本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 人力資源
*人力資源*是您選取用於標籤資料集的一群工作者。您可以選擇由 Amazon Mechanical Turk 人力資源、廠商管理的人力資源,或建立自己的私有人力資源來標籤或檢閱資料集。不論您選擇何種人力資源類型,Amazon SageMaker AI 都會負責將任務傳送給工作者。
當您使用私有人力資源時,您也會建立*工作團隊*,即您的人力資源中指派到特定*工作* ([Amazon SageMaker Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms.html) 標籤工作或 [Amazon 增強版 AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html) 人工審核任務) 的一群工作者。您可以擁有多個工作團隊,並可以為每個任務指派一或多個工作團隊。
您可以使用 Amazon Cognito 或您自己的私有 OpenID Connect (OIDC) 身分提供者 (IdP) 來管理您的私有人力資源和工作團隊。如需以此方式管理人力資源所需之許可的詳細資訊,請參閱[使用 Amazon SageMaker Ground Truth 主控台所需的許可](security_iam_id-based-policy-examples.md#groundtruth-console-policy)。
**Topics**
+ [
# 使用 Amazon Mechanical Turk 人力資源
](sms-workforce-management-public.md)
+ [
# 訂用廠商人力資源
](sms-workforce-management-vendor.md)
+ [
# 私有人力資源
](sms-workforce-private.md)
# 使用 Amazon Mechanical Turk 人力資源
Amazon Mechanical Turk (Mechanical Turk) 人力資源為您的 [Amazon SageMaker Ground Truth](https://docs.aws.amazon.com//sagemaker/latest/dg/a2i.html) 標籤工作提供最強力的工作者,並透過 [Amazon 增強版 AI](https://docs.aws.amazon.com//sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html) 提供人工審核任務。Amazon Mechanical Turk 人力資源是全球級資源。每週 7 天、每天 24 小時都可提供工作者。當您使用 Amazon Mechanical Turk 人力資源時,人工審核任務和標籤工作的周轉時間通常最快。
任何 Amazon Mechanical Turk 人力資源的計費都會以 Ground Truth 或 Amazon 增強版 AI 計費的一部分進行處理。您不需要建立個別的 Mechanical Turk 帳戶,即可使用 Amazon Mechanical Turk 人力資源。
**重要**
請勿與此人力資源分享機密資訊、個人資訊或受保護的醫療資訊。當您將 Amazon A2I 與 HIPAA AWS 合格服務搭配使用,例如 Amazon Textract 和 Amazon Rekognition,用於包含受保護醫療資訊的工作負載時,不應使用 Amazon Mechanical Turk 人力資源。
當您建立 Ground Truth 標籤工作或 Amazon A2I 人工審核工作流程 (流程定義) 時,您可以選擇 Mechanical Turk 作為您的人力資源。您可以同時使用 SageMaker AI 主控台和 API 來建立標籤工作及人工審核工作流程。
當您使用 API 作業建立標籤工作或人工審核工作流程時,您可以為您的`WorkteamArn` 針對 Amazon Mechanical Turk 人力資源使用以下 ARN。*`region`* 將 取代為您 AWS 用來建立標籤工作或人工循環的區域。例如,如果您在美國西部 (奧勒岡) 建立標籤工作,請將 *`region`* 取代為 `us-west-2`。
+ ` arn:aws:sagemaker:region:394669845002:workteam/public-crowd/default`
Ground Truth 和 Amazon A2I *要求*您在使用 Mechanical Turk 時,輸入的資料不含個人身分識別資訊 (PII)。如果您使用 Mechanical Turk 人力資源,但未註明您的輸入資料不含 PII,則您的 Ground Truth 標籤工作和增強版 AI 任務將會失敗。當您建立 Ground Truth 標籤工作,以及使用內建整合或 `StartHumanLoop` 操作建立 Amazon A2I 人工循環時,請註明您的輸入資料不含 PII。
請參閱以下各節,了解如何搭配這些服務使用 Mechanical Turk。
**Topics**
+ [
## 使用搭載 Ground Truth 的 Mechanical Turk
](#sms-workforce-management-public-unsupported)
+ [
## 搭配 Amazon A2I 使用 Mechanical Turk
](#sms-workforce-management-public-gt)
+ [
## 什麼情況下系統不支援 Mechanical Turk?
](#sms-workforce-management-public-a2i)
## 使用搭載 Ground Truth 的 Mechanical Turk
當您使用主控台或 `[CreateLabelingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)` 操作建立標籤工作時,您可以使用搭載 Ground Truth 的 Mechanical Turk。
建立標籤工作時,建議您根據工作的複雜性和所需的品質,調整註釋每個資料物件的工作者數量。Amazon SageMaker Ground Truth 會使用註釋合併來改進標籤的品質。對於較複雜的標籤工作,較多的工作者可以提升標籤品質,但對於較簡單的工作可能沒有差別。如需詳細資訊,請參閱[註釋整合](sms-annotation-consolidation.md)。Amazon A2I 人工審核工作流程不支援註釋合併。
**如要在建立標籤工作 (主控台) 時使用 Mechanical Turk:**
1. 透過下列步驟,可使用 SageMaker AI 主控台的 Ground Truth 區域建立標籤工作:[建立標籤工作 (主控台)](sms-create-labeling-job-console.md)。
1. 在**工作者**區段中選取**工作者類型**時,請選取 **Amazon Mechanical Turk**。
1. 使用**任務逾時**指定工作者必須完成任務的總時間。
1. 指定**任務結束**時,工作者仍可使用的總時間。這是工作者必須在任務失敗之前經手任務的時間。
1. 使用下拉式清單選擇 **Price per task** (按任務收費)。這是工作者完成單一任務所獲得的金額。
1. (選用) 如適用,請選取**資料集不包含成人內容**。SageMaker AI 可能會限制可以查看您任務是否包含成人內容的 Mechanical Turk 工作者。
1. 您必須選取核取方塊來閱讀並確認以下聲明,才能使用 Mechanical Turk 人力資源。如果您輸入的資料包含機密資訊、個人資訊或受保護的健康資訊,您必須選擇其他人力資源。
**您了解並同意,Mechanical Turk 人力資源由位於世界各地的獨立承包商組成,您不應與此人力資源共享機密資訊、個人資訊或受保護的健康資訊。**
1. (選用) 如要啟用自動化資料標籤,請選取 **Enable automated data labeling** (啟用自動化資料標籤) 旁邊的核取方塊。若要進一步了解此功能,請參閱[自動資料標籤](sms-automated-labeling.md)。
1. 您可以在**其他組態**底下指定 **每個資料集物件的工作者數量**。例如,如果您在此欄位中輸入 3,則每個資料物件將由 3 個工作者標籤。
透過選擇 **建立**來建立標籤工作時,您的標籤任務將傳送給 Mechanical Turk 工作者。
**如要在建立標籤工作 (API) 時使用 Mechanical Turk:**
1. 若要使用 `[CreateLabelingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)` 作業來建立標籤工作,請使用下列步驟:[建立標籤工作 (API)](sms-create-labeling-job-api.md)。
1. 針對 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-WorkteamArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-WorkteamArn) 使用下列步驟。*`region`* 將 取代為您用來建立標籤工作的 AWS 區域。
`arn:aws:sagemaker:region:394669845002:workteam/public-crowd/default`
1. 用 `[TaskTimeLimitInSeconds](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-TaskTimeLimitInSeconds)` 指定工作者完成任務所需的總時間。
1. 用 `[TaskAvailabilityLifetimeInSeconds](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-TaskAvailabilityLifetimeInSeconds)` 指定工作者仍可進行任務的總時間。這是工作者必須在任務失敗之前經手任務的時間。
1. 用 `[NumberOfHumanWorkersPerDataObject]()` 指定每個資料集物件的工作者數量。
1. 用 `[PublicWorkforceTaskPrice](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-PublicWorkforceTaskPrice)` 設定按任務收費。這是工作者完成單一任務所獲得的金額。
1. 用 `[DataAttributes](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobInputConfig.html#sagemaker-Type-LabelingJobInputConfig-DataAttributes)` 註明您輸入的資料不含機密資訊、個人資訊或受保護的健康資訊。
如果您使用 Mechanical Turk 人力資源,Ground Truth 會*要求*您的輸入資料不含個人身分識別資訊 (PII)。如果您使用 Mechanical Turk,並且沒有使用 `FreeOfPersonallyIdentifiableInformation` 標記註明輸入資料不含 PII,則標籤工作將會失敗。
使用 `FreeOfAdultContent` 旗標來宣告您的輸入資料不含成人內容。如果包含成人內容,SageMaker AI 可能會限制可以查看您任務的 Mechanical Turk 工作者。
您可以在以下筆記本中查看如何使用此 API 的範例,該範例可在 GitHub 上找到:[Ground Truth Jupyter 筆記本範例](https://github.com/aws/amazon-sagemaker-examples/tree/master/ground_truth_labeling_jobs)。
## 搭配 Amazon A2I 使用 Mechanical Turk
您可以在主控台或 `CreateFlowDefinition` API 作業中建立人工審核工作流程 (亦稱為*流程定義*) 時,指定要將 Mechanical Turk 與 Amazon A2I 搭配使用。當您使用此人工審核工作流程來設定人工循環時,必須指定您的輸入資料不含 PII。
**如要在建立人工審核工作流程時使用 Mechanical Turk (主控台):**
1. 透過以下步驟,在 SageMaker AI 主控台的增強版 AI 區段中建立人工審核工作流程:[建立人工審核工作流程 (主控台)](a2i-create-flow-definition.md#a2i-create-human-review-console)。
1. 在**工作者**區段中選取**工作者類型**時,請選取 **Amazon Mechanical Turk**。
1. 使用下拉式清單選擇 **Price per task** (按任務收費)。這是工作者完成單一任務所獲得的金額。
1. (選用) 您可以在**其他組態**底下指定**每個資料集物件的工作者數量**。例如,如果您在此欄位中輸入 3,則每個資料物件將由 3 個工作者標籤。
1. (選用) 使用**任務逾時**,指定工作者必須完成任務的總時間。
1. (選用) 透過 **任務結束**,指定任務在到期時,工作者仍可使用的總時間。這是工作者必須在任務失敗之前經手任務的時間。
1. 建立人工審核工作流程後,您可以在參數 `FlowDefinitionArn` 中提供其 Amazon Resource Name (ARN),藉此設定人工循環。您可以使用內建任務類型的其中一個 API 作業或 Amazon A2I 執行期 API 作業 (`StartHumanLoop`),來設定人工循環。如需詳細資訊,請參閱 [建立和啟動人工循環](a2i-start-human-loop.md)。
設定人工循環時,您必須使用 `DataAttributes` 中的 `FreeOfPersonallyIdentifiableInformation` 內容分類器,註明您的輸入資料不含個人身分識別資訊 (PII)。如果您使用 Mechanical Turk,而並未註明您的輸入資料沒有 PII,則人工審核任務將失敗。
使用 `FreeOfAdultContent` 旗標來宣告您的輸入資料不含成人內容。如果包含成人內容,SageMaker AI 可能會限制可以查看您任務的 Mechanical Turk 工作者。
**如要在建立人工審核工作流程 (API) 時使用 Mechanical Turk:**
1. 透過下列步驟,建立使用 `[CreateFlowDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html)` 操作的人工審核工作流程:[建立人工審核工作流程 (API)](a2i-create-flow-definition.md#a2i-create-human-review-api)。
1. 針對 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-WorkteamArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-WorkteamArn) 使用下列步驟。*`region`* 將 取代為您用來建立標籤工作的 AWS 區域。
`arn:aws:sagemaker:region:394669845002:workteam/public-crowd/default`
1. 用 `[TaskTimeLimitInSeconds](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-TaskTimeLimitInSeconds)` 指定工作者完成任務所需的總時間。
1. 用 `[TaskAvailabilityLifetimeInSeconds](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-TaskAvailabilityLifetimeInSeconds)` 指定工作者仍可進行任務的總時間。這是工作者必須在任務失敗之前經手任務的時間。
1. 用 `[TaskCount](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanLoopConfig.html#sagemaker-Type-HumanLoopConfig-TaskCount)` 指定每個資料集物件的工作者數量。例如,如果您為此參數指定 3,則每個資料物件將由 3 個工作者標籤。
1. 用 `[PublicWorkforceTaskPrice](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_HumanTaskConfig.html#sagemaker-Type-HumanTaskConfig-PublicWorkforceTaskPrice)` 設定按任務收費。這是工作者完成單一任務所獲得的金額。
1. 建立人工審核工作流程後,您可以在參數 `FlowDefinitionArn` 中提供其 Amazon Resource Name (ARN),藉此設定人工循環。您可以使用內建任務類型的其中一個 API 作業或 Amazon A2I 執行期 API 作業 (`StartHumanLoop`),來設定人工循環。如需詳細資訊,請參閱 [建立和啟動人工循環](a2i-start-human-loop.md)。
設定人工循環時,您必須使用 `DataAttributes` 中的 `FreeOfPersonallyIdentifiableInformation` 內容分類器,註明您的輸入資料不含個人身分識別資訊 (PII)。如果您使用 Mechanical Turk,而並未註明您的輸入資料沒有 PII,則人工審核任務將失敗。
使用 `FreeOfAdultContent` 旗標來宣告您的輸入資料不含成人內容。如果包含成人內容,SageMaker AI 可能會限制可以查看您任務的 Mechanical Turk 工作者。
您可以在以下筆記本中查看如何使用此 API 的範例,該範例可在 GitHub 上找到:[Amazon A2I Jupyter 筆記本範例](https://github.com/aws-samples/amazon-a2i-sample-jupyter-notebooks)。
## 什麼情況下系統不支援 Mechanical Turk?
在下列情況下,系統將不支援此人力資源。在每個案例中,您都必須使用[私有](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private.html)或[廠商](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html)人力資源。
+ Ground Truth 影片影格標籤工作和 3D 點雲標籤工作不支援此人力資源。
+ 如果您的輸入資料包含個人身分識別資訊 (PII),則無法使用此人力資源。
+ 某些 AWS 特殊區域不提供 Mechanical Turk。若適用,請參閱您特殊區域的文件,以取得更多資訊。
# 訂用廠商人力資源
您可以透過 Amazon SageMaker Ground Truth (Ground Truth) 和 Amazon 增強版 AI (Amazon A2I) 來標籤您的資料。廠商在為機器學習提供資料標籤服務上擁有豐富的經驗。必須透過 Amazon SageMaker AI 主控台分別建立和管理這兩個服務的廠商人力資源。
您可以透過 AWS Marketplace 取得廠商的服務。您可以在詳細資訊頁面上找到廠商服務的詳細資訊,例如工作者數目和工作時數。您可以使用這些詳細資訊來估計標籤工作的成本,並預期工作所需的時間。選擇廠商後,您可以使用 AWS Marketplace 來訂閱其服務。
訂用即為您與廠商之間的合約。合約中會詳細說明合約的細節,例如價格、排程或退款政策。如果您的標籤工作有任何問題,您可以直接與廠商溝通。
您可以訂用任意數量的廠應商,以滿足您的資料註釋需求。建立標籤工作或人工審核工作流程時,您可以指定將工作路由至特定廠商。
**重要**
將敏感資料傳送給廠商之前,請在廠商的詳細資訊頁面上查看其安全和法規遵循做法,並檢閱訂閱合約中的最終使用者授權協議 (EULA)。您有責任確保廠商符合您對個人或機密資訊的法規遵循要求。請勿與此人力資源分享受保護的健康資訊。
您必須使用主控台來訂用廠商人力資源。開始訂用後,您可以使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) 操作來列出您的訂用廠商。
**訂用廠商人力資源**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 在 SageMaker AI 主控台選擇適當的頁面。
+ 對於 Ground Truth 標籤工作,請選擇**標籤人力資源**,再選擇**廠商**,然後選擇**尋找資料標籤服務**。
+ 對於 Amazon A2I 人工審核工作流程,請選擇**人工審核人力資源**,再選擇**廠商**,然後選擇**尋找人工審核服務**。
1. 主控台會開啟 AWS Marketplace:
+ 針對 Ground Truth 選取的資料標籤服務類別
+ 針對 Amazon A2I 選取的人工審核服務類別
您可以在這裡看到此服務可用的廠商服務清單。
1. 選擇廠商。AWS Marketplace 顯示有關資料標籤或人工審核服務的詳細資訊。使用此資訊來判斷廠商是否符合您的任務需求。
1. 如果廠商符合您的要求,請選擇 **Continue to subscribe (繼續進行訂用)**。
1. 檢閱訂用的詳細資訊。如果您同意條款,請選擇 **Subscribe (訂用)** 完成訂用服務。
# 私有人力資源
**私有人力資源**是*您*選擇的一群工作者。這些工作者可以是貴公司的員工,或您產業中的主題專家。例如,如果任務是標籤醫療影像,您可以建立由熟悉相關影像之人員所組成的私有人力資源。
每個 AWS 帳戶可以存取每個區域的單一私有人力資源,而擁有者能夠在該人力資源內建立多個**私有****工作團隊**。單一私有工作團隊用來完成標籤工作、人工審核任務或*工作*。您可以將每個工作團隊指派給個別任務,或使用單一團隊執行多個任務。單一工作者可以在多個工作團隊中工作。
您可以使用 [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) 或您自己的私有 OpenID Connect (OIDC) 身分提供者 (IdP) 來建立和管理私有人力資源。
如果您是 [Amazon SageMaker Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms.html) 或[Amazon 增強版 AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html) 的新使用者,且不需要使用自己的 IdP 管理工作者,則建議您使用 Amazon Cognito 建立和管理您的私有人力資源。
建立人力資源後,除了建立和管理工作團隊外,您可以執行下列作業:
+ [追蹤工作者效能](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html)
+ [建立和管理 Amazon SNS 主題](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html),以在有可用的標籤任務時通知工作者
+ [使用 IP 位址來管理私有人力資源對任務的存取](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-api.html)
**注意**
Ground Truth 和 Amazon A2I 共用您的私有人力資源。若要建立和管理增強版 AI 使用的私有工作團隊,請使用 SageMaker AI 主控台的 Ground Truth 區段。
**Topics**
+ [
# Amazon Cognito 人力資源
](sms-workforce-private-use-cognito.md)
+ [
# OIDC IdP 人力資源
](sms-workforce-private-use-oidc.md)
+ [
# 使用 Amazon SageMaker API 管理私有人力資源
](sms-workforce-management-private-api.md)
+ [
# 追蹤工作者績效指標
](workteam-private-tracking.md)
+ [
# 建立 Amazon SNS 主題
](sms-workforce-management-private-sns.md)
# Amazon Cognito 人力資源
欲使用 Amazon SageMaker AI 主控台建立人力資源,或者不想要管理工作者憑證和身分驗證的額外負荷,請使用 Amazon Cognito 建立和管理您的私有人力資源。透過 Amazon Cognito 建立私有人力資源,為您的私有工作者提供身分驗證、授權和使用者管理。
**Topics**
+ [
# 建立私有人力資源 (Amazon Cognito)
](sms-workforce-create-private.md)
+ [
# 管理私有人力資源 (Amazon Cognito)
](sms-workforce-management-private.md)
# 建立私有人力資源 (Amazon Cognito)
使用 Amazon Cognito 時,您可以使用以下其中一種方式建立私有人力資源:
+ 在建立標籤工作時建立新的人力資源。若要了解作法,請參閱[在建立標籤工作時建立 Amazon Cognito 人力資源](sms-workforce-create-private-console.md#create-workforce-labeling-job)。
+ 在建立標籤工作之前建立新的人力資源。若要了解作法,請參閱[使用標籤人力資源頁面建立 Amazon Cognito 人力資源](sms-workforce-create-private-console.md#create-workforce-sm-console)。
+ 在 Amazon Cognito 主控台建立使用者集區之後匯入現有的人力資源。若要了解作法,請參閱[建立私有人力資源 (Amazon Cognito 主控台)](sms-workforce-create-private-cognito.md)。
建立私有人力資源之後,該人力資源及其相關聯的所有工作團隊即可用於所有 Ground Truth 標籤工作任務和 Amazon 增強版 AI 人工審核工作流程任務。
如果您剛開始使用 Amazon SageMaker AI 並且想要測試 Ground Truth 或 Amazon A2I,我們建議您使用主控台建立由您組織人員組成的私有工作團隊。建立標籤或人工審核工作流程 (流程定義) 時,請使用此工作團隊來測試您的工作者使用者介面和工作的工作流程。
**Topics**
+ [
# 建立私有人力資源 (Amazon SageMaker AI 主控台)
](sms-workforce-create-private-console.md)
+ [
# 建立私有人力資源 (Amazon Cognito 主控台)
](sms-workforce-create-private-cognito.md)
# 建立私有人力資源 (Amazon SageMaker AI 主控台)
您有兩種方式可以在 Amazon SageMaker AI 主控台建立私有人力資源:
+ 在 Amazon SageMaker Ground Truth 區段的**標籤工作**頁面中建立標籤工作時。
+ 使用 Amazon SageMaker Ground Truth 區段的**標籤人力資源**頁面。如果您要為 Amazon A2I 人工審核工作流程建立私有人力資源,請使用此方法。
這兩種方法也會建立包含所有人力資源成員的預設工作團隊。此私有人力資源可用於 Ground Truth 和 Amazon 增強版 AI 工作。
當您使用主控台建立私有人力資源時,SageMaker AI 會使用 Amazon Cognito 作為人力資源的身分提供者。如果您想要使用自己的 OpenID Connect (OIDC) 身分提供者 (IdP) 來建立和管理您的私有人力資源,則必須使用 SageMaker API 作業 `CreateWorkforce` 來建立人力資源。如需詳細資訊,請參閱 [建立私有人力資源 (OIDC IdP)](sms-workforce-create-private-oidc.md)。
## 在建立標籤工作時建立 Amazon Cognito 人力資源
如果建立標籤工作時尚未建立私有人力資源,而您選擇使用私有工作者,則系統會提示您建立工作團隊。這會使用 Amazon Cognito 建立私有人力資源。
**建立標籤工作時建立人力資源 (主控台)**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 在導覽窗格中,選擇**標籤工作**,並填入所有必要欄位。如需如何開始標籤工作的指示,請參閱[入門:使用 Ground Truth 建立週框方塊標籤工作](sms-getting-started.md)。選擇**下一步**。
1. 選擇 **Private (私有)** 作為人力資源類型。
1. 在**工作者**區段中,輸入:
1. **Team name (團隊名稱)**。
1. 最多 100 個人力成員的電子郵件地址。電子郵件地址會區分大小寫。工作者必須以最初輸入地址時所用的相同大小寫登入。建立任務後,您可以新增額外的人力成員。
1. 貴組織的名稱。SageMaker AI 以此自訂傳送給工作者的電子郵件。
1. 可讓工作者回報任務相關問題的聯絡地址。
建立標籤工作時,系統會向每名工作者傳送電子郵件,邀請他們加入人力資源。建立人力資源後,您可以使用 SageMaker AI 主控台或 Amazon Cognito 主控台來新增、刪除和停用工作者。
## 使用標籤人力資源頁面建立 Amazon Cognito 人力資源
若要使用 Amazon Cognito 建立和管理私有人力資源,您可以使用**標籤人力資源**頁面。依照下列指示操作時,您可以選擇輸入工作者電子郵件,或從 Amazon Cognito 使用者集區匯入預先存在的人力資源,以建立私有人力資源。若要匯入人力資源,請參閱[建立私有人力資源 (Amazon Cognito 主控台)](sms-workforce-create-private-cognito.md)。
**使用工作者電子郵件建立私有人力資源**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 Amazon SageMaker AI 主控台。
1. 在瀏覽窗格中,選擇**標籤人力資源**。
1. 選擇 **Private (私有)**,然後選擇 **Create private team (建立私有團隊)**。
1. 選擇**透過電子郵件邀請新的工作者**。
1. 在電子郵件地址方塊中,貼上或輸入最多 50 個電子郵件地址的清單 (以逗號分隔)。
1. 輸入組織名稱和聯絡人電子郵件。
1. 可選擇要團隊訂閱的 SNS 主題,以便有可用的新 Ground Truth 標籤工作時,透過電子郵件通知工作者。Ground Truth 會支援 Amazon SNS 通知,而增強版 AI 則不予以支援。如果您為工作者訂閱 SNS 通知,他們只會收到有關 Ground Truth 標籤工作的通知。他們不會收到有關增強版 AI 任務的通知。
1. 按一下 **Create private team (建立私有團隊)** 按鈕。
匯入私有人力資源之後,請重新整理頁面。在**私有人力資源摘要**頁面上,您可以看到人力資源的 Amazon Cognito 使用者集區資訊、人力資源的工作團隊清單,以及私有人力資源的所有成員清單。
**注意**
如果您刪除所有私有工作團隊,則必須重複此程序,才能在該區域中使用私有人力資源。
# 建立私有人力資源 (Amazon Cognito 主控台)
Amazon Cognito 用於定義和管理您的私有人力資源和工作團隊。這是一項服務,可用來為使用者建立身分,並向身分提供者驗證這些身分。 私有人力資源對應於單一 **Amazon Cognito 使用者集區**。私有工作團隊對應於該使用者集區內的 **Amazon Cognito 使用者群組**。
Amazon Cognito 支援的身分提供者範例:
+ 社群登入供應商 (如 Facebook 和 Google)
+ OpenID Connect (OIDC) 供應商
+ 安全聲明標記語言 (SAML) 供應商 (如 Active Directory)
+ Amazon Cognito 內建的身分提供者
如需更多資訊,請參閱[什麼是 Amazon Cognito?](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html)。
若要使用 Amazon Cognito 建立私有人力資源,您必須擁有現有 Amazon Cognito 使用者集區且至少包含一個使用者群組。請參閱[教學課程:建立使用者集區](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html),以了解如何建立使用者集區。請參閱[將群組新增至使用者集區](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html),以了解如何將使用者群組新增至集區。
建立使用者集區之後,請依照下列步驟將該使用者集區匯入 Amazon SageMaker AI,以建立私有人力資源。
**匯入 Amazon Cognito 使用者集區來建立私有人力資源**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 在瀏覽窗格中,選擇 **Labeling workforces (標籤人力資源)**。
1. 選擇 **Private (私有)**。
1. 選擇 **Create private team (建立私有團隊)**。這將建立私有人力資源和工作團隊。
1. 選擇**從現有 Amazon Cognito 使用者群組匯入工作者**。
1. 選擇您已建立的使用者集區。使用者集區需要網域和現有的使用者群組。如果您收到遺失網域的錯誤訊息,請在您群組的 Amazon Cognito 主控台**應用程式整合**頁面上的**網域名稱**選項中進行設定。
1. 選擇應用程式用戶端。我們建議您使用由 SageMaker AI 產生的用戶端。
1. 從您的集區中選擇使用者群組,以匯入其成員。
1. 可選擇要團隊訂閱的 Amazon Simple Notification Service (Amazon SNS) 主題,以便有可用的新標籤工作時,透過電子郵件通知工作者。Ground Truth 會支援 Amazon SNS 通知,而增強版 AI 則不予以支援。如果您為工作者訂閱 SNS 通知,他們只會收到有關 Ground Truth 標籤工作的通知。他們不會收到有關增強版 AI 任務的通知。
1. 選擇 **Create private team (建立私有團隊)**。
**重要**
使用 Amazon Cognito 使用者集區建立人力資源之後,必須先在 SageMaker AI 主控台刪除與該集區關聯的所有工作團隊,才能刪除該人力資源。
匯入私有人力資源後,請重新整理頁面以查看**私有人力資源摘要**頁面。在此頁面上,您可以看到人力資源的 Amazon Cognito 使用者集區資訊、人力資源的工作團隊清單、私有人力資源的所有成員清單。此人力現在可分別用於 Amazon 增強版 AI 和 Amazon SageMaker Ground Truth 中執行人工審核任務和資料標籤工作。
# 管理私有人力資源 (Amazon Cognito)
使用 Amazon Cognito 建立私有人力資源後,您可以使用 Amazon SageMaker AI 主控台和 API 作業來建立和管理工作團隊。
您可以使用 [SageMaker AI 主控台](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-console.html)或 [Amazon Cognito 主控台](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-cognito.html)來執行以下操作。
+ 新增和刪除工作團隊。
+ 將工作者新增至人力資源以及一或多個工作團隊。
+ 停用或移除人力資源與一或多個工作團隊中的工作者。如果您使用 Amazon Cognito 主控台將工作者新增至人力資源,則必須使用相同的主控台,將工作者從人力資源中移除。
您可以使用 SageMaker API 來限制只有特定 IP 位址的工作者能存取任務。如需詳細資訊,請參閱[使用 Amazon SageMaker API 管理私有人力資源](sms-workforce-management-private-api.md)。
**Topics**
+ [
# 管理人力資源 (Amazon SageMaker AI 主控台)
](sms-workforce-management-private-console.md)
+ [
# 管理私有人力資源 (Amazon Cognito 主控台)
](sms-workforce-management-private-cognito.md)
# 管理人力資源 (Amazon SageMaker AI 主控台)
您可以使用 Amazon SageMaker AI 主控台來建立和管理組成私有人力資源的工作團隊和個別工作者。
使用工作團隊將私有人力資源的成員指派給標籤或人工審核*工作*。透過 SageMaker AI 主控台建立人力資源時,可使用名為 **Everyone-in-private-workforce** 的工作團隊將全部人力資源指派給一項工作。由於匯入的 Amazon Cognito 使用者集區可能包含您不希望包含於工作團隊中的成員,系統不會為 Amazon Cognito 使用者集區建立類似的工作團隊。
建立新的工作團隊有兩種選擇:
+ 您可以在 SageMaker AI 主控台建立工作團隊,並將人力資源中的成員新增至該團隊。
+ 您可以使用 Amazon Cognito 主控台建立使用者群組,然後匯入該使用者群組來建立工作團隊。您可以將多個使用者群組匯入每個工作團隊。透過更新 Amazon Cognito 主控台中的使用者群組,來管理工作團隊成員。如需詳細資訊,請參閱[管理私有人力資源 (Amazon Cognito 主控台)](sms-workforce-management-private-cognito.md)。
## 使用 SageMaker AI 主控台建立工作團隊
您可以使用 SageMaker AI 主控台在**標籤人力資源**頁面上建立新的 Amazon Cognito 使用者群組,或匯入現有的使用者群組。如需在 Amazon Cognito 主控台建立使用者群組的詳細資訊,請參閱[管理私有人力資源 (Amazon Cognito 主控台)](sms-workforce-management-private-cognito.md)。
**使用 SageMaker AI 主控台建立工作團隊**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 從左側功能表選擇 **Labeling workforces (標籤人力資源)**。
1. 在 **Private (私有)** 下,選擇 **Create private team (建立私有團隊)**。
1. 在 **Team details (團隊詳細資訊)** 下,輸入 **Team name (團隊名稱)**。名稱在 AWS 區域中的帳戶中必須是唯一的。
1. 在**新增工作者**下,選擇使用使用者群組將工作者新增到團隊的方法。
+ 如果您選擇**透過新增工作者至新的 Amazon Cognito 使用者群組來建立團隊**,請選取要新增至團隊的工作者。
+ 如果您選擇**透過匯入現有 Amazon Cognito 使用者群組來建立團隊**,請選擇屬於新團隊的使用者群組。
1. 如果您選取 **SNS 主題**,所有新增到團隊的工作者會訂閱該 Amazon SNS 主題,並於團隊有新的工作項目要處理時收到通知。從現有 Ground Truth 相關的 Amazon SNS 主題清單中選擇,或選取**建立新主題**以開啟主題建立對話方塊。
Ground Truth 會支援 Amazon SNS 通知,而增強版 AI 則不予以支援。如果您為工作者訂閱 SNS 通知,他們只會收到有關 Ground Truth 標籤工作的通知。他們不會收到有關增強版 AI 任務的通知。
工作團隊有可用的新 Ground Truth 標籤工作及工作即將過期時,團隊中已訂閱主題的工作者會收到通知。
如需有關使用 Amazon SNS 主題的詳細資訊,請參閱[建立 Amazon SNS 主題](sms-workforce-management-private-sns.md)。
### Subscriptions
建立工作團隊後,您可以前往 Amazon Cognito 主控台查看有關團隊的詳細資訊,以及變更或設定其成員訂閱的 Amazon SNS 主題。如果在為團隊訂閱某一主題前新增任何團隊成員,則必須手動為那些成員訂閱該主題。如需有關建立和管理 Amazon SNS 主題的詳細資訊,請參閱[為您的工作團隊建立和管理 Amazon SNS 主題](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html)。
## 新增或移除工作者
*工作團隊*是您的人力資源中可供您指派工作的一組工作者。可將一名工作者新增至不只一個工作團隊。將工作者新增至工作團隊後,您可以停用或移除該工作者。
### 將工作者新增至人力資源
將工作者新增至人力資源時,您可以將該工作者新增至該人力資源內的任何工作團隊。
**透過私有人力資源摘要頁面新增工作者**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 Amazon SageMaker AI 主控台。
1. 選擇**標籤人力資源**,瀏覽至您的私有人力資源摘要頁面。
1. 選擇 **Private (私有)**。
1. 選擇**邀請新工作者**。
1. 在電子郵件地址方塊中貼上或輸入電子郵件地址清單 (以逗號分隔)。這個清單中最多可以有 50 個電子郵件地址。
### 將工作者新增至工作團隊
工作者必須先新增至人力資源,才能新增至工作團隊。若要將工作者新增至工作團隊,請先使用上述步驟瀏覽至**私有人力資源摘要**頁面。
**從私有人力資源摘要頁面將工作者新增至工作團隊**
1. 在**私有團隊**區段中,選擇您要新增工作者的團隊。
1. 選擇**工作者**索引標籤。
1. 選擇**將工作者新增至團隊**,然後選擇您要新增的工作者旁邊的方塊。
1. 按一下**將工作者新增至團隊**。
### 從人力資源中停用和移除工作者
停用工作者會阻止工作者接收任務。此動作不會從人力資源或與工作者關聯的任何工作團隊移除工作者。若要從工作團隊停用或移除工作者,請先使用上述步驟前往私有人力資源摘要頁面。
**透過私有人力資源摘要頁面停用工作者**
1. 在**工作者**區段中,選擇您要停用的工作者。
1. 選擇**停用**。
停用工作者之後,後來如果需要,您可以**啟用**該工作者。
如果原先是在 SageMaker AI 主控台新增工作者,您可以直接在此主控台從私有人力資源移除該工作者。如果您是在 Amazon Cognito 主控台新增工作者 (使用者),請參閱[管理私有人力資源 (Amazon Cognito 主控台)](sms-workforce-management-private-cognito.md),瞭解如何在 Amazon Cognito 主控台移除工作者。
**透過私有人力資源摘要頁面移除工作者**
1. 在**工作者**區段中,選擇您要刪除的工作者。
1. 如果該工作者尚未停用,請選擇**停用**。
1. 選取該工作者並選擇**刪除**。
# 管理私有人力資源 (Amazon Cognito 主控台)
私有人力資源對應於單一 **Amazon Cognito 使用者集區**。私有工作團隊對應於該使用者集區內的 **Amazon Cognito 使用者群組**。工作者對應於這些群組內的 **Amazon Cognito 使用者**。
建立人力資源後,您可以透過 Amazon Cognito 主控台新增工作團隊和個別工作者。您也可以在 Amazon Cognito 主控台從私有人力資源中刪除工作者,或從個別團隊中移除工作者。
**重要**
您無法從 Amazon Cognito 主控台刪除工作團隊。刪除與 Amazon SageMaker AI 工作團隊關聯的 Amazon Cognito 使用者群組會導致錯誤。若要移除工作團隊,請使用 SageMaker AI 主控台。
## 建立工作團隊 (Amazon Cognito 主控台)
您可以將 Amazon Cognito 使用者群組新增至與私有人力資源關聯的使用者集區,以建立新的工作團隊來完成任務。若要將 Amazon Cognito 使用者群組新增至現有的工作者集區,請參閱[將群組新增至使用者集區](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html)。
**使用現有 Amazon Cognito 使用者群組建立工作團隊**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 在導覽窗格中,選擇**人力資源**。
1. 對於 **Private teams (私有團隊)**,選擇 **Create private team (建立私有團隊)**。
1. 在 **Team details (團隊詳細資訊)** 下,提供團隊名稱。名稱在 AWS 區域中的帳戶中必須是唯一的。
1. 對於**新增工作者**,選擇**匯入現有的 Amazon Cognito 使用者群組**,然後選擇屬於新團隊的一個或多個使用者群組。
1. 如果您選擇 **SNS 主題**,則所有新增到團隊的工作者會訂閱該 Amazon Simple Notification Service (Amazon SNS) 主題,並在團隊有新的工作項目要處理時收到通知。從與 SageMaker Ground Truth 或 Amazon 增強版 AI 相關的現有 SNS 主題清單中選擇,或選擇**建立新主題**來建立新主題。
**注意**
Ground Truth 會支援 Amazon SNS 通知,而增強版 AI 則不予以支援。如果您為工作者訂閱 SNS 通知,他們只會收到有關 Ground Truth 標籤工作的通知。他們不會收到有關增強版 AI 任務的通知。
### Subscriptions
建立工作團隊後,您可以查看有關團隊的詳細資訊,並使用 Amazon Cognito 主控台變更或設定其成員訂閱的 SNS 主題。如果在為團隊訂閱某一主題前新增任何團隊成員,則必須手動為那些成員訂閱該主題。如需詳細資訊,請參閱[建立 Amazon SNS 主題](sms-workforce-management-private-sns.md)。
## 新增和移除工作者 (Amazon Cognito 主控台)
使用 Amazon Cognito 主控台將工作者新增至工作團隊時,您必須先將使用者新增至與人力資源關聯的使用者集區,然後再將該使用者新增至使用者群組。有多種方式可以將使用者新增至使用者集區。如需詳細資訊,請參閱[註冊及確認使用者帳戶](https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html)。
### 將工作者新增至工作團隊
當使用者新增至集區後,該使用者可以與該集區內的使用者群組建立關聯。當使用者新增至使用者群組後,該使用者會成為以該使用者群組建立之任何工作團隊的工作者。
**將使用者新增至使用者群組**
1. 在 [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito) 開啟 Amazon Cognito 主控台。
1. 選擇 **Manage User Pools** (管理使用者集區)。
1. 選擇與 SageMaker AI 人力資源關聯的使用者集區。
1. 在 **General Settings (一般設定)** 下方,選擇 **Users and Groups (使用者和群組)**,然後執行以下其中一項:
+ 選擇 **Groups (群組)**,選擇您要新增使用者的群組,然後選擇 **Add users (新增使用者)**。選擇使用者名稱右邊的加號圖示,以選擇您要新增的使用者。
+ 選擇 **Users (使用者)**,選擇您要新增至使用者群組的使用者,然後選擇 **Add to group (新增至群組)**。從下拉式功能表中,選擇群組,然後選擇 **Add to group (新增至群組)**。
### 從工作團隊中停用和移除工作者
停用工作者會阻止工作者接收任務。此動作不會從人力資源或與工作者關聯的任何工作團隊中移除工作者。若要在 Amazon Cognito 從工作團隊移除使用者,請從與該團隊關聯的使用者群組中移除該使用者。
**停用工作者 (Amazon Cognito 主控台)**
1. 在 [https://console.aws.amazon.com/cognito](https://console.aws.amazon.com/cognito) 開啟 Amazon Cognito 主控台。
1. 選擇 **Manage User Pools** (管理使用者集區)。
1. 選擇與 SageMaker AI 人力資源關聯的使用者集區。
1. 在 **General Settings (一般設定)** 下方,選擇 **Users and Groups (使用者和群組)**。
1. 選擇您要停用的使用者。
1. 選擇**停用使用者**。
您可以選擇 **Enable User (啟用使用者)** 來啟用已停用的使用者。
**從使用者群組中移除使用者 (Amazon Cognito 主控台)**
1. 在 [https://console.aws.amazon.com/cognito](https://console.aws.amazon.com/cognito) 開啟 Amazon Cognito 主控台。
1. 選擇 **Manage User Pools** (管理使用者集區)。
1. 選擇與 SageMaker AI 人力資源關聯的使用者集區。
1. 在 **General Settings (一般設定)** 下方,選擇 **Users and Groups (使用者和群組)**。
1. 對於**使用者**索引標籤,選擇您要從中移除使用者的群組右側的 **X** 圖示。
# OIDC IdP 人力資源
欲使用您自己的 OIDC IdP 管理和驗證工作者時,請使用 OpenID Connect (OIDC) 身分提供者 (IdP) 建立私有人力資源。個人工作者憑證和其他資料將保密。Ground Truth 和 Amazon A2I 只能看到您透過傳送至這些服務的宣告所提供的員工資訊。若要使用 OIDC IdP 建立人力資源,您的 IdP 必須支援*群組*,因為 Ground Truth 和 Amazon A2I 會將 IdP 中的一個或多個群組對應至工作團隊。如需詳細資訊,請參閱 [將必要和選用申告傳送到 Ground Truth 和 Amazon A2I](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp)。
如果您是 Ground Truth 或 Amazon A2I 的新使用者,可建立私有工作團隊並將自己新增為工作者,來測試您的工作者使用者介面和工作流程。建立標籤工作或人工審核工作流程時,請使用此工作團隊。首先,使用[建立私有人力資源 (OIDC IdP)](sms-workforce-create-private-oidc.md)的指示建立私有 OIDC IdP 人力資源。接著,請參閱[管理私有人力資源 (OIDC IdP)](sms-workforce-manage-private-oidc.md)了解如何建立工作團隊。
**Topics**
+ [
# 建立私有人力資源 (OIDC IdP)
](sms-workforce-create-private-oidc.md)
+ [
# 管理私有人力資源 (OIDC IdP)
](sms-workforce-manage-private-oidc.md)
# 建立私有人力資源 (OIDC IdP)
您想要使用自己的身份提供者驗證和管理工作者時,請使用 OpenID Connect (OIDC) 身份提供者 (IdP) 建立私有人力資源。使用此頁面了解如何設定 IdP,與 Amazon SageMaker Ground Truth (Ground Truth) 或 Amazon 增強版 AI (Amazon A2I) 通訊,並學習如何使用自己的 IdP 建立人力資源。
若要使用 OIDC IdP 建立人力資源,IdP 必須支援*群組*,因為 Ground Truth 和 Amazon A2I 會使用您指定的一或多個群組建立工作團隊。您可以使用工作團隊為標籤工作和人工審核任務指定工作者。由於群組不是[標準宣告](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims),因此您的 IdP 針對使用者群組 (工作者) 可能有不同的命名慣例。因此,您必須使用從您的 IdP 傳送至 Ground Truth 或 Amazon A2I 的自訂宣告 `sagemaker:groups`,識別工作者所屬的一或多個使用者群組。如需詳細資訊,請參閱 [將必要和選用申告傳送到 Ground Truth 和 Amazon A2I](#sms-workforce-create-private-oidc-configure-idp)。
您可以使用 SageMaker API 作業 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) 建立 OIDC IdP 人力資源。建立私有人力資源之後,該人力資源及其相關的所有工作團隊和工作者,將可用於所有 Ground Truth 標籤工作任務和 Amazon A2I 人工審核工作流程任務。如需詳細資訊,請參閱 [建立 OIDC IdP 人力資源](#sms-workforce-create-private-oidc-createworkforce)。
## 將必要和選用申告傳送到 Ground Truth 和 Amazon A2I
使用自己的 IdP 時,Ground Truth 和 Amazon A2I 會使用您的 `Issuer`、`ClientId` 和 `ClientSecret` 驗證工作者,亦即從您的 `AuthorizationEndpoint` 取得驗證代碼。
Ground Truth 和 Amazon A2I 將使用此代碼從您 IdP 的 `TokenEndpoint` 或 `UserInfoEndpoint` 取得自訂宣告。您可以將 `TokenEndpoint` 設定為回傳 JSON 網頁標記 (JWT),或將 `UserInfoEndpoint` 設定為回傳 JSON 物件。JWT 或 JSON 物件必須包含您指定的必要和選用宣告。[宣告](https://openid.net/specs/openid-connect-core-1_0.html#Terminology)是鍵值對,其中包含工作者相關資訊,或是 OIDC 服務的相關中繼資料。下表列出了必須包含的宣告,而且 IdP 回傳的 JWT 或 JSON 物件也可以選擇性包含這些宣告。
**注意**
下表中的某些參數可以使用 `:` 或 `-` 指定。例如,您可以在宣告中使用 `sagemaker:groups` 或 `sagemaker-groups` 指定工作者所屬的群組。
| 名稱 | 必要 | 接受的格式和值 | Description | 範例 |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` 或 `sagemaker-groups` | 是 | **資料類型**: 如果工作者屬於單一群組,請使用字串識別群組。 如果工作者屬於多個群組,請使用最多 10 個字串的清單。 **允許的字元**: 正規表示式:[\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **配額**: 每名工作者 10 組 每個群組名稱 63 個字元 | 將工作者指派給一個或多個群組。群組可用來將工作者對應至工作團隊。 | 屬於單一群組的工作者範例:`"work_team1"` 屬於一個以上群組的工作者範例:`["work_team1", "work_team2"]` |
| `sagemaker:sub` 或 `sagemaker-sub` | 是 | **資料類型**: String | 強制必須追蹤 Ground Truth 平台內的工作者身份進行稽核,也必須識別該工作者工作過的任務。 針對 ADFS:客戶必須使用主要安全性識別碼 (SID)。 | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` 或 `sagemaker-client_id` | 是 | **資料類型**: String **允許的字元**: 正規表示式:[\$1w\$1-]\$1 **引述**: 128 個字元 | 用戶端 ID。所有標記都必須針對此用戶端 ID 發行。 | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` 或 `sagemaker-name` | 是 | **資料類型**: String | 要在工作者入口網站顯示的工作者名稱。 | `"Jane Doe"` |
| `email` | 否 | **資料類型**: String | 工作者電子郵件。Ground Truth 使用此電子郵件通知工作者,他們已獲邀負責標籤任務。如果您為此工作者所屬的工作團隊設定 Amazon SNS 主題,Ground Truth 也會在標籤任務可用時,使用此電子郵件通知您的工作者。 | `"example-email@domain.com"` |
| `email_verified` | 否 | **資料類型**: Bool **接受的值**: `True`, `False` | 指出使用者電子郵件是否已驗證。 | `True` |
下面是您的 `UserInfoEndpoint` 可以回傳之 JSON 物件語法的範例。
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
Ground Truth 或 Amazon A2I 會比較 `sagemaker:groups` 或 `sagemaker-groups` 列出的群組,確認您的工作者屬於標籤工作或人工審核任務指定的工作團隊。驗證工作團隊後,會將標籤或人工審核任務傳送給該工作者。
## 建立 OIDC IdP 人力資源
您可以使用 SageMaker API 作業 `CreateWorkforce` 和關聯的特定語言 SDK 建立人力資源。在參數 `OidcConfig` 指定 `WorkforceName` 和 OIDC IDP 相關資訊。建議您使用預留位置重新導向 URI 設定 OIDC,然後在建立人力資源之後,使用工作者入口網站 URL 更新 URI。如需詳細資訊,請參閱 [設定 OIDC IdP](#sms-workforce-create-private-oidc-configure-url)。
請求範例如下所示。請參閱 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html),進一步了解有關此請求中的每個參數。
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### 設定 OIDC IdP
如何設定 OIDC IdP 取決於您使用的 IdP 以及您的業務需求。
設定 IdP 時,您必須指定回呼或重新導向 URI。Ground Truth 或 Amazon A2I 驗證工作者之後,此 URI 會將工作者重新導向至工作者入口網站,工作者可以在這裡存取標籤或人工審核任務。若要建立工作者入口網站 URL,您必須使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) API 作業,建立有 OIDC IdP 詳細資料的人力資源。具體來說,您必須使用必要的自訂 SageMaker 宣告設定 OIDC IdP (如需詳細資訊,請參閱下一節)。因此,建議您使用預留位置重新導向 URI 設定 OIDC,然後在建立人力資源之後更新 URI。請參閱[建立 OIDC IdP 人力資源](#sms-workforce-create-private-oidc-createworkforce),了解如何使用這個 API 建立人力資源。
您可以在 SageMaker Ground Truth 主控台檢視您的工作者入口網站 URL,或使用 SageMaker API 作業 `DescribeWorkforce`。工作者入口網站 URL 位於回應中的 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) 參數中。
**重要**
請務必將人力資源子網域新增至您的 OIDC IdP 允許清單。將子網域新增至允許清單時,該網域必須以結尾 `/oauth2/idpresponse`。
**若要在建立私有人力資源 (主控台) 之後檢視您的工作者入口網站 URL:**
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 SageMaker AI 主控台。
1. 在瀏覽窗格中,選擇**標籤人力資源**。
1. 選取 **Private (私有)** 索引標籤。
1. 在**私有人力資源摘要**中,您會看到**標籤入口網站登入 URL**。這是您的工作者入口網站 URL。
**若要在建立私有人力資源 (API) 之後檢視您的工作者入口網站 URL:**
使用 `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)` 建立私有人力資源時,請指定 `WorkforceName`。使用此名稱呼叫 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)。下表包含使用 AWS CLI 和 的請求範例 適用於 Python (Boto3) 的 AWS SDK。
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## 驗證您的 OIDC IdP 人力資源驗證回應
建立 OIDC IdP 人力資源之後,您可以使用下列程序以 cURL 驗證其身份驗證工作流程。此程序假設您可以存取終端機,並且已安裝 cURL。
**若要驗證您的 OIDC IdP 授權回應:**
1. 使用下列設定方式的 URI 取得授權碼:
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. 以 OIDC IdP 的授權端點取代 *`{AUTHORIZE ENDPOINT}`*。
1. 以 OAuth 用戶端的用戶端 ID 取代 `{CLIENT ID}`。
1. 以工作者入口網站 URL 取代 *`{REDIRECT URI}`*。如果它不存在,則必須將 `/oauth2/idpresponse` 加到 URL 結尾。
1. 如果您有自訂範圍,請使用它取代 `{SCOPE}`。如果您沒有自訂範圍,請使用 `openid` 取代 `{SCOPE}`。
以下是進行上述修改之後的 URI 範例:
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. 將步驟 1 中修改的 URI 複製並貼到瀏覽器中,然後按鍵盤上的 Enter 鍵。
1. 使用您的 IdP 進行驗證。
1. 複製 URI 中的驗證碼查詢參數。此參數開頭是 `code=`。以下為回應可能形式的範例。在此範例中,複製 `code=MCNYDB...` 以及之後的所有內容。
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. 在進行下列必要修改後,開啟終端機並輸入以下指令:
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. 以 OIDC IdP 的記號端點取代 `{TOKEN ENDPOINT}`。
1. 以 OAuth 用戶端的用戶端 ID 取代 `{CLIENT ID}`。
1. 使用 OAuth 用戶端的用戶端密碼取代 `{CLIENT SECRET}`。
1. 以您在步驟 4 中複製的驗證碼查詢參數取代 `{CODE}`。
1. 以工作者入口網站 URL 取代 *`{REDIRECT URI}`*。
以下是進行上述修改後 cURL 請求的範例:
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. 此步驟取決於 IdP 回傳的 `access_token` 類型,是純文字存取權杖或 JWT 存取權杖。
+ 如果您的 IdP 不支援 JWT 存取權杖,`access_token` 可能是純文字 (例如 UUID)。您會看到類似下方的回應。這樣的話,請移至步驟 7。
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ 如果您的 IdP 支援 JWT 存取權杖,則步驟 5 應產生 JWT 格式的存取權杖。舉例而言,回應形式可能如下:
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
複製 JWT 並將它解碼。您可以使用 python 指令碼或第三方網站將它解碼。例如,您可以前往網站 [https://jwt.io/](https://jwt.io/),將 JWT 貼到**編碼**方塊中將它解碼。
確定解碼的回應包含以下內容:
+ 在 [將必要和選用申告傳送到 Ground Truth 和 Amazon A2I](#sms-workforce-create-private-oidc-configure-idp) 找到之表格中的**必要** SageMaker AI 宣告。如果沒有,您必須重新設定 OIDC IdP,包含這些宣告。
+ 您在設定 IdP 人力資源時指定的[發行者](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer)。
1. 在終端機中,並在進行下列必要修改後輸入以下命令:
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. 以 OIDC IdP 的使用者資訊端點取代 `{USERINFO ENDPOINT}`。
1. 以您在步驟 7 收到之回應中的存取權杖取代 `{ACCESS TOKEN}`。這是 `"access_token"` 參數的項目。
以下是進行上述修改後 cURL 請求的範例:
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. 上述程序中最後一個步驟的回應,形式可能與下列程式碼區塊類似。
如果步驟 6 回傳的 `access_token` 是純文字,您必須驗證此回應是否包含必要的資訊。在此情況下,回應必須包含在 [將必要和選用申告傳送到 Ground Truth 和 Amazon A2I](#sms-workforce-create-private-oidc-configure-idp) 找到之表格中的**必要** SageMaker AI 宣告。例如 `sagemaker-groups` 和 `sagamaker-name`。
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## 後續步驟
使用 IdP 建立私有人力資源並確認 IdP 驗證回應後,您就可以使用 IdP 群組建立工作團隊。如需詳細資訊,請參閱 [管理私有人力資源 (OIDC IdP)](sms-workforce-manage-private-oidc.md)。
您可以限制工作者對特定 IP 位址的任務存取權限,還可使用 SageMaker API 更新或刪除人力資源。如需進一步了解,請參閱[使用 Amazon SageMaker API 管理私有人力資源](sms-workforce-management-private-api.md)。
# 管理私有人力資源 (OIDC IdP)
使用 OpenID Connect (OIDC) 身分提供者 (IdP) 建立私有人力資源後,您可以使用 IdP 管理工作者。例如,您可以直接透過 IdP 新增、移除和分組工作者。
若要將工作者新增至 Amazon SageMaker Ground Truth (Ground Truth) 標籤工作或 Amazon 增強版 AI (Amazon A2I) 人工審核任務,可使用 1 至 10 個 IdP 群組建立工作團隊,並將該工作團隊指派給工作或任務。可在建立標籤工作 (Ground Truth) 或人工審核工作流程 (Amazon A2I) 時指定該工作團隊,藉此將工作團隊指派給工作或任務。
僅可為每個標籤工作或人工審核工作流程指派一個團隊。您可以使用同一個團隊來建立多個標籤工作或人工審核任務。您還可以建立多個工作團隊來處理不同的標籤工作或人工審核任務。
## 先決條件
若要使用 OIDC IdP 群組建立和管理私有工作團隊,首先必須使用 SageMaker API 作業 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) 建立人力資源。如需詳細資訊,請參閱 [建立私有人力資源 (OIDC IdP)](sms-workforce-create-private-oidc.md)。
## 新增工作團隊
您可以使用 SageMaker AI 主控台,在 **Ground Truth** 下的**標籤人力資源**頁面上,使用 OIDC IdP 人力資源建立私有工作團隊。如果您正在建立 Ground Truth 標籤工作,也可以在建立標籤工作時建立私有工作團隊。
**注意**
您可以在 SageMaker AI 主控台的 Ground Truth 區域中建立和管理 Amazon A2I 的工作團隊。
您也可以使用 SageMaker API 和關聯的特定語言 SDK 來建立私有工作團隊。
使用下列程序來了解如何使用 SageMaker AI 主控台和 API 建立私有工作團隊。
**在標籤人力資源頁面 (主控台) 上建立私有工作團隊**
1. 前往 SageMaker AI 主控台的 Ground Truth 區域:[https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。
1. 選取**標籤人力資源**。
1. 選取**私有**。
1. 在**私有團隊**區段中,選取**建立私有團隊**。
1. 在**團隊詳細資訊**區段中,輸入**團隊名稱**。
1. 在**新增工作者**區段中,輸入單一使用者群組的名稱。允許 IdP 中與此群組關聯的所有工作者新增至此工作團隊。
1. 若要新增多個使用者群組,請選取**新增使用者群組**,然後輸入要新增至此工作團隊的使用者群組名稱。每行輸入一個使用者群組。
1. (選用) 對於 Ground Truth 標籤工作,如果您為 JWT 中的工作者提供電子郵件,若您選取 SNS 主題,則 Ground Truth 會在有可用的新標籤任務時通知工作者。
1. 選取**建立私有團隊**。
**建立 Ground Truth 標籤工作時建立私有工作團隊 (主控台)**
1. 前往 SageMaker AI 主控台的 Ground Truth 區域:[https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。
1. 選取**標籤工作**。
1. 使用[建立標籤工作 (主控台)](sms-create-labeling-job-console.md)的指示建立標籤工作。進入第二頁的**工作者**區段時,請停止。
1. 選取**私有**做為您的工作者類型。
1. 輸入**團隊名稱**。
1. 在 **新增工作者**區段中,在**使用者群組**下輸入單一使用者群組的名稱。允許 IdP 中與此群組關聯的所有工作者新增至此工作團隊。
**重要**
您為**使用者群組**指定的群組名稱必須與 OIDC IdP 中指定的群組名稱相符。
1. 若要新增多個使用者群組,請選取**新增使用者群組**,然後輸入要新增至此工作團隊的使用者群組名稱。每行輸入一個使用者群組。
1. 完成所有剩餘步驟以建立標籤工作。
您建立的私有團隊會用於此標籤工作,並列在 SageMaker AI 主控台的**標籤人力資源**區段中。
**使用 SageMaker API 建立私有工作團隊**
您可以使用 SageMaker API 作業 `[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)` 建立私有工作團隊。
使用此作業時,請列出要包含在 `OidcMemberDefinition` 參數 `Groups` 中工作團隊的所有使用者群組。
**重要**
您為 `Groups` 指定的群組名稱必須與 OIDC IdP 中指定的群組名稱相符。
例如,如果您在 OIDC IdP 中的使用者群組名稱為 `group1`、`group2` 和 `group3`,請如下設定 `OidcMemberDefinition`:
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
此外,您必須使用 `WorkteamName` 參數為工作團隊命名。
## 在工作團隊新增或移除 IdP 群組
建立工作團隊後,您可以使用 SageMaker API 來管理該工作團隊。使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) 操作,更新包含在該工作團隊中的 IdP 使用者群組。
+ 使用 `WorkteamName` 參數來識別您希望更新的工作團隊。
+ 使用此作業時,請列出您要包含在 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) 參數 `Groups` 中工作團隊的所有使用者群組。如果使用者群組與工作團隊建立關聯,而您*未*將其包括在此清單中,則該使用者群組就不再與此工作團隊關聯。
## 刪除工作團隊
您可以使用 SageMaker AI 主控台和 SageMaker API 來刪除工作團隊。
**在 SageMaker AI 主控台中刪除私有工作團隊**
1. 前往 SageMaker AI 主控台的 Ground Truth 區域:[https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。
1. 選取**標籤人力資源**。
1. 選取**私有**。
1. 在**私有團隊**區段中,選擇您要刪除的工作團隊。
1. 選取**刪除**。
**刪除私有工作團隊 (API)**
您可以使用 SageMaker API 作業 `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` 刪除私有工作團隊。
## 管理個別工作者
使用自己的 OIDC IdP 建立人力資源時,您無法使用 Ground Truth 或 Amazon A2I 來管理個別工作者。
+ 若要將工作者新增至工作團隊,請將該工作者新增至與該工作團隊關聯的群組。
+ 若要從工作團隊中移除工作者,請從與該工作團隊關聯的所有使用者群組中移除該工作者。
## 更新、刪除和說明您的人力資源
您可以使用 SageMaker API 更新、刪除和說明 OIDC IdP 人力資源。以下是您可以用來管理人力資源的 API 作業清單。如需其他詳細資訊,包括如何找到您的人力資源名稱,請參閱[使用 Amazon SageMaker API 管理私有人力資源](sms-workforce-management-private-api.md)。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) — 您可能想要更新使用自己的 OIDC IdP 建立的人力資源,以指定不同的授權端點、權杖端點或發行者。您可以使用此作業更新在 `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` 中找到的任何參數。
僅可在無工作團隊與人力資源建立關聯時更新 OIDC IdP 組態。若要了解如何刪除工作團隊,請參閱[刪除工作團隊](#sms-workforce-manage-private-oidc-workteam-delete)。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) — 使用此操作刪除您的私有人力資源。如果您有任何與人力資源關聯的工作團隊,則必須先刪除這些工作團隊,然後再刪除人力資源。如需詳細資訊,請參閱[刪除工作團隊](#sms-workforce-manage-private-oidc-workteam-delete)。
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) — 使用此作業列出私有人力資源資訊,包括人力資源名稱、Amazon Resource Name (ARN),以及允許的 IP 位址範圍 (CIDR) (如果適用)。
# 使用 Amazon SageMaker API 管理私有人力資源
您可以使用 Amazon SageMaker API 作業來管理、更新和刪除私有人力資源。對於以下主題列出的每個 API 作業,您可以在 API 文件的**另請參閱**一節中找到支援的特定語言 SDK 及其文件的清單。
**Topics**
+ [
# 尋找您的人力資源名稱
](sms-workforce-management-private-api-name.md)
+ [
# 將工作者任務存取限制為允許的 IP 位址
](sms-workforce-management-private-api-cidr.md)
+ [
# 啟用雙堆疊人力資源
](sms-workforce-management-private-api-dualstack.md)
+ [
# 更新 OIDC 身分提供者人力資源組態
](sms-workforce-management-private-api-update.md)
+ [
# 刪除私有人力資源
](sms-workforce-management-private-api-delete.md)
# 尋找您的人力資源名稱
某些 SageMaker AI 人力資源相關的 API 作業需要您的人力資源名稱作為輸入。您可以使用該區域中 AWS 的 []() API 操作,在 區域中查看 Amazon Cognito 或 OIDC IdP 私有和廠商人力資源名稱 AWS 。如果您使用自己的 OIDC IdP 建立人力資源,則可以在 SageMaker AI 主控台的 Ground Truth 區域中找到人力資源名稱。
**若要在 SageMaker AI 主控台尋找您的人力資源名稱**
1. 前往 SageMaker AI 主控台的 Ground Truth 區域:[https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。
1. 選取**標籤人力資源**。
1. 選取**私有**。
1. 在**私有人力資源摘要**區段中,找到您的人力資源 ARN。您的人力資源名稱位於此 ARN 的末尾。例如,如果 ARN 是 `arn:aws:sagemaker:us-east-2:111122223333:workforce/example-workforce`,則人力資源名稱為 `example-workforce`。
# 將工作者任務存取限制為允許的 IP 位址
根據預設,人力資源不會侷限於特定 IP 位址。您可以使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) 操作,要求工作者使用特定範圍的 IP 位址 ([CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)) 來存取任務。如果您指定一或多個 CIDR,則嘗試使用指定範圍以外的任何 IP 位址來存取任務的工作者會遭到拒絕,並且會在工作者入口網站上收到 HTTP 204 無內容錯誤訊息。使用 `UpdateWorkforce` 最多可以指定 10 個 CIDR 值。
將人力資源限制在一或多個 CIDR 之後,`UpdateWorkforce` 輸出會列出所有允許的 CIDR。您也可以使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) 作業來檢視人力資源所有允許的 CIDR。
# 啟用雙堆疊人力資源
您可以使用 [CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html) 和 [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html) API 操作來啟用雙堆疊人力資源。 AWS 管理主控台不支援建立雙堆疊人力資源、將現有人力資源更新為雙堆疊,以及將人力資源從雙堆疊變更回 IPv4。
**重要**
沒有定義 `IpAddressType` 的人力資源預設為 `IPv4`。
## 建立雙堆疊人力資源
建立雙堆疊人力資源的程序類似於建立僅 IPv4 的人力資源,但有下列例外。如需詳細資訊,請參閱 [CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html)。
+ 若要將 VPC 連接到私有人力資源,請確定 VPC 也是雙堆疊,並具有與 VPC 子網路相關聯的 IPv6 CIDR 區塊。
+ 若要使用 `SourceIpConfig` 參數將流量限制在特定 IP 位址範圍,請確定 IPv6 CIDR 區塊也包含在清單中。
+ 若要在任務存取的 S3 儲存貯體上實作具 `SourceIp` 條件的政策,請確保這些政策已更新為相容於雙堆疊。
+ 身分提供者驗證端點支援雙堆疊。如需詳細資訊,請參閱[身分驗證流程](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)。
**使用 boto3 的 `CreateWorkforce` SDK 呼叫範例**
如需詳細資訊,請參閱 [create\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/create_workforce.html#SageMaker.Client.create_workforce)。
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.create_workforce(
WorkforceName='string',
IpAddressType='dualstack',
WorkforceConfig={
'CognitoConfig': {
'UserPool': 'string',
'Client': 'string'
}
}
)
```
## 更新雙堆疊人力資源
將現有人力資源更新為雙堆疊時,請注意下列事項。如需詳細資訊,請參閱 [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html) 和 [VPC 的 IPv6 支援](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-migrate-ipv6.html)。
+ 如果 VPC 連接到人力資源,您必須將 VPC 更新為雙堆疊。請同時確保 VPC 的任何安全群組都允許 IPv6 流量。
+ 如果您使用 `SourceIpConfig` 參數,請將其更新為包含 IPv6 CIDR 區塊。
+ 若要在任務存取的 S3 儲存貯體上實作具 `SourceIp` 條件的政策,請確保這些政策已更新為相容於雙堆疊。
+ 身分提供者驗證端點支援雙堆疊。如需詳細資訊,請參閱[身分驗證流程](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)。
**使用 boto3 的 `UpdateWorkforce` SDK 呼叫範例**
如需詳細資訊,請參閱 [update\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/update_workforce.html#SageMaker.Client.update_workforce)。
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.update_workforce(
WorkforceName='string',
IpAddressType='dualstack'
)
```
# 更新 OIDC 身分提供者人力資源組態
您可能想要更新使用自己的 OIDC IdP 建立的人力資源,以指定不同的授權端點、權杖端點或發行者。您可以使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) 作業更新在 `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` 中找到的任何參數。
**重要**
僅可在無工作團隊與人力資源建立關聯時更新 OIDC IdP 組態。您可以使用 `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` 作業刪除私有工作團隊。
# 刪除私有人力資源
每個 AWS 區域中只能有一個私有人力資源。在以下 AWS 情況下,您可能想要刪除 區域中的私有人力資源:
+ 您希望使用新的 Amazon Cognito 使用者集區建立人力資源。
+ 您已經使用 Amazon Cognito 建立私有人力資源,而且希望使用自己的 OpenID Connect (OIDC) 身分提供者 (IdP) 建立人力資源。
若要刪除私有人力資源,請使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) API 作業。如果您有任何與人力資源關聯的工作團隊,則必須先刪除這些工作團隊,然後再刪除人力資源。您可以使用 `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` 作業刪除私有工作團隊。
# 追蹤工作者績效指標
Amazon SageMaker Ground Truth 將工作者事件記錄到 Amazon CloudWatch,例如當工作者開始或提交任務時。使用 Amazon CloudWatch 指標,測量和追蹤整個團隊或個別工作者的輸送量。
**重要**
工作者事件追蹤不適用於 Amazon 增強版 AI 人工審核工作流程。
## 啟用追蹤
在設定新工作團隊的過程中,會建立 Amazon CloudWatch 工作者事件記錄的許可。由於此功能是在 2019 年 8 月加入,在那之前建立的工作團隊可能沒有正確的許可。如果您的所有工作團隊是在 2019 年 8 月之前建立,請建立新的工作團隊。該工作團隊不需要任何成員,而且可在建立之後刪除,但建立即代表建立許可並套用到所有工作團隊,無論是在何時建立那些工作團隊。
## 使用日誌追蹤指標
啟用追蹤之後,將會記錄工作者的活動。開啟 Amazon CloudWatch 主控台,然後在導覽面板中選擇**日誌**。您應該會看到名為 **/aws/sagemaker/groundtruth/WorkerActivity** 的日誌群組。
每個完成的任務都會以日誌項目表示,其中包含工作者、其團隊、任務、何時接受任務,以及何時提交任務的相關資訊。
**Example 日誌項目**
```
{
"worker_id": "cd449a289e129409",
"cognito_user_pool_id": "us-east-2_IpicJXXXX",
"cognito_sub_id": "d6947aeb-0650-447a-ab5d-894db61017fd",
"task_accepted_time": "Wed Aug 14 16:00:59 UTC 2019",
"task_submitted_time": "Wed Aug 14 16:01:04 UTC 2019",
"task_returned_time": "",
"task_declined_time": "",
"workteam_arn": "arn:aws:sagemaker:us-east-2:############:workteam/private-crowd/Sample-labeling-team",
"labeling_job_arn": "arn:aws:sagemaker:us-east-2:############:labeling-job/metrics-demo",
"work_requester_account_id": "############",
"job_reference_code": "############",
"job_type": "Private",
"event_type": "TasksSubmitted",
"event_timestamp": "1565798464"
}
```
每個事件中的有用資料點是 `cognito_sub_id`。您可以將其與個別工作者比對。
1. 開啟位在 [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/) 的 Amazon SageMaker AI 主控台。
1. 在 **Ground Truth** 區段下,選擇**人力資源**。
1. 選擇 **Private (私有)**。
1. 在 **Private teams (私有團隊)** 區段中,選擇團隊的名稱。
1. 在 **Team summary (團隊摘要)** 區段中,選擇 **Amazon Cognito user group (Amazon Cognito 使用者群組)** 下識別的使用者群組。這會帶您前往 Amazon Cognito 主控台中的群組。
1. **Group (群組)** 頁面會列出群組中的使用者。在 **Username (使用者名稱)** 欄中選擇任何使用者的連結,以查看使用者的詳細資訊,包括唯一的 **sub (子)** ID。
若要取得有關團隊所有成員的資訊,請使用 Amazon Cognito API 中的 [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html) 動作 ([範例](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-manage-user-accounts.html#cognito-user-pools-searching-for-users-listusers-api-examples))。
## 使用 CloudWatch 主控台追蹤指標
如果您不想要撰寫自己的指令碼來處理和視覺化原始日誌資訊,Amazon CloudWatch 指標會為您提供工作者活動的深入分析。
**檢視指標**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇**指標**。
1. 選擇 `AWS/SageMaker/Workteam` 命名空間,然後探索[可用指標](monitoring-cloudwatch.md)。例如,選擇**工作團隊**和**人力資源**指標可讓您針對特定標籤工作計算每個提交任務的平均時間。
如需詳細資訊,請參閱[使用 Amazon CloudWatch Metrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)。
# 建立 Amazon SNS 主題
為工作團隊通知建立 Amazon SNS 主題的步驟與 *Amazon SNS X開發人員指南*中[入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)的步驟類似,但有一項重要新增項目:您必須新增存取政策,以便 Amazon SageMaker AI 可以代表您將訊息發佈到主題。
如果您使用主控台建立工作團隊,主控台會提選項來為團隊建立新主題,讓您不必執行這些步驟。
**重要**
Amazon A2I 不支援 Amazon SNS 功能。如果您為工作團隊訂閱 Amazon SNS 主題,工作者將只會收到 Ground Truth 標籤工作的相關通知。工作者不會收到新 Amazon A2I 人工審核任務的相關通知。
**建立主題時新增政策**
1. 在 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 開啟 Amazon SNS 主控台。
1. 在**建立主題**中,輸入主題的名稱,然後選擇**後續步驟**。
1. 在**存取政策**中,選擇**進階**。
1. 在 **JSON 編輯器**中,尋找 `Resource` 屬性,該屬性顯示主題的 ARN。
1. 複製 `Resource` ARN 值。
1. 在最後右大括號 (`]`) 之前,新增下列政策。
```
, {
"Sid": "AwsSagemaker_SnsAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:partition:sns:region:111122223333:MyTopic", # ARN of the topic you copied in the previous step
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:partition:sagemaker:region:111122223333:workteam/*" # Workteam ARN
},
"StringEquals": {
"aws:SourceAccount": "111122223333" # SNS topic account
}
}
}
```
1. 建立主題。
建立主題後,該主題會出現在**主題**摘要畫面中。如需建立主題的更多相關資訊,請參閱 *Amazon SNS 開發人員指南*中的[建立主題主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)。
# 管理工作者訂閱
如果您在建立工作團隊之後讓工作團隊訂閱某個主題,則建立工作團隊時加入團隊的個別工作團隊成員不會自動訂閱該主題。如需將工作者的電子郵件地址訂閱到主題的相關資訊,請參閱 *Amazon SNS 開發指南*中的[讓端點訂閱 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。
只有當您在建立工作團隊時建立或匯入 Amazon Cognito 使用者群組,***以及***當您建立該工作團隊時設定主題訂閱,工作者才會自動訂閱您的主題。如需使用 Amazon Cognito 建立和管理工作團隊的更多相關資訊,請參閱[建立工作團隊 (Amazon Cognito 主控台)](sms-workforce-management-private-cognito.md#create-work-teams-cog)。