As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Força de trabalho privada
Uma **força de trabalho privada** é um grupo de operadores que *você* escolhe. Estes podem ser funcionários da sua empresa ou um grupo de especialistas no assunto do seu setor. Por exemplo, se a tarefa é rotular imagens médicas, você pode criar uma força de trabalho particular de pessoas com conhecimento das imagens em questão.
Cada conta AWS tem acesso a uma única força de trabalho privada por região, e o proprietário tem a capacidade de criar várias **equipes de trabalho** **privadas** dentro dessa força de trabalho. Uma única equipe de trabalho privada é usada para concluir um trabalho de rotulagem, uma tarefa de revisão humana ou um *trabalho*. É possível atribuir cada equipe de trabalho a um trabalho separado ou usar uma única equipe para vários trabalhos. Um único operador pode estar em mais de uma equipe de trabalho.
Sua força de trabalho privada pode ser criada e gerenciada usando o [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) ou seu próprio provedor de identidade (IdP) privado do OpenID Connect (OIDC).
Se você for um novo usuário do [Amazon SageMaker Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms.html) ou do [Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html) e não precisar que seus funcionários sejam gerenciados com seu próprio IdP, é recomendável usar o Amazon Cognito para criar e gerenciar sua força de trabalho privada.
Depois de criar uma força de trabalho, além de criar e gerenciar equipes de trabalho, você pode fazer o seguinte:
+ [Acompanhar o desempenho do operador](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html)
+ [Crie e gerencie tópicos do Amazon SNS](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html) para notificar os operadores quando tarefas de rotulagem estiverem disponíveis
+ [Gerenciar acesso da força de trabalho privada a tarefas usando endereços IP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-api.html)
**nota**
A força de trabalho privada é compartilhada entre o Ground Truth e o Amazon A2I. Para criar e gerenciar equipes de trabalho privadas usadas pelo Augmented AI, use a seção “Ground Truth” do console do SageMaker AI.
**Topics**
+ [Forças de trabalho do Amazon Cognito](sms-workforce-private-use-cognito.md)
+ [Forças de trabalho OIDC IdP](sms-workforce-private-use-oidc.md)
+ [Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker](sms-workforce-management-private-api.md)
+ [Rastreie as métricas de desempenho dos operadores](workteam-private-tracking.md)
+ [Criar o tópico do Amazon SNS](sms-workforce-management-private-sns.md)
# Forças de trabalho do Amazon Cognito
Crie e gerencie sua força de trabalho privada usando o Amazon Cognito quando quiser criá-la por meio do console do Amazon SageMaker AI ou não quiser arcar com os custos indiretos do gerenciamento de credenciais e autenticação de operadores. Quando você cria uma força de trabalho privada com o Amazon Cognito, ela fornece autenticação, autorização e gerenciamento de usuários para suas equipes privadas.
**Topics**
+ [Criar uma força de trabalho privada (Amazon Cognito)](sms-workforce-create-private.md)
+ [Gerenciar uma força de trabalho privada (Amazon Cognito)](sms-workforce-management-private.md)
# Criar uma força de trabalho privada (Amazon Cognito)
Ao usar o Amazon Cognito, você pode criar uma força de trabalho privada de uma das seguintes maneiras:
+ Crie uma força de trabalho enquanto você cria o trabalho de rotulagem. Para saber como, consulte [Criar uma força de trabalho do Amazon Cognito ao Criar um trabalho de rotulagem](sms-workforce-create-private-console.md#create-workforce-labeling-job).
+ Crie uma força de trabalho antes de criar o trabalho de rotulagem. Para saber como, consulte [Criar uma força de trabalho do Amazon Cognito usando a página Rotular forças de trabalho](sms-workforce-create-private-console.md#create-workforce-sm-console).
+ Importe uma força de trabalho existente depois de criar um grupo de usuários no console do Amazon Cognito. Para saber como, consulte [Criar uma força de trabalho privada (Console do Amazon Cognito)](sms-workforce-create-private-cognito.md).
Depois de criar uma força de trabalho privada, essa força de trabalho e todas as equipes de trabalho e os operadores associados a ela estão disponíveis para uso em todas as tarefas de trabalho de rotulagem do Ground Truth e em tarefas de fluxos de trabalho de revisão humana da Amazon Augmented AI.
Se você é novo na Amazon SageMaker AI e quer testar o Ground Truth ou o Amazon A2I, sugerimos que você crie uma equipe de trabalho privada composta por pessoas da sua organização usando o console. Use essa equipe de trabalho ao criar fluxos de trabalho de rotulagem ou de análise humana (definições de fluxo) para testar a interface do usuário do operador e o fluxo de trabalho.
**Topics**
+ [Crie uma força de trabalho privada (Amazon SageMaker AI Console)](sms-workforce-create-private-console.md)
+ [Criar uma força de trabalho privada (Console do Amazon Cognito)](sms-workforce-create-private-cognito.md)
# Crie uma força de trabalho privada (Amazon SageMaker AI Console)
Você pode criar uma força de trabalho privada no console do Amazon SageMaker AI de duas maneiras:
+ Ao criar um trabalho de etiquetagem na página de **trabalhos de etiquetagem** da seção Amazon SageMaker Ground Truth.
+ Usando a página **Labeling workforces** da seção Amazon SageMaker Ground Truth. Se você estiver criando uma força de trabalho privada para um fluxo de trabalho de análise humana do Amazon A2I, use esse método.
Ambos os métodos também criam uma equipe de trabalho padrão contendo todos os membros da força de trabalho. Essa força de trabalho privada está disponível para uso em trabalhos de Ground Truth e Amazon Augmented AI.
Quando você cria uma força de trabalho privada usando o console, a SageMaker IA usa o Amazon Cognito como provedor de identidade para sua força de trabalho. Se você quiser usar seu próprio provedor de identidade (IdP) do OpenID Connect (OIDC) para criar e gerenciar sua força de trabalho privada, você deve criar uma força de trabalho usando a operação da API. SageMaker `CreateWorkforce` Para saber mais, consulte [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Criar uma força de trabalho do Amazon Cognito ao Criar um trabalho de rotulagem
Se você não criou uma força de trabalho privada ao criar o trabalho de rotulagem, e você escolher usar operadores privados, será solicitado que você crie uma. Isso vai criar uma força de trabalho privada usando o Amazon Cognito.
**Como criar uma força de trabalho ao criar um trabalho de rotulagem (console)**
1. Abra o console de SageMaker IA em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, selecione **Trabalhos de rotulagem** e preencha todos os campos obrigatórios. Para obter instruções sobre como iniciar um trabalho de rotulagem, consulte [Introdução: crie um trabalho de rotulagem de caixa delimitadora com o Ground Truth](sms-getting-started.md). Escolha **Próximo**.
1. Selecione **Privado** para o tipo de força de trabalho.
1. Na seção **Workers (Operadores)** insira:
1. O **Nome da equipe**.
1. Endereços de e-mail de até 100 membros da força de trabalho. Os endereços de e-mail diferenciam maiúsculas de minúsculas. Os funcionários devem fazer login usando a mesma formatação usada quando o endereço foi inicialmente inserido. Você poderá adicionar outros membros da força de trabalho após a criação do trabalho.
1. O nome da sua organização. SageMaker A IA usa isso para personalizar o e-mail enviado aos trabalhadores.
1. Um endereço de e-mail de contato para os trabalhadores informarem problemas relacionados à tarefa.
Quando você cria o trabalho de rotulagem, um e-mail é enviado para cada operador, convidando-o a fazer parte da força de trabalho. Depois de criar a força de trabalho, você pode adicionar, excluir e desativar trabalhadores usando o console de SageMaker IA ou o console do Amazon Cognito.
## Criar uma força de trabalho do Amazon Cognito usando a página Rotular forças de trabalho
Para criar e gerenciar a força de trabalho privada, você pode usar a página **Rotular forças de trabalho**. Ao seguir as instruções abaixo, você tem a opção de criar uma força de trabalho privada inserindo e-mails de operadores importando uma força de trabalho pré-existente de um grupo de usuários do Amazon Cognito. Para importar uma força de trabalho, consulte [Criar uma força de trabalho privada (Console do Amazon Cognito)](sms-workforce-create-private-cognito.md).
**Como criar e-mails de operadores de uma força de trabalho privada**
1. Abra o console do Amazon SageMaker AI em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, selecione **Rotular forças de trabalho**.
1. Selecione **Privado** e escolha **Criar equipe privada**.
1. Selecione **Convidar novos operadores por e-mail**.
1. Cole ou digite uma lista de até 50 endereços de e-mail, separados por vírgulas, na caixa de endereços de e-mail.
1. Insira o nome de uma organização e um e-mail de contato.
1. Se preferir, selecione um tópico do SNS no qual inscrever a equipe para que os operadores sejam notificados por e-mail quando novos trabalhos de rotulagem do Ground Truth estiverem disponíveis. As notificações do Amazon SNS são suportadas pelo Ground Truth e não pela Augmented AI. Se você inscrever operadores para receberem notificações do SNS, eles receberão apenas notificações sobre tarefas de rótulos de veracidade do Ground Truth. Eles não receberão notificações sobre tarefas da IA aumentada.
1. Clique no botão **Criar equipe privada**.
Depois de importar a força de trabalho privada, atualize a página. Na página **Resumo da força de trabalho privada**, é possível ver informações sobre o grupo de usuários do Amazon Cognito para a força de trabalho, uma lista de equipes de trabalho da força de trabalho e uma lista de todos os membros da força de trabalho privada.
**nota**
Se você excluir todas as equipes de trabalho privadas, será necessário repetir esse processo para usar uma força de trabalho privada nessa região.
# Criar uma força de trabalho privada (Console do Amazon Cognito)
O Amazon Cognito é usado para definir e gerenciar a força de trabalho privada e as equipes de trabalho. É um serviço que você pode usar para criar identidades para os operadores e autenticar essas identidades com provedores de identidade. Uma força de trabalho privada corresponde a um único **grupo de usuários do Amazon Cognito**. As equipes de trabalho privadas correspondem a **grupos de usuários do Amazon Cognito **dentro desse grupo de usuários.
Exemplo de provedores de identidade compatíveis com o Amazon Cognito:
+ Provedores de login social, como o Facebook e o Google
+ Provedores OpenID Connect (OIDC)
+ Provedores de SAML (Security Assertion Markup Language), como o Active Directory
+ O provedor de identidade integrado do Amazon Cognito
Para obter mais informações, consulte [O que é o Amazon Cognito?](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html)
Para criar uma força de trabalho privada usando o Amazon Cognito, é necessário ter um grupo de usuários do Amazon Cognito existente contendo pelo menos um grupo de usuários. Consulte [Tutorial: Criar um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html) para saber como criar um grupo de usuários. Consulte [Adicionar grupos a um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html) para saber como adicionar um grupo de usuários a um grupo.
Depois que seu grupo de usuários for criado, siga as etapas abaixo para criar uma força de trabalho privada importando esse grupo de usuários para o Amazon SageMaker AI.
**Como criar uma força de trabalho privada importando um grupo de usuários do Amazon Cognito**
1. Abra o console de SageMaker IA em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, selecione **Rotular forças de trabalho**.
1. Selecione **Private (Privado)**.
1. Selecione **Criar equipe privada**. Isso cria uma força de trabalho privada e uma equipe de trabalho.
1. Para **importar operadores de grupos de usuários existentes do Amazon Cognito**.
1. Escolha um grupo de usuários que você criou. Os grupos de usuários exigem um domínio e um grupo de usuários existente. Se você receber um erro informando que o domínio está ausente, defina-o nas opções **Domain name** (Nome do domínio) na página **App integration** (Integração de aplicações) do console do Amazon Cognito do grupo.
1. Escolha um cliente de aplicação. Recomendamos usar um cliente gerado pela SageMaker IA.
1. Selecione um grupo de usuários do grupo para importar seus membros.
1. Opcionalmente, selecione um tópico do Amazon Simple Notification Service (Amazon SNS) no qual inscrever a equipe para que os operadores sejam notificados por e-mail quando novos trabalhos de rotulagem estiverem disponíveis. As notificações do Amazon SNS são suportadas pelo Ground Truth e não pela Augmented AI. Se você inscrever operadores para receberem notificações do SNS, eles receberão apenas notificações sobre tarefas de rótulos de veracidade do Ground Truth. Eles não receberão notificações sobre tarefas da IA aumentada.
1. Selecione **Criar equipe privada**.
**Importante**
Depois de criar uma força de trabalho usando um grupo de usuários do Amazon Cognito, ela não deve ser excluída sem antes excluir todas as equipes de trabalho associadas a esse grupo no SageMaker console de IA.
Depois de importar a força de trabalho privada, atualize a página para ver a página **Resumo da força de trabalho privada**. Nessa página, é possível ver informações sobre o grupo de usuários do Amazon Cognito da força de trabalho, uma lista de equipes de trabalho para da força de trabalho e uma lista de todos os membros da força de trabalho privada. Essa força de trabalho agora está disponível para uso no Amazon Augmented AI e no Amazon SageMaker Ground Truth para tarefas de revisão humana e trabalhos de rotulagem de dados, respectivamente.
# Gerenciar uma força de trabalho privada (Amazon Cognito)
Depois de criar uma força de trabalho privada usando o Amazon Cognito, você pode criar e gerenciar equipes de trabalho usando o console SageMaker Amazon AI e as operações de API.
Você pode fazer o seguinte usando o console de [SageMaker IA ou o console do](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-console.html) [Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-cognito.html).
+ Adicionar e excluir equipes de trabalho.
+ Adicionar operadores à sua força de trabalho e uma ou mais equipes de trabalho.
+ Desativar ou remover operadores de sua força de trabalho e uma ou mais equipes de trabalho. Se você adicionar operadores a uma força de trabalho usando o console do Amazon Cognito, será necessário usar o mesmo console para remover o operador da força de trabalho.
Você pode restringir o acesso às tarefas aos trabalhadores em endereços IP específicos usando a SageMaker API. Para obter mais informações, consulte [Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker](sms-workforce-management-private-api.md).
**Topics**
+ [Gerenciar uma força de trabalho (Amazon SageMaker AI Console)](sms-workforce-management-private-console.md)
+ [Gerencie uma força de trabalho privada (Amazon Cognito Console)](sms-workforce-management-private-cognito.md)
# Gerenciar uma força de trabalho (Amazon SageMaker AI Console)
Você pode usar o console Amazon SageMaker AI para criar e gerenciar as equipes de trabalho e os trabalhadores individuais que compõem uma força de trabalho privada.
Use uma equipe de trabalho para atribuir membros da força de trabalho privada a um *trabalho* de rotulagem ou de revisão humana. Quando você cria sua força de trabalho usando o console de SageMaker IA, há uma equipe de trabalho chamada **E veryone-in-private-workforce** que permite atribuir toda a sua força de trabalho a um trabalho. Como um grupo de usuários do Cognito da Amazon importado pode conter membros que você não deseja incluir nas suas equipes de trabalho, uma equipe de trabalho semelhante não é criada para grupos de usuários do Cognito da Amazon.
Você tem duas opções para criar uma equipe de trabalho.
+ Você pode criar uma equipe de trabalho no console de SageMaker IA e adicionar membros da sua força de trabalho à equipe.
+ Você pode criar um grupo de usuários usando o console do Amazon Cognito e, em seguida, criar uma equipe de trabalho por meio da importação do grupo de usuários. Você pode importar mais de um grupo de usuários para cada equipe de trabalho. Você gerencia os membros da equipe de trabalho atualizando o grupo de usuários no console do Amazon Cognito. Consulte [Gerencie uma força de trabalho privada (Amazon Cognito Console)](sms-workforce-management-private-cognito.md) para obter mais informações.
## Crie uma equipe de trabalho usando o console de SageMaker IA
Você pode criar um novo grupo de usuários do Amazon Cognito ou importar um grupo de usuários existente usando o console de SageMaker IA, na página **Labeling workforces**. Para ter mais informações sobre como criar um grupo de usuários no console do Amazon Cognito, consulte [Gerencie uma força de trabalho privada (Amazon Cognito Console)](sms-workforce-management-private-cognito.md).
**Para criar uma equipe de trabalho usando o console de SageMaker IA**
1. Abra o console de SageMaker IA em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Escolha **Forças de trabalho de rotulagem** no menu à esquerda.
1. Em **Private (Privado)**, selecione **Create private team (Criar equipe privada)**.
1. Em **Team details (Detalhes da equipe)**, insira um **Team name (Nome da equipe)**. O nome deve ser exclusivo em sua conta em uma AWS região.
1. Em **Add workers (Adicionar operadores)**, escolha um método para adicionar operadores à equipe usando um grupo de usuários.
+ Se você escolher **Criar uma equipe adicionando trabalhadores a um novo grupo de usuários do Amazon Cognito**, selecione os trabalhadores a serem adicionados à equipe.
+ Se você escolher **Criar uma equipe importando grupos de usuários existentes do Amazon Cognito**, escolha os grupos de usuários que fazem parte da nova equipe.
1. Se você escolher um **SNS topic (Tópico do SNS)**, todos os operadores adicionados à equipe serão inscritos no tópico do Amazon SNS e notificados quando novos itens de trabalho estiverem disponíveis para a equipe. Selecione em uma lista de seus tópicos do Amazon SNS existentes relacionados ao Ground Truth ou selecione **Criar novo tópico** para abrir uma caixa de diálogo de criação de tópico.
As notificações do SNS do Amazon são suportadas pelo Ground Truth e não pela IA Aumentada. Se você inscrever operadores para receberem notificações do SNS, eles receberão apenas notificações sobre tarefas de rótulos de veracidade do Ground Truth. Eles não receberão notificações sobre tarefas da IA aumentada.
Os operadores de uma equipe de trabalho inscritos em um tópico receberão notificações quando um novo trabalho de rotulagem do Ground Truth para essa equipe for disponibilizado e quando um trabalho estiver prestes a expirar.
Leia [Criar o tópico do Amazon SNS](sms-workforce-management-private-sns.md) para obter mais informações sobre como usar o tópico do Amazon SNS.
### Assinaturas
Depois de criar uma equipe de trabalho, você pode ver mais informações sobre a equipe e alterar ou definir o tópico do Amazon SNS no qual seus membros estão inscritos acessando o console do Amazon Cognito. Se você adicionou algum membro da equipe antes de inscrever a equipe em um tópico, precisará inscrever manualmente esses membros nesse tópico. Leia [Criar e gerenciar tópicos do Amazon SNS para as equipes de trabalho](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html) a fim de obter mais informações sobre como criar e gerenciar o tópico do Amazon SNS.
## Adicionar ou remover operadores
Uma *equipe de trabalho* é um grupo de operadores na sua força de trabalho aos quais é possível atribuir tarefas. Um operador pode ser adicionado a mais de uma equipe de trabalho. Depois que um operador é adicionado a uma equipe de trabalho, esse operador pode ser desabilitado ou removido.
### Adicionar operadores à força de trabalho
Adicionar um operador à força de trabalho permite que você adicione esse operador a qualquer equipe de trabalho dentro dessa força de trabalho.
**Para adicionar operadores usando a página de Resumo da força de trabalho privada**
1. Abra o console Amazon SageMaker AI em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Selecione **(Forças de trabalho de rotulagem)** para navegar até a página do Resumo da força de trabalho privada.
1. Selecione **Private (Privado)**.
1. Selecione **Convidar novos operadores**
1. Cole ou digite uma lista de endereços de e-mail, separados por vírgulas, na caixa de endereços de e-mail. É possível ter até 50 endereços de e-mail nessa lista.
### Adicionar um operador a uma equipe de trabalho
Um operador deve ser adicionado à força de trabalho antes de ser adicionado a uma equipe de trabalho. Para adicionar um operador a uma equipe de trabalho, navegue primeiro até a página **Private workforce summary (Resumo da força de trabalho privada)** usando as etapas acima.
**Como adicionar um operador a uma equipe de trabalho usando a página de resumo da força de trabalho privada.**
1. Na seção **Equipes privadas**, selecione a equipe à qual você deseja adicionar os operadores.
1. Selecione a guia **Operadores**.
1. Selecione **Adicionar operadores à equipe** e selecione as caixas ao lado dos operadores que deseja adicionar.
1. Clique em **Adicionar operadores à equipe**.
### Desativar e remover um operador da força de trabalho
A desativação de um operador impede que o ele receba um trabalho. Essa ação não remove o operador da força de trabalho nem de qualquer equipe de trabalho à qual ele está associado. Para desativar ou remover um operador de uma equipe de trabalho, primeiro navegue até a página de resumo da força de trabalho privada usando as etapas acima.
**Como desativar um operador usando a página do Resumo da força de trabalho privada**
1. Na seção **Workers (Operadores)**, selecione o operador que você deseja desativar.
1. Escolha **Disable**.
Se desejar, você poderá **Enable (Ativar)** um operador logo depois que ele foi desativado.
Você pode remover trabalhadores da sua força de trabalho privada diretamente no console de SageMaker IA se esse trabalhador tiver sido adicionado a esse console. Se você adicionou o operador (usuário) no console do Amazon Cognito, consulte [Gerencie uma força de trabalho privada (Amazon Cognito Console)](sms-workforce-management-private-cognito.md) para saber como remover o operador no console do Amazon Cognito.
**Como remover um operador usando a página do resumo da força de trabalho privada**
1. Na seção **Operadores**, selecione o operador que você deseja excluir.
1. Se o operador não tiver sido desativado, selecione **Disable (Desativar)**.
1. Escolha o operador e selecione **Delete (Excluir)**.
# Gerencie uma força de trabalho privada (Amazon Cognito Console)
Uma força de trabalho privada corresponde a um único **grupo de usuários do Amazon Cognito**. As equipes de trabalho privadas correspondem a **grupos de usuários do Amazon Cognito** dentro desse grupo de usuários. Os operadores correspondem aos **usuários do Amazon Cognito** dentro desses grupos.
Após a criação da força de trabalho, você pode adicionar equipes de trabalho e operadores individuais por meio do console do Amazon Cognito. Você também pode excluir operadores da força de trabalho privada ou removê-los de equipes individuais no console do Amazon Cognito.
**Importante**
Não é possível excluir equipes de trabalho do console do Amazon Cognito. A exclusão de um grupo de usuários do Amazon Cognito associado a uma equipe de trabalho SageMaker da Amazon AI resultará em um erro. Para remover equipes de trabalho, use o console de SageMaker IA.
## Criar equipes de trabalho (console do Amazon Cognito)
Você pode criar uma nova equipe de trabalho para concluir um trabalho adicionando um grupo de usuários do Amazon Cognito ao grupo de usuários associado à sua força de trabalho privada. Para adicionar um grupo de usuários do Amazon Cognito a um grupo de operadores existente, consulte [Adicionar grupos a um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html).
**Como criar uma equipe de trabalho usando um grupo de usuários do Amazon Cognito existente**
1. Abra o console de SageMaker IA em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, selecione **Workforces (Forças de trabalho)**.
1. Em **Private teams (Equipes privadas)**, selecione **Create private team (Criar equipe privada)**.
1. Em **Detalhes da equipe**, dê um nome à equipe. O nome deve ser exclusivo em sua conta em uma AWS região.
1. Em **Adicionar trabalhadores,** escolha **Importar grupos de usuários existentes do Amazon Cognito** e escolha um ou mais grupos de usuários que façam parte da nova equipe.
1. Se você selecionar um **tópico do SNS**, todos os operadores adicionados à equipe serão inscritos no tópico do Amazon Simple Notification Service (Amazon SNS) e notificados quando novos itens de trabalho estiverem disponíveis para a equipe. Escolha entre uma lista de seus tópicos existentes do SNS relacionados ao SageMaker Ground Truth ou ao Amazon Augmented AI ou escolha **Criar novo tópico** para criar um.
**nota**
As notificações do SNS do Amazon são suportadas pelo Ground Truth e não pela IA Aumentada. Se você inscrever operadores para receberem notificações do SNS, eles receberão apenas notificações sobre tarefas de rótulos de veracidade do Ground Truth. Eles não receberão notificações sobre tarefas da IA Aumentada.
### Assinaturas
Depois de criar uma equipe de trabalho, você pode ver mais informações sobre a equipe e alterar ou definir o tópico do SNS no qual seus membros estão inscritos usando o console do Amazon Cognito. Se você adicionou algum membro da equipe antes de inscrever a equipe em um tópico, precisará inscrever manualmente esses membros nesse tópico. Para obter mais informações, consulte [Criar o tópico do Amazon SNS](sms-workforce-management-private-sns.md).
## Adicionar e remover trabalhadores (Amazon Cognito Console)
Ao usar o console do Amazon Cognito para adicionar operadores a uma equipe de trabalho, é necessário adicionar um usuário ao grupo de usuários associado à força de trabalho antes de adicioná-lo a um grupo de usuários. Os usuários podem ser adicionados a um grupo de usuários de várias maneiras. Para obter mais informações, consulte [Cadastrar e confirmar contas de usuário](https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html).
### Adicionar um operador a uma equipe de trabalho
Depois de um usuário ter sido adicionado a um grupo, ele pode ser associado a grupos de usuários dentro desse grupo. Depois que um usuário foi adicionado a um grupo de usuários, esse usuário se torna um operador em qualquer equipe de trabalho criada usando esse grupo de usuários.
**Como adicionar um usuário a um grupo de usuários**
1. Abra o console do Amazon Cognito:. [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)
1. Selecione **Manage User Pools**.
1. Escolha o grupo de usuários associado à sua força de trabalho de SageMaker IA.
1. Em **General Settings (Configurações gerais)**, selecione **Users and Groups (Usuários e grupos)** e siga um destes procedimentos:
+ Selecione **Groups (Grupos)**, escolha o grupo ao qual você deseja adicionar o usuário e selecione **Add users (Adicionar usuários)**. Escolha os usuários que deseja adicionar ao escolher o ícone mais à direita do nome de usuário.
+ Selecione **Users (Usuários)**, escolha o usuário que deseja adicionar ao grupo de usuários e selecione **Add to group (Adicionar ao grupo)**. No menu suspenso, escolha o grupo e selecione **Add to group (Adicionar ao grupo)**.
### Desativar e remover um operador de uma equipe de trabalho
A desativação de um operador impede que o operador receba trabalhos. Essa ação não remove o operador da força de trabalho e nem de nenhuma equipe de trabalho à qual ele está associado. Para remover um usuário de uma equipe de trabalho no Amazon Cognito, remova o usuário do grupo de usuários associado a essa equipe.
**Desativar um operador (console do Amazon Cognito)**
1. Abra o console do Amazon Cognito:. [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)
1. Selecione **Manage User Pools**.
1. Escolha o grupo de usuários associado à sua força de trabalho de SageMaker IA.
1. Em **General Settings (Configurações gerais)**, selecione **Users and Groups (Usuários e grupos)**.
1. Escolha o usuário que deseja desativar.
1. Selecione **Desabilitar usuário**.
É possível ativar um usuário desativado selecionando **Enable User (Ativar usuário)**.
**Como remover um usuário de um grupo de usuários (console do Amazon Cognito)**
1. Abra o console do Amazon Cognito:. [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)
1. Selecione **Manage User Pools**.
1. Escolha o grupo de usuários associado à sua força de trabalho de SageMaker IA.
1. Em **General Settings (Configurações gerais)**, selecione **Users and Groups (Usuários e grupos)**.
1. Na guia **Usuário**, selecione o ícone **X** à direita do grupo do qual você deseja remover o usuário.
# Forças de trabalho OIDC IdP
Crie uma força de trabalho privada usando um provedor de identidade (IdP) do OpenID Connect (OIDC) quando quiser gerenciar e autenticar seus operadores usando seu próprio IdP do OIDC. As credenciais individuais do operador e outros dados serão mantidos em sigilo. A Ground Truth e o Amazon A2I só terão visibilidade das informações dos operadores que você fornecer por meio das solicitações enviadas a esses serviços. Para criar uma força de trabalho usando um IdP OIDC, seu IdP deve apoiar *grupos* porque o Ground Truth e o Amazon A2I mapeiam um ou mais grupos em seu IdP para uma equipe de trabalho. Para saber mais, consulte [Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp).
Se você for um novo usuário do Ground Truth ou do Amazon A2I, poderá testar a interface do usuário e o fluxo de trabalho do seu operador criando uma equipe de trabalho privada e adicionando você mesmo como operador. Use essa equipe de trabalho ao criar um trabalho de rotulagem ou um fluxo de trabalho de revisão humana. Primeiro, crie uma força de trabalho privada do OIDC IdP usando as instruções em [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md). A seguir, consulte [Gerenciar uma força de trabalho privada (OIDC IdP)](sms-workforce-manage-private-oidc.md) para saber como criar uma equipe de trabalho.
**Topics**
+ [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md)
+ [Gerenciar uma força de trabalho privada (OIDC IdP)](sms-workforce-manage-private-oidc.md)
# Criar uma força de trabalho privada (OIDC IdP)
Crie uma força de trabalho privada usando um provedor de identidades (IdP) do OpenID Connect (OIDC) quando quiser autenticar e gerenciar seus operadores usando seu próprio provedor de identidades. Use esta página para saber como configurar seu IdP para se comunicar com o Amazon SageMaker Ground Truth (Ground Truth) ou o Amazon Augmented AI (Amazon A2I) e aprender como criar uma força de trabalho usando seu próprio IdP.
Para criar uma força de trabalho usando um IdP OIDC, seu IdP deve oferecer suporte a *grupos* porque o Ground Truth e o Amazon A2I usam um ou mais grupos que você especifica para criar equipes de trabalho. Você usa equipes de trabalho para especificar trabalhadores para seus trabalhos de rotulagem e tarefas de revisão humana. Como os grupos não são uma [declaração padrão](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims), a convenção do seu IdP pode ter uma de nomenclatura diferente para um grupo de usuários (trabalhadores). Portanto, você deve identificar um ou mais grupos de declaração personalizada `sagemaker:groups` que é enviada para o Ground Truth ou Amazon A2I do seu IdP. Para saber mais, consulte [Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](#sms-workforce-create-private-oidc-configure-idp).
Você cria uma força de trabalho do OIDC IdP usando a operação da API. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Depois de criar uma força de trabalho privada, essa força de trabalho e todas as equipes de trabalho e os operadores associados a ela estão disponíveis para uso em todas as tarefas de trabalho de rotulagem do Ground Truth e em tarefas de fluxos de trabalho de revisão humana do Amazon A2I. Para saber mais, consulte [Crie uma força de trabalho IdP OIDC](#sms-workforce-create-private-oidc-createworkforce).
## Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I
Quando você usa seu próprio IdP, o Ground Truth e o Amazon A2I usam seu `Issuer`, `ClientId` e `ClientSecret` para autenticar trabalhadores, obtendo um CÓDIGO de autenticação do seu `AuthorizationEndpoint`.
A Ground Truth e o Amazon A2I usarão esse CÓDIGO para obter uma declaração personalizada de seu IdP `TokenEndpoint` ou `UserInfoEndpoint`. Você pode configurar `TokenEndpoint` para retornar um token web JSON (JWT) ou `UserInfoEndpoint` para retornar um objeto JSON. O objeto JWT ou JSON deve conter declarações obrigatórias e opcionais que você especificar. Uma [declaração](https://openid.net/specs/openid-connect-core-1_0.html#Terminology) é um par de valores-chave que contém informações sobre um trabalhador ou metadados sobre o serviço OIDC. A tabela a seguir lista as declarações que devem ser incluídas e que, opcionalmente, podem ser incluídas no objeto JWT ou JSON que seu IdP retorna.
**nota**
Alguns dos parâmetros na tabela a seguir podem ser especificados usando um `:` ou `-`. Por exemplo, você pode especificar os grupos aos quais um trabalhador pertence usando `sagemaker:groups` ou `sagemaker-groups` em sua declaração.
| Nome | Obrigatório | Formato e valores aceitos | Description | Exemplo |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` ou `sagemaker-groups` | Sim | **Tipo de dados**: Se um trabalhador pertencer a um único grupo, identifique o grupo usando uma string. Se um trabalhador pertencer a vários grupos de caracteres, use uma lista de até 10 sequências de caracteres. **Caracteres permitidos**: Regex: [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **Cotas**: 10 grupos por trabalhador 63 caracteres por nome de grupo | Atribui um trabalhador a um ou mais grupos. Os grupos são usados para mapear o trabalhador em equipes de trabalho. | Exemplo de trabalhador que pertence a um único grupo: `"work_team1"` Exemplo de um trabalhador que pertence a mais de um grupo: `["work_team1", "work_team2"]` |
| `sagemaker:sub` ou `sagemaker-sub` | Sim | **Tipo de dados**: String | Isso é obrigatório para rastrear a identidade de um trabalhador dentro da plataforma Ground Truth para auditoria e identificar as tarefas realizadas por esse trabalhador. Para ADFS: os clientes devem usar o Identificador de Segurança Primário (SID). | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` ou `sagemaker-client_id` | Sim | **Tipo de dados**: String **Caracteres permitidos**: Regex: [\$1w\$1-]\$1 **Cotas**: 128 caracteres | Um ID de cliente. Todos os tokens devem ser emitidos para esse ID de cliente. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` ou `sagemaker-name` | Sim | **Tipo de dados**: String | O nome do trabalhador a ser exibido no portal do trabalhador. | `"Jane Doe"` |
| `email` | Não | **Tipo de dados**: String | O e-mail do trabalhador. O Ground Truth usa esse e-mail para notificar os trabalhadores de que eles foram convidados para trabalhar em tarefas de rotulagem. O Ground Truth também usará esse e-mail para notificar seus funcionários quando as tarefas de rotulagem estiverem disponíveis, caso você configure um tópico do Amazon SNS para uma equipe de trabalho da qual esse funcionário faça parte. | `"example-email@domain.com"` |
| `email_verified` | Não | **Tipo de dados**: Bool **Valores aceitos**: `True`, `False` | Indica se o e-mail do usuário foi verificado ou não. | `True` |
Veja a seguir um exemplo da sintaxe do objeto JSON `UserInfoEndpoint` que você pode retornar.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
O Ground Truth ou o Amazon A2I compara os grupos listados `sagemaker:groups` ou `sagemaker-groups` para verificar se seu trabalhador pertence à equipe de trabalho especificada no trabalho de rotulagem ou na tarefa de revisão humana. Depois que a equipe de trabalho é verificada, as tarefas de rotulagem ou revisão humana são enviadas a esse funcionário.
## Crie uma força de trabalho IdP OIDC
Você pode criar uma força de trabalho usando a operação da SageMaker API `CreateWorkforce` e a linguagem SDKs específica associada. Especifique um `WorkforceName` e informações sobre seu OIDC IDP no parâmetro `OidcConfig`. É recomendável que você configure seu OIDC com um URI de redirecionamento de espaço reservado e, em seguida, atualize o URI com o URL do portal do trabalhador depois de criar a força de trabalho. Para saber mais, consulte [Configure seu IdP OIDC](#sms-workforce-create-private-oidc-configure-url).
Veja a seguir um exemplo da solicitação. Consulte [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) para saber mais sobre cada parâmetro nessa solicitação.
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### Configure seu IdP OIDC
A forma como você configura seu IdP OIDC depende do IdP que você usa e dos requisitos de sua empresa.
Ao configurar seu IdP, você deve especificar um URI de retorno de chamada ou redirecionamento. Depois que o Ground Truth ou o Amazon A2I autenticarem um trabalhador, esse URI redirecionará o trabalhador para o portal do trabalhador, onde os trabalhadores poderão acessar tarefas de rotulagem ou revisão humana. Para criar uma URL do portal do trabalhador, você precisa criar uma força de trabalho com os detalhes do seu IdP do OIDC usando a [operação da API `CreateWorkforce`](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html). Especificamente, você deve configurar seu IdP do OIDC com as declarações personalizadas necessárias do sagemaker (consulte a próxima seção para obter mais detalhes). Portanto, é recomendável que você configure seu OIDC com um URI de redirecionamento de espaço reservado e, em seguida, atualize o URI depois de criar a força de trabalho. Consulte [Crie uma força de trabalho IdP OIDC](#sms-workforce-create-private-oidc-createworkforce) para saber como criar uma força de trabalho usando essa API.
Você pode visualizar a URL do seu portal de trabalho no console SageMaker Ground Truth ou usando a operação de SageMaker API,`DescribeWorkforce`. A URL do portal do trabalhador está no parâmetro [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) na resposta.
**Importante**
Certifique-se de adicionar o subdomínio da força de trabalho à sua lista de permissões de IdP do OIDC. Quando você adiciona o subdomínio à sua lista de permissões, ele deve terminar com `/oauth2/idpresponse`.
**Para visualizar a URL do portal do trabalhador após criar uma força de trabalho privada (Console):**
1. Abra o console de SageMaker IA em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, selecione **Rotular forças de trabalho**.
1. Selecione a guia **Privado** .
1. No **resumo da força de trabalho privada**, você verá o URL de **login do portal de rotulagem**. Esta é a URL do seu portal de trabalho.
**Para visualizar a URL do portal do trabalhador após criar uma força de trabalho privada (API):**
Quando criar uma força de trabalho privada usando `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)`, você especifica um `WorkforceName`. Use esse nome para ligar [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html). A tabela a seguir inclui exemplos de solicitações usando AWS CLI AWS SDK para Python (Boto3) e.
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## Valide sua resposta de autenticação da força de trabalho do OIDC IdP
Depois de criar sua força de trabalho IdP OIDC, use o procedimento a seguir para validar o fluxo de trabalho de autenticação usando cURL. Esse procedimento pressupõe que você tenha acesso a um terminal e que tenha o cURL instalado.
**Valide sua resposta de autorização do OIDC IdP:**
1. Obtenha um código de autorização usando um URI configurado da seguinte forma:
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. Substitua *`{AUTHORIZE ENDPOINT}`* pelo endpoint de autorização do seu IdP do OIDC.
1. `{CLIENT ID}`Substitua pela ID do cliente do seu OAuth cliente.
1. Substitua *`{REDIRECT URI}`* pela URL do portal do trabalhador. Se ainda não estiver presente, você deverá adicionar `/oauth2/idpresponse` ao final do URL.
1. Se tiver um escopo personalizado, use-o para substituir `{SCOPE}`. Se não tiver um escopo personalizado, substitua `{SCOPE}` por `openid`.
Veja a seguir um exemplo de URI após as modificações acima serem feitas:
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. Copie e cole o URI modificado da etapa 1 em seu navegador e pressione Enter no teclado.
1. Autentique usando seu IdP.
1. Copie o parâmetro de consulta do código de autenticação no URI. Esse parâmetro começa com `code=`. Veja a seguir um exemplo de como pode ser a resposta. Neste exemplo, copie `code=MCNYDB...` e tudo o que vier depois.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. Abra um terminal e digite o seguinte comando depois de fazer as modificações necessárias listadas abaixo:
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. Substitua `{TOKEN ENDPOINT}` pelo endpoint do token do seu IdP do OIDC.
1. `{CLIENT ID}`Substitua pela ID do cliente do seu OAuth cliente.
1. `{CLIENT SECRET}`Substitua pelo segredo do cliente do seu OAuth cliente.
1. Substitua `{CODE}` pelo parâmetro de consulta do código de autenticação que você copiou na etapa 4.
1. Substitua *`{REDIRECT URI}`* pela URL do portal do trabalhador.
Veja a seguir um exemplo da solicitação cURL após fazer as modificações descritas acima:
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. Essa etapa depende do tipo de retorno do `access_token` IdP, de um token de acesso de texto simples ou de um token de acesso JWT.
+ Se seu IdP não suportar tokens de acesso JWT, `access_token` pode ser texto sem formatação (por exemplo, um UUID). A resposta que você vê pode ser semelhante à seguinte. Nesse caso, vá para a etapa 7.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ Se o seu IdP suportar tokens de acesso JWT, a etapa 5 deverá gerar um token de acesso no formato JWT. Por exemplo, a resposta pode ser semelhante ao seguinte exemplo:
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
Copie o JWT e decodifique-o. Você pode usar o script python ou um site de terceiros para decodificá-lo. Por exemplo, você pode acessar o site [https://jwt.io/](https://jwt.io/) e colar o JWT na caixa **Codificado** para decodificá-lo.
Certifique-se de que a resposta decodificada contenha o seguinte:
+ As reivindicações de SageMaker IA **necessárias** na tabela encontrada em[Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Caso contrário, você deverá reconfigurar seu IdP do OIDC para conter essas declarações.
+ O [emissor](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer) que você especificou ao configurar a força de trabalho do IdP.
1. Em um terminal, digite o seguinte comando depois de fazer as modificações necessárias listadas abaixo:
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. Substitua `{USERINFO ENDPOINT}` pelo endpoint das informações do usuário do seu IdP do OIDC.
1. Substitua `{ACCESS TOKEN}` pelo token de acesso na resposta que você recebeu na etapa 7. Essa é a entrada para o parâmetro `"access_token"`.
Veja a seguir um exemplo da solicitação cURL após fazer as modificações descritas acima:
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. A resposta para a etapa final do procedimento acima pode ser semelhante ao bloco de código a seguir.
Se o `access_token` retornado na etapa 6 for texto sem formatação, você deverá verificar se essa resposta contém as informações necessárias. Nesse caso, a resposta deve conter as declarações de SageMaker IA **necessárias** na tabela encontrada em[Envie reivindicações obrigatórias e opcionais para o Ground Truth e o Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Por exemplo, `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## Próximas etapas
Depois de criar uma força de trabalho privada usando seu IdP e verificar sua resposta de autenticação de IdP, você pode criar equipes de trabalho usando seus grupos de IdP. Para saber mais, consulte [Gerenciar uma força de trabalho privada (OIDC IdP)](sms-workforce-manage-private-oidc.md).
Você pode restringir o acesso dos trabalhadores às tarefas a endereços IP específicos e atualizar ou excluir sua força de trabalho usando a SageMaker API. Para saber mais, consulte [Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker](sms-workforce-management-private-api.md).
# Gerenciar uma força de trabalho privada (OIDC IdP)
Depois de criar uma força de trabalho privada usando seu provedor de identidade (IdP) do OpenID Connect (OIDC), você pode gerenciar seus operadores usando seu IdP. Por exemplo, você pode adicionar, remover e agrupar trabalhadores diretamente por meio do seu IdP.
Para adicionar trabalhadores a um trabalho de rotulagem do Amazon SageMaker Ground Truth (Ground Truth) ou à tarefa de revisão humana do Amazon Augmented AI (Amazon A2I), você cria equipes de trabalho usando de 1 a 10 grupos de IdP e atribui essa equipe de trabalho ao trabalho ou tarefa. Você atribui uma equipe de trabalho a um trabalho ou tarefa especificando essa equipe de trabalho ao criar um trabalho de rotulagem (Ground Truth) ou um fluxo de trabalho de revisão humana (Amazon A2I).
Você só pode atribuir uma equipe para cada trabalho de rotulagem ou fluxo de trabalho de análise humana. Você pode usar a mesma equipe para criar vários trabalhos de rotulagem ou tarefas de revisão humana. Você também pode criar várias equipes de trabalho para trabalhar em diferentes trabalhos de rotulagem ou tarefas de revisão humana.
## Pré-requisitos
Para criar e gerenciar equipes de trabalho privadas usando seus grupos de IdP do OIDC, primeiro você deve criar uma força de trabalho usando a operação da API. SageMaker [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Para saber mais, consulte [Criar uma força de trabalho privada (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Adicione equipes de trabalho
**Você pode usar o console de SageMaker IA para criar uma equipe de trabalho privada usando sua força de trabalho do OIDC IdP na **página Labeling** workforces em Ground Truth.** Se você estiver criando um trabalho de rotulagem do Ground Truth, você também pode criar uma equipe de trabalho privada ao criar um trabalho de rotulagem.
**nota**
Você cria e gerencia equipes de trabalho para o Amazon A2I na área Ground Truth do console de SageMaker IA.
Você também pode usar a SageMaker API e a linguagem associada específica SDKs para criar uma equipe de trabalho privada.
Use os procedimentos a seguir para aprender a criar uma equipe de trabalho privada usando o console de SageMaker IA e a API.
**Para criar uma equipe de trabalho privada na página Labeling workforces (console)**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Forças de trabalho de rotulagem**.
1. Selecione **Privado**.
1. Na seção **Equipes privadas**, selecione **Criar equipe privada**.
1. Na seção **Detalhes da equipe**, insira o **nome da equipe**.
1. Na seção **Adicionar trabalhadores**, insira o nome de um único grupo de usuários. Todos os trabalhadores associados a esse grupo em seu IdP são adicionados a essa equipe de trabalho.
1. Para adicionar mais de um grupo de usuários, selecione **Adicionar novo grupo de usuários** e insira os nomes dos grupos de usuários que você deseja adicionar a essa equipe de trabalho. Insira um grupo de usuários por linha.
1. (Opcional) Para trabalhos de rotulagem do Ground Truth, se você fornecer um e-mail para os operadores em seu JWT, o Ground Truth notificará os trabalhadores quando uma nova tarefa de rotulagem estiver disponível se você selecionar um tópico SNS.
1. Selecione **Criar equipe privada**.
**Como criar uma equipe de trabalho privada ao criar um trabalho de rotulagem Ground Truth (console)**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Trabalhos de rotulagem**.
1. Use as instruções em [Criar um trabalho de rotulagem (console)](sms-create-labeling-job-console.md) para criar um trabalho de rotulagem. Pare quando chegar à seção **Operadores** na segunda página.
1. Selecione **Privado** para seu tipo de operador.
1. Insira um **Nome de equie**.
1. Na seção **Adicionar trabalhadores**, insira o nome de um único grupo de usuários em **Grupos de usuários**. Todos os trabalhadores associados a esse grupo em seu IdP são adicionados a essa equipe de trabalho.
**Importante**
Os nomes dos grupos que você especificar para **grupos de usuários** devem corresponder aos nomes dos grupos especificados no seu IdP do OIDC.
1. Para adicionar mais de um grupo de usuários, selecione **Adicionar novo grupo de usuários** e insira os nomes dos grupos de usuários que você deseja adicionar a essa equipe de trabalho. Insira um grupo de usuários por linha.
1. Conclua todas as etapas restantes para criar seu trabalho de rotulagem.
A equipe privada que você cria é usada para esse trabalho de rotulagem e está listada na seção **Rotulagem de forças de trabalho** do console de SageMaker IA.
**Para criar uma equipe de trabalho privada usando a SageMaker API**
Você pode criar uma equipe de trabalho privada usando a operação SageMaker da API`[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`.
Ao usar essa operação, liste todos os grupos de usuários que você deseja incluir na equipe de trabalho no `OidcMemberDefinition` parâmetro `Groups`.
**Importante**
Os nomes dos grupos que você especificar para `Groups` devem corresponder aos nomes dos grupos especificados no seu IdP do OIDC.
Por exemplo, se os nomes dos seus grupos de usuários forem `group1`, `group2` e `group3` no seu IdP do OIDC, configure `OidcMemberDefinition` da seguinte forma:
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
Além disso, você deve dar um nome à equipe de trabalho usando o parâmetro `WorkteamName`.
## Adicionar ou remover grupos de IdP das equipes de trabalho
Depois de criar uma equipe de trabalho, você pode usar a SageMaker API para gerenciar essa equipe de trabalho. Use a operação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) para atualizar os grupos de usuários do IdP incluídos nessa equipe de trabalho.
+ Use o parâmetro `WorkteamName` para identificar a equipe de trabalho que você deseja atualizar.
+ Ao usar essa operação, liste todos os grupos de usuários que você deseja incluir na equipe de trabalho no parâmetro[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) `Groups`. Se um grupo de usuários estiver associado a uma equipe de trabalho e você *não* o incluir nessa lista, esse grupo de usuários não estará mais associado a essa equipe de trabalho.
## Excluir uma equipe de trabalho
Você pode excluir uma equipe de trabalho usando o console de SageMaker IA e a SageMaker API.
**Para excluir uma equipe de trabalho privada no console de SageMaker IA**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Forças de trabalho de rotulagem**.
1. Selecione **Privado**.
1. Na seção **Equipes privadas**, selecione a equipe à qual você deseja excluir.
1. Selecione **Excluir**.
**Para excluir uma equipe de trabalho privada (API)**
Você pode excluir uma equipe de trabalho privada usando a operação SageMaker da API`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
## Gerencie trabalhadores individuais
Quando você cria uma força de trabalho usando seu próprio OIDC IdP, você não pode usar o Ground Truth ou o Amazon A2I para gerenciar trabalhadores individuais.
+ Para adicionar um trabalhador a uma equipe de trabalho, adicione-o a um grupo associado a essa equipe de trabalho.
+ Para remover um trabalhador de uma equipe de trabalho, remova-o de todos os grupos de usuários associados a essa equipe de trabalho.
## Atualize, exclua e descreva sua força de trabalho
Você pode atualizar, excluir e descrever sua força de trabalho do OIDC IdP usando a API. SageMaker A seguir, uma lista de operações de API que podem ser usadas para gerenciar sua força de trabalho. Para obter detalhes adicionais, incluindo como você pode localizar o nome da sua força de trabalho, consulte [Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker](sms-workforce-management-private-api.md).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) – Talvez você queira atualizar uma força de trabalho criada usando seu próprio IdP do OIDC para especificar um endpoint de autorização, endpoint do token ou emissor diferente. Você pode atualizar qualquer parâmetro encontrado no `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` usando essa operação.
Você só pode atualizar sua configuração de IdP do OIDC quando não houver equipes de trabalho associadas à sua força de trabalho. Para saber como excluir equipes de trabalho, consulte [Excluir uma equipe de trabalho](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) – Use essa operação para excluir sua força de trabalho privada. Se você tiver alguma equipe de trabalho associada à sua força de trabalho, exclua essas equipes de trabalho antes de excluir sua força de trabalho. Para obter mais informações, consulte [Excluir uma equipe de trabalho](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)— Use essa operação para listar informações privadas da força de trabalho, incluindo nome da força de trabalho, Amazon Resource Name (ARN) e, se aplicável, intervalos de endereços IP permitidos (). CIDRs
# Gerenciamento de força de trabalho privada usando a API da Amazon SageMaker
Você pode usar as operações de SageMaker API da Amazon para gerenciar, atualizar e excluir sua força de trabalho privada. Para cada operação de API listada nos tópicos a seguir, você pode encontrar uma lista de linguagens específicas suportadas SDKs e sua documentação na seção **Consulte também** da documentação da API.
**Topics**
+ [Encontre o nome da sua força de trabalho](sms-workforce-management-private-api-name.md)
+ [Restrinja o acesso do operador às tarefas aos endereços IP permitidos](sms-workforce-management-private-api-cidr.md)
+ [Habilitar uma força de trabalho de pilha dupla](sms-workforce-management-private-api-dualstack.md)
+ [Atualizar a configuração da força de trabalho do provedor de identidade OIDC](sms-workforce-management-private-api-update.md)
+ [Excluir uma força de trabalho privada](sms-workforce-management-private-api-delete.md)
# Encontre o nome da sua força de trabalho
Algumas das operações de API relacionadas à força de trabalho de SageMaker IA exigem o nome da força de trabalho como entrada. Você pode ver os nomes da força de trabalho privada e do fornecedor do Amazon Cognito ou do IdP do OIDC em AWS uma região usando a operação de API nessa região. []() AWS Se você criou sua força de trabalho usando seu próprio IdP do OIDC, você pode encontrar o nome da sua força de trabalho na área Ground Truth do console de IA. SageMaker
**Para encontrar o nome da sua força de trabalho no console de SageMaker IA**
1. Vá para a área Ground Truth do console de SageMaker IA: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Selecione **Forças de trabalho de rotulagem**.
1. Selecione **Privado**.
1. Na seção **Resumo da força de trabalho privada**, localize o ARN da sua força de trabalho. O nome da sua força de trabalho está localizado no final desse ARN. Por exemplo, se o ARN for `arn:aws:sagemaker:us-east-2:111122223333:workforce/example-workforce`, o nome da força de trabalho será `example-workforce`.
# Restrinja o acesso do operador às tarefas aos endereços IP permitidos
Por padrão, uma força de trabalho não está restrita a endereços IP específicos. Você pode usar a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html)operação para exigir que os trabalhadores usem um intervalo específico de endereços IP ([CIDRs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)) para acessar as tarefas. Se você especificar um ou mais CIDRs, os trabalhadores que tentarem acessar tarefas usando qualquer endereço IP fora dos intervalos especificados serão negados e receberão uma mensagem de erro HTTP 204 Sem conteúdo no portal do trabalhador. É possível especificar até 10 valores CIDR usando `UpdateWorkforce`.
Depois de restringir sua força de trabalho a uma ou mais CIDRs, a saída das `UpdateWorkforce` listas é todas CIDRs permitidas. Você também pode usar a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)operação para ver tudo o que é permitido CIDRs para uma força de trabalho.
# Habilitar uma força de trabalho de pilha dupla
Você pode habilitar uma força de trabalho de pilha dupla usando as operações de API e. [CreateWorkforce[UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html)](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html) A criação de uma força de trabalho de pilha dupla, a atualização de uma força de trabalho existente para pilha dupla e a mudança de uma força de trabalho de pilha dupla para outra não são aceitas no. IPv4 Console de gerenciamento da AWS
**Importante**
Uma força de trabalho sem um `IpAddressType` padrão definido para `IPv4`.
## Criar uma força de trabalho de pilha dupla
O processo para criar uma força de trabalho de pilha dupla é semelhante à criação de uma força de trabalho exclusiva, com as IPv4 exceções indicadas abaixo. Para obter mais informações, consulte [CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html).
+ Para conectar uma VPC à força de trabalho privada, certifique-se de que a VPC também seja de pilha dupla, com blocos CIDR IPv6 associados às sub-redes da VPC.
+ Para usar o `SourceIpConfig` parâmetro para restringir o tráfego a um intervalo de endereços IP específico, certifique-se de que os blocos IPv6 CIDR também estejam incluídos na lista.
+ Para implementar políticas com condições `SourceIp` em buckets do S3 acessados por suas tarefas, é necessário atualizar essas políticas para que sejam compatíveis com pilha dupla.
+ O endpoint de autenticação do seu provedor de identidades deve ser compatível com pilha dupla. Para ter mais informações, consulte [Authentication flow](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow).
**Exemplo de chamada de `CreateWorkforce` SDK usando boto3**
Para ter mais informações, consulte [create\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/create_workforce.html#SageMaker.Client.create_workforce).
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.create_workforce(
WorkforceName='string',
IpAddressType='dualstack',
WorkforceConfig={
'CognitoConfig': {
'UserPool': 'string',
'Client': 'string'
}
}
)
```
## Atualizar uma força de trabalho de pilha dupla
Ao atualizar uma força de trabalho existente para ser de pilha dupla, observe o seguinte: Para obter mais informações, consulte [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html)e [IPv6 suporte para sua VPC](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-migrate-ipv6.html).
+ Se uma VPC estiver conectada à força de trabalho, você deverá atualizá-la para que seja de pilha dupla. Além disso, certifique-se de que todos os grupos de segurança da VPC permitam IPv6 tráfego.
+ Se você estiver usando o `SourceIpConfig` parâmetro, atualize-o para incluir blocos IPv6 CIDR.
+ Para implementar políticas com condições `SourceIp` em buckets do S3 acessados por suas tarefas, é necessário atualizar essas políticas para que sejam compatíveis com pilha dupla.
+ O endpoint de autenticação do seu provedor de identidades deve ser compatível com pilha dupla. Para ter mais informações, consulte [Authentication flow](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow).
**Exemplo de chamada de `UpdateWorkforce` SDK usando boto3**
Para ter mais informações, consulte [update\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/update_workforce.html#SageMaker.Client.update_workforce).
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.update_workforce(
WorkforceName='string',
IpAddressType='dualstack'
)
```
# Atualizar a configuração da força de trabalho do provedor de identidade OIDC
Talvez você queira atualizar uma força de trabalho criada usando seu próprio IdP do OIDC para especificar um endpoint de autorização, endpoint de token ou emissor diferente. Você pode atualizar qualquer parâmetro encontrado no uso `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` da operação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html).
**Importante**
Você só pode atualizar sua configuração de IdP do OIDC quando não houver equipes de trabalho associadas à sua força de trabalho. Você pode excluir uma equipe de trabalho privada usando a operação `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
# Excluir uma força de trabalho privada
Você só pode ter uma força de trabalho privada em cada AWS região. Talvez você queira excluir sua força de trabalho privada em uma AWS região quando:
+ Você quer criar uma força de trabalho usando um novo grupo de usuários do Amazon Cognito.
+ Você já criou uma força de trabalho privada usando o Amazon Cognito e quer criar uma força de trabalho usando seu próprio provedor de identidade (IdP) do OpenID Connect (OIDC).
Para excluir uma força de trabalho privada, use a operação da API da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html). Se você tiver alguma equipe de trabalho associada à sua força de trabalho, exclua essas equipes de trabalho antes de excluir sua força de trabalho. Você pode excluir uma equipe de trabalho privada usando a operação `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
# Rastreie as métricas de desempenho dos operadores
O Amazon SageMaker Ground Truth faz o log de eventos do operador no Amazon CloudWatch, da mesma forma que um operador inicia ou envia uma tarefa. Use métricas do Amazon CloudWatch para medir e rastrear a throughput em uma equipe ou para operadores individuais.
**Importante**
O rastreamento de eventos do operador não está disponível para fluxos de trabalho de revisão humana do Amazon Augmented AI.
## Ativar rastreamento
Durante o processo de configuração para uma nova equipe de trabalho, as permissões de Amazon CloudWatch para registro de eventos do de operador são criadas. Como esse atributo foi adicionado em agosto de 2019, as equipes de trabalho criadas antes disso podem não ter as permissões corretas. Se todas as suas equipes de trabalho foram criadas antes de agosto de 2019, crie uma nova equipe de trabalho. Ela não precisa de nenhum membro e pode ser excluída após a criação, mas ao criá-la, você estabelece as permissões e as aplica a todas as equipes de trabalho, independentemente de quando elas foram criadas.
## Rastreie as métricas usando logs
Depois que o rastreamento for ativado, a atividade dos operadores será registrada em log. Abra o console do Amazon CloudWatch e selecione **Logs** no painel de navegação. Você deve ver um grupo de logs chamado **/aws/sagemaker/groundtruth/WorkerActivity**.
Cada tarefa concluída é representada por uma entrada de log, que contém informações sobre o operador, sua equipe, o trabalho, quando a tarefa foi aceita e quando ela foi enviada.
**Example Entrada de log**
```
{
"worker_id": "cd449a289e129409",
"cognito_user_pool_id": "us-east-2_IpicJXXXX",
"cognito_sub_id": "d6947aeb-0650-447a-ab5d-894db61017fd",
"task_accepted_time": "Wed Aug 14 16:00:59 UTC 2019",
"task_submitted_time": "Wed Aug 14 16:01:04 UTC 2019",
"task_returned_time": "",
"task_declined_time": "",
"workteam_arn": "arn:aws:sagemaker:us-east-2:############:workteam/private-crowd/Sample-labeling-team",
"labeling_job_arn": "arn:aws:sagemaker:us-east-2:############:labeling-job/metrics-demo",
"work_requester_account_id": "############",
"job_reference_code": "############",
"job_type": "Private",
"event_type": "TasksSubmitted",
"event_timestamp": "1565798464"
}
```
Um ponto de dados útil em cada evento é o `cognito_sub_id`. Você pode fazer a correspondência com um operador individual.
1. Abra o console do Amazon SageMaker AI em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Na seção **Ground Truth**, selecione **Forças de trabalho**.
1. Selecione **Private (Privado)**.
1. Escolha o nome de uma equipe na seção **Equipes privadas**.
1. Na seção **Resumo da equipe**, selecione o grupo de usuários identificado em **Grupo de usuários do Amazon Cognito**. Isso o levará ao grupo no console do Amazon Cognito.
1. A página **Group (Grupo)** lista os usuários no grupo. Escolha o link de qualquer usuário na coluna **Username (Nome de usuário)** para ver mais informações sobre o usuário, incluindo um **sub ID (ID secundário)** exclusivo.
Para obter informações sobre todos os membros da equipe, use a ação [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html) ([exemplos](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-manage-user-accounts.html#cognito-user-pools-searching-for-users-listusers-api-examples)) na API do Amazon Cognito.
## Rastreie as métricas usando o console do CloudWatch
Se você não quiser escrever seus próprios scripts para processar e visualizar as informações brutas do log, as métricas do Amazon CloudWatch fornecerão insights sobre a atividade do operador para você.
**Para visualizar métricas da**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. Selecione o namespace `AWS/SageMaker/Workteam` e explore as [métricas disponíveis](monitoring-cloudwatch.md). Por exemplo, selecionar as métricas **Workflow** e **Workteam** permite calcular o tempo médio por tarefa enviada para um trabalho de rotulagem específico.
Para obter mais informações, consulte [Usar métricas do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html).
# Criar o tópico do Amazon SNS
As etapas para criar tópicos do Amazon SNS para notificações da equipe de trabalho são semelhantes às etapas de [conceitos básicos](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) no *Guia do desenvolvedor do Amazon SNS*, com uma adição significativa: você deve adicionar uma política de acesso para que o Amazon SageMaker AI publique mensagens no tópico em seu nome.
Se você criar uma equipe de trabalho usando o console, o console fornecerá uma opção para criar um novo tópico para a equipe, de modo que não precise executar essas etapas.
**Importante**
O atributo Amazon SNS não é compatível com o Amazon A2I. Se você inscrever sua equipe de trabalho em um tópico do Amazon SNS, os operadores só receberão notificações sobre trabalhos de rotulagem do Ground Truth. Os operadores não receberão notificações sobre novas tarefas de revisão humana do Amazon A2I.
**Para adicionar a política ao criar o tópico**
1. Abra o console do Amazon SNS em [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. Em **Criar tópico**, insira o nome do tópico e escolha **Próximas etapas**.
1. Em **Política de acesso**, selecione **Avançado**.
1. No **Editor JSON**, localize a propriedade `Resource`, que exibe o ARN do tópico.
1. Copie o valor de ARN de `Resource`.
1. Antes do colchete de fechamento final (`]`), adicione a política a seguir.
```
, {
"Sid": "AwsSagemaker_SnsAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:partition:sns:region:111122223333:MyTopic", # ARN of the topic you copied in the previous step
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:partition:sagemaker:region:111122223333:workteam/*" # Workteam ARN
},
"StringEquals": {
"aws:SourceAccount": "111122223333" # SNS topic account
}
}
}
```
1. Criar o tópico do .
Depois que você criar o tópico, ele será exibido na tela de resumo **Tópicos**. Para obter mais informações sobre como criar tópicos, consulte [Criar um tópico](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html) no *Guia do desenvolvedor do Amazon SNS*.
# Gerenciar inscrições do operador
Se você inscrever uma equipe de trabalho em um tópico depois de já ter criado a equipe de trabalho, os membros individuais da equipe que tiverem sido adicionados à equipe quando ela foi criada não serão inscritos automaticamente no tópico. Para obter informações sobre como fazer a assinatura com os endereços de e-mail dos operadores no tópico, consulte [Assinando um endpoint para um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon SNS*.
A única situação em que os operadores são automaticamente inscritos no seu tópico é quando você cria ou importa um grupo de usuários do Amazon Cognito no momento em que cria uma equipe de trabalho ***e*** configura a assinatura de tópico ao criar essa equipe. Para obter mais informações sobre como criar e gerenciar suas equipes de trabalho com o Amazon Cognito, consulte [Criar equipes de trabalho (console do Amazon Cognito)](sms-workforce-management-private-cognito.md#create-work-teams-cog).