本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Ground Truth 使用 IAM 受管政策
<a name="sms-security-permissions-get-started"></a>

SageMaker AI 和 Ground Truth 提供可建立標籤工作的 AWS 受管政策。如要開始使用 Ground Truth，而且不需要使用案例的精細授權，建議您使用下列政策：
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)` — 使用此政策授予使用者或角色建立標籤工作的許可。這是廣泛的政策，授予實體使用 SageMaker AI 功能的許可，以及透過主控台和 API 提供必要 AWS 服務的功能。此政策授權予實體建立標籤工作，並使用 Amazon Cognito 建立和管理人力資源。如需進一步了解，請參閱 [AmazonSageMakerFullAccess 政策](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)。
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` — 若要建立一個*執行角色*，您可以將政策 `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` 附加至一名角色。執行角色是您在建立標籤工作時指定的角色，用於啟動標籤工作。此政策可讓您同時建立串流和非串流標籤工作，以及使用任何任務類型建立標籤工作。此受管政策有下列限制需要注意。
  + **Amazon S3 許可**：此政策授予執行角色 Amazon S3 儲存貯體的存取許可，其名稱中包含下列字串：`GroundTruth`、`Groundtruth`、`groundtruth`、`SageMaker`、`Sagemaker` 和 `sagemaker` 或名稱中包含 `SageMaker` (不區分大小寫) 的[物件標籤](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)。請確定您的輸入和輸出儲存貯體名稱包含這些字串，或為執行角色新增其他許可，以[授予 Amazon S3 儲存貯體的存取許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html)。您必須授予此角色許可，才能在 Amazon S3 儲存貯體上執行下列動作：`AbortMultipartUpload`、`GetObject` 和 `PutObject`。
  + **自訂工作流程**：當您建立[自訂標記工作流程](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)時，此執行角色僅限於呼叫 AWS Lambda 具有下列其中一個字串的函數，做為函數名稱的一部分：`GtRecipe`、`sagemaker`、、 `SageMaker` `Sagemaker`或 `LabelingFunction`。這同時適用於註釋前和註釋後 Lambda 函式。如果您選擇使用不含這些字串的名稱，則必須為用來建立標籤工作的執行角色明確提供 `lambda:InvokeFunction` 許可。

若要了解如何將 AWS 受管政策連接至使用者或角色，請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。