Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tambahkan izin yang diperlukan untuk digunakan AWS Lambda dengan Ground Truth
Anda mungkin perlu mengonfigurasi beberapa atau semua hal berikut untuk membuat dan menggunakan AWS Lambda Ground Truth.
+ Anda perlu memberikan peran IAM atau izin pengguna (secara kolektif, entitas IAM) untuk membuat fungsi Lambda pra-anotasi dan pasca-anotasi AWS Lambda menggunakan, dan memilihnya saat membuat pekerjaan pelabelan.
+ Peran eksekusi IAM yang ditentukan saat pekerjaan pelabelan dikonfigurasi memerlukan izin untuk menjalankan fungsi Lambda pra-anotasi dan pasca-anotasi.
+ Fungsi Lambda pasca-anotasi mungkin memerlukan izin untuk mengakses Amazon S3.
Gunakan bagian berikut untuk mempelajari cara membuat entitas IAM dan memberikan izin yang dijelaskan di atas.
**Topics**
+ [Berikan Izin untuk Membuat dan Memilih AWS Lambda Fungsi](#sms-custom-templates-step3-postlambda-create-perms)
+ [Berikan Izin Peran Eksekusi IAM untuk Memanggil Fungsi AWS Lambda](#sms-custom-templates-step3-postlambda-execution-role-perms)
+ [Berikan Izin Lambda Pasca-Anotasi untuk Mengakses Anotasi](#sms-custom-templates-step3-postlambda-perms)
## Berikan Izin untuk Membuat dan Memilih AWS Lambda Fungsi
Jika Anda tidak memerlukan izin terperinci untuk mengembangkan fungsi Lambda pra-anotasi dan pasca-anotasi, Anda dapat melampirkan kebijakan terkelola ke pengguna atau peran. AWS `AWSLambda_FullAccess` Kebijakan ini memberikan izin luas untuk menggunakan semua fitur Lambda, serta izin untuk melakukan tindakan di layanan lain yang berinteraksi AWS dengan Lambda.
Untuk membuat kebijakan yang lebih terperinci untuk kasus penggunaan yang sensitif terhadap keamanan, lihat dokumentasi Kebijakan [IAM berbasis identitas untuk Lambda di Panduan Pengembang untuk mempelajari cara AWS Lambda membuat kebijakan](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html) IAM yang sesuai dengan kasus penggunaan Anda.
**Kebijakan untuk Menggunakan Konsol Lambda**
Jika Anda ingin memberikan izin entitas IAM untuk menggunakan konsol Lambda, [lihat Menggunakan konsol Lambda di](https://docs.aws.amazon.com/lambda/latest/dg/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) Panduan Pengembang. AWS Lambda
Selain itu, jika Anda ingin pengguna dapat mengakses dan menerapkan fungsi pra-anotasi dan pasca-anotasi starter Ground Truth menggunakan di AWS Serverless Application Repository konsol Lambda, Anda harus menentukan *``* tempat Anda ingin menerapkan fungsi (ini harus AWS Wilayah yang sama yang digunakan untuk membuat pekerjaan pelabelan), dan menambahkan kebijakan berikut ke peran IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"serverlessrepo:ListApplicationVersions",
"serverlessrepo:GetApplication",
"serverlessrepo:CreateCloudFormationTemplate"
],
"Resource": "arn:aws:serverlessrepo:us-east-1:838997950401:applications/aws-sagemaker-ground-truth-recipe"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "serverlessrepo:SearchApplications",
"Resource": "*"
}
]
}
```
------
**Kebijakan untuk Melihat Fungsi Lambda di Ground Truth Console**
Untuk memberikan izin entitas IAM untuk melihat fungsi Lambda di konsol Ground Truth saat pengguna membuat pekerjaan pelabelan khusus, entitas harus memiliki izin yang dijelaskan, termasuk izin yang dijelaskan [Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console](sms-security-permission-console-access.md) di bagian. [Izin Alur Kerja Pelabelan Kustom](sms-security-permission-console-access.md#sms-security-permissions-custom-workflow)
## Berikan Izin Peran Eksekusi IAM untuk Memanggil Fungsi AWS Lambda
Jika Anda menambahkan kebijakan terkelola IAM [AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)ke peran eksekusi IAM yang digunakan untuk membuat pekerjaan pelabelan, peran ini memiliki izin untuk mencantumkan dan memanggil fungsi Lambda dengan salah satu string berikut dalam nama fungsi:,,,, atau. `GtRecipe` `SageMaker` `Sagemaker` `sagemaker` `LabelingFunction`
Jika nama fungsi Lambda pra-anotasi atau pasca-anotasi tidak menyertakan salah satu istilah dalam paragraf sebelumnya, atau jika Anda memerlukan izin yang lebih terperinci daripada yang ada dalam kebijakan terkelola, Anda dapat menambahkan kebijakan yang serupa dengan berikut `AmazonSageMakerGroundTruthExecution` ini untuk memberikan izin peran eksekusi untuk menjalankan fungsi pra-anotasi dan pasca-anotasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:us-east-1:111122223333:function:",
"arn:aws:lambda:us-east-1:111122223333:function:"
]
}
]
}
```
------
## Berikan Izin Lambda Pasca-Anotasi untuk Mengakses Anotasi
Seperti dijelaskan dalam[Lambda pasca-anotasi](sms-custom-templates-step3-lambda-requirements.md#sms-custom-templates-step3-postlambda), permintaan Lambda pasca-anotasi menyertakan lokasi data anotasi di Amazon S3. Lokasi ini diidentifikasi oleh `s3Uri` string dalam `payload` objek. Untuk memproses anotasi saat masuk, bahkan untuk fungsi pass through sederhana, Anda perlu menetapkan izin yang diperlukan untuk [peran eksekusi Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) pasca-anotasi untuk membaca file dari Amazon S3.
Ada banyak cara untuk mengonfigurasi Lambda Anda untuk mengakses data anotasi di Amazon S3. Dua cara umum adalah:
+ Izinkan peran eksekusi Lambda untuk mengambil peran eksekusi SageMaker AI yang diidentifikasi `roleArn` dalam permintaan Lambda pasca-anotasi. Peran eksekusi SageMaker AI ini adalah yang digunakan untuk membuat pekerjaan pelabelan, dan memiliki akses ke bucket keluaran Amazon S3 tempat data anotasi disimpan.
+ Berikan izin peran eksekusi Lambda untuk mengakses bucket keluaran Amazon S3 secara langsung.
Gunakan bagian berikut untuk mempelajari cara mengonfigurasi opsi ini.
**Berikan Izin Lambda untuk Mengambil Peran Eksekusi SageMaker AI**
Untuk memungkinkan fungsi Lambda mengambil peran eksekusi SageMaker AI, Anda harus melampirkan kebijakan ke peran eksekusi fungsi Lambda, dan memodifikasi hubungan kepercayaan dari peran eksekusi SageMaker AI untuk memungkinkan Lambda mengasumsikan itu.
1. [Lampirkan kebijakan IAM berikut](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) ke peran eksekusi fungsi Lambda Anda untuk mengambil peran eksekusi AI SageMaker yang diidentifikasi. `Resource` Ganti `222222222222` dengan [ID AWS akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Ganti `sm-execution-role` dengan nama peran yang diasumsikan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::222222222222:role/sm-execution-role"
}
}
```
------
1. [Ubah kebijakan kepercayaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy) dari peran eksekusi SageMaker AI untuk memasukkan yang berikut ini`Statement`. Ganti `222222222222` dengan [ID AWS akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Ganti `my-lambda-execution-role` dengan nama peran yang diasumsikan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::222222222222:role/my-lambda-execution-role"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Berikan Izin Peran Eksekusi Lambda untuk Mengakses S3**
Anda dapat menambahkan kebijakan yang mirip dengan berikut ini ke peran eksekusi fungsi Lambda pasca-anotasi untuk memberikan izin baca S3. Ganti *amzn-s3-demo-bucket* dengan nama bucket keluaran yang Anda tentukan saat membuat pekerjaan pelabelan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Untuk menambahkan izin baca S3 ke peran eksekusi Lambda di konsol Lambda, gunakan prosedur berikut.
**Tambahkan izin baca S3 ke Lambda pasca-anotasi:**
1. Buka [halaman **Fungsi**](https://console.aws.amazon.com/lambda/home#/functions) di konsol Lambda.
1. Pilih nama fungsi pasca-anotasi.
1. Pilih **Konfigurasi**, lalu pilih **Izin**.
1. Pilih **nama Peran** dan halaman ringkasan untuk peran itu terbuka di konsol IAM di tab baru.
1. Pilih **Lampirkan kebijakan**.
1. Lakukan salah satu tindakan berikut:
+ Cari dan pilih **`AmazonS3ReadOnlyAccess`**untuk memberikan izin fungsi untuk membaca semua ember dan objek di akun.
+ Jika Anda memerlukan izin yang lebih terperinci, pilih **Buat kebijakan** dan gunakan contoh kebijakan di bagian sebelumnya untuk membuat kebijakan. Perhatikan bahwa Anda harus menavigasi kembali ke halaman ringkasan peran eksekusi setelah membuat kebijakan.
1. Jika Anda menggunakan kebijakan `AmazonS3ReadOnlyAccess` terkelola, pilih **Lampirkan kebijakan**.
Jika Anda membuat kebijakan baru, navigasikan kembali ke halaman ringkasan peran eksekusi Lambda dan lampirkan kebijakan yang baru saja Anda buat.