As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Permissões e segurança na Amazon Augmented AI
Ao usar o Amazon Augmented AI (Amazon A2I) para criar um fluxo de trabalho de revisão humana para seu aplicativo de ML/AI, você cria e configura *recursos* no SageMaker Amazon AI, como uma força de trabalho humana e modelos de tarefas de trabalhadores. Para configurar e iniciar um loop humano, você integra o Amazon A2I a outros AWS serviços, como o Amazon Textract ou o Amazon Rekognition, ou usa a API Amazon Augmented AI Runtime. Para criar um fluxo de trabalho de revisão humana e iniciar um ciclo humano, você deve anexar determinadas políticas à sua função ou usuário AWS Identity and Access Management (IAM). Especificamente:
+ Quando você inicia um ciclo humano usando dados de entrada de imagem em ou após 12 de janeiro de 2020, é necessário adicionar uma política de cabeçalho CORS (Cross-Origin Resource Sharing) ao bucket do Amazon S3 que contém seus dados de entrada. Para saber mais, consulte [Requisitos de permissão do CORS](#a2i-cors-update).
+ Ao criar uma definição de fluxo, você precisa fornecer uma função que concede permissão ao Amazon A2I para acessar o Amazon S3, tanto para ler objetos que são renderizados em uma interface de tarefa humana quanto para gravar os resultados da revisão humana.
Essa função também deve ter uma política de confiança anexada para dar permissão à SageMaker IA para assumir a função. Isso permite que o Amazon A2I execute ações de acordo com as permissões que você anexa à função.
Consulte [Adicionar permissões ao perfil do IAM usadas para criar uma definição de fluxo](#a2i-human-review-permissions-s3) para obter políticas de exemplo que você pode modificar e anexar à função que você usa para criar uma definição de fluxo. Essas são as políticas anexadas à função do IAM criada na seção de **fluxos de trabalho de revisão humana** da área Amazon A2I do SageMaker console de IA.
+ Para criar e iniciar loops humanos, use uma operação de API em um tipo de tarefa interno (como `DetectModerationLabel` ou `AnalyzeDocument`) ou a operação de API `StartHumanLoop` do Amazon A2I runtime em uma aplicação de ML personalizada. Você precisa anexar a política gerenciada `AmazonAugmentedAIFullAccess` ao usuário que invoca essas operações de API para conceder permissão a esses serviços para usar operações do Amazon A2I. Para saber como, consulte [Criar um usuário que possa invocar operações de API do Amazon A2I](#create-user-grants).
Essa política *não* concede permissão para invocar as operações de API do AWS serviço associado aos tipos de tarefas incorporados. Por exemplo, a política `AmazonAugmentedAIFullAccess` não concede permissão para chamar a operação de API `DetectModerationLabel` do Amazon Rekognition ou a operação de API `AnalyzeDocument` do Amazon Textract. Você pode usar a política mais geral, `AmazonAugmentedAIIntegratedAPIAccess`, para conceder essas permissões. Para obter mais informações, consulte [Crie um usuário com permissões para invocar as operações da API do Amazon A2I, Amazon Textract e Amazon Rekognition](#a2i-grant-general-permission). Essa é uma boa opção quando você deseja conceder a um usuário amplas permissões para usar o Amazon A2I e as operações de API AWS dos serviços integrados.
Se você quiser configurar permissões mais granulares, consulte [Exemplos de políticas baseadas em identidade do Amazon Rekognition](https://docs.aws.amazon.com/rekognition/latest/dg/security_iam_id-based-policy-examples.html) e [Exemplos de políticas baseadas em identidade do Amazon Textract](https://docs.aws.amazon.com/textract/latest/dg/security_iam_id-based-policy-examples.html) para obter políticas baseadas em identidade que podem ser usadas para conceder permissão para usar esses serviços individuais.
+ Para visualizar o modelo personalizado da interface do operador da tarefa, você precisa de um perfil do IAM com permissões para ler objetos do Amazon S3 que são renderizados na sua interface do usuário. Consulte um exemplo de política em [Habilitar visualizações do modelo de tarefa de operador](#permissions-for-worker-task-templates-augmented-ai).
**Topics**
+ [Requisitos de permissão do CORS](#a2i-cors-update)
+ [Adicionar permissões ao perfil do IAM usadas para criar uma definição de fluxo](#a2i-human-review-permissions-s3)
+ [Criar um usuário que possa invocar operações de API do Amazon A2I](#create-user-grants)
+ [Crie um usuário com permissões para invocar as operações da API do Amazon A2I, Amazon Textract e Amazon Rekognition](#a2i-grant-general-permission)
+ [Habilitar visualizações do modelo de tarefa de operador](#permissions-for-worker-task-templates-augmented-ai)
+ [Usando o Amazon A2I com AWS KMS buckets criptografados](#a2i-kms-encryption)
+ [Permissões e recursos de segurança adicionais](#additional-security-resources-augmented-ai)
## Requisitos de permissão do CORS
No início de 2020, navegadores amplamente utilizados como o Chrome e o Firefox alteraram seu comportamento padrão para girar imagens com base nos metadados da imagem, conhecidos como [dados EXIF](https://en.wikipedia.org/wiki/Exif). Anteriormente, as imagens eram exibidas nos navegadores exatamente como eram armazenadas no disco, geralmente sem rotação. Após a alteração, as imagens agora giram de acordo com um metadado da imagem chamado *valor de orientação*. Isso tem implicações importantes para toda a comunidade de machine learning (ML). Por exemplo, se a orientação EXIF não for considerada, as aplicações usadas para anotar imagens podem exibir imagens em orientações inesperadas e resultar em rótulos incorretos.
A partir do Chrome 89, não é mais AWS possível impedir automaticamente a rotação de imagens porque o grupo de padrões da web W3C decidiu que a capacidade de controlar a rotação de imagens viola a Política de Mesma Origem da Web. Portanto, para garantir que os operadores humanos anotem suas imagens de entrada em uma orientação previsível ao enviar solicitações para criar um loop humano, você deve adicionar uma política de cabeçalho CORS aos buckets do S3 que contêm suas imagens de entrada.
**Importante**
Se você não adicionar uma configuração CORS aos buckets do S3 que contém seus dados de entrada, as tarefas de revisão humana desses objetos de dados de entrada falharão.
Você pode adicionar uma política de CORS a um bucket do S3 que contém dados de entrada no console do Amazon S3. Para definir os cabeçalhos CORS necessários no bucket do S3 que contém suas imagens de entrada no console do S3, siga as instruções detalhadas em [Como faço para adicionar o compartilhamento de recursos entre domínios com o CORS?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-cors-configuration.html). Use o código de configuração CORS a seguir para os buckets que hospedam as imagens. Se você usar o console do Amazon S3 para adicionar a política ao bucket, deverá usar o formato JSON.
**JSON**
```
[{
"AllowedHeaders": [],
"AllowedMethods": ["GET"],
"AllowedOrigins": ["*"],
"ExposeHeaders": []
}]
```
**XML**
```
*
GET
```
O seguinte GIF demonstra as instruções encontradas na documentação do Amazon S3 para adicionar uma política de cabeçalho CORS usando o console do Amazon S3:
![\[Gif de como adicionar uma política de cabeçalho CORS usando o console do Amazon S3.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/sms/gifs/cors-config.gif)
## Adicionar permissões ao perfil do IAM usadas para criar uma definição de fluxo
Para criar uma definição de fluxo, anexe as políticas desta seção à função que você usa ao criar um fluxo de trabalho de revisão humana no console de SageMaker IA ou ao usar a operação da `CreateFlowDefinition` API.
+ Se você estiver utilizando o console para criar um fluxo de trabalho de revisão humana, insira o nome do recurso da Amazon (ARN) do perfil no campo **Perfil do IAM** ao [criar um fluxo de trabalho de análise humana no console](https://docs.aws.amazon.com/sagemaker/latest/dg/create-human-review-console.html).
+ Ao criar uma definição de fluxo usando a API, anexe essas políticas à função que é passada para o parâmetro `RoleArn` da operação `CreateFlowDefinition`.
Quando você cria um fluxo de trabalho de análise humana (definição de fluxo), o Amazon A2I invoca o Amazon S3 para concluir a tarefa. Para conceder permissão ao Amazon A2I para recuperar e armazenar seus arquivos no seu bucket do Amazon S3, crie a seguinte política e a anexe à sua função: Por exemplo, se as imagens, documentos e outros arquivos que você está enviando para revisão humana estiverem armazenados em um bucket do S3 chamado `my_input_bucket` e se você quiser que as revisões humanas sejam armazenadas em um bucket chamado `my_output_bucket`, crie a política a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::my_input_bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::my_output_bucket/*"
]
}
]
}
```
------
Além disso, a função do IAM deve ter a seguinte política de confiança para dar permissão à SageMaker IA para assumir a função. Para obter mais informações sobre políticas de confiança do IAM, consulte a seção [Políticas Baseadas em Recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) na sessão **Políticas e Permissões** da documentação do *AWS Identity and Access Management (IAM)*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obter mais informações sobre como criar e gerenciar políticas e perfis do IAM, consulte os seguintes tópicos no *Guia do usuário do AWS Identity and Access Management *:
+ Para criar um perfil do IAM, consulte [Criar um perfil para delegar permissões a um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
+ Para saber como criar políticas do IAM, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html).
+ Para saber como anexar uma política do IAM a um perfil, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
## Criar um usuário que possa invocar operações de API do Amazon A2I
Para usar o Amazon A2I para criar e iniciar loops humanos para Amazon Rekognition, Amazon Textract ou API de runtime do Amazon A2I, você deve usar um usuário que tenha permissões para invocar operações do Amazon A2I. Para fazer isso, utilize o console do IAM para anexar a política gerenciada [https://console.aws.amazon.com/iam/home?region=us-east-2#/policies/arn:aws:iam::aws:policy/AmazonAugmentedAIFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home?region=us-east-2#/policies/arn:aws:iam::aws:policy/AmazonAugmentedAIFullAccess$jsonEditor) a um usuário novo ou existente.
Essa política concede permissão a um usuário para invocar operações de API da SageMaker API para criação e gerenciamento de definições de fluxo e da API Amazon Augmented AI Runtime para criação e gerenciamento de ciclos humanos. Para saber mais sobre essas operações de API, consulte [Use APIs in Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-api-references.html).
A política `AmazonAugmentedAIFullAccess` não concede permissões para usar operações da API do Amazon Rekognition ou do Amazon Textract.
**nota**
Você também pode anexar a política `AmazonAugmentedAIFullAccess` a um perfil do IAM que é usada para criar e iniciar um ciclo humano.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Crie um usuário com permissões para invocar as operações da API do Amazon A2I, Amazon Textract e Amazon Rekognition
Para criar um usuário que tem permissão para invocar as operações da API usadas pelos tipos de tarefa incorporados (ou seja, `DetectModerationLables` para o Amazon Rekognition e `AnalyzeDocument` para o Amazon Textract) e permissão para usar todas as operações da API do Amazon A2I, anexe a política gerenciada do IAM, `AmazonAugmentedAIIntegratedAPIAccess`. Você pode querer usar essa política quando desejar conceder permissões amplas a um usuário que utiliza o Amazon A2I com mais de um tipo de tarefa. Para saber mais sobre essas operações de API, consulte [Use APIs in Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-api-references.html).
**nota**
Você também pode anexar a política `AmazonAugmentedAIIntegratedAPIAccess` a um perfil do IAM que é usada para criar e iniciar um ciclo humano.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Habilitar visualizações do modelo de tarefa de operador
Para personalizar a interface e as instruções que os operadores veem ao trabalhar em suas tarefas, você cria um modelo de tarefa de operador. Você pode criar o modelo usando a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html)operação ou o console de SageMaker IA.
Para visualizar seu modelo, você precisa de um perfil do IAM com as seguintes permissões para ler objetos do Amazon S3 que são renderizados na sua interface do usuário:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::my_input_bucket/*"
]
}
]
}
```
------
Para os tipos de tarefas Amazon Rekognition e Amazon Textract, você pode visualizar seu modelo usando a seção Amazon Augmented AI do console de IA. SageMaker Para tipos de tarefa personalizados, você visualiza seu modelo invocando a operação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html). Para visualizar o modelo, siga as instruções para o tipo de tarefa:
+ SageMaker Tipos de tarefas Amazon Rekognition e Amazon Textract — No console de IA, use o Amazon Resource Name (ARN) da função no procedimento documentado em. [Criar um modelo de tarefa de trabalho](a2i-worker-template-console.md#a2i-create-worker-template-console)
+ Tipos de tarefa personalizados - Na operação `RenderUiTemplate`, utilize o ARN da função no parâmetro `RoleArn`.
## Usando o Amazon A2I com AWS KMS buckets criptografados
Se você especificar uma chave AWS Key Management Service (AWS KMS) gerenciada pelo cliente para criptografar os dados de saída em `OutputConfig` of [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), deverá adicionar uma política do IAM semelhante à seguinte para essa chave. Essa política dá à função de execução do IAM que você usa para criar seus loops humanos permissão para usar essa chave para realizar todas as ações listadas em `"Action"`. Para saber mais sobre essas ações, consulte [AWS KMS as permissões](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) no Guia do AWS Key Management Service desenvolvedor.
Para usar essa política, substitua o ARN do perfil de serviço do IAM pelo ARN `"Principal"` da função de execução que você usa para criar o fluxo de trabalho de revisão humana (definição de fluxo). Quando você cria um trabalho de etiquetagem usando `CreateFlowDefinition`, esse é o ARN para o qual você especifica para [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn). Observe que você não pode fornecer um `KmsKeyId` ao criar uma definição de fluxo no console.
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Permissões e recursos de segurança adicionais
+ [Controle o acesso aos recursos de SageMaker IA usando tags](security_iam_id-based-policy-examples.md#access-tag-policy).
+ [Políticas baseadas em identidade para Amazon AI SageMaker](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies)
+ [Controle a criação de recursos de SageMaker IA com chaves de condição](security_iam_id-based-policy-examples.md#sagemaker-condition-examples)
+ [Permissões da API Amazon SageMaker AI: referência de ações, permissões e recursos](api-permissions-reference.md)
+ [Configure a segurança na Amazon SageMaker AI](security.md)