { "Sid": "StreamingTopicSubscribe", "Effect": "Allow", "Action": "sns:Subscribe", "Resource": [ "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>" ], "Condition": { "StringEquals": { "sns:Protocol": "sqs" }, "StringLike": { "sns:Endpoint": "arn:aws:sns:<aws-region>:<aws-account-number>:*GroundTruth*" } } }, { "Sid": "StreamingTopic", "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>" ] }, { "Sid": "StreamingTopicUnsubscribe", "Effect": "Allow", "Action": [ "sns:Unsubscribe" ], "Resource": [ "arn:aws:sns:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sns:<aws-region>:<aws-account-number>:<output-topic-name>" ] } ] }

自定义任务类型的执行角色要求

如果您要创建自定义标记流程,请将以下语句添加到执行角色策略(如中的那些语句)。要么内置任务类型(串流)执行角色要求.

此策略授予执行角色的权限Invoke您的注释前和注释后 Lambda 函数。

{ "Sid": "LambdaFunctions", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>", "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>" ] }

自动数据标记权限要求

如果您想使用创建标记作业自动标记数据启用,您必须 1) 向附加到执行角色的 IAM 策略中添加一个策略,2) 更新执行角色的信任策略。

以下语句允许将 IAM 执行角色传递给 SageMaker,以便用于运行分别用于主动学习和自动化数据标签的训练和推理作业。将此语句添加到执行角色策略中,如中找到的那样要么内置任务类型(串流)执行角色要求. Replacearn:aws:iam::<account-number>:role/<role-name>使用执行角色 ARN。您可以在 IAM 控制台下找到您的 IAM 角色 ARN角色.

{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com" ] } } }

以下语句允许 SageMaker 承担执行角色以创建和管理 SageMaker 培训和推理工作。必须将此策略添加到执行角色的信任关系中。要了解如何添加或修改 IAM 角色信任策略,请参阅修改角色(在 IAM 用户指南中)。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } }