Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ground Truth: Sicherheit und Berechtigungen
Anhand der auf dieser Seite besprochenen Themen erfahren Sie etwas über die Sicherheitsfunktionen von Ground Truth und darüber, wie Sie AWS Identity and Access Management (IAM-)Berechtigungen konfigurieren können, damit ein Benutzer oder eine Rolle einen Kennzeichnungsauftrag erstellen kann. Erfahren Sie außerdem, wie Sie eine *Ausführungsrolle* erstellen. Eine Ausführungsrolle ist die Rolle, die Sie angeben, wenn Sie einen Kennzeichnungsauftrag erstellen. Diese Rolle dient dazu, Ihren Kennzeichnungsauftrag zu starten.
Wenn Sie ein neuer Benutzer sind und schnell loslegen möchten, oder wenn Sie keine detaillierten Berechtigungen brauchen, lesen Sie unter [Verwendung von IAM-verwalteten Richtlinien zusammen mit Ground Truth](sms-security-permissions-get-started.md) weiter.
Weitere Informationen über IAM-Benutzer und -Rollen finden Sie unter [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im IAM-Benutzerhandbuch.
Weitere Informationen zur Verwendung von IAM mit SageMaker KI finden Sie unter[AWS Identity and Access Management für Amazon SageMaker AI](security-iam.md).
**Topics**
+ [CORS-Anforderung für Eingabebilddaten](sms-cors-update.md)
+ [IAM-Berechtigungen zur Verwendung von Ground Truth zuweisen](sms-security-permission.md)
+ [Verwendung von Amazon SageMaker Ground Truth in einer Amazon Virtual Private Cloud](sms-vpc.md)
+ [Verschlüsselung von Ausgabedaten und Speicher-Volumes](sms-security.md)
+ [Authentifizierung der Arbeitskräfte und Einschränkungen](sms-security-workforce-authentication.md)
# CORS-Anforderung für Eingabebilddaten
Anfang 2020 wurde das Standardverhalten weit verbreiteter Browser wie Chrome und Firefox für das Rotieren von Bildern anhand von Bildmetadaten, den sogenannten [EXIF-Daten](https://en.wikipedia.org/wiki/Exif), geändert. Bis dahin zeigten Browser Bilder immer genau so an, wie sie auf der Festplatte gespeichert waren, normalerweise also nicht gedreht. Seit der Änderung werden Bilder jetzt gedreht, und zwar abhängig von einem Teil der Bildmetadaten, der als *Orientierungswert* bezeichnet wird. Dies hat erhebliche Auswirkungen für die gesamte Machine Learning Community (ML). Wenn beispielsweise Anwendungen, die Bilder kommentieren, die EXIF-Ausrichtung nicht berücksichtigen, können die Bilder in unerwarteter Ausrichtung erscheinen. Das führt dazu, dass die Bilder falsch beschriftet werden.
Ab Chrome 89 AWS kann die Rotation von Bildern nicht mehr automatisch verhindert werden, da die Webstandardgruppe W3C entschieden hat, dass die Möglichkeit, die Rotation von Bildern zu kontrollieren, gegen die Same-Origin-Richtlinie des Webs verstößt. Um daher sicherzustellen, dass Mitarbeiter (d. h. Menschen), die die von Ihnen eingegebenen Bilder in vorhersehbarer Ausrichtung kommentieren, wenn Sie einen Kennzeichnungsauftrag beantragen, müssen Sie eine CORS-Header-Richtlinie zu den Amazon-S3-Buckets hinzufügen, die die von Ihnen eingegebenen Bilder enthalten.
**Wichtig**
Wenn Sie zu den Amazon-S3-Buckets, die Ihre Eingabedaten enthalten, keine CORS-Konfiguration hinzufügen, schlagen die Labeling-Aufgaben für diese Eingabedatenobjekte fehl.
Wenn Sie einen Auftrag über die Ground-Truth-Konsole erstellen, ist CORS standardmäßig aktiviert. Wenn sich Ihre Eingabedaten *nicht* alle in demselben Amazon-S3-Bucket befinden wie Ihre Eingabe-Manifest-Datei, müssen Sie zu allen Amazon-S3-Buckets, die Eingabedaten enthalten, mit Hilfe der folgenden Anweisungen eine CORS-Konfiguration hinzufügen.
Wenn Sie mit Hilfe der `CreateLabelingJob` API einen Ground-Truth-Labeling-Auftrag erstellen, können Sie zu einem Amazon-S3-Bucket, der in der S3-Konsole Eingabedaten enthält, eine CORS-Richtlinie hinzufügen. Um die erforderlichen CORS-Header im Amazon-S3-Bucket festzulegen, die die von Ihnen eingegebenen Bilder in der Amazon S3-Konsole enthalten, folgen Sie den Anweisungen unter [Wie füge ich mit CORS eine domainübergreifende Ressourcenfreigabe hinzu?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-cors-configuration.html). Verwenden Sie den folgenden CORS-Konfigurationscode für die Buckets, in denen Ihre Bilder gehostet sind. Wenn Sie die Amazon S3-Konsole verwenden, um die Richtlinie zu Ihrem Bucket hinzuzufügen, müssen Sie das JSON-Format verwenden.
**Wichtig**
Wenn Sie einen Kennzeichnungsauftrag mit 3D-Punktwolke oder Video-Frame erstellen, müssen Sie zusätzliche Regeln zu Ihrer CORS-Konfiguration hinzufügen. Weitere Informationen hierzu finden Sie unter [Berechtigungsvoraussetzungen für 3D-Punktwolken-Kennzeichnungsjobs](sms-security-permission-3d-point-cloud.md) bzw. [Anforderungen an die Genehmigung von Video-Frame-Aufträgen](sms-video-overview.md#sms-security-permission-video-frame).
**JSON**
```
[{
"AllowedHeaders": [],
"AllowedMethods": ["GET"],
"AllowedOrigins": ["*"],
"ExposeHeaders": ["Access-Control-Allow-Origin"]
}]
```
**XML**
```
*
GET
Access-Control-Allow-Origin
```
Das folgende GIF zeigt die Anweisungen, die in der Amazon S3-Dokumentation zu finden sind. Dabei geht es darum, eine mithilfe der Amazon S3-Konsole CORS-Header-Richtlinie hinzuzufügen. Eine schriftliche Anleitung finden Sie unter **Verwendung der Amazon S3-Konsole** auf der Seite [So fügen Sie mit CORS die domainübergreifende gemeinsame Ressourcennutzung hinzu](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-cors-configuration.html) der Dokumentation im Benutzerhandbuch zum Amazon Simple Storage Service.
![\[GIF zum Hinzufügen einer CORS-Header-Richtlinie über die Amazon-S3-Konsole\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/sms/gifs/cors-config.gif)
# IAM-Berechtigungen zur Verwendung von Ground Truth zuweisen
In den Themen in diesem Abschnitt erfahren Sie, wie Sie verwaltete und benutzerdefinierte AWS Identity and Access Management (IAM) -Richtlinien verwenden, um den Zugriff auf Ground Truth und zugehörige Ressourcen zu verwalten.
In den Abschnitten auf dieser Seite können Sie sich darüber informieren, wie:
+ Sie IAM-Richtlinien erstellen, die einem Benutzer oder einer Rolle die Berechtigung gewähren, einen Kennzeichnungsauftrag zu erstellen. Administratoren können IAM-Richtlinien verwenden, um den Zugriff auf Amazon SageMaker AI und andere AWS Dienste, die für Ground Truth spezifisch sind, einzuschränken.
+ So erstellen Sie eine SageMaker *KI-Ausführungsrolle*. Eine Ausführungsrolle ist die Rolle, die Sie angeben, wenn Sie einen Kennzeichnungsauftrag erstellen. Die Rolle dient dazu, Ihren Kennzeichnungsauftrag zu starten und zu verwalten.
Nachfolgend finden Sie eine Übersicht über die Themen auf dieser Seite:
+ Wenn Sie Ground Truth zu verwenden beginnen oder keine detaillierten Berechtigungen für Ihren Anwendungsfall brauchen, wird empfohlen, die unter [Verwendung von IAM-verwalteten Richtlinien zusammen mit Ground Truth](sms-security-permissions-get-started.md) beschriebenen IAM-verwalteten Richtlinien zu verwenden.
+ Erfahren Sie mehr über die für die Nutzung der Ground-Truth-Konsole in [Erteilen Sie IAM-Berechtigungen zur Nutzung der Amazon SageMaker Ground Truth Console](sms-security-permission-console-access.md)erforderlichen Berechtigungen. Dieser Abschnitt enthält Richtlinienbeispiele, die einer IAM-Entität die Berechtigung erteilen, private Arbeitsteams zu erstellen und zu ändern, Arbeitsteams von Anbietern zu abonnieren und benutzerdefinierte Kennzeichnungs-Workflows zu erstellen.
+ Wenn Sie einen Kennzeichnungsauftrag erstellen, müssen Sie eine Ausführungsrolle bereitstellen. Verwenden Sie [Erstellen Sie eine SageMaker KI-Ausführungsrolle für einen Ground-Truth-Labeling-Job](sms-security-permission-execution-role.md), um mehr über die für diese Rolle erforderlichen Berechtigungen zu erfahren.
# Verwendung von IAM-verwalteten Richtlinien zusammen mit Ground Truth
SageMaker KI und Ground Truth bieten AWS verwaltete Richtlinien, mit denen Sie einen Labeling-Job erstellen können. Wenn Sie Ground Truth erstmals verwenden und keine detaillierten Berechtigungen für Ihren Anwendungsfall brauchen, wird empfohlen, die folgenden Richtlinien zu verwenden:
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)` – Verwenden Sie diese Richtlinie, um einem Benutzer oder einer Rolle die Berechtigung zu erteilen, einen Kennzeichnungsauftrag zu erstellen. Dabei handelt es sich um eine weit gefasste Richtlinie, die einer Entität die Erlaubnis erteilt, SageMaker KI-Funktionen sowie Funktionen der erforderlichen AWS Dienste über die Konsole und die API zu nutzen. Diese Richtlinie erteilt der Entität die Berechtigung, mithilfe von Amazon Cognito einen Kennzeichnungsauftrag zu erstellen und Belegschaften einzurichten und zu verwalten. Weitere Informationen finden Sie unter [AmazonSageMakerFullAccess Richtlinie](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess).
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`- Um eine *Ausführungsrolle* zu erstellen, können Sie die Richtlinie `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` einer Rolle zuordnen. Eine Ausführungsrolle ist die Rolle, die Sie angeben, wenn Sie einen Kennzeichnungsauftrag erstellen. Sie dient dazu, Ihren Kennzeichnungsauftrag zu starten. Mit Hilfe dieser Richtlinie können Sie Kennzeichnungsaufträge mit und ohne Streaming sowie solche mit beliebigem Aufgabentyp erstellen. Beachten Sie bitte die folgenden Einschränkungen dieser verwalteten Richtlinie.
+ **Amazon S3-Berechtigungen**: Diese Richtlinie gewährt einer Ausführungsrolle die Berechtigung für den Zugriff auf Amazon-S3-Buckets mit den folgenden Zeichenfolgen im Namen: `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` und `sagemaker` oder einen Bucket mit einer [Objekt-Markierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html), die `SageMaker` im Namen enthält (Groß- und Kleinschreibung spielt dabei keine Rolle). Achten Sie darauf, dass die Namen Ihrer Eingabe- und Ausgabe-Buckets diese Zeichenfolgen enthalten, oder fügen Sie zu Ihrer Ausführungsrolle zusätzliche Berechtigungen hinzu, um ihr [die Berechtigung für den Zugriff auf Ihre Amazon-S3-Buckets zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html). Sie müssen dieser Rolle die Berechtigung erteilen, an Ihren Amazon-S3-Buckets die folgenden Aktionen durchzuführen: `AbortMultipartUpload`, `GetObject` und `PutObject`.
+ **Benutzerdefinierte Workflows**: Wenn Sie einen [benutzerdefinierten Label-Workflow](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html) erstellen, ist diese Ausführungsrolle darauf beschränkt, AWS Lambda Funktionen mit einer der folgenden Zeichenfolgen als Teil des Funktionsnamens aufzurufen:`GtRecipe`,`SageMaker`, `Sagemaker``sagemaker`, oder`LabelingFunction`. Dies gilt sowohl für Ihre Lambda-Funktionen zur Vorverarbeitung als auch zur Nachbereitung. Wenn Sie Namen ohne diese Zeichenfolgen verwenden möchten, müssen Sie der Ausführungsrolle, mit der Sie den Kennzeichnungsauftrag erstellen, die entsprechende `lambda:InvokeFunction` Berechtigung eigens erteilen.
Informationen zum Anhängen einer AWS verwalteten Richtlinie an einen Benutzer oder eine Rolle finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) im IAM-Benutzerhandbuch.
# Erteilen Sie IAM-Berechtigungen zur Nutzung der Amazon SageMaker Ground Truth Console
Um den Ground-Truth-Bereich der SageMaker KI-Konsole nutzen zu können, müssen Sie einer Entität die Erlaubnis erteilen, auf SageMaker KI und andere AWS Dienste zuzugreifen, mit denen Ground Truth interagiert. Die erforderlichen Berechtigungen für den Zugriff auf andere AWS Dienste hängen von Ihrem Anwendungsfall ab:
+ Amazon S3-Berechtigungen sind für alle Anwendungsfälle erforderlich. Diese Berechtigungen müssen den Zugriff auf die Amazon-S3-Buckets gewähren, die Eingabe- und Ausgabedaten enthalten.
+ AWS Marketplace Für den Einsatz von Mitarbeitern eines Anbieters sind Berechtigungen erforderlich.
+ Für die Einrichtung eines privaten Arbeitsteams ist eine Amazon Cognito-Berechtigung erforderlich.
+ AWS KMS Zum Anzeigen verfügbarer AWS KMS Schlüssel, die für die Verschlüsselung der Ausgabedaten verwendet werden können, sind Berechtigungen erforderlich.
+ Um bereits vorhandene Ausführungsrollen aufzulisten oder eine neue zu erstellen sind IAM-Berechtigungen erforderlich. Darüber hinaus müssen Sie die Option „`PassRole`Berechtigung hinzufügen“ verwenden, damit SageMaker KI die Ausführungsrolle verwenden kann, die ausgewählt wurde, um den Labeling-Job zu starten.
In den folgenden Abschnitten sind Richtlinien aufgeführt, die Sie einer Rolle ggf. zuweisen sollten, um eine oder mehrere Funktionen von Ground Truth zu nutzen.
**Topics**
+ [Konsolenberechtigungen für Ground Truth](#sms-security-permissions-console-all)
+ [Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge](#sms-security-permissions-custom-workflow)
+ [Berechtigungen für private Arbeitskräfte](#sms-security-permission-workforce-creation)
+ [Berechtigungen der Arbeitskräfte von Anbietern](#sms-security-permissions-workforce-creation-vendor)
## Konsolenberechtigungen für Ground Truth
Um einem Benutzer oder einer Rolle die Erlaubnis zu erteilen, den Ground Truth Truth-Bereich der SageMaker KI-Konsole zur Erstellung eines Labeling-Jobs zu verwenden, fügen Sie dem Benutzer oder der Rolle die folgende Richtlinie bei. Mit der folgenden Richtlinie wird einer IAM-Rolle die Berechtigung erteilt, einen Kennzeichnungsauftrag unter Verwendung eines [integrierten Aufgabentyps](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) zu erstellen. Wenn Sie einen benutzerdefinierten Kennzeichnungs-Workflow erstellen möchten, fügen Sie die Richtlinie in [Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge](#sms-security-permissions-custom-workflow) zu der folgenden Richtlinie hinzu. Jede der in der folgenden Richtlinie enthaltene `Statement` wird unter diesem Codeblock beschrieben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Diese Richtlinie enthält die folgenden Aussagen. Sie können jede dieser Aussagen eingrenzen, indem Sie konkrete Ressourcen auf die `Resource` Liste für diese Anweisung setzen.
`SageMakerApis`
Diese Aussage beinhaltet`sagemaker:*`, was es dem Benutzer ermöglicht, alle [SageMaker KI-API-Aktionen](sagemaker/latest/APIReference/API_Operations.html) durchzuführen. Sie können den Umfang dieser Richtlinie einschränken, indem Sie Benutzer daran hindern, Aktionen auszuführen, die bei der Erstellung und Überwachung eines Kennzeichnungsauftrags keine Anwendung finden.
**`KmsKeysForCreateForms`**
Sie müssen diese Anweisung nur angeben, wenn Sie einem Benutzer die Erlaubnis erteilen möchten, AWS KMS Schlüssel in der Ground Truth Konsole aufzulisten und auszuwählen, die für die Verschlüsselung der Ausgabedaten verwendet werden sollen. Die o.g. Richtlinie gibt dem Benutzer die Berechtigung, im Konto unter AWS KMS beliebige Schlüssel aufzulisten und auszuwählen. Um die Schlüssel einzuschränken, die ein Benutzer auflisten und auswählen kann, geben Sie diese Schlüssel ARNs in ein`Resource`.
**`SecretsManager`**
Diese Anweisung gibt dem Benutzer die Erlaubnis, Ressourcen zu beschreiben, aufzulisten und zu erstellen, die für die Erstellung des Labeling-Jobs AWS Secrets Manager erforderlich sind.
`ListAndCreateExecutionRoles`
Diese Anweisung erteilt einem Benutzer die Berechtigung, IAM-Rollen in Ihrem Konto aufzulisten (`ListRoles`) und zu erstellen (`CreateRole`). Sie gibt dem Benutzer auch die Berechtigung, Richtlinien zu erstellen (`CreatePolicy`) und sie an Entitäten anzuhängen (`AttachRolePolicy`). Diese sind erforderlich, um in der Konsole eine Ausführungsrolle aufzulisten, auszuwählen und ggf. zu erstellen.
Wenn Sie bereits eine Ausführungsrolle erstellt haben und den Geltungsbereich dieser Anweisung einschränken möchten, sodass Benutzer nur diese Rolle in der Konsole auswählen können, geben Sie die ARNs Rollen an, für die der Benutzer berechtigt sein soll, die Aktionen anzuzeigen `Resource` und zu entfernen `CreateRole``CreatePolicy`, und`AttachRolePolicy`.
`AccessAwsMarketplaceSubscriptions`
Diese Berechtigungen sind erforderlich, um Arbeitsteams von Lieferanten anzeigen und auswählen zu können, die Sie bei der Erstellung eines Kennzeichnungsauftrags bereits abonniert haben. Um dem Benutzer die Berechtigung zu geben, Arbeitsteams von Lieferanten zu *abonnieren*, fügen Sie die Anweisung in [Berechtigungen der Arbeitskräfte von Anbietern](#sms-security-permissions-workforce-creation-vendor) zu der obigen Richtlinie hinzu
`PassRoleForExecutionRoles`
Dies ist erforderlich, um dem Ersteller des Kennzeichnungsauftrags die Berechtigung zu geben, eine Vorschau der Worker-Benutzeroberfläche anzuzeigen und zu überprüfen, ob Eingabedaten, Beschriftungen und Anweisungen korrekt angezeigt werden. Diese Anweisung erteilt einer Entität die Erlaubnis, die IAM-Ausführungsrolle, die zur Erstellung des Labeling-Jobs verwendet wurde, an SageMaker KI zu übergeben, um die Worker-Benutzeroberfläche zu rendern und eine Vorschau anzuzeigen. Um den Umfang dieser Richtlinie einzugrenzen, fügen Sie unter `Resource` die Rollen-ARN der Ausführungsrolle hinzu, mit der der Kennzeichnungsauftrag erstellt wurde.
**`GroundTruthConsole`**
+ `groundtruthlabeling` – Damit kann ein Benutzer Aktionen ausführen, die für die Nutzung bestimmter Funktionen der Ground-Truth-Konsole erforderlich sind. Dazu gehören Berechtigungen zur Beschreibung des Status des Kennzeichnungsauftrags (`DescribeConsoleJob`), zum Auflisten aller Datensatz-Objekte in der Eingabe-Manifestdatei (`ListDatasetObjects`), zum Filtern des Datensatzes, wenn die Datensatz-Probenahme ausgewählt ist (`RunFilterOrSampleDatasetJob`), sowie zum Generieren von Eingabe-Manifestdateien, falls das automatische Daten-Labeling verwendet wird (`RunGenerateManifestByCrawlingJob`). Diese Aktionen stehen nur bei Verwendung der Ground-Truth-Konsole zur Verfügung und können nicht direkt über eine API aufgerufen werden.
+ `lambda:InvokeFunction` und `lambda:ListFunctions` – diese Aktionen geben dem Benutzer die Berechtigung, Lambda-Funktionen aufzulisten und aufzurufen, die zur Ausführung eines benutzerdefinierten Kennzeichnungs-Workflows verwendet werden.
+ `s3:*` – Alle in dieser Anweisung enthaltenen Amazon S3-Berechtigungen dienen dazu, Amazon-S3-Buckets für die [automatisierte Dateneinrichtung](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) anzuzeigen (`ListAllMyBuckets`), in Amazon S3 auf Eingabedaten zuzugreifen (`ListBucket`,`GetObject`), ggf. nach CORS-Richtlinien in Amazon S3 zu suchen und diese zu erstellen (`GetBucketCors` und `PutBucketCors`) und Ausgabedateien für Kennzeichnungsaufträge in S3 zu schreiben (`PutObject`).
+ `cognito-idp`- Diese Berechtigungen dienen dazu, mithilfe von Amazon Cognito private Arbeitskräfte zu erstellen, anzuzeigen und zu verwalten. Weitere Informationen zu diesen Aktionen finden Sie in den [Amazon Cognito API-Referenzen](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Workflow-Berechtigungen für benutzerdefinierte Kennzeichnungsaufträge
Fügen Sie die folgende Anweisung zu einer Richtlinie hinzu, ähnlich der in [Konsolenberechtigungen für Ground Truth](#sms-security-permissions-console-all), um einem Benutzer die Berechtigung zu erteilen, bereits vorhandene Lambda-Funktionen vor und nach der Anmerkung auszuwählen und dabei einen [benutzerdefinierten Kennzeichnungs-Workflow zu erstellen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html).
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Informationen darüber, wie Sie einer Entität die Berechtigung erteilen, Lambda-Funktionen vor und nach der Annotation zu erstellen und zu testen, finden Sie unter [Erforderliche Berechtigungen zur Verwendung von Lambda mit Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html).
## Berechtigungen für private Arbeitskräfte
Wenn die folgende Berechtigung zu einer Berechtigungsrichtlinie hinzugefügt wird, gewährt sie Zugriff auf die Erstellung und Verwaltung privater Arbeitskräfte und eines Arbeitsteams mit Hilfe von Amazon Cognito. Diese Berechtigungen sind nicht erforderlich, um [OIDC-IdP-Arbeitskräfte](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps) zu verwenden.
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Weitere Informationen zum Erstellen privater Arbeitskräfte mit Hilfe von Amazon Cognito finden Sie unter [Amazon Cognito – Arbeitskräfte](sms-workforce-private-use-cognito.md).
## Berechtigungen der Arbeitskräfte von Anbietern
Sie können zu der Richtlinie in [Erteilen Sie IAM-Berechtigungen zur Nutzung der Amazon SageMaker Ground Truth Console](#sms-security-permission-console-access) die folgende Erklärung hinzufügen, um einer Entität die Berechtigung zu erteilen, [Arbeitskräfte von einem Anbieter zu abonnieren](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```
# Erstellen Sie eine SageMaker KI-Ausführungsrolle für einen Ground-Truth-Labeling-Job
Wenn Sie Ihren Labeling-Job konfigurieren, müssen Sie eine *Ausführungsrolle* angeben. Dabei handelt es sich um eine Rolle, die SageMaker KI übernehmen darf, um Ihren Labeling-Job zu starten und auszuführen.
Diese Rolle muss Ground Truth die folgende Zugriffsberechtigung geben:
+ Amazon S3 kann Ihre Eingabedaten abrufen und Ausgabedaten in einen Amazon-S3-Bucket schreiben. Sie können entweder einer IAM-Rolle die Berechtigung für den Zugriff auf einen gesamten Bucket erteilen, indem Sie den Bucket-ARN angeben, oder Sie können der Rolle den Zugriff auf bestimmte Ressourcen in einem Bucket gewähren. Der ARN für einen Bucket kann z. B. so aussehen wie `arn:aws:s3:::amzn-s3-demo-bucket1`, und der ARN einer Ressource in einem Amazon-S3-Bucket kann so aussehen wie `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png`. Um eine Aktion auf alle Ressourcen in einem Amazon-S3-Bucket anzuwenden, können Sie den Platzhalter `*` verwenden. Beispiel, `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`. Weitere Informationen finden Sie unter [Amazon S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html) im Benutzerhandbuch zum Amazon Simple Storage Service.
+ CloudWatch um Arbeitsmetriken und den Status von Labeling-Jobs zu protokollieren.
+ AWS KMS zur Datenverschlüsselung. (Optional)
+ AWS Lambda für die Verarbeitung von Eingabe- und Ausgabedaten, wenn Sie einen benutzerdefinierten Workflow erstellen.
Wenn Sie einen [Streaming-Kennzeichnungsauftrag](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html) erstellen, muss diese Rolle außerdem über folgende Zugriffsberechtigungen verfügen:
+ Amazon SQS zur Erstellung einer Interaktion mit einer SQS-Warteschlange für die [Verwaltung von Kennzeichnungsanfragen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs).
+ Amazon SNS, um Nachrichten aus Ihrem Amazon SNS-Eingabethema zu abonnieren und abzurufen und Nachrichten an Ihr Amazon SNS-Ausgabethema zu senden.
Alle diese Berechtigungen können mit der `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` verwalteten Richtlinie erteilt werden, *außer*:
+ Verschlüsselung von Daten und Speicher-Volumes Ihrer Amazon-S3-Buckets. Informationen zum Einrichten dieser Berechtigungen finden Sie unter [Verschlüsseln Sie Ausgabedaten und Speichervolumen mit AWS KMS](sms-security-kms-permissions.md).
+ Berechtigung zum Auswählen und Aufrufen von Lambda-Funktionen ohne `GtRecipe`, `SageMaker`, `Sagemaker`, `sagemaker` oder `LabelingFunction` im Funktionsnamen.
+ Amazon-S3-Buckets, die weder `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` noch `sagemaker` im Präfix oder im Bucket-Namen oder eine [Objekt-Markierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) enthalten, die `SageMaker` im Namen enthält (Groß- und Kleinschreibung wird nicht beachtet).
Wenn Sie präzisere Berechtigungen brauchen als die unter `AmazonSageMakerGroundTruthExecution` angegebenen, verwenden Sie die folgenden Richtlinienbeispiele, um eine Ausführungsrolle zu erstellen, die zu Ihrem speziellen Anwendungsfall passt.
**Topics**
+ [Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)](#sms-security-permission-execution-role-built-in-tt)
+ [Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [Anforderungen an die Ausführungsrolle für benutzerdefinierte Aufgabentypen](#sms-security-permission-execution-role-custom-tt)
+ [Berechtigungsanforderungen für die automatisierte Datenbeschriftung](#sms-security-permission-execution-role-custom-auto-labeling)
## Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)
Die folgende Richtlinie gewährt die Berechtigung, einen Kennzeichnungsauftrag für einen [integrierten Aufgabentyp](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) zu erstellen. Diese Ausführungsrichtlinie beinhaltet keine Berechtigungen für die AWS KMS Datenverschlüsselung oder -entschlüsselung. Ersetzen Sie jeden roten, kursiv geschriebenen ARN durch Ihren eigenen Amazon S3. ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)
Wenn Sie einen Kennzeichnungsauftrag mit Streaming erstellen, müssen Sie zu der Ausführungsrolle, mit der Sie den Kennzeichnungsauftrag erstellen, eine Richtlinie hinzufügen, ähnlich der folgenden. Um den Geltungsbereich der Richtlinie einzugrenzen, ersetzen Sie das Feld `*` in `Resource` durch spezifische AWS Ressourcen, für deren Zugriff und Nutzung Sie der IAM-Rolle Zugriff und Nutzung gewähren möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## Anforderungen an die Ausführungsrolle für benutzerdefinierte Aufgabentypen
Wenn Sie einen [benutzerdefinierten Kennzeichnungs-Workflow](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html) erstellen möchten, fügen Sie die folgende Anweisung zur Richtlinie einer Ausführungsrolle hinzu, wie sie in [Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)](#sms-security-permission-execution-role-built-in-tt) oder [Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)](#sms-security-permission-execution-role-built-in-tt-streaming) zu finden ist.
Diese Richtlinie erteilt der Ausführungsrolle die Berechtigung zur `Invoke` Ihrer Lambda-Funktionen vor und nach der Anmerkung.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## Berechtigungsanforderungen für die automatisierte Datenbeschriftung
Wenn Sie einen Kennzeichnungsauftrag mit aktivierter [automatisierter Datenbeschriftung](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) erstellen möchten, müssen Sie 1) zu der IAM-Richtlinie, die der Ausführungsrolle zugeordnet ist, eine Richtlinie hinzufügen und 2) die Vertrauensrichtlinie der Ausführungsrolle aktualisieren.
Mit der folgenden Anweisung kann die IAM-Ausführungsrolle an SageMaker KI übergeben werden, sodass sie zur Ausführung der Trainings- und Inferenzjobs verwendet werden kann, die für aktives Lernen bzw. für die automatische Datenkennzeichnung verwendet werden. Fügen Sie diese Anweisung zur Richtlinie für eine Ausführungsrolle hinzu, wie sie in [Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (ohne Streaming)](#sms-security-permission-execution-role-built-in-tt) oder [Anforderungen an die Ausführungsrolle für integrierte Aufgabentypen (mit Streaming)](#sms-security-permission-execution-role-built-in-tt-streaming) zu finden sind. Ersetzen Sie `arn:aws:iam:::role/` durch den Ausführungsrollen-ARN. Den ARN Ihrer IAM-Rolle finden Sie in der IAM-Konsole unter **Rollen**.
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
Die folgende Anweisung ermöglicht es der SageMaker KI, die Ausführungsrolle für die Erstellung und Verwaltung der SageMaker Trainings- und Inferenzjobs zu übernehmen. Diese Richtlinie muss zur Vertrauensstellung der Ausführungsrolle hinzugefügt werden. Informationen zum Hinzufügen oder Ändern der Vertrauensrichtlinie für eine IAM-Rolle finden Sie unter [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im IAM-Benutzerhandbuch.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------
# Verschlüsseln Sie Ausgabedaten und Speichervolumen mit AWS KMS
Sie können AWS Key Management Service (AWS KMS) verwenden, um Ausgabedaten eines Labeling-Jobs zu verschlüsseln, indem Sie bei der Erstellung des Labeling-Jobs einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) angeben. Wenn Sie den API-Vorgang `CreateLabelingJob` verwenden, um einen Kennzeichnungsauftrag zu erstellen, der das automatisierte Daten-Labeling verwendet, können Sie auch einen vom Kunden verwalteten Schlüssel verwenden, um das Speicher-Volume zu verschlüsseln, das an die ML-Datenverarbeitungs-Instances angehängt ist, um das Trainings- und Inference-Aufträge auszuführen.
In diesem Abschnitt werden die IAM-Richtlinien beschrieben, die Sie Ihrem vom Kunden verwalteten Schlüssel zuordnen müssen, um die Verschlüsselung der Ausgabedaten zu aktivieren, sowie die Richtlinien, die Sie Ihrem vom Kunden verwalteten Schlüssel und Ihrer Ausführungsrolle zuordnen müssen, um die Verschlüsselung von Speicher-Volumes verwenden zu können. Weitere Informationen zu diesen Optionen finden Sie unter [Verschlüsselung von Ausgabedaten und Speicher-Volumes](sms-security.md).
## Ausgabedaten mit KMS verschlüsseln
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zum Verschlüsseln von Ausgabedaten angeben, müssen Sie diesem Schlüssel eine IAM-Richtlinie hinzufügen, die der folgenden ähnelt. Diese Richtlinie erteilt der IAM-Ausführungsrolle, mit der Sie Ihren Kennzeichnungsauftrag erstellen, die Berechtigung, diesen Schlüssel für die Ausführung aller unter `"Action"` aufgeführten Aktionen zu verwenden. Weitere Informationen zu diesen Aktionen finden Sie im [AWS KMSAWS Key Management Service Entwicklerhandbuch unter Berechtigungen](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html).
Um diese Richtlinie zu verwenden, ersetzen Sie den ARN der IAM-Service-Rolle in `"Principal"` durch den ARN der Ausführungsrolle mit der Sie den Kennzeichnungsauftrag erstellen. Wenn Sie in der Konsole einen Kennzeichnungsauftrag erstellen, ist dies die Rolle, die Sie für die **IAM-Rolle** im Abschnitt **Auftragsübersicht** angeben. Wenn Sie mit Hilfe von `CreateLabelingJob` einen Kennzeichnungsauftrag erstellen, ist dies der ARN, den Sie für [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn) angeben.
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Automatische Datenbeschriftung verschlüsseln (ML Datenverarbeitungs-Instance Speicher-Volume)
Wenn Sie eine [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId) angeben, um das an die ML-Datenverarbeitungs-Instance angehängte Speicher-Volume zu verschlüsseln, die für Training und Inference zum automatisierten Daten-Labeling verwendet wird, müssen Sie wie folgt vorgehen:
+ Fügen Sie zu dem vom Kunden verwalteten Schlüssel die unter [Ausgabedaten mit KMS verschlüsseln](#sms-security-kms-permissions-output-data) beschriebenen Berechtigungen hinzu.
+ Fügen Sie eine Richtlinie ähnlich der folgenden an die IAM-Ausführungsrolle an, die Sie zum Erstellen Ihres Kennzeichnungsauftrags verwenden. Dies ist die IAM-Rolle, die Sie für [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn) in `CreateLabelingJob` angeben. Weitere Informationen zu den `"kms:CreateGrant"` Aktionen, die diese Richtlinie zulässt, finden Sie [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)in der AWS Key Management Service API-Referenz.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zur Verschlüsselung von Ground-Truth-Speicher-Volumes finden Sie unter [Verwenden Sie Ihren KMS-Schlüssel, um das Speicher-Volume für die automatische Datenbeschriftung zu verschlüsseln (nur API)](sms-security.md#sms-security-kms-storage-volume).
# Verwendung von Amazon SageMaker Ground Truth in einer Amazon Virtual Private Cloud
Mit [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) können Sie AWS Ressourcen in einem logisch isolierten virtuellen Netzwerk starten, das Sie definieren. Mit Ground Truth können Sie Kennzeichnungsaufträge innerhalb einer Amazon-VPC ausführen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen Labeling-Job in einer Amazon VPC starten, erfolgt die Kommunikation zwischen Ihrer VPC und Ground Truth vollständig und sicher innerhalb des AWS Netzwerks.
Dieses Handbuch zeigt, wie Sie Ground Truth in einer Amazon VPC auf folgende Weise verwenden können:
1. [Führen Sie einen Amazon SageMaker Ground Truth Labeling-Job in einer Amazon Virtual Private Cloud aus](samurai-vpc-labeling-job.md)
1. [Verwenden Sie den Amazon VPC-Modus von einem Private Worker-Portal aus](samurai-vpc-worker-portal.md)
# Führen Sie einen Amazon SageMaker Ground Truth Labeling-Job in einer Amazon Virtual Private Cloud aus
Ground Truth unterstützt die folgenden Funktionen in Amazon VPC.
+ Sie können Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Amazon VPC-Endpunkten oder bestimmten zu kontrollieren. VPCs Wenn Sie einen Labeling-Job starten und sich Ihre Eingabedaten in einem Amazon-S3-Bucket befinden, dessen Zugriff auf Benutzer in Ihrer VPC beschränkt ist, können Sie eine Bucket-Richtlinie hinzufügen, um auch einem Ground-Truth-Endpunkt die Erlaubnis zu erteilen, auf den Bucket zuzugreifen. Weitere Informationen hierzu finden Sie unter [Erlauben Sie Ground Truth den Zugriff auf VPC-eingeschränkte Amazon-S3-Buckets](#sms-vpc-permissions-s3).
+ Sie können einen [automatisierten Daten-Labeling-Job](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) in Ihrer VPC starten. Sie verwenden eine VPC-Konfiguration, um VPC-Subnetze und Sicherheitsgruppen anzugeben. SageMaker KI verwendet diese Konfiguration, um die Trainings- und Inferenzjobs zu starten, die für die automatische Datenkennzeichnung in Ihrer VPC verwendet werden. Weitere Informationen hierzu finden Sie unter [Erstellen eines automatisierten Datenetikettierungsauftrags in einer VPC](#sms-vpc-permissions-automated-labeling).
Sie können diese Optionen auf eine der folgenden Arten verwenden.
+ Sie können beide Methoden verwenden, um einen Labeling-Job mit einem VPC-geschützten Amazon-S3-Bucket mit aktiviertem automatisierten Daten-Labeling zu starten.
+ Sie können einen Labeling-Job mit jedem [integrierten Aufgabentyp](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) starten, der einen VPC-geschützten Bucket verwendet.
+ Sie können einen [benutzerdefinierten Label-Workflow](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html) mit einem VPC-geschützten Bucket starten. Ground Truth interagiert mit Ihren Lambda-Funktionen vor und nach der Annotation über einen [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html) Endpunkt.
Wir empfehlen Ihnen, dies zu überprüfen, [Voraussetzungen für die Ausführung eines Ground-Truth-Kennzeichnungsauftrags in einer VPC](#sms-vpc-gt-prereq) bevor Sie einen Labeling-Job in einer Amazon VPC erstellen.
## Voraussetzungen für die Ausführung eines Ground-Truth-Kennzeichnungsauftrags in einer VPC
Überprüfen Sie die folgenden Voraussetzungen, bevor Sie einen Ground-Truth-Labeling-Auftrag in einer Amazon VPC erstellen.
+ Wenn Sie ein neuer Benutzer von Ground Truth sind, lesen Sie den Artikel [Erste Schritte](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-getting-started.html), um zu erfahren, wie Sie einen Labeling-Auftrag erstellen.
+ Wenn sich Ihre Eingabedaten in einem VPC-geschützten Amazon-S3-Bucket befinden, müssen Ihre Mitarbeiter von Ihrer VPC aus auf das Worker-Portal zugreifen. VPC-basierte Kennzeichnungsaufträge erfordern den Einsatz eines privaten Arbeitsteams. Weitere Informationen zum Erstellen eines privaten Arbeitsteams finden Sie unter [Private Arbeitskraft einsetzen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private.html).
+ Die folgenden Voraussetzungen sind spezifisch für das Starten eines Kennzeichnungsauftrags in Ihrer VPC.
+ Folgen Sie den Anweisungen unter [Erstellen eines Amazon S3-VPC-Endpunkts](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3). Trainings- und Inferenzcontainer, die im automatisierten Daten-Labeling-Workflow verwendet werden, verwenden diesen Endpunkt, um mit Ihren Buckets in Amazon S3 zu kommunizieren.
+ Weitere Informationen zu dieser Funktion finden Sie unter [Automatisiertes Daten-Labeling](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html). Beachten Sie, dass das automatische Daten-Labeling für die folgenden [integrierten Aufgabentypen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) unterstützt wird: [Image-Klassifizierung (Single Label)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-image-classification.html), [Semantische Image-Segmentierung](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-semantic-segmentation.html), [Bounding Box](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-bounding-box.html) und [Textklassifizierung (Single Label)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-text-classification.html). Streaming-Labeling-Jobs unterstützen kein automatisches Daten-Labeling.
+ Lesen Sie den Abschnitt [Ground Truth Sicherheit und Berechtigungen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-general.html) und stellen Sie sicher, dass Sie die folgenden Bedingungen erfüllt haben.
+ Der Benutzer, der den Labeling-Job erstellt, verfügt über alle erforderlichen Berechtigungen
+ Sie haben eine IAM-Ausführungsrolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie für Ihren Anwendungsfall keine genau abgestimmten Berechtigungen benötigen, empfehlen wir Ihnen, die unter [Erteilen Sie allgemeine Berechtigungen, um mit Ground Truth zu beginnen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-permission.html#sms-security-permissions-get-started).
+ Erlauben Sie Ihrer VPC den Zugriff auf die `sagemaker-labeling-data-region` und `sm-bxcb-region-saved-task-states` S3 Buckets. Dabei handelt es sich um systemeigene, regionalisierte S3-Buckets, auf die über das Worker-Portal zugegriffen wird, wenn der Worker an einer Aufgabe arbeitet. Wir verwenden diese Buckets, um mit systemverwalteten Daten zu interagieren.
## Erlauben Sie Ground Truth den Zugriff auf VPC-eingeschränkte Amazon-S3-Buckets
In den folgenden Abschnitten finden Sie Einzelheiten zu den Berechtigungen, die Ground Truth benötigt, um Labeling-Jobs mit Amazon-S3-Buckets zu starten, deren Zugriff auf Ihre VPC und VPC-Endpunkte beschränkt ist. Informationen zum Beschränken des Zugriffs auf einen Amazon-S3-Bucket auf eine VPC finden Sie unter [Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) im Benutzerhandbuch zu Amazon Simple Storage Service. Informationen zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
**Anmerkung**
Das Ändern von Richtlinien für bestehende Buckets kann dazu führen, dass `IN_PROGRESS` Ground-Truth-Jobs fehlschlagen. Wir empfehlen Ihnen, neue Jobs mit einem neuen Bucket zu starten. Wenn Sie weiterhin denselben Bucket verwenden möchten, können Sie eine der folgenden Aktionen durchführen.
Warten Sie, bis ein `IN_PROGRESS` Job abgeschlossen ist.
Beenden Sie den Job mit der Konsole oder dem AWS CLI.
Sie können den Amazon-S3-Bucket-Zugriff auf Benutzer in Ihrer VPC mithilfe eines [AWS PrivateLink](https://aws.amazon.com/privatelink/)Endpunkts einschränken. Die folgende S3-Bucket-Richtlinie erlaubt zum Beispiel den Zugriff auf einen bestimmten Bucket, ``, nur von `` und dem Endpunkt ``. Wenn Sie diese Richtlinie ändern, müssen Sie alle *red-italized text* durch Ihre Ressourcen und Spezifikationen ersetzen.
**Anmerkung**
Die folgende Richtlinie *verweigert* allen Entitäten *außer* Benutzern innerhalb einer VPC die Durchführung der unter `Action` aufgeführten Aktionen. Wenn Sie Aktionen nicht in diese Liste aufnehmen, sind sie dennoch für jede Entität zugänglich, die Zugriff auf diesen Bucket und die Berechtigung hat, diese Aktionen auszuführen. Wenn ein Benutzer beispielsweise berechtigt ist, in Ihrem `GetBucketLocation` Amazon-S3-Bucket etwas auszuführen, schränkt die folgende Richtlinie den Benutzer nicht daran ein, diese Aktion außerhalb Ihrer VPC auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "AccessToSpecificVPCEOnly",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678901234567"
]
}
}
}
]
}
```
------
Ground Truth muss in der Lage sein, die folgenden Amazon S3-Aktionen für die S3-Buckets durchzuführen, die Sie zur Konfiguration des Labeling-Jobs verwenden.
```
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
```
Sie können dies tun, indem Sie der Bucket-Richtlinie einen Ground-Truth-Endpunkt hinzufügen, wie der zuvor erwähnte. Die folgende Tabelle enthält Ground Truth Service-Endpunkte für jede AWS Region. Fügen Sie Ihrer Bucket-Richtlinie einen Endpunkt in derselben [AWS -Region](https://docs.aws.amazon.com/general/latest/gr/rande.html) hinzu, in der Sie Ihren Labeling-Job ausführen.
****
| AWS Region | Ground Truth |
| --- | --- |
| us-east-2 | vpce-02569ba1c40aad0bc |
| us-east-1 | vpce-08408e335ebf95b40 |
| us-west-2 | vpce-0ea07aa498eb78469 |
| ca-central-1 | vpce-0d46ea4c9ff55e1b7 |
| eu-central-1 | vpce-0865e7194a099183d |
| eu-west-2 | vpce-0bccd56798f4c5df0 |
| eu-west-1 | vpce-0788e7ed8628e595d |
| ap-south-1 | vpce-0d7fcda14e1783f11 |
| ap-southeast-2 | vpce-0b7609e6f305a77d4 |
| ap-southeast-1 | vpce-0e7e67b32e9efed27 |
| ap-northeast-2 | vpce-007893f89e05f2bbf |
| ap-northeast-1 | vpce-0247996a1a1807dbd |
Die folgende Richtlinie schränkt zum Beispiel ein und führt Aktionen durch: `GetObject` `PutObject`
+ Ein Amazon-S3-Bucket für Benutzer in einer VPC () ``
+ Ein VPC-Endpunkt (``)
+ Ein Ground-Truth-Dienstendpunkt (``)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
Wenn Sie möchten, dass ein Benutzer berechtigt ist, einen Labeling-Auftrag über die Ground-Truth-Konsole zu starten, müssen Sie unter Verwendung der `aws:PrincipalArn` Bedingung auch den ARN des Benutzers zur Bucket-Richtlinie hinzufügen. Dieser Benutzer muss außerdem berechtigt sein, die folgenden Amazon S3-Aktionen für den Bucket auszuführen, den Sie zum Starten des Labeling-Aufträge verwenden.
```
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
```
Der folgende Code ist ein Beispiel für eine Bucket-Richtlinie, die die Erlaubnis zur Ausführung der im S3-Bucket `` aufgeführten Aktionen `Action` auf die folgenden beschränkt.
+ **
+ Die VPC-Endpunkte, die unter aufgeführt sind `aws:sourceVpce`
+ Benannte Benutzer innerhalb der VPC **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role-name"
},
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
**Anmerkung**
Die Endpunkte der Amazon VPC-Schnittstelle und die geschützten Amazon S3 S3-Buckets, die Sie für Eingabe- und Ausgabedaten verwenden, müssen sich in derselben AWS Region befinden, in der Sie den Labeling-Job erstellen.
Nachdem Sie Ground Truth die Erlaubnis erteilt haben, auf Ihre Amazon-S3-Buckets zuzugreifen, können Sie eines der Themen unter [Labeling-Job](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job.html) erstellen verwenden, um einen Labeling-Job zu starten. Geben Sie die VPC-beschränkten Amazon-S3-Buckets für Ihre Eingabe- und Ausgabe-Daten-Buckets an.
## Erstellen eines automatisierten Datenetikettierungsauftrags in einer VPC
Um einen automatisierten Daten-Labeling-Job mit einer Amazon VPC zu erstellen, stellen Sie mithilfe der Ground-Truth-Konsole oder des `CreateLabelingJob`-API-Vorgangs eine VPC-Konfiguration bereit. SageMaker KI verwendet die von Ihnen bereitgestellten Subnetze und Sicherheitsgruppen, um die für die automatische Kennzeichnung verwendeten Schulungs- und Inferenzaufgaben zu starten.
**Wichtig**
Bevor Sie einen automatisierten Daten-Beschriftungsauftrag mit einer VPC-Konfiguration starten, stellen Sie sicher, dass Sie einen Amazon S3-VPC-Endpunkt mit der VPC erstellt haben, die Sie für den Labeling-Job verwenden möchten. Wie das geht, erfahren Sie unter [Erstellen eines Amazon S3-VPC-Endpunkts](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3).
Wenn Sie einen automatisierten Daten-Labeling-Job mit einem VPC-beschränkten Amazon-S3-Bucket erstellen, müssen Sie außerdem den Anweisungen unter [Erlauben Sie Ground Truth den Zugriff auf VPC-eingeschränkte Amazon-S3-Buckets](#sms-vpc-permissions-s3) folgen, um Ground Truth die Erlaubnis für den Zugriff auf den Bucket zu erteilen.
Verwenden Sie die folgenden Verfahren, um zu erfahren, wie Sie Ihrer Labeling-Job-Anfrage eine VPC-Konfiguration hinzufügen.
**Fügen Sie einer automatisierte Daten-Labeling-Aufgabe (Konsole) eine VPC-Konfiguration hinzu:**
1. Folgen Sie den Anweisungen unter [Einen Labeling-Job erstellen (Konsole)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html) und führen Sie jeden Schritt des Verfahrens aus, bis zu Schritt 15.
1. Aktivieren Sie im Bereich **Auftragnehmer** das Kontrollkästchen neben **Automatisiertes Daten-Labeling aktivieren**.
1. Maximieren Sie den **VPC-Konfigurationsbereich** der Konsole, indem Sie den Pfeil auswählen.
1. Geben Sie die **Virtual Private Cloud (VPC)** an, die Sie für Ihr automatisiertes Daten-Labeling verwenden möchten.
1. Wählen Sie die Dropdown-Liste unter **Subnetze** und wählen Sie ein oder mehrere Subnetze aus.
1. Wählen Sie die Dropdown-Liste unter **Sicherheitsgruppen** und wählen Sie eine oder mehrere Gruppen aus.
1. Schließen Sie alle verbleibenden Schritte des Verfahrens unter Einen [Labeling-Job erstellen (Konsole)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html) ab.
**Fügen Sie einer automatisierten Daten-Labeling-Aufgabe (API) eine VPC-Konfiguration hinzu:**
Um einen Labeling-Job mithilfe des Ground-Truth-API-Vorgangs, `CreateLabelingJob`, zu konfigurieren, folgen Sie den Anweisungen unter [Erstellen eines automatisierten Daten-Labeling-Jobs (API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html#sms-create-automated-labeling-api), um Ihre Anfrage zu konfigurieren. Zusätzlich zu den in dieser Dokumentation beschriebenen Parametern müssen Sie einen `VpcConfig` Parameter in `LabelingJobResourceConfig` angeben, um ein oder mehrere Subnetze und Sicherheitsgruppen mithilfe des folgenden Schemas anzugeben.
```
"LabelingJobAlgorithmsConfig": {
"InitialActiveLearningModelArn": "string",
"LabelingJobAlgorithmSpecificationArn": "string",
"LabelingJobResourceConfig": {
"VolumeKmsKeyId": "string",
"VpcConfig": {
"SecurityGroupIds": [ "string" ],
"Subnets": [ "string" ]
}
}
}
```
Im Folgenden finden Sie ein Beispiel für eine [AWS Python-SDK-Anfrage (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_labeling_job) zur Erstellung eines automatisierten Daten-Labeling-Jobs in der Region USA Ost (Nord-Virginia) mithilfe einer privaten Belegschaft. Ersetzen Sie alle *red-italicized text* durch Ihre Ressourcen und Spezifikationen für Etikettierungsaufgaben. Weitere Informationen zu diesem `CreateLabelingJob` Vorgang finden Sie im Tutorial [Create a Labeling Job (API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-api.html) und in der [CreateLabelingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)API-Dokumentation.
```
import boto3
client = boto3.client(service_name='sagemaker')
response = client.create_labeling_job(
LabelingJobName="example-labeling-job",
LabelAttributeName="label",
InputConfig={
'DataSource': {
'S3DataSource': {
'ManifestS3Uri': "s3://bucket/path/manifest-with-input-data.json"
}
}
},
"LabelingJobAlgorithmsConfig": {
"LabelingJobAlgorithmSpecificationArn": "arn:aws:sagemaker:us-east-1:027400017018:labeling-job-algorithm-specification/tasktype",
"LabelingJobResourceConfig": {
"VpcConfig": {
"SecurityGroupIds": [ "sg-01233456789", "sg-987654321" ],
"Subnets": [ "subnet-e0123456", "subnet-e7891011" ]
}
}
},
OutputConfig={
'S3OutputPath': "s3://bucket/path/file-to-store-output-data",
'KmsKeyId': "string"
},
RoleArn="arn:aws:iam::*:role/*,
LabelCategoryConfigS3Uri="s3://bucket/path/label-categories.json",
StoppingConditions={
'MaxHumanLabeledObjectCount': 123,
'MaxPercentageOfInputDatasetLabeled': 123
},
HumanTaskConfig={
'WorkteamArn': "arn:aws:sagemaker:region:*:workteam/private-crowd/*",
'UiConfig': {
'UiTemplateS3Uri': "s3://bucket/path/custom-worker-task-template.html"
},
'PreHumanTaskLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:PRE-tasktype",
'TaskKeywords': [
"Images",
"Classification",
"Multi-label"
],
'TaskTitle': "Add task title here",
'TaskDescription': "Add description of task here for workers",
'NumberOfHumanWorkersPerDataObject': 1,
'TaskTimeLimitInSeconds': 3600,
'TaskAvailabilityLifetimeInSeconds': 21600,
'MaxConcurrentTaskCount': 1000,
'AnnotationConsolidationConfig': {
'AnnotationConsolidationLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:ACS-tasktype"
},
Tags=[
{
'Key': "string",
'Value': "string"
},
]
)
```
# Verwenden Sie den Amazon VPC-Modus von einem Private Worker-Portal aus
Um den Zugriff auf das Worker-Portal auf Labeler zu beschränken, die in Ihrer Amazon VPC arbeiten, können Sie eine VPC-Konfiguration hinzufügen, wenn Sie eine private Ground-Truth-Arbeitskraft erstellen. Sie können einer vorhandenen privaten Arbeitskraft auch eine VPC-Konfiguration hinzufügen. Ground Truth erstellt automatisch VPC-Schnittstellenendpunkte in Ihrer VPC und richtet sie AWS PrivateLink zwischen Ihrem VPC-Endpunkt und den Ground-Truth-Diensten ein. Auf die der Arbeitskraft zugeordnete URL des Worker-Portals kann von Ihrer VPC aus zugegriffen werden. Auf die URL des Worker-Portals kann auch über das öffentliche Internet zugegriffen werden, bis Sie die Einschränkung für das öffentliche Internet festlegen. Wenn Sie die Arbeitskraft löschen oder die VPC-Konfiguration aus Ihrer Arbeitskraft entfernen, löscht Ground Truth automatisch die VPC-Endpunkte, die der Arbeitskraft zugeordnet sind.
**Anmerkung**
Für eine Arbeitskraft kann nur eine VPC unterstützt werden.
[Punktwolken](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) – und [Videoaufgaben](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) unterstützen das Laden über eine VPC nicht.
Der Leitfaden zeigt, wie Sie die erforderlichen Schritte ausführen, um Ihrer Arbeitskraft eine Amazon VPC-Konfiguration hinzuzufügen und zu löschen und die Voraussetzungen zu erfüllen.
## Voraussetzungen
Um einen Ground-Truth-Labeling-Auftrag in Amazon VPC auszuführen, überprüfen Sie die folgenden Voraussetzungen.
+ Sie haben eine Amazon VPC konfiguriert, die Sie verwenden können. Wenn Sie keine VPC konfiguriert haben, folgen Sie diesen Anweisungen zum [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets).
+ Je nachdem, wie eine [Worker-Aufgabenvorlage](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html) geschrieben ist, kann bei Labeling-Aufgaben direkt von Amazon S3 aus auf die in einem Amazon-S3-Bucket gespeicherten Kennzeichnungsdaten zugegriffen werden. In diesen Fällen muss das VPC-Netzwerk so konfiguriert werden, dass Datenverkehr von dem vom menschlichen Labeler verwendeten Gerät zum S3-Bucket mit den Labeling-Daten zugelassen wird.
+ Folgen Sie [Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating), um DNS-Hostnamen und die DNS-Auflösung für Ihre VPC zu aktivieren.
**Anmerkung**
Es gibt zwei Möglichkeiten, um Ihre VPC für Ihre Arbeitskraft zu konfigurieren. Sie können dies über die [Konsole](https://console.aws.amazon.com/sagemaker) oder die AWS SageMaker [KI-CLI](https://aws.amazon.com/cli/) tun.
# Verwenden der SageMaker AI-Konsole zur Verwaltung einer VPC-Konfiguration
Sie können die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker) verwenden, um eine VPC-Konfiguration hinzuzufügen oder zu entfernen. Sie können eine bestehende Arbeitskraft auch löschen.
## Hinzufügen einer VPC-Konfiguration zu Ihrer Arbeitskraft
### Erstellen von privaten Arbeitskräften
+ [Erstellen Sie eine private Arbeitskraft mit Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [Richten Sie mithilfe von OpenID Connect (OIDC) Identity Provider (IdP) eine private Arbeitskraft](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html) ein.
Nachdem Sie Ihre private Arbeitskraft erstellt haben, fügen Sie ihr eine VPC-Konfiguration hinzu.
1. Navigieren Sie in Ihrer Konsole zu [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im linken Bereich die Option **Arbeitskraft kennzeichnen** aus.
1. Wählen Sie **Privat** aus, um auf Ihre privaten Mitarbeiter zuzugreifen. Wenn Ihr **Status der Arbeitskraft** **Aktiv** lautet, wählen Sie neben **VPC** die Option **Hinzufügen** aus.
1. Wenn Sie aufgefordert werden, Ihre VPC zu konfigurieren, geben Sie Folgendes an:
1. Ihre **VPC**
1. **Subnets**
1. Stellen Sie sicher, dass Ihre VPC über ein vorhandenes Subnetz verfügt
1. **Sicherheitsgruppen**
1.
**Anmerkung**
Sie können nicht mehr als 5 Sicherheitsgruppen auswählen.
1. Nachdem Sie diese Informationen eingegeben haben, wählen Sie **Bestätigen**.
1. Nachdem Sie **Bestätigen** ausgewählt haben, werden Sie zurück zur **privaten** Seite unter **Kennzeichnung von Arbeitskräften** weitergeleitet. Oben sollte ein grünes Banner mit der Aufschrift **Ihre private Arbeitskraft-Aktualisierung mit VPC-Konfiguration wurde erfolgreich initialisiert** zu sehen sein. Der Personalstatus ist **Wird aktualisiert.** Neben der Schaltfläche **Arbeitskraft löschen** befindet sich die Schaltfläche **Aktualisieren**, mit der Sie den aktuellen **Status der Arbeitskraft** abrufen können. Nachdem der Personalstatus auf **Aktiv** geändert wurde, wird auch die VPC-Endpunkt-ID aktualisiert.
## Entfernen einer VPC-Konfiguration aus Ihrer Arbeitskraft
Verwenden Sie die folgenden Informationen, um mithilfe der Konsole eine VPC-Konfiguration von Ihren Mitarbeitern zu entfernen.
1. Navigieren Sie in Ihrer Konsole zu [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im linken Bereich die Option **Kennzeichnung von Arbeitskräften** aus.
1. Suchen Sie Ihre Arbeitskraft und wählen Sie sie aus.
1. Suchen Sie unter **Zusammenfassung der privaten Arbeitskraft** nach **VPC** und wählen Sie daneben **Entfernen** aus.
1. Wählen Sie **Entfernen** aus.
## Löschen einer Arbeitskraft über die Konsole
Wenn Sie eine Arbeitskraft löschen, sollten ihr keine Teams zugeordnet sein. Sie können eine Arbeitskraft nur löschen, wenn der Personalstatus **Aktiv** oder **Fehlgeschlagen** lautet.
Verwenden Sie die folgenden Informationen, um eine Arbeitskraft mithilfe der Konsole zu löschen.
1. Navigieren Sie in Ihrer Konsole zu [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im linken Bereich die Option **Kennzeichnung von Arbeitskräften** aus.
1. Suchen Sie Ihre Arbeitskraft und wählen Sie sie aus.
1. Wählen Sie **Arbeitskraft löschen**.
1. Wählen Sie **Löschen**.
# Verwenden der SageMaker AWS KI-API zur Verwaltung einer VPC-Konfiguration
Verwenden Sie die folgenden Abschnitte, um mehr über die Verwaltung einer VPCs Konfiguration zu erfahren und gleichzeitig den richtigen Zugriff auf das Arbeitsteam zu gewährleisten.
## Erstellen Sie eine Arbeitskraft mit einer VPC-Konfiguration
Wenn das Konto bereits Arbeitskraft hat, müssen Sie es zuerst löschen. Sie können die Arbeitskraft auch mit der VPC-Konfiguration aktualisieren.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
Beschreiben Sie die Arbeitskraft und stellen Sie sicher, dass der Status `Initializing` lautet.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Navigieren Sie zur Amazon-VPC-Konsole. Wählen Sie im linken Bereich **Endpunkte** aus. In Ihrem Konto sollten zwei VPC-Endpunkte erstellt werden.
## Hinzufügen einer VPC-Konfiguration für Ihre Arbeitskraft
Aktualisieren Sie private Mitarbeiter, die nicht zu VPC gehören, mithilfe des folgenden Befehls mit einer VPC-Konfiguration.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
Beschreiben Sie die Arbeitskraft und stellen Sie sicher, dass der Status `Updating` lautet.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Navigieren Sie zu Ihrer Amazon VPC-Konsole. Wählen Sie im linken **Bereich Endpunkte** aus. In Ihrem Konto sollten zwei VPC-Endpunkte erstellt werden.
## Entfernen einer VPC-Konfiguration aus Ihrer Arbeitskraft
Aktualisieren Sie eine private VPC-Arbeitskraft mit einer leeren VPC-Konfiguration, um VPC-Ressourcen zu entfernen.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
Beschreiben Sie die Arbeitskraft und stellen Sie sicher, dass der Status `Updating` lautet.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Navigieren Sie zu Ihrer Amazon VPC-Konsole. Wählen Sie im linken **Bereich Endpunkte** aus. Die beiden VPC-Endpoints sollten gelöscht werden.
## Beschränken Sie den öffentlichen Zugriff auf das Worker-Portal und behalten Sie gleichzeitig den Zugriff über eine VPC bei
Die Mitarbeiter in einem VPC- oder Nicht-VPC-Worker-Portal können die ihnen zugewiesenen Labeling-Job-Aufgaben sehen. Die Zuweisung erfolgt durch die Zuweisung von Mitarbeitern in einem Arbeitsteam über OIDC-Gruppen. Es liegt in der Verantwortung des Kunden, den Zugang zu seinem öffentlichen Worker-Portal zu beschränken, indem er `sourceIpConfig` in seiner Arbeitskraft einstellt.
**Anmerkung**
Sie können den Zugriff auf das Worker-Portal nur über die SageMaker API einschränken. Dies kann nicht über die Konsole erfolgen.
Verwenden Sie den folgenden Befehl, um den öffentlichen Zugriff auf das Worker-Portal einzuschränken.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
Sobald das `sourceIpConfig` für die Arbeitskraft festgelegt ist, können die Mitarbeiter in VPC auf das Worker-Portal zugreifen, jedoch nicht über das öffentliche Internet.
**Anmerkung**
Sie können die `sourceIP` Einschränkung für das Worker-Portal in VPC nicht festlegen.
# Verschlüsselung von Ausgabedaten und Speicher-Volumes
Mit Amazon SageMaker Ground Truth können Sie hochsensible Daten kennzeichnen, die Kontrolle über Ihre Daten behalten und bewährte Sicherheitsmethoden anwenden. Während Ihr Kennzeichnungsauftrag läuft, verschlüsselt Ground Truth Ihre Daten während der Übertragung und im Ruhezustand. Zusätzlich können Sie AWS Key Management Service (AWS KMS) mit Ground Truth verwenden, um Folgendes zu tun:
+ Verwenden Sie einen [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys), um Ihre Ausgabedaten zu verschlüsseln.
+ Verwenden Sie den vom AWS KMS Kunden verwalteten Schlüssel mit Ihrem automatisierten Datenkennzeichnungsauftrag, um das Speichervolumen zu verschlüsseln, das an die Recheninstanz angehängt ist, die für Modelltraining und Inferenz verwendet wird.
Anhand der Themen auf dieser Seite erfahren Sie mehr über diese Sicherheitsfunktionen von Ground Truth.
## Verwenden Sie Ihren KMS-Schlüssel, um die Ausgabedaten zu verschlüsseln
Optional können Sie bei der Erstellung eines Labeling-Jobs einen vom AWS KMS Kunden verwalteten Schlüssel angeben, den Ground Truth zur Verschlüsselung Ihrer Ausgabedaten verwendet.
Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, verwendet Amazon SageMaker AI den Standard Von AWS verwalteter Schlüssel für Amazon S3 für das Konto Ihrer Rolle, um Ihre Ausgabedaten zu verschlüsseln.
Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, müssen Sie zu dem unter [Verschlüsseln Sie Ausgabedaten und Speichervolumen mit AWS KMS](sms-security-kms-permissions.md) beschriebenen Schlüssel die erforderlichen Berechtigungen hinzufügen. Wenn Sie den API-Vorgang `CreateLabelingJob` verwenden, können Sie Ihre vom Kunden verwaltete Schlüssel-ID mithilfe des Parameters `[KmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobOutputConfig.html#sagemaker-Type-LabelingJobOutputConfig-KmsKeyId)` angeben. Im folgenden Verfahren erfahren Sie, wie Sie einen vom Kunden verwalteten Schlüssel hinzufügen, wenn Sie einen Kennzeichnungsauftrag über die Konsole erstellen.
**Um einen AWS KMS Schlüssel zur Verschlüsselung von Ausgabedaten hinzuzufügen (Konsole):**
1. Führen Sie die ersten 7 Schritte in [Erstellen eines Kennzeichnungsauftrags (Konsole)](sms-create-labeling-job-console.md) aus.
1. Wählen Sie in Schritt 8 den Pfeil neben **Zusätzliche Konfiguration** aus, um diesen Abschnitt zu erweitern.
1. Wählen Sie **unter Verschlüsselungsschlüssel** den AWS KMS Schlüssel aus, den Sie zum Verschlüsseln der Ausgabedaten verwenden möchten.
1. Folgen Sie den übrigen Schritten in [Erstellen eines Kennzeichnungsauftrags (Konsole)](sms-create-labeling-job-console.md), um einen Kennzeichnungsauftrag zu erstellen.
## Verwenden Sie Ihren KMS-Schlüssel, um das Speicher-Volume für die automatische Datenbeschriftung zu verschlüsseln (nur API)
Wenn Sie mithilfe der `CreateLabelingJob` API-Operation einen Daten-Labeling-Auftrag mit automatischer Datenbeschriftung erstellen, haben Sie die Möglichkeit, das Speichervolumen zu verschlüsseln, das mit den ML-Datenverarbeitungs-Instances verbunden ist, die das Trainings- und Inference-Aufträge ausführen. Um Ihrem Speichervolume Verschlüsselung hinzuzufügen, geben Sie mithilfe des Parameters `VolumeKmsKeyId` einen vom AWS KMS Kunden verwalteten Schlüssel ein. Weitere Informationen zu diesem Parameter finden Sie unter `[LabelingJobResourceConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)`.
Wenn Sie eine Schlüssel-ID oder einen ARN für angeben`VolumeKmsKeyId`, muss Ihre SageMaker KI-Ausführungsrolle Aufrufberechtigungen enthalten`kms:CreateGrant`. Informationen zum Hinzufügen dieser Berechtigung zu einer Ausführungsrolle finden Sie unter [Erstellen Sie eine SageMaker KI-Ausführungsrolle für einen Ground-Truth-Labeling-Job](sms-security-permission-execution-role.md).
**Anmerkung**
Wenn Sie bei der Erstellung eines Labeling-Jobs in der Konsole einen vom AWS KMS Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel *nur* zur Verschlüsselung Ihrer Ausgabedaten verwendet. Er wird nicht dafür verwendet, das Speicher-Volume zu verschlüsseln, das an die ML-Datenverarbeitungs-Instances angehängt ist, die für das automatische Daten-Labeling verwendet werden.
# Authentifizierung der Arbeitskräfte und Einschränkungen
Mit Hilfe von Ground Truth können Sie für die Bearbeitung von Kennzeichnungsaufträgen Ihre eigenen privaten Arbeitskräfte einsetzen. *Private Arbeitskräfte* ist ein abstrakter Begriff. Er bedeutet eine Personengruppe, die für Sie arbeitet. Jeder Kennzeichnungsauftrag wird mit einem Arbeitsteam erstellt, das sich aus Auftragnehmern unter Ihren Arbeitskräften zusammensetzt. Ground Truth unterstützt die Erstellung privater Arbeitskräfte mit Amazon Cognito.
Ground-Truth-Arbeitskräfte werden einem Amazon Cognito-Benutzerpool zugeordnet. Ein Ground-Truth-Arbeitsteam wird einer Amazon Cognito-Benutzergruppe zugeordnet. Amazon Cognito verwaltet die Authentifizierung des Personals. Amazon Cognito unterstützt Open ID Connection (OIDC). Der Kunde kann mit seinem eigenen Identitätsanbieter (IdP) den Amazon Cognito-Verbund einrichten.
Ground Truth erlaubt nur eine Belegschaft pro Konto und AWS Region. Arbeitskräfte haben jeweils eine eigene Anmelde-URL für das Arbeitsportal Ground Truth.
Sie können Mitarbeiter auch auf einen CIDR-Adressbereich (Classless Inter-Domain Routing) block/IP beschränken. Das bedeutet, dass Annotatoren sich in einem bestimmten Netzwerk befinden müssen, um auf die Annotations-Site zugreifen zu können. Sie können für eine Mitarbeitergruppe bis zu zehn CIDR-Blöcke hinzufügen. Weitere Informationen hierzu finden Sie unter [Private Personalverwaltung mithilfe der SageMaker Amazon-API](sms-workforce-management-private-api.md).
Informationen dazu, wie Sie private Arbeitskräfte erstellen können, finden Sie unter [Erstellen Sie eine private Belegschaft (Amazon Cognito)](sms-workforce-create-private.md).
## Beschränken des Zugriffs auf Arbeitskrafttypen
Die Arbeitsteams von Amazon SageMaker Ground Truth lassen sich in eine von drei [Arten von Mitarbeitern](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html) einteilen: öffentliche Mitarbeiter (mit Amazon Mechanical Turk), private Mitarbeiter und Zulieferer. Um den Benutzerzugriff auf ein bestimmtes Arbeitsteam mithilfe eines dieser Typen oder des Arbeitsteams ARN einzuschränken, verwenden Sie `sagemaker:WorkteamType` and/or die `sagemaker:WorkteamArn` Bedingungstasten. Verwenden Sie als `sagemaker:WorkteamType`-Bedingungsschlüssel [Bedingungsoperatoren für Zeichenfolgen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Verwenden Sie für den `sagemaker:WorkteamArn`-Bedingungsschlüssel [Amazon-Ressourcennamen(ARN)-Zustandsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Wenn der Benutzer versucht, einen Labeling-Job mit einem eingeschränkten Arbeitsteam zu erstellen, gibt SageMaker AI die Fehlermeldung Zugriff verweigert zurück.
Die folgenden Richtlinien veranschaulichen verschiedene Möglichkeiten zur Verwendung der Bedingungsschlüssel `sagemaker:WorkteamType` und `sagemaker:WorkteamArn` mit geeigneten Bedingungsoperatoren und gültigen Bedingungswerten.
Im folgenden Beispiel wird der `sagemaker:WorkteamType`-Bedingungsschlüssel zusammen mit dem `StringEquals`-Bedingungsoperator verwendet, um den Zugriff auf ein öffentliches Arbeitsteam zu beschränken. Sie akzeptiert Bedingungswerte im folgenden Format:`workforcetype-crowd`, wobei `public``private`, oder entsprechen *workforcetype* kann`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Die folgenden Richtlinien zeigen, wie Sie mithilfe des `sagemaker:WorkteamArn`-Bedingungsschlüssels den Zugriff auf ein öffentliches Arbeitsteam einschränken. Die erste zeigt, wie man ihn mit einer gültigen IAM-Regex-Variante der ARN des Arbeitsteams und dem `ArnLike` Bedingungsoperator verwendet. Die zweite zeigt, wie Sie es mit dem `ArnEquals`-Bedingungsoperator und dem Arbeitsteam-ARN verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------