为 Ground Truth 标注 Job 创建 SageMaker 执行角色 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Ground Truth 标注 Job 创建 SageMaker 执行角色

在配置标记作业时,您需要提供执行角色,SageMaker 有权担任该角色以启动和运行标记作业。

此角色必须为 Ground Truth 授予权限以访问以下内容:

  • Amazon S3 可以检索您的输入数据并将输出数据写入到 Amazon S3 存储桶中。您可以提供存储桶 ARN,以便为 IAM 角色授予访问整个存储桶的权限,也可以为该角色授予访问权限以访问存储桶中的特定资源。例如,存储桶的 ARN 可能类似于arn:aws:s3:::awsexamplebucket1,Amazon S3 存储桶中的资源的 ARN 可能类似于arn:aws:s3:::awsexamplebucket1/prefix/file-name.png. 要将操作应用于 Amazon S3 存储桶中的所有资源,您可以使用通配符:*. 例如,arn:aws:s3:::awsexamplebucket1/prefix/*. 有关更多信息,请参阅 。Amazon Amazon S3 资源(Amazon Simple Storage Service 用户指南)。

  • CloudWatch 记录工作人员指标和标记作业状态。

  • Amazon KMS用于数据加密。(可选)

  • Amazon Lambda用于在创建自定义工作流时处理输入和输出数据。

此外,如果您创建流式传输标记作业,此角色必须有权限访问:

  • Amazon SQS 创建与用于管理标记请求.

  • Amazon SNS 订阅和检索来自您的 Amazon SNS 输入主题的消息,并向您的 Amazon SNS 输出主题发送消息。

所有这些权限都可以通过AmazonSageMakerGroundTruthExecution管理的策略除了

  • 您的 Amazon S3 存储桶的数据和存储卷加密。要了解如何配置这些权限,请参阅使用加密输出数据和存储卷Amazon KMS.

  • 选择和调用不包含的 Lambda 函数的权限GtRecipeSageMakerSagemakersagemaker,或者LabelingFunction在函数名称中。

  • Amazon S3 存储桶不包含GroundTruthGroundtruthgroundtruthSageMakerSagemaker, 和sagemaker在前缀或存储桶名称中,或者对象标签,其中包括SageMaker(不区分大小写)。

如果您需要比AmazonSageMakerGroundTruthExecution中,请使用以下策略示例创建适合您的特定使用案例的执行角色。

内置任务类型(非流式处理)执行角色要求

以下策略授予权限,以便为内置任务类型. 该执行策略不包括 Amazon KMS 数据加密或解密的权限。将每个红色斜体 ARN 替换为您自己的 Amazon S3 ARN。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3ViewBuckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>", "arn:aws:s3:::<output-bucket-name>" ] }, { "Sid": "S3GetPutObjects", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>/*", "arn:aws:s3:::<output-bucket-name>/*" ] }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" } ] }

内置任务类型(流式处理)执行角色要求

如果创建流式标记作业,您必须将类似于以下内容的策略添加到用于创建标记作业的执行角色的策略。要缩小策略的范围,请将*Resource与特定的Amazon您希望授予 IAM 角色访问和使用权限的资源。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>/*", "arn:aws:s3:::<output-bucket-name>/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::<input-bucket-name>", "arn:aws:s3:::<output-bucket-name>" ] }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" }, { "Sid": "StreamingQueue", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:DeleteMessage", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ReceiveMessage", "sqs:SendMessage", "sqs:SendMessageBatch", "sqs:SetQueueAttributes" ], "Resource": "arn:aws:sqs:*:*:*GroundTruth*" }, { "Sid": "StreamingTopicSubscribe", "Effect": "Allow", "Action": "sns:Subscribe", "Resource": [ "arn:aws:sqs:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sqs:<aws-region>:<aws-account-number>:<output-topic-name>" ], "Condition": { "StringEquals": { "sns:Protocol": "sqs" }, "StringLike": { "sns:Endpoint": "arn:aws:sqs:<aws-region>:<aws-account-number>:*GroundTruth*" } } }, { "Sid": "StreamingTopic", "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sqs:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sqs:<aws-region>:<aws-account-number>:<output-topic-name>" ] }, { "Sid": "StreamingTopicUnsubscribe", "Effect": "Allow", "Action": [ "sns:Unsubscribe" ], "Resource": [ "arn:aws:sqs:<aws-region>:<aws-account-number>:<input-topic-name>", "arn:aws:sqs:<aws-region>:<aws-account-number>:<output-topic-name>" ] } ] }

自定义任务类型的执行角色要求

如果需要创建自定义标记工作流,将以下语句添加到执行角色策略中,如或者内置任务类型(流式处理)执行角色要求.

此策略授予执行角色权限Invoke注释前和注释后 Lambda 函数。

{ "Sid": "LambdaFunctions", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:<region>:<account-id>:function:<pre-annotation-lambda-name>", "arn:aws:lambda:<region>:<account-id>:function:<post-annotation-lambda-name>" ] }

自动数据标记权限要求

如果您要使用自动标记,您必须 1) 向附加到执行角色的 IAM 策略添加一个策略,2) 更新执行角色的信任策略。

以下语句允许将 IAM 执行角色传递给 SageMaker,以便分别用于运行用于主动学习和自动化数据标签的训练和推理作业。将此语句添加到执行角色策略中,如或者内置任务类型(流式处理)执行角色要求. Replacearn:aws:iam::<account-number>:role/<role-name>与执行角色 ARN。您可以在 IAM 控制台中找到您的 IAM 角色 ARN角色.

{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::<account-number>:role/<execution-role-name>", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com" ] } } }

以下语句允许 SageMaker 担任执行角色,以创建和管理 SageMaker 培训和推理作业。必须将此策略添加到执行角色的信任关系中。要了解如何添加或修改 IAM 角色信任策略,请参阅修改角色(在 IAM 用户指南中)。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } }