Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cree un puesto de ejecución de SageMaker IA para un trabajo de etiquetado de Ground Truth
Al configurar su trabajo de etiquetado, debe proporcionar un *rol de ejecución*, que es un rol que la SageMaker IA tiene permiso para asumir para iniciar y ejecutar su trabajo de etiquetado.
Este rol debe dar a Ground Truth permiso para acceder a lo siguiente:
+ A Amazon S3 para recuperar los datos de entrada y escribir los datos de salida en un bucket de Amazon S3. Puede conceder permiso para que un rol de IAM tenga acceso al bucket completo proporcionando el ARN del bucket o conceder acceso al rol para que acceda a recursos específicos de un bucket. Por ejemplo, el ARN de un bucket puede tener un aspecto similar a `arn:aws:s3:::amzn-s3-demo-bucket1` y el ARN de un recurso de un bucket de Amazon S3 puede ser similar a `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png`. Para aplicar una acción a todos los recursos de un bucket de Amazon S3, puede utilizar el comodín:`*`. Por ejemplo, `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`. Para obtener más información, consulte los [Recursos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html) en la Guía del usuario de Amazon Simple Storage Service.
+ CloudWatch para registrar las métricas de los trabajadores y etiquetar los estados de las tareas.
+ AWS KMS para el cifrado de datos. (Opcional)
+ AWS Lambda para procesar los datos de entrada y salida al crear un flujo de trabajo personalizado.
Además, si crea un [trabajo de etiquetado en streaming](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html), este rol debe tener permiso para acceder a lo siguiente:
+ A Amazon SQS para crear una interacción con una cola de SQS que se utiliza para [administrar las solicitudes de etiquetado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs).
+ A Amazon SNS para suscribirse y recuperar mensajes de su tema de entrada de Amazon SNS y enviar mensajes a su tema de salida de Amazon SNS.
Todos estos permisos se pueden conceder con la política administrada `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`, *excepto*:
+ Cifrado del volumen de datos y almacenamiento de sus buckets de Amazon S3. Para obtener información sobre cómo configurar estos permisos, consulte [Cifre los datos de salida y el volumen de almacenamiento con AWS KMS](sms-security-kms-permissions.md).
+ Permiso para seleccionar e invocar funciones de Lambda que no incluyan `GtRecipe`, `SageMaker`, `Sagemaker`, `sagemaker` o `LabelingFunction` en el nombre de la función.
+ Buckets de Amazon S3 que no incluyen `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` ni `sagemaker` en el prefijo o nombre del bucket o una [etiqueta de objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) que incluya `SageMaker` en el nombre (no distingue entre mayúsculas y minúsculas).
Si necesita permisos más detallados que los que se proporcionan en `AmazonSageMakerGroundTruthExecution`, utilice los siguientes ejemplos de políticas para crear un rol de ejecución que se adapte a su caso de uso específico.
**Topics**
+ [Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)](#sms-security-permission-execution-role-built-in-tt)
+ [Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [Requisitos de roles de ejecución de tipos de tareas personalizadas](#sms-security-permission-execution-role-custom-tt)
+ [Requisitos de permisos para el etiquetado de datos automático](#sms-security-permission-execution-role-custom-auto-labeling)
## Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)
La siguiente política concede permiso para crear un trabajo de etiquetado para un [tipo de tarea integrado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Esta política de ejecución no incluye permisos para el cifrado o descifrado de AWS KMS datos. Sustituya cada ARN rojo y en cursiva por su propio Amazon S3. ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)
Si crea un trabajo de etiquetado en streaming, debe añadir una política similar a la siguiente al rol de ejecución que utilice para crear el trabajo de etiquetado. Para limitar el alcance de la política, sustituya el `*` IN `Resource` por AWS recursos específicos a los que desee conceder permiso de acceso y uso al rol de IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## Requisitos de roles de ejecución de tipos de tareas personalizadas
Si desea crear un [flujo de trabajo de etiquetado personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), añada la siguiente declaración a una política de roles de ejecución como las que se encuentran en [Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)](#sms-security-permission-execution-role-built-in-tt) o [Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)](#sms-security-permission-execution-role-built-in-tt-streaming).
Esta política otorga al rol de ejecución permiso para `Invoke` sus funciones de Lambda previas y posteriores a la anotación.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## Requisitos de permisos para el etiquetado de datos automático
Si desea crear un trabajo de etiquetado con el [etiquetado de datos automático](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) activado, debe 1) añadir una política a la política de IAM asociada al rol de ejecución y 2) actualizar la política de confianza del rol de ejecución.
La siguiente declaración permite transferir la función de ejecución de la IAM a la SageMaker IA para que pueda utilizarla para ejecutar las tareas de formación e inferencia que se utilizan para el aprendizaje activo y el etiquetado automatizado de datos, respectivamente. Añada esta declaración a una política de roles de ejecución como las que se encuentran en [Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)](#sms-security-permission-execution-role-built-in-tt) o [Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)](#sms-security-permission-execution-role-built-in-tt-streaming). Sustituya `arn:aws:iam:::role/` por el ARN del rol de ejecución. Encontrará el ARN del rol de IAM en la consola de IAM, en **Roles**.
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
La siguiente afirmación permite a la SageMaker IA asumir la función de ejecución para crear y gestionar los trabajos de SageMaker formación e inferencia. Esta política debe añadirse a la relación de confianza del rol de ejecución. Para obtener más información sobre cómo añadir o modificar una política de confianza de rol de IAM, consulte [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la Guía del usuario de IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------