Utilizzare le policy gestite da IAM con Ground Truth - Amazon SageMaker AI

Utilizzare le policy gestite da IAM con Ground Truth

SageMaker AI e Ground Truth forniscono policy gestite da AWS che è possibile utilizzare per creare un processo di etichettatura. Se stai iniziando a utilizzare Ground Truth e non hai bisogno di autorizzazioni granulari per il tuo caso d'uso, ti consigliamo di utilizzare le seguenti policy:

  • AmazonSageMakerFullAccess – Utilizza questa policy per concedere a un utente o a un ruolo l'autorizzazione a creare un processo di etichettatura. Si tratta di una policy generale che concede a un’entità l’autorizzazione a utilizzare le funzionalità di SageMaker AI, nonché le funzionalità dei servizi AWS necessari tramite la console e l’API. Questa policy autorizza l'entità a creare un processo di etichettatura e a creare e gestire la forza lavoro utilizzando Amazon Cognito. Per ulteriori informazioni, consulta la Policy AmazonSageMakerFullAccess.

  • AmazonSageMakerGroundTruthExecution – Per creare un ruolo di esecuzione, è possibile collegare la policy AmazonSageMakerGroundTruthExecution a un ruolo. Un ruolo di esecuzione è il ruolo specificato al momento della creazione di un processo di etichettatura e viene usato per avviare il processo di etichettatura. Questa policy consente di creare processi di etichettatura in streaming e non in streaming e di creare un processo di etichettatura utilizzando qualsiasi tipo di attività. Tieni presente i seguenti limiti di questa policy gestita.

    • Autorizzazioni Amazon S3: questa policy concede un'autorizzazione al ruolo di esecuzione per accedere ai bucket Amazon S3 con le seguenti stringhe nel nome: GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker e sagemaker o un bucket con un tag oggetto che include SageMaker nel nome (senza distinzione tra maiuscole e minuscole). Assicurati che i nomi dei bucket di input e output includano queste stringhe o aggiungi autorizzazioni aggiuntive al tuo ruolo di esecuzione per concedergli l'autorizzazione ad accedere ai tuoi bucket Amazon S3. Devi autorizzare questo ruolo a eseguire le seguenti operazioni sui tuoi bucket Amazon S3:AbortMultipartUpload, GetObject e PutObject.

    • Flussi di lavoro personalizzati: quando crei un flusso di lavoro di etichettatura personalizzato, questo ruolo di esecuzione si limita a richiamare funzioni AWS Lambda con una delle seguenti stringhe come parte del nome della funzione: GtRecipe, SageMaker, Sagemaker, sagemaker o LabelingFunction. Questo vale per le funzioni Lambda sia di pre-annotazione che di post-annotazione. Se scegli di utilizzare nomi senza tali stringhe, devi fornire in maniera esplicita l'autorizzazione lambda:InvokeFunction al ruolo di esecuzione utilizzato per creare il processo di etichettatura.

Per informazioni su come collegare una policy gestita AWS a un utente o ruolo, consulta Adding and removing IAM identity permissions nella Guida per l'utente IAM.