Verwendung von IAM-verwalteten Richtlinien zusammen mit Ground Truth - Amazon SageMaker AI

Verwendung von IAM-verwalteten Richtlinien zusammen mit Ground Truth

SageMaker AI und Ground Truth stellen AWS verwaltete Richtlinien zur Verfügung, mit denen Sie einen Kennzeichnungsauftrag erstellen können. Wenn Sie Ground Truth erstmals verwenden und keine detaillierten Berechtigungen für Ihren Anwendungsfall brauchen, wird empfohlen, die folgenden Richtlinien zu verwenden:

  • AmazonSageMakerFullAccess – Verwenden Sie diese Richtlinie, um einem Benutzer oder einer Rolle die Berechtigung zu erteilen, einen Kennzeichnungsauftrag zu erstellen. Diese ist eine weit gefasste Richtlinie, die einer Entität die Berechtigung erteilt, die Funktionen von SageMaker AI und die der erforderlichen AWS-Dienste über die Konsole und die API zu nutzen. Diese Richtlinie erteilt der Entität die Berechtigung, mithilfe von Amazon Cognito einen Kennzeichnungsauftrag zu erstellen und Belegschaften einzurichten und zu verwalten. Weitere Informationen finden Sie in der AmazonSageMakerFullAccess-Richtlinie.

  • AmazonSageMakerGroundTruthExecution- Um eine Ausführungsrolle zu erstellen, können Sie die Richtlinie AmazonSageMakerGroundTruthExecution einer Rolle zuordnen. Eine Ausführungsrolle ist die Rolle, die Sie angeben, wenn Sie einen Kennzeichnungsauftrag erstellen. Sie dient dazu, Ihren Kennzeichnungsauftrag zu starten. Mit Hilfe dieser Richtlinie können Sie Kennzeichnungsaufträge mit und ohne Streaming sowie solche mit beliebigem Aufgabentyp erstellen. Beachten Sie bitte die folgenden Einschränkungen dieser verwalteten Richtlinie.

    • Amazon S3-Berechtigungen: Diese Richtlinie gewährt einer Ausführungsrolle die Berechtigung für den Zugriff auf Amazon-S3-Buckets mit den folgenden Zeichenfolgen im Namen: GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker und sagemaker oder einen Bucket mit einer Objekt-Markierung, die SageMaker im Namen enthält (Groß- und Kleinschreibung spielt dabei keine Rolle). Achten Sie darauf, dass die Namen Ihrer Eingabe- und Ausgabe-Buckets diese Zeichenfolgen enthalten, oder fügen Sie zu Ihrer Ausführungsrolle zusätzliche Berechtigungen hinzu, um ihr die Berechtigung für den Zugriff auf Ihre Amazon-S3-Buckets zu gewähren. Sie müssen dieser Rolle die Berechtigung erteilen, an Ihren Amazon-S3-Buckets die folgenden Aktionen durchzuführen: AbortMultipartUpload, GetObject und PutObject.

    • Maßgeschneiderte Workflows: Wenn Sie einen maßgeschneiderten Kennzeichnungs-Workflow erstellen, ist diese Ausführungsrolle darauf beschränkt, AWS Lambda Funktionen mit einer der folgenden Zeichenfolgen als Teil des Namens der Funktion aufzurufen: GtRecipe, SageMaker, Sagemaker, sagemaker oder LabelingFunction. Dies gilt sowohl für Ihre Lambda-Funktionen zur Vorverarbeitung als auch zur Nachbereitung. Wenn Sie Namen ohne diese Zeichenfolgen verwenden möchten, müssen Sie der Ausführungsrolle, mit der Sie den Kennzeichnungsauftrag erstellen, die entsprechende lambda:InvokeFunction Berechtigung eigens erteilen.

Wie Sie eine AWS verwaltete Richtlinie an einen Benutzer oder eine Rolle anhängen können, erfahren Sie unter IAM-Identitätsberechtigungen hinzufügen und entfernen im IAM-Benutzerhandbuch.