翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Amazon SageMaker Ground Truth の管理ポリシー
これらの AWS 管理ポリシーは、SageMaker AI Ground Truth を使用するために必要なアクセス許可を追加します。ポリシーは AWS アカウントで使用でき、SageMaker AI コンソールから作成された実行ロールによって使用されます。
**Topics**
+ [AWS マネージドポリシー: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI による SageMaker Ground Truth マネージドポリシーの更新](#security-iam-awsmanpol-groundtruth-updates)
## AWS マネージドポリシー: AmazonSageMakerGroundTruthExecution
この AWS 管理ポリシーは、SageMaker AI Ground Truth を使用するのに一般的に必要なアクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `lambda` — 名前に「sagemaker」 (大文字と小文字を区別しない)、「gtRecipe」、または「LabelingFunction」を含む Lambda 関数を呼び出すことをプリンシパルに許可します。
+ `s3` — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前に「groundtruth」または「sagemaker」 (大文字と小文字を区別しない) が含まれているか、「SageMaker」のタグが付いたものに限定されます。
+ `cloudwatch` — Cloud Watch メトリクスの投稿をプリンシパルに許可します。
+ `logs` – ログストリームの作成とアクセス、ログイベントの投稿をプリンシパルに許可します。
+ `sqs` — Amazon SQS キューの作成と Amazon SQS メッセージの送受信をプリンシパルに許可します。これらのアクセス許可は、名前に「GroundTruth」が含まれているキューに限定されます。
+ `sns` — 名前に「groundtruth」または「sagemaker」 (大文字と小文字を区別しない) が含まれている Amazon SNS トピックに対するサブスクリプションとメッセージの発行をプリンシパルに許可します。
+ `ec2` — VPC エンドポイントサービス名に「sagemaker-task-resources」または「labeling」が含まれている Amazon VPC エンドポイントを作成、説明、削除することをプリンシパルに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI による SageMaker Ground Truth マネージドポリシーの更新
このサービスがこれらの変更の追跡を開始してからの Amazon SageMaker AI Ground Truth の AWS マネージドポリシーの更新に関する詳細を表示します。
| ポリシー | バージョン | 変更 | 日付 |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) – 既存ポリシーへの更新 | 3 | `ec2:CreateVpcEndpoint`、`ec2:DescribeVpcEndpoints`、および `ec2:DeleteVpcEndpoints` アクセス許可を追加します。 | 2022 年 4 月 29 日 |
| AmazonSageMakerGroundTruthExecution - 既存ポリシーの更新 | 2 | `sqs:SendMessageBatch` アクセス許可を削除します。 | 2022 年 4 月 11 日 |
| AmazonSageMakerGroundTruthExecution - 新規ポリシー | 1 | 初期ポリシー | 2020 年 7 月 20 日 |