ワークフォースの認証と制限 - Amazon SageMaker AI
ワークフォースタイプへのアクセスを制限する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークフォースの認証と制限

Ground Truth では、独自のプライベートワークフォースを使用してラベル付けジョブに取り組むことができます。プライベートワークフォースは、抽象的な概念であり、会社のために働く一連の人々を指します。各ラベル付けジョブは、ワークフォース内のワーカーで構成されるワークチームを使用して作成されます。Ground Truth は、Amazon Cognito を使用してプライベートワークフォースの作成をサポートします。

Ground Truth ワークフォースは Amazon Cognito ユーザープールにマップされます。Ground Truth ワークチームは Amazon Cognito ユーザーグループにマッピングされます。Amazon Cognito はワーカー認証を管理します。Amazon Cognito はオープン ID 接続 (OIDC) をサポートしており、お客様は独自の ID プロバイダー (IdP) を使用して Amazon Cognitoフェデレーションを設定できます。

Ground Truth では、 AWS リージョンごとにアカウントごとに 1 つのワークフォースのみが許可されます。各ワークフォースには、専用の Ground Truth ワークポータルのログイン URL があります。

また、ワーカーをクラスレスドメイン間ルーティング (CIDR) ブロック/IP アドレス範囲に制限することもできます。つまり、アノテーターは、注釈サイトにアクセスするために特定のネットワーク上にある必要があります。1 つのワークフォースに対して、最大 10 個の CIDR ブロックを追加できます。詳細については、「Amazon SageMaker API を使用したプライベートワークフォース管理」を参照してください。

プライベートワーカーを作成する方法については、プライベートワークフォースを作成する (Amazon Cognito) を参照してください。

ワークフォースタイプへのアクセスを制限する

Amazon SageMaker Ground Truth ワークチームは、パブリック (Amazon Mechanical Turk を使用)、プライベート、ベンダーの 3 つのワークフォースタイプのいずれかに分類されます。これらのタイプのいずれかまたは作業チームの ARN を使用して、特定の作業チームへのユーザーアクセスを制限するには、sagemaker:WorkteamType および sagemaker:WorkteamArn 条件キーのいずれかまたは両方を使用します。sagemaker:WorkteamType 条件キーには、文字列条件演算子を使用します。sagemaker:WorkteamArn 条件キーには、Amazon リソースネーム (ARN) 条件演算子を使用します。ユーザーが制限された作業チームでラベル付けジョブを作成しようとすると、SageMaker AI はアクセス拒否エラーを返します。

以下のポリシーは、sagemaker:WorkteamType および sagemaker:WorkteamArn 条件キーを適切な条件演算子および有効な条件値と共に使用するさまざまな方法を示しています。

以下の例では、sagemaker:WorkteamType 条件キーと StringEquals 条件演算子を使用して、パブリック作業チームへのアクセスを制限しています。条件値の形式は workforcetype-crowd です。workforcetypepublicprivate、または vendor に置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

以下のポリシーは、sagemaker:WorkteamArn 条件キーを使用してパブリック作業チームへのアクセスを制限する方法を示しています。最初の例は、その条件キーを作業チーム ARN の有効な IAM regex-variant および ArnLike 条件演算子と共に使う方法を示しています。2 番目の例は、その条件キーを ArnEquals 条件演算子および作業チーム ARN と共に使用する方法を示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}