在 Ground Truth 中使用 IAM 托管策略 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Ground Truth 中使用 IAM 托管策略

SageMaker 和 Ground Truth 提供可用于创建标注作业的 Amazon 托管策略。如果您刚开始使用 Ground Truth 并且您的使用案例不需要细粒度权限,则建议您使用以下策略:

  • AmazonSageMakerFullAccess – 使用此策略向用户或角色授予创建标注作业的权限。这是一项广泛的策略,用于向实体授予通过控制台和 API 使用 SageMaker 功能以及必要 Amazon 服务功能的权限。此策略向实体授予使用 Amazon Cognito 创建标注作业以及创建和管理人力的权限。要了解更多信息,请参阅 AmazonSageMakerFullAccess 策略

  • AmazonSageMakerGroundTruthExecution – 要创建执行角色,可以将策略 AmazonSageMakerGroundTruthExecution 附加到角色。执行角色是您在创建标注作业时指定的角色,用于启动标注作业。此策略允许您创建流式和非流式标注作业,并使用任何任务类型创建标注作业。请注意此托管策略的以下限制。

    • Amazon S3 权限:此策略向执行角色授予访问名称中包含 GroundTruthGroundtruthgroundtruthSageMakerSagemakersagemaker 字符串的 Amazon S3 存储桶或具有对象标签(在名称中包括 SageMaker,不区分大小写)的存储桶的权限。确保您的输入和输出存储桶名称包含这些字符串,或为您的执行角色添加额外权限,以授予访问 Amazon S3 存储桶的权限。您必须向此角色授予对 Amazon S3 存储桶执行以下操作的权限:AbortMultipartUploadGetObjectPutObject

    • 自定义工作流:创建自定义标注工作流时,此执行角色仅限于调用函数名称中包含以下字符串之一的 Amazon Lambda 函数:GtRecipeSageMakerSagemakersagemakerLabelingFunction。这适用于注释前和注释后 Lambda 函数。如果您选择使用不含这些字符串的名称,则必须显式向用于创建标注作业的执行角色提供 lambda:InvokeFunction 权限。

要了解如何将 Amazon 托管策略附加到用户或角色,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限