人力身份验证和限制 - Amazon SageMaker
限制对人力类型的访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

人力身份验证和限制

Ground Truth 允许您使用自己的私有人力来处理标注作业。私有人力是一个抽象概念,是指为您工作的一群人。每个标注作业是使用工作团队(包含人力中的工作人员)创建的。Ground Truth 支持使用 Amazon Cognito 创建私有人力。

Ground Truth 人力映射到 Amazon Cognito 用户池。Ground Truth 工作团队映射到 Amazon Cognito 用户组。Amazon Cognito 管理工作人员身份验证。Amazon Cognito 支持 Open ID connection (OIDC),客户可以使用自己的身份提供者 (IdP) 设置 Amazon Cognito 联合身份验证。

Ground Truth 只允许每个 Amazon 区域的每个账户拥有一个人力。每个人力具有专用的 Ground Truth 工作门户登录 URL。

您也可以将工作人员限制到无类别域间路由 (CIDR) 块/IP 地址范围。这意味着,注释者必须位于特定的网络才能访问注释站点。您最多可以为一个人力添加 10 个 CIDR 块。要了解更多信息,请参阅使用 Amazon SageMaker API 管理私有人力

要了解如何创建私有人力,请参阅创建私有人力 (Amazon Cognito)

限制对人力类型的访问

Amazon SageMaker Ground Truth 工作团队可分为三种人力类型:公有人力(使用 Amazon Mechanical Turk)、私有人力和供应商。要使用这些类型之一或工作团队 ARN 限制用户访问特定工作团队,请使用 sagemaker:WorkteamType 和/或 sagemaker:WorkteamArn 条件键。对于 sagemaker:WorkteamType 条件键,请使用字符串条件运算符。对于 sagemaker:WorkteamArn 条件键,请使用 Amazon 资源名称 (ARN) 条件运算符。如果用户尝试通过受限制的工作团队来创建标注作业,那么 SageMaker 将返回拒绝访问错误。

以下策略演示了将 sagemaker:WorkteamTypesagemaker:WorkteamArn 条件键与适当的条件运算符和有效条件值结合使用的不同方法。

以下示例使用 sagemaker:WorkteamType 条件键和 StringEquals 条件运算符一起限制对公有工作团队的访问。它接受以下格式的条件值:workforcetype-crowd,其中 workforcetype 可以等于 publicprivatevendor

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

以下策略演示如何使用 sagemaker:WorkteamArn 条件键限制对公有工作团队的访问。第一个策略演示如何将该条件键与工作团队 ARN 的 IAM 有效正则表达式变量和 ArnLike 条件运算符一起使用。第二个策略演示如何将该条件键与 ArnEquals 条件运算符和工作团队 ARN 一起使用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}