Conceda a IAM permisos para utilizar la consola de Amazon SageMaker Ground Truth - Amazon SageMaker AI
Permisos de la consola de Ground TruthPermisos del flujo de trabajo de etiquetado personalizadoPermisos del personal privadoPermisos de personal de proveedores

Conceda a IAM permisos para utilizar la consola de Amazon SageMaker Ground Truth

Para utilizar el área de Ground Truth de la consola de SageMaker AI, debe conceder permiso a una entidad para acceder a SageMaker AI y a otros servicios de AWS con los que interactúa Ground Truth. Los permisos necesarios para acceder a otros servicios de AWS dependen del caso de uso:

  • Se requieren permisos de Amazon S3 para todos los casos de uso. Estos permisos deben conceder acceso a los buckets de Amazon S3 que contienen datos de entrada y salida.

  • Se requieren permisos de AWS Marketplace para utilizar al personal de un proveedor.

  • Se requiere el permiso de Amazon Cognito para configurar un equipo de trabajo privado.

  • Se requieren permisos de AWS KMS para ver las claves de AWS KMS disponibles que se pueden usar para el cifrado de datos de salida.

  • Los permisos de IAM son necesarios para enumerar los roles de ejecución preexistentes o para crear uno nuevo. Además, debe utilizar un permiso de PassRole para permitir a SageMaker AI utilizar el rol de ejecución elegido para iniciar el trabajo de etiquetado.

En las siguientes secciones, se enumeran las políticas que puede conceder a un rol para usar una o más funciones de Ground Truth.

Permisos de la consola de Ground Truth

Para conceder permiso a un usuario o rol para utilizar el área de Ground Truth de la consola de SageMaker AI para crear un trabajo de etiquetado, asocie la siguiente política al usuario o rol. La siguiente política concede permiso a un rol de IAM para crear un trabajo de etiquetado utilizando un tipo de tarea incorporada. Si desea crear un flujo de trabajo de etiquetado personalizado, añada la política en Permisos del flujo de trabajo de etiquetado personalizado a la siguiente política. Cada Statement incluida en la siguiente política se describe debajo de este bloque de código.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerApis",
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessAwsMarketplaceSubscriptions",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ViewSubscriptions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListAndCreateExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleForExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GroundTruthConsole",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*",
                "lambda:InvokeFunction",
                "lambda:ListFunctions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:ListAllMyBuckets",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient"
            ],
            "Resource": "*"
        }
    ]
}

Esta política incluye las siguientes declaraciones. Puede reducir el alcance de cualquiera de estas declaraciones añadiendo recursos específicos a la lista de Resource de esa declaración.

SageMakerApis

Esta instrucción incluye sagemaker:*, que permite al usuario realizar todas las acciones de la API de SageMaker AI. Puede reducir el alcance de esta política impidiendo que los usuarios realicen acciones que no se utilicen para crear y supervisar un trabajo de etiquetado.

KmsKeysForCreateForms

Solo necesita incluir esta declaración si desea conceder permiso a un usuario para enumerar y seleccionar claves de AWS KMS en la consola de Ground Truth para usarlas en el cifrado de datos de salida. La política anterior otorga al usuario permiso para enumerar y seleccionar cualquier clave de la cuenta en AWS KMS. Para restringir las claves que un usuario puede enumerar y seleccionar, especifique esos ARN de claves en Resource.

SecretsManager

Esta declaración concede al usuario permiso para describir, enumerar y crear los recursos en AWS Secrets Manager necesarios para crear el trabajo de etiquetado.

ListAndCreateExecutionRoles

Esta declaración otorga al usuario permiso para enumerar (ListRoles) y crear (CreateRole) roles de IAM en su cuenta. También otorga al usuario permiso para crear (CreatePolicy) políticas y asociar políticas (AttachRolePolicy) a las entidades. Son necesarios para enumerar, seleccionar y, si es necesario, crear un rol de ejecución en la consola.

Si ya ha creado un rol de ejecución y desea limitar el alcance de esta declaración para que los usuarios solo puedan seleccionar ese rol en la consola, especifique los ARN de los roles que desea que el usuario tenga permiso para ver en Resource y eliminar las acciones CreateRole, CreatePolicy y AttachRolePolicy.

AccessAwsMarketplaceSubscriptions

Estos permisos son necesarios para ver y elegir los equipos de trabajo de los proveedores a los que ya esté suscrito al crear un trabajo de etiquetado. Para conceder al usuario permiso para suscribirse a los equipos de trabajo de los proveedores, añada la declaración en Permisos de personal de proveedores a la política anterior

PassRoleForExecutionRoles

Esto es necesario para que el creador del trabajo de etiquetado pueda obtener una vista previa de la IU del trabajador y comprobar que los datos de entrada, las etiquetas y las instrucciones se muestran correctamente. Esta instrucción otorga a una entidad permisos para pasar el rol de ejecución de IAM utilizado para crear el trabajo de etiquetado a SageMaker AI para representar y previsualizar la IU del trabajador. Para reducir el alcance de esta política, añada el ARN del rol de ejecución utilizado para crear el trabajo de etiquetado en Resource.

GroundTruthConsole

  • groundtruthlabeling: esto permite al usuario realizar las acciones necesarias para usar ciertas características de la consola de Ground Truth. Entre ellos, se incluyen permisos para describir el estado del trabajo de etiquetado (DescribeConsoleJob), enumerar todos los objetos del conjunto de datos en el archivo de manifiesto de entrada (ListDatasetObjects), filtrar el conjunto de datos si se selecciona el muestreo del conjunto de datos (RunFilterOrSampleDatasetJob) y generar archivos de manifiesto de entrada si se utiliza el etiquetado de datos automatizado (RunGenerateManifestByCrawlingJob). Estas acciones solo están disponibles cuando se usa la consola de Ground Truth y no se pueden llamar directamente mediante una API.

  • lambda:InvokeFunction y lambda:ListFunctions: estas acciones conceden a los usuarios permiso para enumerar e invocar las funciones de Lambda que se utilizan para ejecutar un flujo de trabajo de etiquetado personalizado.

  • s3:*: todos los permisos de Amazon S3 incluidos en esta declaración se utilizan para ver los buckets de Amazon S3 para la configuración automática de datos (ListAllMyBuckets), acceder a los datos de entrada en Amazon S3 (ListBucket, GetObject), comprobar y crear una política CORS en Amazon S3 si es necesario (GetBucketCors y PutBucketCors) y escribir los archivos de salida de los trabajos de etiquetado en S3 (PutObject).

  • cognito-idp: estos permisos se utilizan para crear, ver y administrar personal privado mediante Amazon Cognito. Para obtener más información sobre estas acciones, consulte las Referencias de la API de Amazon Cognito.

Permisos del flujo de trabajo de etiquetado personalizado

Añada la siguiente declaración a una política similar a la de Permisos de la consola de Ground Truth para conceder a un usuario permiso para seleccionar funciones de Lambda preexistentes antes y después de la anotación y, al mismo tiempo, crear un flujo de trabajo de etiquetado personalizado.

{
    "Sid": "GroundTruthConsoleCustomWorkflow",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction",
        "lambda:ListFunctions"
    ],
    "Resource": "*"
}

Para obtener información sobre cómo conceder permiso a una entidad para crear y probar funciones de Lambda preanotación y postanotación, consulte Required Permissions To Use Lambda With Ground Truth.

Permisos del personal privado

Cuando se añade a una política de permisos, el siguiente permiso concede acceso para crear y administrar personal privado y un equipo de trabajo con Amazon Cognito. Estos permisos no son necesarios para utilizar personal de IdP de OIDC.

{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:ListGroups",
        "cognito-idp:ListIdentityProviders",
        "cognito-idp:ListUsers",
        "cognito-idp:ListUsersInGroup",
        "cognito-idp:ListUserPoolClients",
        "cognito-idp:ListUserPools",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient"
        ],
    "Resource": "*"
}

Para obtener más información acerca de la creación de personal privado con Amazon Cognito, consulte Personal de Amazon Cognito.

Permisos de personal de proveedores

Puede añadir la siguiente declaración a la política en Conceda a IAM permisos para utilizar la consola de Amazon SageMaker Ground Truth para conceder a una entidad permiso para suscribirse al personal de un proveedor.

{
    "Sid": "AccessAwsMarketplaceSubscriptions",
    "Effect": "Allow",
    "Action": [
        "aws-marketplace:Subscribe",
        "aws-marketplace:Unsubscribe",
        "aws-marketplace:ViewSubscriptions"
    ],
    "Resource": "*"
}