将 IAM 托管策略与Ground Truth 结合使用 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 IAM 托管策略与Ground Truth 结合使用

SageMaker 而且 Ground Truth 提供了可用于创建标签作业的Amazon托管策略。如果您刚开始使用 Ground Truth,并且您的用例不需要精细权限,建议您使用以下策略:

  • AmazonSageMakerFullAccess— 使用此策略向用户或角色授予创建标签作业的权限。这是一项广泛的政策,它授予实体通过控制台和 API 使用 SageMaker 功能以及必要Amazon服务的功能的权限。该政策允许该实体使用 Amazon Cognito 创建标签工作以及创建和管理劳动力。要了解更多信息,请参阅AmazonSageMakerFullAccess 政策

  • AmazonSageMakerGroundTruthExecution— 要创建执行角色,可以将策略附加AmazonSageMakerGroundTruthExecution到角色。执行角色是您在创建标注任务时指定的角色,用于启动标注作业。此策略允许您创建流式和非流式传输标签作业,并使用任何任务类型创建标注作业。请注意此托管策略的以下限制。

    • Amazon S3 权限:此策略授予执行角色访问名称中包含以下字符串的 Amazon S3 存储桶的权限:GroundTruthGroundtruthgroundtruthSageMakerSagemaker、、、、和sagemaker或名称SageMaker中包含对象标签的存储桶(不区分大小写)。确保您的输入和输出存储桶名称包含这些字符串,或者向您的执行角色添加额外权限,以授予其访问您的 Amazon S3 存储桶的权限。您必须授予此角色对您的 Amazon S3 存储桶执行以下操作的权限:AbortMultipartUploadGetObject、和PutObject

    • 自定义工作流程:创建自定义标签工作流程时,此执行角色仅限于调用Amazon Lambda以下字符串之一作为函数名称一部分的函数:GtRecipeSageMakerSagemakersagemaker、或LabelingFunction。这适用于注释前和注释后 Lambda 函数。如果您选择使用不带这些字符串的名称,则必须向用于创建标注任务的执行角色明确提供lambda:InvokeFunction权限。

要了解如何将Amazon托管策略附加到用户或角色,请参阅 IAM 用户指南中的添加和删除 IAM 身份权限