Authentifizierung der Arbeitskräfte und Einschränkungen - Amazon SageMaker KI
Beschränken des Zugriffs auf Arbeitskrafttypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung der Arbeitskräfte und Einschränkungen

Mit Hilfe von Ground Truth können Sie für die Bearbeitung von Kennzeichnungsaufträgen Ihre eigenen privaten Arbeitskräfte einsetzen. Private Arbeitskräfte ist ein abstrakter Begriff. Er bedeutet eine Personengruppe, die für Sie arbeitet. Jeder Kennzeichnungsauftrag wird mit einem Arbeitsteam erstellt, das sich aus Auftragnehmern unter Ihren Arbeitskräften zusammensetzt. Ground Truth unterstützt die Erstellung privater Arbeitskräfte mit Amazon Cognito.

Ground-Truth-Arbeitskräfte werden einem Amazon Cognito-Benutzerpool zugeordnet. Ein Ground-Truth-Arbeitsteam wird einer Amazon Cognito-Benutzergruppe zugeordnet. Amazon Cognito verwaltet die Authentifizierung des Personals. Amazon Cognito unterstützt Open ID Connection (OIDC). Der Kunde kann mit seinem eigenen Identitätsanbieter (IdP) den Amazon Cognito-Verbund einrichten.

Ground Truth erlaubt nur eine Belegschaft pro Konto und AWS Region. Arbeitskräfte haben jeweils eine eigene Anmelde-URL für das Arbeitsportal Ground Truth.

Sie können Auftragnehmer auch auf einen CIDR-Block (Classless Inter-Domain Routing)/IP-Adressbereich beschränken. Das bedeutet, dass Annotatoren sich in einem bestimmten Netzwerk befinden müssen, um auf die Annotations-Site zugreifen zu können. Sie können für eine Mitarbeitergruppe bis zu zehn CIDR-Blöcke hinzufügen. Weitere Informationen hierzu finden Sie unter Private Personalverwaltung mithilfe der SageMaker Amazon-API.

Informationen dazu, wie Sie private Arbeitskräfte erstellen können, finden Sie unter Erstellen Sie eine private Belegschaft (Amazon Cognito).

Beschränken des Zugriffs auf Arbeitskrafttypen

Die Arbeitsteams von Amazon SageMaker Ground Truth lassen sich in eine von drei Arten von Mitarbeitern einteilen: öffentliche Mitarbeiter (mit Amazon Mechanical Turk), private Mitarbeiter und Zulieferer. Um den Benutzerzugriff auf ein bestimmtes Arbeitsteam zu beschränken, indem Sie einen dieser Typen oder den ARN des Arbeitsteams verwenden, benutzen Sie den – sagemaker:WorkteamTypeund/oder den sagemaker:WorkteamArn-Bedingungsschlüssel. Verwenden Sie als sagemaker:WorkteamType-Bedingungsschlüssel Bedingungsoperatoren für Zeichenfolgen. Verwenden Sie für den sagemaker:WorkteamArn-Bedingungsschlüssel Amazon-Ressourcennamen(ARN)-Zustandsoperatoren. Wenn der Benutzer versucht, einen Labeling-Job mit einem eingeschränkten Arbeitsteam zu erstellen, gibt SageMaker AI die Fehlermeldung „Zugriff verweigert“ zurück.

Die folgenden Richtlinien veranschaulichen verschiedene Möglichkeiten zur Verwendung der Bedingungsschlüssel sagemaker:WorkteamType und sagemaker:WorkteamArn mit geeigneten Bedingungsoperatoren und gültigen Bedingungswerten.

Im folgenden Beispiel wird der sagemaker:WorkteamType-Bedingungsschlüssel zusammen mit dem StringEquals-Bedingungsoperator verwendet, um den Zugriff auf ein öffentliches Arbeitsteam zu beschränken. Sie akzeptiert Bedingungswerte im folgenden Format:workforcetype-crowd, wobei publicprivate, oder entsprechen workforcetype kannvendor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

Die folgenden Richtlinien zeigen, wie Sie mithilfe des sagemaker:WorkteamArn-Bedingungsschlüssels den Zugriff auf ein öffentliches Arbeitsteam einschränken. Die erste zeigt, wie man ihn mit einer gültigen IAM-Regex-Variante der ARN des Arbeitsteams und dem ArnLike Bedingungsoperator verwendet. Die zweite zeigt, wie Sie es mit dem ArnEquals-Bedingungsoperator und dem Arbeitsteam-ARN verwenden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}