翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# プライベートワークフォース
<a name="sms-workforce-private"></a>

 **プライベートワークフォース**とは、*選択した*ワーカーのグループです。社内の従業員や業界の専門家のグループがこれに該当します。例えば、医療イメージにラベルを付けるタスクの場合、該当するイメージについての知識が豊富なメンバーで構成されるプライベートワークフォースを作成できます。

各 AWS アカウントは、リージョンごとに 1 つのプライベートワークフォースにアクセスでき、所有者はそのワークフォース内に複数の**プライベート****作業チーム**を作成できます。1 つのプライベートチームは、ラベル付けジョブ、ヒューマンレビュータスク、または*ジョブ*を完了するために使用されます。各作業チームを別々のジョブに割り当てることも、複数のジョブに対して 1 つのチームを使用することもできます。単一のワーカーは複数の作業チームに属することができます。

プライベートワークフォースは、[Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) または、独自のプライベート OpenID Connect (OIDC) ID プロバイダー (IdP) を使用して作成および管理できます。

[Amazon SageMaker Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms.html) または [Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html) を初めて使用する場合で、ワーカーを独自の IdP で管理する必要がない場合は、Amazon Cognito を使用してプライベートワークフォースを作成および管理することをお勧めします。

ワークフォースを作成したら、ワークチームを作成および管理するだけでなく、次の操作を実行できます。
+ [ワーカーのパフォーマンスを追跡する](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html)
+ [Amazon SNS トピックを作成および管理](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html)し、ラベル付けタスクが利用可能になったときにワーカーに通知します
+ [IP アドレスを使用したプライベートワークフォースのタスクへのアクセスの管理](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-api.html)

**注記**  
プライベートワークフォースは、Ground Truth と Amazon A2I の間で共有されます。Augmented AI が使用するプライベートワークチームを作成および管理するには、SageMaker AI コンソールの [Ground Truth] セクションを使用します。

**Topics**
+ [Amazon Cognito ワークフォース](sms-workforce-private-use-cognito.md)
+ [OIDC IdP ワークフォース](sms-workforce-private-use-oidc.md)
+ [Amazon SageMaker API を使用したプライベートワークフォース管理](sms-workforce-management-private-api.md)
+ [ワーカーのパフォーマンスメトリクスを追跡する](workteam-private-tracking.md)
+ [Amazon SNS トピックを作成する](sms-workforce-management-private-sns.md)

# Amazon Cognito ワークフォース
<a name="sms-workforce-private-use-cognito"></a>

Amazon SageMaker AI コンソールを使用してワークフォースを作成する場合、またはワーカーの認証情報および認証を管理するオーバーヘッドが必要ない場合は、Amazon Cognito を使用してプライベートワークフォースを作成および管理します。Amazon Cognito を使用してプライベートワークフォースを作成すると、プライベートワーカーに認証、認可、ユーザー管理が提供されます。

**Topics**
+ [プライベートワークフォースを作成する (Amazon Cognito)](sms-workforce-create-private.md)
+ [プライベートワークフォースを管理する (Amazon Cognito)](sms-workforce-management-private.md)

# プライベートワークフォースを作成する (Amazon Cognito)
<a name="sms-workforce-create-private"></a>

Amazon Cognito を使用する場合、次のいずれかの方法でプライベートワークフォースを作成できます。
+ ラベル付けジョブを作成するときに、新しいワークフォースを作成します。この方法の詳細は、「[ラベル付けジョブを作成する場合の Amazon Cognito ワークフォースの作成](sms-workforce-create-private-console.md#create-workforce-labeling-job)」を参照してください。
+ ラベル付けジョブを作成する前に、新しいワークフォースを作成します。この方法の詳細は、「[Labeling Workforces (ラベル付けワークフォース) ページを使用して Amazon Cognito ワークフォースを作成する](sms-workforce-create-private-console.md#create-workforce-sm-console)」を参照してください。
+ Amazon Cognito コンソールでユーザープールを作成した後、既存のワークフォースをインポートします。この方法の詳細は、「[プライベートワークフォースを作成する (Amazon Cognito コンソール)](sms-workforce-create-private-cognito.md)」を参照してください。

プライベートワークフォースを作成すると、そのワークフォースとそれに関連付けられているすべての作業チームとワーカーは、すべての Ground Truth ラベル付けジョブタスクと Amazon Augmented AI の人間によるレビューワークフロータスクで使用できるようになります。

Amazon SageMaker AI を初めて使用する場合に Ground Truth または Amazon A2I をテストしたい場合、コンソールを使用して、組織の担当者で構成されるプライベートワークチームを作成することをお勧めします。ラベル付けまたは人間によるレビューワークフロー (フロー定義) を作成する際は、このワークチームを使用してワーカーの UI とジョブワークフローをテストします。

**Topics**
+ [プライベートワークフォースを作成する (Amazon SageMaker AI コンソール)](sms-workforce-create-private-console.md)
+ [プライベートワークフォースを作成する (Amazon Cognito コンソール)](sms-workforce-create-private-cognito.md)

# プライベートワークフォースを作成する (Amazon SageMaker AI コンソール)
<a name="sms-workforce-create-private-console"></a>

 Amazon SageMaker AI コンソールでプライベートワークフォースを作成するには、次の 2 つの方法があります。
+ Amazon SageMaker Ground Truth セクションの **[Labeling jobs]** (ラベル付けジョブ) ページでラベル付けジョブを作成する場合。
+ Amazon SageMaker Ground Truth セクションの **[Labeling workforces]** (ラベル付けワークフォース) ページを使用。Amazon A2I の人間によるレビューワークフローのプライベートワークフォースを作成する場合は、この方法を使用します。

どちらの方法でも、ワークフォースのすべてのメンバーを含むデフォルトの作業チームを作成します。このプライベートワークフォースは、Ground Truth と Amazon Augmented AI ジョブの両方に使用できます。

コンソールを使用してプライベートワークフォースを作成する場合、SageMaker AI はワークフォースの ID プロバイダーとして Amazon Cognito を使用します。独自の OpenID Connect (OIDC) IDID (IdP) を使用してプライベートワークフォースを作成および管理する場合は、SageMaker API オペレーション `CreateWorkforce` を使用してワークフォースを作成する必要があります。詳細については[プライベートワークフォースを作成する (OIDC IdP)](sms-workforce-create-private-oidc.md)を参照してください。

## ラベル付けジョブを作成する場合の Amazon Cognito ワークフォースの作成
<a name="create-workforce-labeling-job"></a>

ラベル付けジョブを作成する際、プライベートワークフォースを作成していない場合に、プライベートワーカーを使用するよう選択すると、作業チームを作成するよう促されます。Amazon Cognito を使用して作成したプライベートワークフォースが作成されます。

**ラベル付けジョブの作成中にワークフォースを作成する (コンソール)**

1.  SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで、**[Labeling jobs]** (ラベル付けジョブ) を選択し、すべての必須フィールドに入力します。ラベル付けジョブを開始する方法については、「[開始方法: Ground Truth を使用して境界ボックスラベル付けジョブを作成する](sms-getting-started.md)」を参照してください。**[Next]** (次へ) を選択します。

1. ワークフォースタイプとして **[Private]** (プライベート) を選択します。

1. **[Workers]** (ワーカー) セクションで以下を入力します。

   1. **[Team name]** (チーム名)。 

   1. 最大 100 人のワークフォースメンバーの E メールアドレス。E メールアドレスでは、大文字と小文字が区別されます。ワーカーは、最初に入力したアドレスと同じアドレスを使用してログインする必要があります。ワークフォースのメンバーは、ジョブの作成後に追加できます。

   1. 組織の名前をクリックします。SageMaker AI がこれを使用してワーカーに送信されるメールをカスタマイズします。

   1. タスクに関連する問題を報告するためのワーカーの連絡先 E メール。

ラベル付けジョブを作成する際、ワークフォースへの参加を招待する E メールが各ワーカーに送信されます。ワークフォースの作成後、SageMaker AI コンソールまたは Amazon Cognito コンソールを使用してワーカーを追加、削除、無効化できます。

## Labeling Workforces (ラベル付けワークフォース) ページを使用して Amazon Cognito ワークフォースを作成する
<a name="create-workforce-sm-console"></a>

Amazon Cognito を使用してプライベートワークフォースを作成および管理するには、**[Labeling workforces]** (ラベル付けワークフォース) ページを使用します。次の手順に従う場合、Amazon Cognito ユーザープールから既存のワークフォースをインポートするワーカーのメールを入力して、プライベートワークフォースを作成します。ワークフォースをインポートするには、「[プライベートワークフォースを作成する (Amazon Cognito コンソール)](sms-workforce-create-private-cognito.md)」を参照してください。

**ワーカーの E メールを使用してプライベートワークフォースを作成するには**

1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで、**[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[Private]** (プライベート)、**[Create private team]** (プライベートチームの作成) の順に選択します。

1. **[Invite new workers by email]** (E メールで新しいワーカーを招待する) を選択します。

1. カンマ区切りの E メールアドレスリストを E メールアドレスボックスに貼り付けるか、入力します。リストには最大 50 のメールアドレスを含めることができます。

1. 組織名と連絡先メールアドレスを入力します。

1. 必要に応じて、新しい Ground Truth ラベル付けジョブが利用可能になったときに、ワーカーに E メールで通知されるように、チームをサブスクライブする SNS トピックを選択します。Amazon SNS 通知は Ground Truth でサポートされていますが、Augmented AI ではサポートされていません。ワーカーをサブスクライブし SNS 通知を受信すると、Ground Truth ラベル付けジョブに関する通知のみがワーカーに届きます。Augmented AI タスクに関する通知は届きません。

1.  **[プライベートチームを作成]** ボタンをクリックします。

プライベートワークフォースをインポートしたら、ページを更新します。**[Private workforce summary]** (プライベートワークフォースの概要) ページでは、ワークフォースの Amazon Cognito ユーザープールに関する情報、ワークフォースの作業チームのリスト、プライベートワークフォースのすべてのメンバーのリストが表示されます。

**注記**  
プライベートの作業チームをすべて削除する場合は、このプロセスを繰り返して、そのリージョンでプライベートワークフォースを使用する必要があります。

# プライベートワークフォースを作成する (Amazon Cognito コンソール)
<a name="sms-workforce-create-private-cognito"></a>

 Amazon Cognito は、プライベートワークフォースと作業チームを定義および管理するために使用されます。これは、ワーカーの ID を作成し、ID プロバイダーでこれらの ID を認証するために使用できるサービスです。  プライベートワークフォースは、単一の **Amazon Cognito ユーザープール**に対応します。プライベート作業チームは、そのユーザープール内の **Amazon Cognito ユーザーグループ**に対応します。  

 Amazon Cognito でサポートされる ID プロバイダーの例を次に示します。
+ Facebook や Google といったソーシャルサインインプロバイダー 
+ OpenID Connect (OIDC) プロバイダー 
+ Active Directory などの SAML (Security Assertion Markup Language) プロバイダー 
+ Amazon Cognito 組み込みの ID プロバイダー 

 詳細については、「[Amazon Cognito とは](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html)」を参照してください。

Amazon Cognito を使用してプライベートワークフォースを作成するには、少なくとも 1 つのユーザーグループを含む既存の Amazon Cognito ユーザープールが必要です。ユーザープールの作成方法については、「[チュートリアル: ユーザープールの作成](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html)」を参照してください。ユーザーグループをプールに追加する方法については、「[ユーザープールにグループを追加する](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html)」を参照してください。

ユーザープールを作成したら、次のステップに従い、そのユーザープールを Amazon SageMaker AI にインポートしてプライベートワークフォースを作成します。

**Amazon Cognito ユーザープールをインポートしてプライベートワークフォースを作成するには**

1. SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで、**[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[プライベート]** を選択します。

1. **[Create private team]** (プライベートチームを作成) を選択します。これにより、プライベートワークフォースと作業チームが作成されます。

1. **[Import workers from existing Amazon Cognito user groups]** (既存の Amazon Cognito ユーザーグループからワーカーをインポートする) を選択します。

1. 作成したユーザープールを選択します。ユーザープールには、ドメインと既存のユーザーグループが必要です。ドメインが見つからないというエラーが表示された場合は、グループの Amazon Cognito コンソールの **[App integration]** (アプリの統合) ページの **[Domain name]** (ドメイン名) オプションで設定します。

1. アプリクライアントを選択します。SageMaker AI で生成されたクライアントを使用することをお勧めします。

1. プールからユーザーグループを選択して、そのメンバーをインポートします。

1. 必要に応じて、新しいラベル付けジョブが利用可能になったときにワーカーにメールで通知されるように、チームをサブスクライブする Amazon Simple Notification Service (Amazon SNS) トピックを選択します。Amazon SNS 通知は Ground Truth でサポートされていますが、Augmented AI ではサポートされていません。ワーカーをサブスクライブし SNS 通知を受信すると、Ground Truth ラベル付けジョブに関する通知のみがワーカーに届きます。Augmented AI タスクに関する通知は届きません。

1. **[Create private team]** (プライベートチームを作成) を選択します。

**重要**  
Amazon Cognito ユーザープールを使用してワークフォースを作成した後、そのワークフォースを削除する場合は、まず SageMaker AI コンソールでそのプールに関連付けられているすべての作業チームを削除してください。  

 プライベートワークフォースをインポートした後、ページをリフレッシュして **[Private workforce summary]** (プライベートワークフォースの概要) ページを表示します。この画面では、ワークフォースの Amazon Cognito ユーザープールに関する情報、ワークフォースの作業チームのリスト、プライベートワークフォースのすべてのメンバーのリストが表示されます。このワークフォースは、Amazon Augmented AI と Amazon SageMaker Ground Truth の両方で、人間によるレビュータスクとデータラベリングジョブそれぞれに使用できるようになりました。

# プライベートワークフォースを管理する (Amazon Cognito)
<a name="sms-workforce-management-private"></a>

Amazon Cognito を使用してプライベートワークフォースを作成した後、Amazon SageMaker AI コンソールと API オペレーションを使用してワークチームを作成および管理できます。

以下の操作は、[SageMaker AI コンソール](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-console.html)または[Amazon Cognito コンソール](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-cognito.html)を使用して行えます。
+ ワークチームを追加および削除する。
+ ワーカーをワークフォースおよび 1 つ以上の作業チームに追加する。
+ ワーカーをワークフォースおよび 1 つ以上のワークチームから無効化または削除する。Amazon Cognito コンソールを使用してワーカーをワークフォースに追加する場合は、同じコンソールを使用してワーカーをワークフォースから削除する必要があります。

SageMaker API を使用して、特定の IP アドレスのワーカーにタスクへのアクセスを制限できます。詳細については、「[Amazon SageMaker API を使用したプライベートワークフォース管理](sms-workforce-management-private-api.md)」を参照してください。

**Topics**
+ [ワークフォースを管理する (Amazon SageMaker AI コンソール)](sms-workforce-management-private-console.md)
+ [プライベートワークフォースを管理する (Amazon Cognito コンソール)](sms-workforce-management-private-cognito.md)

# ワークフォースを管理する (Amazon SageMaker AI コンソール)
<a name="sms-workforce-management-private-console"></a>

Amazon SageMaker AI コンソールを使用して、プライベートワークフォースを構成する作業チームと個々のワーカーを作成および管理できます。

作業チームを使用して、プライベートワークフォースのメンバーをラベル付けまたは人間によるレビュー*ジョブ*に割り当てます。SageMaker AI コンソールを使用してワークフォースを作成すると、ワークフォース全体をジョブに割り当てることができる **Everyone-in-private-workforce** という作業チームが存在します。インポートされた Amazon Cognito ユーザープールに作業チームに含めないメンバーが含まれている可能性があるため、Amazon Cognito ユーザープール用の類似の作業チームは作成されません。

 新しい作業チームを作成するには、次の 2 つの選択肢から選択します。
+ SageMaker AI コンソールで作業チームを作成し、ワークフォースのメンバーをチームに追加することもできます。
+ Amazon Cognito コンソールを使用してユーザーグループを作成し、次にユーザーグループをインポートして作業チームを作成できます。複数のユーザーグループを作業チームにインポートすることができます。Amazon Cognito コンソールでユーザーグループを更新することで、作業チームのメンバーを管理します。詳細については「[プライベートワークフォースを管理する (Amazon Cognito コンソール)](sms-workforce-management-private-cognito.md)」を参照してください。  

## SageMaker AI コンソールを使用して作業チームを作成する
<a name="create-workteam-sm-console"></a>

SageMaker AI コンソールの **[ラベリングワークフォース]** ページを使用して、新しい Amazon Cognito ユーザーグループを作成したり、既存のユーザーグループをインポートしたりできます。Amazon Cognito コンソールでのユーザーグループの作成の詳細については、「[プライベートワークフォースを管理する (Amazon Cognito コンソール)](sms-workforce-management-private-cognito.md)」を参照してください。

**SageMaker AI コンソールを使用して作業チームを作成するには**

1. SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. 左のメニューで **[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1.  **[Private]** (プライベート) で、**[Create private team]** (プライベートチームを作成) を選択します。

1. **[Team details]** (チームの詳細) で、**[Team name]** (チーム名) を入力します。名前は、 AWS リージョンのアカウントで一意である必要があります。

1. **[Add workers]** (ワーカーの追加) で、ユーザーグループを使用してワーカーをチームに追加する方法を選択します。
   + **[Create a team by adding workers to a new Amazon Cognito user group]** (新しい Amazon Cognito ユーザーグループにワーカーを追加してチームを作成する) を選択する場合は、ワーカーを選択してチームに追加します。
   + **[Create a team by importing existing Amazon Cognito user groups]** (既存の Amazon Cognito ユーザーグループをインポートしてチームを作成する) を選択した場合は、新しいチームを構成するユーザーグループを選択します。

1. **[SNS topic]** (SNS トピック) を選択した場合、チームに追加されたすべてのワーカーは Amazon SNS トピックにサブスクライブされ、新しい作業項目をチームが利用できるようになると通知されます。既存の Ground Truth 関連の Amazon SNS トピックのリストから選択するか、**[Create new topic]** (新しいトピックの作成) を選択してトピック作成ダイアログを開きます。

   Amazon SNS 通知は Ground Truth でサポートされていますが、Augmented AI ではサポートされていません。ワーカーをサブスクライブし SNS 通知を受信すると、Ground Truth ラベル付けジョブに関する通知のみがワーカーに届きます。Augmented AI タスクに関する通知は届きません。

そのチームの新しい Ground Truth ラベル付けジョブジョブが使用可能になったとき、および期限切れになったときに、トピックをサブスクライブしているワークチームのワーカーに通知が送信されます。

 Amazon SNS トピックの使用の詳細については、「[Amazon SNS トピックを作成する](sms-workforce-management-private-sns.md)」を参照してください。

### サブスクリプション
<a name="subscriptions"></a>

作業チームを作成した後、Amazon Cognito コンソールにアクセスして、チームに関する詳細情報を表示し、メンバーがサブスクライブしている Amazon SNS トピックを変更または設定できます。チームをトピックにサブスクライブする前にチームメンバーを追加した場合は、それらのメンバーをそのトピックに手動でサブスクライブする必要があります。Amazon SNS トピックの作成と管理の詳細については、「[作業チームの Amazon SNS トピックを作成および管理する](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html)」を参照してください。

## ワーカーの追加または削除
<a name="add-remove-workers-sm"></a>

 *作業チーム*とは、ワークフォース内のワーカーのグループで、ジョブを割り当てることができます。ワーカーは複数の作業チームに追加できます。ワーカーが作業チームに追加されると、そのワーカーを無効化または削除できます。

### ワークフォースへのワーカーの追加
<a name="add-workers-sm-console"></a>

 ワーカーをワークフォースに追加すると、そのワーカーをワークフォース内の任意の作業チームに追加できます。  

**プライベートワークフォースの概要ページを使用してワーカーを追加するには**

1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. **[Labeling workforces]** (ラベル付けワークフォース) を選択して、プライベートワークフォースの概要ページに移動します。

1. **[プライベート]** を選択してください。

1. **[Invite new workers]** (新しいワーカーを招待) を選択します。

1. メールアドレスのリストをカンマで区切り、メールアドレスボックスに貼り付けるか、入力します。このリストには、最大 50 個のメールアドレスを含めることができます。

### 作業チームへのワーカーの追加
<a name="add-worker-workteam-sm-console"></a>

 ワーカーは、作業チームに追加する前に、ワークフォースに追加する必要があります。作業チームにワーカーを追加するには、まず上記のステップを使用して **[Private workforce summary]** (プライベートワークフォース要約) ページに移動します。

**プライベートワークフォースの概要ページから作業チームにワーカーを追加するには**

1. **[Private teams]** (プライベートチーム) セクションで、ワーカーを追加するチームを選択します。

1. **[Workers]** (ワーカー) タブを選択します。

1. **[Add workers to team]** (ワーカーをチームに追加) を選択し、追加するワーカーの横にあるボックスを選択します。

1. **[Add workers to team]** (ワーカーをチームに追加) をクリックします。

### ワーカーの無効化およびワークフォースからの削除
<a name="disable-remove-workers-console"></a>

ワーカーを無効にすると、ワーカーはジョブの受信を停止します。このアクションでは、ワークフォース、またはワーカーが関連付けられている作業チームからワーカーは削除されません。作業チームに対してワーカーを無効化または削除するには、まず上記のステップを使用して、プライベートワークフォースの概要ページに移動します。

**プライベートワークフォースの概要ページを使用してワーカーを無効にするには**

1. **[Workers]** (ワーカー) セクションで、無効にするワーカーを選択します。

1. **[Disable]** (無効化) を選択します。

 必要に応じて、ワーカーを無効にした後で、ワーカーを **[Enable]** (有効化) することができます。

SageMaker AI コンソールでワーカーを追加した場合は、このコンソールでプライベートワークフォースから直接ワーカーを削除できます。Amazon Cognito コンソールでワーカー (ユーザー) を追加した場合は、Amazon Cognito コンソールでワーカーを削除する方法について、「[プライベートワークフォースを管理する (Amazon Cognito コンソール)](sms-workforce-management-private-cognito.md)」を参照してください。

**プライベートワークフォースの概要ページを使用してワーカーを削除するには**

1. **[Workers]** (ワーカー) セクションで、削除するワーカーを選択します。

1. ワーカーが無効になっていない場合は、**[Disable]** (無効化) を選択します。  

1. ワーカーを選択し、**[Delete]** (削除) を選択します。

# プライベートワークフォースを管理する (Amazon Cognito コンソール)
<a name="sms-workforce-management-private-cognito"></a>

プライベートワークフォースは、単一の **Amazon Cognito ユーザープール**に対応します。プライベート作業チームは、そのユーザープール内の **Amazon Cognito ユーザーグループ**に対応します。ワーカーは、それらのグループ内の **Amazon Cognito ユーザー**に対応します。

ワークフォースが作成されたら、Amazon Cognito コンソールから作業チームと個々のワーカーを追加できます。また、プライベートのワークフォースからワーカーを削除したり、Amazon Cognito コンソールで個々のチームからワーカーを削除したりすることもできます。

**重要**  
Amazon Cognito コンソールから作業チームを削除することはできません。Amazon SageMaker AI 作業チームに関連付けられている Amazon Cognito ユーザーグループを削除すると、エラーが発生します。作業チームを削除するには、SageMaker AI コンソールを使用します。  

## 作業チームを作成する (Amazon Cognito コンソール)
<a name="create-work-teams-cog"></a>

 プライベートワークフォースに関連付けられたユーザープールに Amazon Cognito ユーザーグループを追加することで、ジョブを完了するための新しい作業チームを作成できます。既存のワーカープールに Amazon Cognito ユーザーグループを追加するには、「[ユーザープールにグループを追加する](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html)」を参照してください。  

**既存の Amazon Cognito ユーザーグループを使用して作業チームを作成するには**

1. SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで **[Workforces]** (ワークフォース) を選択します。

1. **[Private teams]** (プライベートチーム) で、**[Create private team]** (プライベートチームを作成) を選択します。

1. **[Team details]** (チームの詳細) で、チームに名前を付けます。名前は、 AWS リージョンのアカウントで一意である必要があります。

1. **[Add workers]** (ワーカーを追加) で、**[Import existing Amazon Cognito user groups]** (既存の Amazon Cognito ユーザーグループをインポート)] を選択し、新しいチームの一部である 1 つ以上のユーザーグループを選択します。

1. **[SNS topic]** (SNS トピック) を選択した場合、チームに追加されたすべてのワーカーはその Amazon Simple Notification Service (Amazon SNS) トピックにサブスクライブされ、新しい作業項目をチームが利用できるようになると通知されます。SageMaker Ground Truth または Amazon Augmented AI に関連する既存の SNS トピックのリストから選択するか、**[Create new topic]** (新しいトピックを作成) を選択してトピックを作成します。
**注記**  
Amazon SNS 通知は Ground Truth でサポートされていますが、Augmented AI ではサポートされていません。ワーカーをサブスクライブし SNS 通知を受信すると、Ground Truth ラベル付けジョブに関する通知のみがワーカーに届きます。Augmented AI タスクに関する通知は届きません。

### サブスクリプション
<a name="subscriptions-cog-workteam"></a>

作業チームを作成した後、Amazon Cognito コンソールを使用して、チームに関する詳細情報を表示し、メンバーがサブスクライブしている SNS トピックを変更または設定できます。チームをトピックにサブスクライブする前にチームメンバーを追加した場合は、それらのメンバーをそのトピックに手動でサブスクライブする必要があります。詳細については、「[Amazon SNS トピックを作成する](sms-workforce-management-private-sns.md)」を参照してください。

## ワーカーを追加および削除する (Amazon Cognito コンソール)
<a name="add-remove-workers-cog"></a>

 Amazon Cognito コンソールを使用して作業チームにワーカーを追加する場合、そのユーザーをユーザーグループに追加する前に、ワークフォースに関連付けられたユーザープールにユーザーを追加する必要があります。ユーザーをユーザープールに追加するには、さまざまな方法があります。詳細については、「[ユーザーアカウントのサインアップと確認](https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html)」を参照してください。

### 作業チームへのワーカーの追加
<a name="add-worker-workteam-cog"></a>

ユーザーをプールに追加すると、そのプール内のユーザーグループに関連付けることができます。ユーザーがユーザーグループに追加されると、そのユーザーは、そのユーザーグループを使用して作成された作業チームのワーカーになります。

**ユーザーグループにユーザーを追加するには**

1. Amazon Cognito コンソール ([https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)) を開きます。

1. **[Manage User Pools]** (ユーザープールの管理) を選択します。

1. SageMaker AI ワークフォースに関連付けられているユーザープールを選択します。  

1. **[全般設定]** で **[ユーザーとグループ]** を選択し、次のいずれかの操作を行います。
   + **[グループ]** を選択し、ユーザーを追加するグループを選択して、**[ユーザーを追加する]** を選択します。ユーザー名の右側にあるプラスアイコンを選択して、追加するユーザーを選択します。  
   + **[ユーザー]** を選択し、ユーザーグループに追加するユーザーを選択し、**[グループに追加]** を選択します。ドロップダウンメニューからグループを選択し、**[グループに追加]** を選択します。

### ワーカーの無効化と作業チームからの削除
<a name="disable-remove-workers-cog"></a>

ワーカーを無効にすると、ワーカーはジョブの受信を停止します。このアクションでは、ワークフォースやワーカーが関連付けられている作業チームからワーカーを削除しません。Amazon Cognito の作業チームからユーザーを削除するには、そのチームに関連付けられたユーザーグループからユーザーを削除します。

**ワーカーを無効化するには (Amazon Cognito コンソール)**

1. Amazon Cognito コンソール ([https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)) を開きます。

1. **[Manage User Pools]** (ユーザープールの管理) を選択します。

1. SageMaker AI ワークフォースに関連付けられているユーザープールを選択します。

1. **[全般設定]** で、**[ユーザーとグループ]** を選択します。

1. 無効化するユーザーを選択します。

1. **[Disable Users]** (ユーザーを無効化) を選択します。

**[ユーザーを有効化]** を選択すると、無効化されたユーザーを有効化することができます。  

**ユーザーグループからユーザーを削除するには (Amazon Cognito コンソール)**

1. Amazon Cognito コンソール ([https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)) を開きます。

1. **[Manage User Pools]** (ユーザープールの管理) を選択します。

1. SageMaker AI ワークフォースに関連付けられているユーザープールを選択します。  

1. **[全般設定]** で、**[ユーザーとグループ]** を選択します。

1. **[User]** (ユーザー) タブで、ユーザーを削除するグループの右側にある **X** アイコンを選択します。

# OIDC IdP ワークフォース
<a name="sms-workforce-private-use-oidc"></a>

独自の OIDC IdP を使用してワーカーを管理および認証する場合は、OpenID Connect (OIDC) ID プロバイダー (IdP) を使用してプライベートワークフォースを作成します。個々のワーカー資格情報とその他のデータは非公開の状態を維持します。Ground Truth と Amazon A2I は、これらのサービスに送信したクレームを通じて提供したワーカー情報のみを表示できます。OIDC IdP を使用してワークフォースを作成するには、IdP が*グループ*をサポートしている必要があります。Ground Truth と Amazon A2I が作業チームに IdP 内の 1 つ以上のグループをマッピングするためです。詳細については[必須およびオプションのクレームを Ground Truth と Amazon A2I に送信する](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp)を参照してください。

Ground Truth または Amazon A2I を初めて使用する場合は、プライベートワークチームを作成し、自分をワーカーとして追加することで、ワーカー UI とジョブのワークフローをテストできます。ラベル付けジョブまたは人間によるレビューワークフローを作成する場合は、この作業チームを使用します。まず、「[プライベートワークフォースを作成する (OIDC IdP)](sms-workforce-create-private-oidc.md)」の手順に従って、プライベート OIDC IdP ワークフォースを作成します。次に、「[プライベートワークフォースを管理する (OIDC IdP)](sms-workforce-manage-private-oidc.md)」を参照して、作業チームの作成方法を確認します。

**Topics**
+ [プライベートワークフォースを作成する (OIDC IdP)](sms-workforce-create-private-oidc.md)
+ [プライベートワークフォースを管理する (OIDC IdP)](sms-workforce-manage-private-oidc.md)

# プライベートワークフォースを作成する (OIDC IdP)
<a name="sms-workforce-create-private-oidc"></a>

独自の ID プロバイダーを使用してワーカーを認証および管理する場合は、OpenID Connect (OIDC) ID プロバイダー (IdP) を使用してプライベートワーカーを作成します。このページを使用して、Amazon SageMaker Ground Truth (Ground Truth) または Amazon Augmented AI (Amazon A2I) と通信するように IdP を設定する方法と、独自の IdP を使用してワークフォースを作成する方法を学びます。

OIDC IdP を使用して従業員を作成するには、IdP が*グループ*をサポートしている必要があります。Ground Truth と Amazon A2I が作業チームを作成するために、指定した 1 つ以上のグループを使用するためです。作業チームを使用して、ラベル付けジョブと人間によるレビュータスクのワーカーを指定します。グループが[スタンダードクレーム](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims)ではないため、IdP に、ユーザー (ワーカー) のグループに対する異なる命名規則がある場合があります。そのため、IdP からGround Truth または Amazon A2I に送信されるカスタムのクレーム `sagemaker:groups` を使用して、ワーカーが属する 1 つ以上のユーザーグループを特定する必要があります。詳細については、「[必須およびオプションのクレームを Ground Truth と Amazon A2I に送信する](#sms-workforce-create-private-oidc-configure-idp)」を参照してください。

SageMaker API オペレーション [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) を使用して、OIDC IdP ワークフォースを作成します。プライベートワークフォースを作成すると、そのワークフォースとそれに関連付けられているすべての作業チームとワーカーは、すべての Ground Truth ラベル付けジョブタスクと Amazon A2I の人間によるレビューワークフロータスクで使用できるようになります。詳細については[OIDC IdP ワークフォースを作成する](#sms-workforce-create-private-oidc-createworkforce)を参照してください。

## 必須およびオプションのクレームを Ground Truth と Amazon A2I に送信する
<a name="sms-workforce-create-private-oidc-configure-idp"></a>

独自の IdP を使うとき、Ground Truth と Amazon A2I は `Issuer`、`ClientId`、`ClientSecret` を使用して、`AuthorizationEndpoint` から認証コードを取得することでワーカーを認証します。

Ground Truth と Amazon A2I はこのコードを使用して、IdP の `TokenEndpoint` または `UserInfoEndpoint` のいずれかからカスタムクレームを取得します。`TokenEndpoint` を設定して JSON ウェブトークン (JWT) を返すか、`UserInfoEndpoint` を設定して JSON オブジェクトを返すことができます。JWT または JSON オブジェクトには、指定する必須およびオプションのクレームが含まれている必要があります。[クレーム](https://openid.net/specs/openid-connect-core-1_0.html#Terminology)は、ワーカーに関する情報または OIDC サービスに関するメタデータを含むキーバリューペアです。次の表に、IdP が返す JWT オブジェクトまたは JSON オブジェクトに含める必要のあるクレームと任意に含めることができるクレームの一覧を示します。

**注記**  
次の表の一部のパラメータは、`:` または `-` を使用して指定できます。例えば、クレームに `sagemaker:groups` または `sagemaker-groups` を使用して、ワーカーが属するグループを指定できます。


|  名前  | 必須 | 受け入れられるフォーマットと値 | 説明 | 例 | 
| --- | --- | --- | --- | --- | 
|  `sagemaker:groups` または `sagemaker-groups`  |  はい  |  **データ型**: ワーカーが単一のグループに属している場合は、文字列を使用してグループを特定します。 ワーカーが複数のグループに属している場合は、最大 10 個の文字列のリストを使用します。 **使用できる文字**: 正規表現: [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **クォータ**: ワーカーにつき 10 グループ グループ名あたり 63 文字  |  ワーカーを 1 つ以上のグループに割り当てます。グループは、ワーカーを作業チームにマッピングするために使用されます。  |  1 つのグループに属するワーカーの例: `"work_team1"` 複数のグループに属するワーカーの例: `["work_team1", "work_team2"]`   | 
|  `sagemaker:sub` または `sagemaker-sub`  |  はい  |  **データ型**: String  |  これは、監査のために Ground Truth プラットフォーム内でワーカー ID を追跡し、そのワーカーによって処理されたタスクを特定するために必須です。 ADFS の場合: お客様は、プライマリセキュリティ識別子 (SID) を使用する必要があります。  |  `"111011101-123456789-3687056437-1111"`  | 
|  `sagemaker:client_id` または `sagemaker-client_id`  |  はい  |  **データ型**: String **使用できる文字**: 正規表現: [\$1w\$1-]\$1 **クォータ**: 128 文字   |  クライアント ID。このクライアント ID に対してすべてのトークンを発行する必要があります。  |  `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"`  | 
|  `sagemaker:name` または `sagemaker-name`  |  はい  |  **データ型**: String  |  ワーカーポータルに表示されるワーカー名。  |  `"Jane Doe"`  | 
|  `email`  |  いいえ  |  **データ型**: String  |  ワーカーのメール。Ground Truth は、このメールを使用して、ラベル付けタスクの作業に招待されたことをワーカーに通知します。Ground Truth は、このワーカーがいる作業チームの Amazon SNS トピックを設定する場合に、ラベル付けタスクが利用可能になったことをワーカーに通知するためにも、このメールを使用します。  |  `"example-email@domain.com"`  | 
|  `email_verified`  |  いいえ  |  **データ型**: Bool **使用できる値**: `True`, `False`  |  ユーザーのメールが検証されたかどうかを示します。  |  `True`  | 

以下では、`UserInfoEndpoint` が返す JSON オブジェクトの構文の例を示しています。

```
{
    "sub":"122",
    "exp":"10000",
    "sagemaker-groups":["group1","group2"]
    "sagemaker-name":"name",
    "sagemaker-sub":"122",
    "sagemaker-client_id":"123456"
}
```

Ground Truth または Amazon A2I は、`sagemaker:groups` または `sagemaker-groups` に記載されているグループを比較して、ワーカーがラベル付けジョブまたは人間によるレビュータスクで指定された作業チームに属していることを確認します。作業チームが検証されると、ラベル付けまたは人間によるレビュータスクがそのワーカーに送信されます。

## OIDC IdP ワークフォースを作成する
<a name="sms-workforce-create-private-oidc-createworkforce"></a>

SageMaker API オペレーション `CreateWorkforce` と関連する言語固有の SDK を使用してワークフォースを作成できます。`WorkforceName` とパラメータ `OidcConfig` 内の OIDC IDP に関する情報を指定します。プレースホルダーのリダイレクト URI を使用して OIDC を設定し、ワークフォースを作成した後に、ワーカーポータル URL を使用して URI を更新することをお勧めします。詳細については[OIDC IdP を設定する](#sms-workforce-create-private-oidc-configure-url)を参照してください。

リクエストの例を次に示します。このリクエストの各パラメータの詳細については、「[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)」を参照してください。

```
CreateWorkforceRequest: {
    #required fields
    WorkforceName: "example-oidc-workforce",
    OidcConfig: { 
        ClientId: "clientId",
        ClientSecret: "secret",
        Issuer: "https://example-oidc-idp.com/adfs",
        AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
        TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
        UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
        LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
        JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
    },
    SourceIpConfig: {
        Cidrs: ["string", "string"]
    }
}
```

### OIDC IdP を設定する
<a name="sms-workforce-create-private-oidc-configure-url"></a>

OIDC IdP の設定方法は、使用する IdP とビジネス要件によって異なります。

IdP を設定するときは、コールバックまたはリダイレクト URI を指定する必要があります。Ground Truth または Amazon A2I がワーカーを認証した後、この URI はワーカーポータルにワーカーをリダイレクトします。ワーカーポータルでは、ワーカーがラベル付けタスクまたは人間によるレビュータスクにアクセスできます。ワーカーポータル URL を作成するには、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) API オペレーションを使用して OIDC IdP の詳細を含むワークフォースを作成する必要があります。具体的には、必須のカスタム sagemaker クレームを使用して OIDC IdP を設定する必要があります (詳細については、次のセクションを参照してください)。したがって、プレースホルダーのリダイレクト URI を使用して OIDC を設定し、ワークフォースを作成した後に URI を更新することをお勧めします。この API を使用してワークフォースを作成する方法については、「[OIDC IdP ワークフォースを作成する](#sms-workforce-create-private-oidc-createworkforce)」を参照してください。

ワーカーポータル URL は SageMaker Ground Truth コンソールで、または SageMaker API オペレーション `DescribeWorkforce` を使用して表示できます。ワーカーポータル URL は、レスポンスの [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) パラメータにあります。

**重要**  
必ず ワークフォースサブドメインを OIDC IdP 許可リストに追加してください。許可リストにサブドメインを追加する場合、サブドメインは `/oauth2/idpresponse` で終わる必要があります。

**プライベートワークフォースを作成した後にワーカーポータル URL を表示するには、次の手順に従います (コンソール)。**

1. SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで、**[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[Private]** タブを選択します。

1. **プライベートワークフォースの概要**に、**ラベル付けポータルのサインイン URL** があります。これが、ワーカーポータル URL です。

**プライベートワークフォース (API) を作成した後にワーカーポータル URL を表示するには、次の手順に従います (API)。**

`[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)` を使用してプライベートワークフォースを作成する場合は、`WorkforceName` を指定します。この名前を使用して [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) を呼び出します。次の表に、 AWS CLI および を使用したリクエストの例を示します AWS SDK for Python (Boto3)。

------
#### [ SDK for Python (Boto3) ]

```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```

------
#### [ AWS CLI ]

```
$ C:\>  describe-workforce --workforce-name 'string'
```

------

## OIDC IdP ワークフォース認証レスポンスを検証する
<a name="sms-workforce-create-private-oidc-validate"></a>

OIDC IdP ワークフォースを作成したら、次の手順に従って、cURL を使用して認証ワークフローを検証できます。この手順では、ターミナルへのアクセス権があり、cURL がインストールされていることを前提としています。

**OIDC IdP 認可レスポンスを検証するには、次の手順を実行します。**

1. 次のように構成された URI を使用して認可コードを取得します。

   ```
   {AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
   ```

   1. *`{AUTHORIZE ENDPOINT}`* を、OIDC IdP の認可エンドポイントに置き換えます。

   1. `{CLIENT ID}` を、OAuth クライアントのクライアント ID に置き換えます。

   1. *`{REDIRECT URI}`* を、ワーカーポータル URL に置き換えます。存在しない場合は、URL の末尾に `/oauth2/idpresponse` を追加する必要があります。

   1. カスタムスコープがある場合は、それを `{SCOPE}` に置き換えます。カスタムスコープがない場合は、`{SCOPE}` を `openid` で置き換えます。

   以下は、上記の変更が行われた後の URI の例です。

   ```
   https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
   ```

1. ステップ 1 で変更した URI をコピーしてブラウザに貼り付け、キーボードの Enter キーを押します。

1. IdP を使用して認証します。

1. URI で認証コードのクエリパラメータをコピーします。このパラメータは `code=` で始まります。以下に示しているのは、レスポンスの具体的な例です。この例では、`code=MCNYDB...` とそれ以降のすべてをコピーします。

   ```
   https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
   ```

1. ターミナルを開き、以下に示す必要な変更を行った後、次のコマンドを入力します。

   ```
   curl --request POST \
     --url '{TOKEN ENDPOINT}' \
     --header 'content-type: application/x-www-form-urlencoded' \
     --data grant_type=authorization_code \
     --data 'client_id={CLIENT ID}' \
     --data client_secret={CLIENT SECRET} \
     --data code={CODE} \
     --data 'redirect_uri={REDIRECT URI}'
   ```

   1. `{TOKEN ENDPOINT}` を、OIDC IdP のトークンエンドポイントに置き換えます。

   1. `{CLIENT ID}` を、OAuth クライアントのクライアント ID に置き換えます。

   1. `{CLIENT SECRET}` を、OAuth クライアントからのクライアントシークレットに置き換えます。

   1. `{CODE}` を、ステップ 4 でコピーした認証コードクエリパラメータに置き換えます。

   1. *`{REDIRECT URI}`* を、ワーカーポータル URL に置き換えます。

   以下に、上記の変更を加えた後の cURL リクエストの例を示します。

   ```
   curl --request POST \
     --url 'https://example.com/token' \
     --header 'content-type: application/x-www-form-urlencoded' \
     --data grant_type=authorization_code \
     --data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
     --data client_secret=client-secret \
     --data code=MCNYDB... \
     --data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
   ```

1. このステップは、IdP が返す `access_token` のタイプ、プレーンテキストアクセストークンまたは JWT アクセストークンによって異なります。
   + IdP が JWT アクセストークンをサポートしていない場合、`access_token` はプレーンテキスト (例えば、UUID) になる場合があります。レスポンスは、次の例のようになります。この場合、ステップ 7 に進みます。

     ```
     {
       "access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
       "token_type":"Bearer",
       "expires_in":3600,
       "refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
       "scope":"openid"
     }
     ```
   + IdP が JWT アクセストークンをサポートしている場合は、ステップ 5 で JWT 形式のアクセストークンを生成します。例えば、レスポンスは以下のようになります。

     ```
     {
         "access_token":"eyJh...JV_adQssw5c",
         "refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
         "refresh_token_expires_in":6327,
         "scope":"openid",
         "id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
     }
     ```

     JWT をコピーしてデコードします。Python スクリプトやサードパーティーのウェブサイトを使用してデコードできます。例えば、[https://jwt.io/](https://jwt.io/) のウェブサイトにアクセスし、JWT を **[Encoded]** (エンコード済み) ボックスに貼り付けてデコードします。

     デコードされたレスポンスに以下が含まれていることを確認します。
     + **必須**の SageMaker AI クレーム ([必須およびオプションのクレームを Ground Truth と Amazon A2I に送信する](#sms-workforce-create-private-oidc-configure-idp) にある表)。含まれていない場合は、これらのクレームを含めるように OIDC IdP を再構成する必要があります。
     + IdP ワークフォースの設定時に指定した[発行者](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer)。

1. ターミナルで、以下に示す必要な変更を加えた後、次のコマンドを入力します。

   ```
   curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
   ```

   1. `{USERINFO ENDPOINT}` を、OIDC IdP のユーザー情報エンドポイントに置き換えます。

   1. `{ACCESS TOKEN}` を、ステップ 7 で受信したレスポンスにアクセストークンに置き換えます。これは、`"access_token"`パラメータのエントリです。

   以下に、上記の変更を加えた後の cURL リクエストの例を示します。

   ```
    curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
   ```

1. 上記の手順の最後のステップに対するレスポンスは、次のコードブロックのようになります。

   ステップ 6 で返された `access_token` がプレーンテキストだった場合、このレスポンスに必要な情報が含まれていることを確認する必要があります。この場合、[必須およびオプションのクレームを Ground Truth と Amazon A2I に送信する](#sms-workforce-create-private-oidc-configure-idp) の表にある **必須**の SageMaker AI クレームがレスポンスに含まれている必要があります。例えば、`sagemaker-groups` や `sagamaker-name` などです。

   ```
   {
       "sub":"122",
       "exp":"10000",
       "sagemaker-groups":["group1","group2"]
       "sagemaker-name":"name",
       "sagemaker-sub":"122",
       "sagemaker-client_id":"123456"
   }
   ```

## 次のステップ
<a name="sms-workforce-create-private-oidc-next-steps"></a>

IdP を使用してプライベートワークフォースを作成し、IdP 認証レスポンスを確認したら、IdP グループを使用してワークチームを作成できます。詳細については[プライベートワークフォースを管理する (OIDC IdP)](sms-workforce-manage-private-oidc.md)を参照してください。

タスクへのワーカーアクセスを特定の IP アドレスに制限し、SageMaker API を使用してワークフォースを更新または削除できます。詳細については[Amazon SageMaker API を使用したプライベートワークフォース管理](sms-workforce-management-private-api.md)を参照してください。

# プライベートワークフォースを管理する (OIDC IdP)
<a name="sms-workforce-manage-private-oidc"></a>

OpenID Connect (OIDC) アイデンティティプロバイダー (IdP) を使用してプライベートワークフォースを作成したら、IdP を使用してワーカーを管理できます。例えば、IdP を介して直接ワーカーを追加、削除、グループ化できます。

Amazon SageMaker Ground Truth (Ground Truth) ラベル付けジョブまたは Amazon Augmented AI (Amazon A2I) の人間によるレビュータスクにワーカーを追加するには、1～10 の IdP グループを使用して作業チームを作成し、その作業チームをジョブまたはタスクに割り当てます。ラベル付けジョブ (Ground Truth) または人間によるレビューワークフロー (Amazon A2I) を作成するときに、その作業チームを指定することで、作業チームをジョブまたはタスクに割り当てます。

それぞれのラベル付けジョブまたは人間によるレビューワークフローに割り当てできるのは、1 つのチームのみです。同じチームを使用して、複数のラベル付けジョブまたは人間によるレビュータスクを作成できます。また、複数の作業チームを作成して、さまざまなラベル付けまたは人間によるレビュータスクで作業することもできます。

## 前提条件
<a name="sms-workforce-manage-private-oidc-prerequisites"></a>

OIDC IdP グループを使用してプライベートワークチームを作成および管理するには、まず SageMaker API オペレーション [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) を使用してワークフォースを作成する必要があります。詳細については[プライベートワークフォースを作成する (OIDC IdP)](sms-workforce-create-private-oidc.md)を参照してください。

## 作業チームを追加する
<a name="sms-workforce-manage-private-oidc-workteams"></a>

SageMaker AI コンソールを使用して、**[Ground Truth]** の **[ラベリングワークフォース]** ページで OIDC IdP ワークフォースを使用してプライベートワークチームを作成できます。Ground Truth ラベル付けジョブを作成している場合は、ラベル付けジョブを作成しながらプライベートワークチームを作成することもできます。

**注記**  
SageMaker AI コンソールの Ground Truth エリアで Amazon A2I の作業チームを作成および管理します。

SageMaker API と関連する言語固有の SDK を使用して、プライベートワークチームを作成することもできます。

次の手順を使用して、SageMaker AI コンソールと API を使用してプライベートワークチームを作成する方法を学習します。

**[Labeling workforces] (ラベル付けワークフォース) ページでプライベートワークチームを作成するには (コンソール)**

1. SageMaker AI コンソールの [Ground Truth] エリアに移動します: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。

1. **[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[Private]** (プライベート) を選択します。

1. **[Private teams]** (プライベートチーム) セクションで、**[Create private team]** (プライベートチームを作成) を選択します。

1. **[Team details]** (チームの詳細) セクションで、**[Team name]** (チーム名) を入力します。

1. **[Add workers]** (ワーカーを追加) セクションに、1 つのユーザーグループの名前を入力します。IdP のこのグループに関連付けられているすべてのワーカーが、この作業チームに追加されます。

1. 複数のユーザーグループを追加するには、**[Add new user group]** (新しいユーザーグループを追加) を選択し、この作業チームに追加するユーザーグループの名前を入力します。1 行に 1 つのユーザーグループを入力します。

1. (オプション) Ground Truth ラベル作成ジョブの場合、JWT のワーカーにメールを提供すると、SNS トピックを選択した場合に、新しいラベル付けタスクが利用可能になったときに、Ground Truth がワーカーに通知します。

1. **[Create private team]** (プライベートチームを作成)を選択します。

**Ground Truth ラベル作成ジョブの作成中にプライベート作業チームを作成する (コンソール)**

1. SageMaker AI コンソールの [Ground Truth] エリアに移動します: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。

1. **[Labeling jobs]** (ラベル付けジョブ) を選択します。

1. 「[ラベル付けジョブの作成 (コンソール)](sms-create-labeling-job-console.md)」の手順を使用して、ラベル付けジョブを作成します。2 ページ目の **[Workers]** (ワーカー) セクションに到達したら一旦作業を止めます。

1. ワーカーのタイプに **[Private]** (プライベート) を選択します。

1. **[Team name]** (チーム名) に入力します。

1. **[Add workers]** (ワーカーを追加) セクションで、**[User groups]** (ユーザーグループ) で 1 つのユーザーグループの名前を入力します。IdP のこのグループに関連付けられているすべてのワーカーが、この作業チームに追加されます。
**重要**  
**[User groups]** (ユーザーグループ) に指定したグループ名は、OIDC IdP で指定したグループ名と一致する必要があります。

1. 複数のユーザーグループを追加するには、**[Add new user group]** (新しいユーザーグループを追加) を選択し、この作業チームに追加するユーザーグループの名前を入力します。1 行に 1 つのユーザーグループを入力します。

1. 残りのステップをすべて完了し、ラベル付けジョブを作成します。

作成したプライベートチームはこのラベル付けジョブに使用され、SageMaker AI コンソールの **[ラベリングワークフォース]** セクションに表示されます。

**SageMaker API を使用してプライベートワークチームを作成するには**  
SageMaker API オペレーション `[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)` を使用して、プライベートワークチームを作成できます。

このオペレーションを使用する場合は、作業チームに含めるすべてのユーザーグループを`OidcMemberDefinition` パラメータ `Groups` に列挙します。

**重要**  
`Groups` に指定したグループ名は、OIDC IdP で指定したグループ名と一致する必要があります。

例えば、OIDC IdP でユーザーグループの名前が `group1`、`group2`、`group3` の場合は、`OidcMemberDefinition` を以下のように設定します。

```
 "OidcMemberDefinition": { 
    "Groups": ["group1", "group2", "group3"]
  }
```

さらに、`WorkteamName` パラメータを使用して、作業チームに名前を付ける必要があります。

## IdP グループを作業チームに追加または作業チームから削除する
<a name="sms-workforce-manage-private-oidc-workteam-update"></a>

作業チームを作成したら、SageMaker API を使用してその作業チームを管理できます。[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) オペレーションを使用して、その作業チームに含まれている IdP ユーザーグループを更新します。
+ `WorkteamName` パラメータを使用して、更新する作業チームを特定します。
+ このオペレーションを使用する場合は、作業チームに含めるすべてのユーザーグループを [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) パラメータ `Groups` に列挙します。作業チームに関連付けられているユーザーグループをこのリストに*含めない*場合、そのユーザーグループとこの作業チームとの関連付けはなくなります。

## 作業チームを削除する
<a name="sms-workforce-manage-private-oidc-workteam-delete"></a>

SageMaker AI コンソールと SageMaker API を使用して作業チームを削除できます。

**SageMaker AI コンソールでプライベートの作業チームを削除するには**

1. SageMaker AI コンソールの [Ground Truth] エリアに移動します: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。

1. **[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[Private]** (プライベート) を選択します。

1. **[Private teams]** (プライベートチーム) セクションで、削除する作業チームを選択します。

1. **[削除]** を選択します。

**プライベート作業チームを削除するには (API)**  
SageMaker API オペレーション `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` を使用して、プライベートの作業チームを削除できます。

## ワーカーを個別に管理する
<a name="sms-workforce-manage-private-oidc-worker-manage"></a>

独自の OIDC IdP を使用してワークフォースを作成する場合、Ground Truth または Amazon A2I を使用して個々のワーカーを管理することはできません。
+ 作業チームにワーカーを追加するには、その作業チームに関連付けられたグループにそのワーカーを追加します。
+ 作業チームからワーカーを削除するには、その作業チームに関連付けられているすべてのユーザーグループからそのワーカーを削除します。

## ワークフォースを更新、削除、説明する
<a name="sms-workforce-manage-private-oidc-workforce"></a>

SageMaker API を使用して OIDC IdP ワークフォースを更新、削除、説明できます。以下は、ワークフォースの管理に使用できる API オペレーションのリストです。ワークフォースの検索方法など、その他の詳細については、「[Amazon SageMaker API を使用したプライベートワークフォース管理](sms-workforce-management-private-api.md)」を参照してください。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) - 独自の OIDC IdP を使用して作成されたワークフォースを更新して、別の認可エンドポイント、トークンエンドポイント、または発行者を指定できます。このオペレーションを使用して、`[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` で見つかった任意のパラメータを更新できます。

  OIDC IdP の設定を更新できるのは、ワークフォースに関連付けられている作業チームがない場合のみです。作業チームの削除方法については、「[作業チームを削除する](#sms-workforce-manage-private-oidc-workteam-delete)」を参照してください。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) - このオペレーションを使用して、プライベートワークフォースを削除します。ワークフォースに関連付けられている作業チームがある場合は、ワークフォースを削除する前にそれらの作業チームを削除する必要があります。詳細については、「[作業チームを削除する](#sms-workforce-manage-private-oidc-workteam-delete)」を参照してください。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) - このオペレーションを使用して、ワークフォース名、Amazon リソースネーム (ARN)、許可されている IP アドレス範囲 (CIDR) (該当する場合) など、プライベートワークフォースの情報をリストします。

# Amazon SageMaker API を使用したプライベートワークフォース管理
<a name="sms-workforce-management-private-api"></a>

Amazon SageMaker API オペレーションを使用して、プライベートワークフォースを管理、更新、削除できます。以下のトピックにリストされている各 API オペレーションについて、サポートされている言語固有の SDK とそのドキュメントの一覧は、API ドキュメントの「**以下の資料も参照してください**」セクションで確認できます。

**Topics**
+ [ワークフォースの名前を見つける](sms-workforce-management-private-api-name.md)
+ [タスクへのワーカーアクセスを許容される IP アドレスに制限する](sms-workforce-management-private-api-cidr.md)
+ [デュアルスタックワークフォースを有効にする](sms-workforce-management-private-api-dualstack.md)
+ [OIDC ID プロバイダーのワークフォース設定を更新する](sms-workforce-management-private-api-update.md)
+ [プライベートワークフォースを削除する](sms-workforce-management-private-api-delete.md)

# ワークフォースの名前を見つける
<a name="sms-workforce-management-private-api-name"></a>

SageMaker AI の一部のワークフォース関連 API オペレーションでは、入力としてワークフォース名が必要です。Amazon Cognito または OIDC IdP のプライベートワークフォース名とベンダーワークフォース名は、その AWS リージョンの []() API オペレーションを使用して AWS リージョンで確認できます。独自の OIDC IdP を使用してワークフォースを作成した場合は、SageMaker AI コンソールの [Ground Truth] エリアでワークフォース名を見つけることができます。

**SageMaker AI コンソールでワークフォース名を見つけるには**

1. SageMaker AI コンソールの [Ground Truth] エリアに移動します: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。

1. **[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[Private]** (プライベート) を選択します。

1. **[Private workforce summary]** (プライベートワークフォースの概要) セクションで、ワークフォースの ARN を見つけます。ワークフォース名は、この ARN の末尾にあります。例えば、ARN が `arn:aws:sagemaker:us-east-2:111122223333:workforce/example-workforce` の場合、ワークフォース名は `example-workforce` です。

# タスクへのワーカーアクセスを許容される IP アドレスに制限する
<a name="sms-workforce-management-private-api-cidr"></a>

デフォルトでは、ワークフォースは特定の IP アドレスに制限されていません。[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) オペレーションを使用して、ワーカーが特定の範囲の IP アドレス ([CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)) を使用してタスクにアクセスするように要求できます。1 つ以上の CIDR を指定した場合、指定した範囲外の IP アドレスを使用してタスクにアクセスしようとするワーカーはアクセスを拒否され、ワーカーポータルで「HTTP 204 No Content」のエラーメッセージが表示されます。`UpdateWorkforce` を使用して、最大 10 個の CIDR 値を指定できます。

ワークフォースを 1 つ以上の CIDR に制限した後、`UpdateWorkforce` の出力に許可されるすべての CIDR が表示されます。また、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) オペレーションを使用して、ワークフォースに許容されるすべての CIDR を表示することもできます。

# デュアルスタックワークフォースを有効にする
<a name="sms-workforce-management-private-api-dualstack"></a>

[CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html) および [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html) API オペレーションを使用して、デュアルスタックワークフォースを有効にできます。デュアルスタックワークフォースの作成、既存のワークフォースのデュアルスタックへの更新、デュアルスタックから IPv4 へのワークフォースの変更は AWS マネジメントコンソールではサポートされていません。

**重要**  
`IpAddressType` が定義されていないワークフォースはデフォルトで `IPv4` になります。

## デュアルスタックワークフォースを作成する
<a name="sms-workforce-management-private-dualstack-create"></a>

デュアルスタックワークフォースを作成するプロセスは IPv4 専用ワークフォースを作成するプロセスと似ていますが、以下の例外があります。詳細については、「[CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html)」を参照してください。
+ VPC をプライベートワークフォースにアタッチするには、VPC もデュアルスタックで、IPv6 CIDR ブロックが VPC のサブネットに関連付けられていることを確認します。
+ `SourceIpConfig` パラメータを使用してトラフィックを特定の IP アドレス範囲に制限するには、IPv6 CIDR ブロックもリストに含まれていることを確認します。
+ タスクによってアクセスされる S3 バケットに `SourceIp` 条件があるポリシーを実装するには、それらのポリシーがデュアルスタック互換に更新されていることを確認します。
+ ID プロバイダの認証エンドポイントでデュアルスタックがサポートされている必要があります。詳細については、「[Authentication flow](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)」を参照してください。

**boto3 を使用した `CreateWorkforce` SDK コールの例**

詳細については、「[create\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/create_workforce.html#SageMaker.Client.create_workforce)」を参照してください。

```
import boto3

client = boto3.resource('sagemaker')

# IpAddressType = 'dualstack'|'ipv4'
client.create_workforce(
    WorkforceName='string',
    IpAddressType='dualstack',
    WorkforceConfig={
        'CognitoConfig': {
            'UserPool': 'string',
            'Client': 'string'
        }
    }
)
```

## デュアルスタックワークフォースを更新する
<a name="sms-workforce-management-private-dualstack-update"></a>

既存のワークフォースをデュアルスタックに更新する場合は、次の点に注意してください。詳細については、「[UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html)」と「[VPC の IPv6 サポート](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-migrate-ipv6.html)」を参照してください。
+ VPC がワークフォースにアタッチされている場合は、VPC をデュアルスタックに更新する必要があります。また、VPC のセキュリティグループで IPv6 トラフィックが許可されていることを確認します。
+ `SourceIpConfig` パラメータを使用している場合は、IPv6 CIDR ブロックを含めるように更新します。
+ タスクによってアクセスされる S3 バケットに `SourceIp` 条件があるポリシーを実装するには、それらのポリシーがデュアルスタック互換に更新されていることを確認します。
+ ID プロバイダの認証エンドポイントでデュアルスタックがサポートされている必要があります。詳細については、「[Authentication flow](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)」を参照してください。

**boto3 を使用した `UpdateWorkforce` SDK コールの例**

詳細については、「[update\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/update_workforce.html#SageMaker.Client.update_workforce)」を参照してください。

```
import boto3

client = boto3.resource('sagemaker')

# IpAddressType = 'dualstack'|'ipv4'
client.update_workforce(
    WorkforceName='string',
    IpAddressType='dualstack'
)
```

# OIDC ID プロバイダーのワークフォース設定を更新する
<a name="sms-workforce-management-private-api-update"></a>

独自の OIDC IdP を使用して作成されたワークフォースを更新して、別の認可エンドポイント、トークンエンドポイント、または発行者を指定できます。`[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` で見つかったパラメータは、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) オペレーションを使用して更新できます。

**重要**  
OIDC IdP の設定を更新できるのは、ワークフォースに関連付けられている作業チームがない場合のみです。`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` オペレーションを使用して、プライベートワークチームを削除できます。

# プライベートワークフォースを削除する
<a name="sms-workforce-management-private-api-delete"></a>

各 AWS リージョンには 1 つのプライベートワークフォースしか配置できません。次の場合に、 AWS リージョンのプライベートワークフォースを削除できます。
+ 新しい Amazon Cognito ユーザープールを使用してワークフォースを作成する場合。
+ Amazon Cognito を使用してプライベートワークフォースを既に作成しており、独自の OpenID Connect (OIDC) ID プロバイダー (IdP) を使用してワークフォースを作成したい場合。

プライベートワークフォースを削除するには、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) API オペレーションを使用します。ワークフォースに関連付けられている作業チームがある場合は、ワークフォースを削除する前にそれらの作業チームを削除する必要があります。`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` オペレーションを使用して、プライベートワークチームを削除できます。

# ワーカーのパフォーマンスメトリクスを追跡する
<a name="workteam-private-tracking"></a>

 Amazon SageMaker Ground Truth は、ワーカーがタスクを開始または送信したときなど、Amazon CloudWatch にワーカーイベントを記録します。Amazon CloudWatch メトリクスを使用して、チーム全体または個々のワーカーのスループットを測定および追跡します。

**重要**  
ワーカーイベントの追跡は、Amazon Augmented AI の人間によるレビューワークフローでは使用できません。

## トラッキングを有効にする
<a name="workteam-private-tracking-setup"></a>

 新しい作業チームのセットアッププロセス中に、Amazon CloudWatch のワーカーイベントのログ記録のアクセス許可が作成されます。この機能は 2019 年 8 月に追加されたため、それより前に作成された作業チームには正しいアクセス許可が付与されていない場合があります。すべての作業チームが 2019 年 8 月より前に作成されている場合は、新しい作業チームを作成します。メンバーは不要なため、作成後に削除できますが、作成することで、アクセス許可が確立され、すべての作業チームに適用されます。作成日は関係ありません。

## ログを使用してメトリクスを追跡する
<a name="workteam-private-tracking-logs"></a>

 追跡を有効にすると、ワーカーのアクティビティがログに記録されます。Amazon CloudWatch コンソールを開き、ナビゲーションペインで **[Logs]** (ログ) を選択します。「**/aws/sagemaker/groundtruth/WorkerActivity**」という名前のロググループが表示されます。

完了したタスクはそれぞれログエントリで表されますが、そのエントリにはワーカーやチーム、ジョブ、タスクの承認日時、タスクの送信日時に関する情報が含まれます。

**Example ログエントリ**  

```
{
  "worker_id": "cd449a289e129409",
  "cognito_user_pool_id": "us-east-2_IpicJXXXX",
  "cognito_sub_id": "d6947aeb-0650-447a-ab5d-894db61017fd",
  "task_accepted_time": "Wed Aug 14 16:00:59 UTC 2019",
  "task_submitted_time": "Wed Aug 14 16:01:04 UTC 2019",
  "task_returned_time": "",
  "task_declined_time": "",
  "workteam_arn": "arn:aws:sagemaker:us-east-2:############:workteam/private-crowd/Sample-labeling-team",
  "labeling_job_arn": "arn:aws:sagemaker:us-east-2:############:labeling-job/metrics-demo",
  "work_requester_account_id": "############",
  "job_reference_code": "############",
  "job_type": "Private",
  "event_type": "TasksSubmitted",
  "event_timestamp": "1565798464"
}
```

各イベントで有用なデータポイントは、`cognito_sub_id` です。これを個々のワーカーに一致させることができます。

1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. **[Ground Truth]** セクションで、**[Workforces]** (ワークフォース)] を選択します。

1. **[プライベート]** を選択してください。

1. **[Private teams]** (プライベートチーム) セクションで、チームの名前を選択します。

1. **[Team summary]** (チームの概要) パネルの **[Amazon Cognito user group]** (Amazon Cognito ユーザーグループ) で特定されたユーザーグループを選択します。Amazon Cognito コンソールのグループに移動します。

1. **[Group]** (グループ) ページには、グループ内のユーザーが一覧表示されます。**[Username]** 列の任意のユーザーのリンクを選択すると、一意の**サブ** ID を含むユーザーの詳細情報が表示されます。

チームのすべてのメンバーに関する情報を取得するには、Amazon Cognito API で [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html) アクション ([例](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-manage-user-accounts.html#cognito-user-pools-searching-for-users-listusers-api-examples)) を使用します。

## CloudWatch コンソールを使用してメトリクスを追跡する
<a name="workteam-private-tracking-metrics"></a>

生のログ情報を処理および視覚化する独自のスクリプトを作成しない場合は、Amazon CloudWatch メトリクスによって、ワーカーのアクティビティに関するインサイトが得られます。

**メトリクスを表示するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ナビゲーションペインで **[メトリクス]** を選択します。

1. `AWS/SageMaker/Workteam` 名前空間を選択後、[利用可能なメトリクス](monitoring-cloudwatch.md)を確認します。例えば、**[Workteam]** と **[Workforce]** のメトリクスを選択すると、特定のラベル付けジョブの送信済みタスクあたりの平均時間を計算できます。

詳細については、「[Amazon CloudWatch メトリクスの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)」を参照してください。

# Amazon SNS トピックを作成する
<a name="sms-workforce-management-private-sns"></a>

作業チームの通知用の Amazon SNS トピックを作成するステップは、*Amazon SNS デベロッパーガイド*の「[Getting Started](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)」のステップと似ていますが、1 つ重要な追加事項として、Amazon SageMaker AI がユーザーに代わってトピックにメッセージを発行できるようにアクセスポリシーを追加する必要があります。

コンソールを使用して作業チームを作成する場合、コンソールにはチーム用に新しいトピックを作成するオプションが用意されているため、以下のステップを実行する必要はありません。

**重要**  
Amazon SNS 機能は Amazon A2I でサポートされていません。作業チームを Amazon SNS トピックに登録すると、ワーカーは Ground Truth ラベル付けジョブに関する通知のみを受信します。Amazon A2I での人間によるレビューの新しいタスクに関する通知はワーカーには届きません。

**トピックの作成時にポリシーを追加するには**

1. Amazon SNS コンソールの[https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)を開いてください。

1. **[トピックの作成]** でトピックの名前を入力し、**[次のステップ]** を選択します。

1. **[アクセスポリシー]** で、**[Advanced]** (アドバンスト) を選択します。

1. **[JSON editor]** (JSON エディタ) で、トピックの ARN を表示する `Resource` プロパティを見つけます。

1. `Resource` ARN 値をコピーします。

1. 最後の閉じ括弧 (`]`) の前に、以下のポリシーを追加します。

   ```
       , {
           "Sid": "AwsSagemaker_SnsAccessPolicy",
           "Effect": "Allow",
           "Principal": {
               "Service": "sagemaker.amazonaws.com"
           },
           "Action": "sns:Publish",
           "Resource": "arn:partition:sns:region:111122223333:MyTopic", # ARN of the topic you copied in the previous step
           "Condition": {
               "ArnLike": {
                   "aws:SourceArn": "arn:partition:sagemaker:region:111122223333:workteam/*" # Workteam ARN
               },
               "StringEquals": {
                   "aws:SourceAccount": "111122223333" # SNS topic account
               }
           }
       }
   ```

1.  トピックを作成する。

作成されたトピックは **[トピック]** 概要画面に表示されます。トピックの作成の詳細については、「*Amazon SNS デベロッパーガイド*」の「[トピックの作成](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)」を参照してください。

# ワーカーサブスクリプションの管理
<a name="workteam-private-sns-manage-topic"></a>

作成済みの作業チームをトピックにサブスクライブした場合、その作成時にチームに追加された個々のメンバーはトピックに自動的にサブスクライブされません。ワーカーのメールアドレスをトピックにサブスクライブする方法については、「*Amazon SNS デベロッパーガイド*」の「[トピックへのエンドポイントのサブスクライブ](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)」を参照してください。

ワーカーがトピックに自動的にサブスクライブされる唯一の状況は、ワークチームの作成時に Amazon Cognito ユーザーグループを作成またはインポートし、***かつ***、そのワークチームの作成時にトピックサブスクリプションを設定する場合です。Amazon Cognito によるワークチームの作成および管理の詳細については、「[作業チームを作成する (Amazon Cognito コンソール)](sms-workforce-management-private-cognito.md#create-work-teams-cog)」を参照してください。