Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Asigne permisos de IAM para usar Ground Truth
Utilice los temas de esta sección para aprender a utilizar políticas gestionadas y personalizadas AWS Identity and Access Management (IAM) para gestionar el acceso a Ground Truth y los recursos asociados.
Puede usar las secciones de esta página para aprender lo siguiente:
+ Cómo crear políticas de IAM que concedan permiso a un usuario o rol para crear un trabajo de etiquetado. Los administradores pueden usar las políticas de IAM para restringir el acceso a Amazon SageMaker AI y otros AWS servicios específicos de Ground Truth.
+ Cómo crear una *función de ejecución de SageMaker * IA. Un rol de ejecución es el rol que especifica cuando crea un trabajo de etiquetado. El rol se usa para iniciar y administrar su trabajo de etiquetado.
A continuación se muestra una descripción general de los temas que encontrará en esta página:
+ Si está empezando a utilizar Ground Truth o no necesita permisos detallados para su caso de uso, le recomendamos que utilice las políticas administradas de IAM que se describen en [Utilice las políticas administradas de IAM con Ground Truth](sms-security-permissions-get-started.md).
+ Obtenga más información sobre los permisos necesarios para utilizar la consola de Ground Truth en [Conceda permiso a IAM para usar la consola Amazon SageMaker Ground Truth](sms-security-permission-console-access.md). En esta sección, se incluyen ejemplos de políticas que permiten a una entidad de IAM crear y modificar equipos de trabajo privados, suscribirse a los equipos de trabajo de los proveedores y crear flujos de trabajo de etiquetado personalizados.
+ Al crear un trabajo de etiquetado, debe proporcionar un rol de ejecución. Utilice [Cree un puesto de ejecución de SageMaker IA para un trabajo de etiquetado de Ground Truth](sms-security-permission-execution-role.md) para obtener más información sobre los permisos necesarios para este rol.
# Utilice las políticas administradas de IAM con Ground Truth
SageMaker AI y Ground Truth proporcionan políticas AWS gestionadas que puede utilizar para crear un trabajo de etiquetado. Si está empezando a utilizar Ground Truth y no necesita permisos detallados para su caso de uso, le recomendamos que utilice las siguientes políticas.
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)`: utilice esta política para conceder permiso a un usuario o rol para crear un trabajo de etiquetado. Se trata de una política amplia que permite a una entidad utilizar las funciones de SageMaker IA, así como las funciones de los AWS servicios necesarios, a través de la consola y la API. Esta política otorga a la entidad permiso para crear un trabajo de etiquetado y para crear y administrar el personal mediante Amazon Cognito. Para obtener más información, consulta [AmazonSageMakerFullAccess la Política](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess).
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`: para crear un *rol de ejecución*, puede asociar la política `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` a un rol. Un rol de ejecución es el rol que especifica cuando crea un trabajo de etiquetado y se utiliza para iniciar dicho trabajo. Esta política le permite crear trabajos de etiquetado en streaming y no en streaming, y crear un trabajo de etiquetado con cualquier tipo de tarea. Tenga en cuenta los siguientes límites de esta política administrada.
+ **Permisos de Amazon S3**: esta política concede un permiso de rol de ejecución para acceder a los buckets de Amazon S3 con las siguientes cadenas en el nombre: `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` y `sagemaker`, o un bucket con una [etiqueta de objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) que incluya `SageMaker` en el nombre (no distingue mayúsculas de minúsculas). Asegúrese de que los nombres de los buckets de entrada y salida incluyan estas cadenas o añada permisos adicionales a su rol de ejecución para [concederle permiso de acceso a sus buckets de Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html). Debe conceder permiso a este rol para realizar las siguientes acciones en sus buckets de Amazon S3: `AbortMultipartUpload`, `GetObject` y`PutObject`.
+ **Flujos de trabajo personalizados**: al crear un [flujo de trabajo de etiquetado personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), esta función de ejecución se limita a invocar AWS Lambda funciones con una de las siguientes cadenas como parte del nombre de la función: `GtRecipe``SageMaker`,, `Sagemaker``sagemaker`, o`LabelingFunction`. Esto se aplica a las funciones Lambda tanto anteriores como posteriores a la anotación. Si decide utilizar nombres sin dichas cadenas, debe proporcionar de forma explícita un permiso `lambda:InvokeFunction` al rol de ejecución que se utiliza para crear el trabajo de etiquetado.
Para obtener información sobre cómo asociar una política AWS gestionada a un usuario o rol, consulte [Añadir y eliminar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) en la Guía del usuario de IAM.
# Conceda permiso a IAM para usar la consola Amazon SageMaker Ground Truth
Para usar el área Ground Truth de la consola de SageMaker IA, debes conceder permiso a una entidad para acceder a la SageMaker IA y a otros AWS servicios con los que Ground Truth interactúa. Los permisos necesarios para acceder a otros AWS servicios dependen del caso de uso:
+ Se requieren permisos de Amazon S3 para todos los casos de uso. Estos permisos deben conceder acceso a los buckets de Amazon S3 que contienen datos de entrada y salida.
+ AWS Marketplace se requieren permisos para utilizar la fuerza laboral de un proveedor.
+ Se requiere el permiso de Amazon Cognito para configurar un equipo de trabajo privado.
+ AWS KMS se requieren permisos para ver AWS KMS las claves disponibles que se pueden utilizar para el cifrado de los datos de salida.
+ Los permisos de IAM son necesarios para enumerar los roles de ejecución preexistentes o para crear uno nuevo. Además, debe utilizar el `PassRole` permiso de adición para permitir que SageMaker AI utilice la función de ejecución elegida para iniciar el trabajo de etiquetado.
En las siguientes secciones, se enumeran las políticas que puede conceder a un rol para usar una o más funciones de Ground Truth.
**Topics**
+ [Permisos de la consola de Ground Truth](#sms-security-permissions-console-all)
+ [Permisos del flujo de trabajo de etiquetado personalizado](#sms-security-permissions-custom-workflow)
+ [Permisos del personal privado](#sms-security-permission-workforce-creation)
+ [Permisos de personal de proveedores](#sms-security-permissions-workforce-creation-vendor)
## Permisos de la consola de Ground Truth
Para conceder permiso a un usuario o rol para usar el área Ground Truth de la consola de SageMaker IA para crear un trabajo de etiquetado, adjunta la siguiente política al usuario o rol. La siguiente política concede permiso a un rol de IAM para crear un trabajo de etiquetado utilizando un [tipo de tarea incorporada](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Si desea crear un flujo de trabajo de etiquetado personalizado, añada la política en [Permisos del flujo de trabajo de etiquetado personalizado](#sms-security-permissions-custom-workflow) a la siguiente política. Cada `Statement` incluida en la siguiente política se describe debajo de este bloque de código.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Esta política incluye las siguientes declaraciones. Puede reducir el alcance de cualquiera de estas declaraciones añadiendo recursos específicos a la lista de `Resource` de esa declaración.
`SageMakerApis`
Esta declaración incluye`sagemaker:*`, que permite al usuario realizar todas las [acciones de la API de SageMaker IA](sagemaker/latest/APIReference/API_Operations.html). Puede reducir el alcance de esta política impidiendo que los usuarios realicen acciones que no se utilicen para crear y supervisar un trabajo de etiquetado.
**`KmsKeysForCreateForms`**
Solo necesita incluir esta declaración si desea conceder permiso a un usuario para enumerar y seleccionar AWS KMS claves en la consola Ground Truth para usarlas en el cifrado de datos de salida. La política anterior otorga al usuario permiso para enumerar y seleccionar cualquier clave de la cuenta en AWS KMS. Para restringir las claves que un usuario puede enumerar y seleccionar, ARNs especifíquelas`Resource`.
**`SecretsManager`**
Esta declaración otorga al usuario permiso para describir, enumerar y crear los recursos AWS Secrets Manager necesarios para crear el trabajo de etiquetado.
`ListAndCreateExecutionRoles`
Esta declaración otorga al usuario permiso para enumerar (`ListRoles`) y crear (`CreateRole`) roles de IAM en su cuenta. También otorga al usuario permiso para crear (`CreatePolicy`) políticas y asociar políticas (`AttachRolePolicy`) a las entidades. Son necesarios para enumerar, seleccionar y, si es necesario, crear un rol de ejecución en la consola.
Si ya ha creado un rol de ejecución y desea limitar el alcance de esta declaración para que los usuarios solo puedan seleccionar ese rol en la consola, especifique ARNs los roles que desea que el usuario tenga permiso para ver `Resource` y eliminar las acciones `CreateRole``CreatePolicy`, y`AttachRolePolicy`.
`AccessAwsMarketplaceSubscriptions`
Estos permisos son necesarios para ver y elegir los equipos de trabajo de los proveedores a los que ya esté suscrito al crear un trabajo de etiquetado. Para conceder al usuario permiso para *suscribirse* a los equipos de trabajo de los proveedores, añada la declaración en [Permisos de personal de proveedores](#sms-security-permissions-workforce-creation-vendor) a la política anterior
`PassRoleForExecutionRoles`
Esto es necesario para que el creador del trabajo de etiquetado pueda obtener una vista previa de la IU del trabajador y comprobar que los datos de entrada, las etiquetas y las instrucciones se muestran correctamente. Esta declaración otorga a una entidad permisos para transferir la función de ejecución de IAM utilizada para crear el trabajo de etiquetado a SageMaker AI para renderizar y previsualizar la interfaz de usuario del trabajador. Para reducir el alcance de esta política, añada el ARN del rol de ejecución utilizado para crear el trabajo de etiquetado en `Resource`.
**`GroundTruthConsole`**
+ `groundtruthlabeling`: esto permite al usuario realizar las acciones necesarias para usar ciertas características de la consola de Ground Truth. Entre ellos, se incluyen permisos para describir el estado del trabajo de etiquetado (`DescribeConsoleJob`), enumerar todos los objetos del conjunto de datos en el archivo de manifiesto de entrada (`ListDatasetObjects`), filtrar el conjunto de datos si se selecciona el muestreo del conjunto de datos (`RunFilterOrSampleDatasetJob`) y generar archivos de manifiesto de entrada si se utiliza el etiquetado de datos automatizado (`RunGenerateManifestByCrawlingJob`). Estas acciones solo están disponibles cuando se usa la consola de Ground Truth y no se pueden llamar directamente mediante una API.
+ `lambda:InvokeFunction` y `lambda:ListFunctions`: estas acciones conceden a los usuarios permiso para enumerar e invocar las funciones de Lambda que se utilizan para ejecutar un flujo de trabajo de etiquetado personalizado.
+ `s3:*`: todos los permisos de Amazon S3 incluidos en esta declaración se utilizan para ver los buckets de Amazon S3 para la [configuración automática de datos](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) (`ListAllMyBuckets`), acceder a los datos de entrada en Amazon S3 (`ListBucket`, `GetObject`), comprobar y crear una política CORS en Amazon S3 si es necesario (`GetBucketCors` y `PutBucketCors`) y escribir los archivos de salida de los trabajos de etiquetado en S3 (`PutObject`).
+ `cognito-idp`: estos permisos se utilizan para crear, ver y administrar personal privado mediante Amazon Cognito. Para obtener más información sobre estas acciones, consulte las [Referencias de la API de Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Permisos del flujo de trabajo de etiquetado personalizado
Añada la siguiente declaración a una política similar a la de [Permisos de la consola de Ground Truth](#sms-security-permissions-console-all) para conceder a un usuario permiso para seleccionar funciones de Lambda preexistentes antes y después de la anotación y, al mismo tiempo, [crear un flujo de trabajo de etiquetado personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html).
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Para obtener información sobre cómo conceder permiso a una entidad para crear y probar funciones de Lambda preanotación y postanotación, consulte [Required Permissions To Use Lambda With Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html).
## Permisos del personal privado
Cuando se añade a una política de permisos, el siguiente permiso concede acceso para crear y administrar personal privado y un equipo de trabajo con Amazon Cognito. Estos permisos no son necesarios para utilizar [personal de IdP de OIDC](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps).
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Para obtener más información acerca de la creación de personal privado con Amazon Cognito, consulte [Personal de Amazon Cognito](sms-workforce-private-use-cognito.md).
## Permisos de personal de proveedores
Puede añadir la siguiente declaración a la política en [Conceda permiso a IAM para usar la consola Amazon SageMaker Ground Truth](#sms-security-permission-console-access) para conceder a una entidad permiso para suscribirse al [personal de un proveedor](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```
# Cree un puesto de ejecución de SageMaker IA para un trabajo de etiquetado de Ground Truth
Al configurar su trabajo de etiquetado, debe proporcionar un *rol de ejecución*, que es un rol que la SageMaker IA tiene permiso para asumir para iniciar y ejecutar su trabajo de etiquetado.
Este rol debe dar a Ground Truth permiso para acceder a lo siguiente:
+ A Amazon S3 para recuperar los datos de entrada y escribir los datos de salida en un bucket de Amazon S3. Puede conceder permiso para que un rol de IAM tenga acceso al bucket completo proporcionando el ARN del bucket o conceder acceso al rol para que acceda a recursos específicos de un bucket. Por ejemplo, el ARN de un bucket puede tener un aspecto similar a `arn:aws:s3:::amzn-s3-demo-bucket1` y el ARN de un recurso de un bucket de Amazon S3 puede ser similar a `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png`. Para aplicar una acción a todos los recursos de un bucket de Amazon S3, puede utilizar el comodín:`*`. Por ejemplo, `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`. Para obtener más información, consulte los [Recursos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html) en la Guía del usuario de Amazon Simple Storage Service.
+ CloudWatch para registrar las métricas de los trabajadores y etiquetar los estados de las tareas.
+ AWS KMS para el cifrado de datos. (Opcional)
+ AWS Lambda para procesar los datos de entrada y salida al crear un flujo de trabajo personalizado.
Además, si crea un [trabajo de etiquetado en streaming](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html), este rol debe tener permiso para acceder a lo siguiente:
+ A Amazon SQS para crear una interacción con una cola de SQS que se utiliza para [administrar las solicitudes de etiquetado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs).
+ A Amazon SNS para suscribirse y recuperar mensajes de su tema de entrada de Amazon SNS y enviar mensajes a su tema de salida de Amazon SNS.
Todos estos permisos se pueden conceder con la política administrada `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`, *excepto*:
+ Cifrado del volumen de datos y almacenamiento de sus buckets de Amazon S3. Para obtener información sobre cómo configurar estos permisos, consulte [Cifre los datos de salida y el volumen de almacenamiento con AWS KMS](sms-security-kms-permissions.md).
+ Permiso para seleccionar e invocar funciones de Lambda que no incluyan `GtRecipe`, `SageMaker`, `Sagemaker`, `sagemaker` o `LabelingFunction` en el nombre de la función.
+ Buckets de Amazon S3 que no incluyen `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` ni `sagemaker` en el prefijo o nombre del bucket o una [etiqueta de objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) que incluya `SageMaker` en el nombre (no distingue entre mayúsculas y minúsculas).
Si necesita permisos más detallados que los que se proporcionan en `AmazonSageMakerGroundTruthExecution`, utilice los siguientes ejemplos de políticas para crear un rol de ejecución que se adapte a su caso de uso específico.
**Topics**
+ [Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)](#sms-security-permission-execution-role-built-in-tt)
+ [Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [Requisitos de roles de ejecución de tipos de tareas personalizadas](#sms-security-permission-execution-role-custom-tt)
+ [Requisitos de permisos para el etiquetado de datos automático](#sms-security-permission-execution-role-custom-auto-labeling)
## Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)
La siguiente política concede permiso para crear un trabajo de etiquetado para un [tipo de tarea integrado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Esta política de ejecución no incluye permisos para el cifrado o descifrado de AWS KMS datos. Sustituya cada ARN rojo y en cursiva por su propio Amazon S3. ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)
Si crea un trabajo de etiquetado en streaming, debe añadir una política similar a la siguiente al rol de ejecución que utilice para crear el trabajo de etiquetado. Para limitar el alcance de la política, sustituya el `*` IN `Resource` por AWS recursos específicos a los que desee conceder permiso de acceso y uso al rol de IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## Requisitos de roles de ejecución de tipos de tareas personalizadas
Si desea crear un [flujo de trabajo de etiquetado personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), añada la siguiente declaración a una política de roles de ejecución como las que se encuentran en [Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)](#sms-security-permission-execution-role-built-in-tt) o [Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)](#sms-security-permission-execution-role-built-in-tt-streaming).
Esta política otorga al rol de ejecución permiso para `Invoke` sus funciones de Lambda previas y posteriores a la anotación.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## Requisitos de permisos para el etiquetado de datos automático
Si desea crear un trabajo de etiquetado con el [etiquetado de datos automático](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) activado, debe 1) añadir una política a la política de IAM asociada al rol de ejecución y 2) actualizar la política de confianza del rol de ejecución.
La siguiente declaración permite transferir la función de ejecución de la IAM a la SageMaker IA para que pueda utilizarla para ejecutar las tareas de formación e inferencia que se utilizan para el aprendizaje activo y el etiquetado automatizado de datos, respectivamente. Añada esta declaración a una política de roles de ejecución como las que se encuentran en [Requisitos de roles de ejecución de tipos de tareas integrados (no en streaming)](#sms-security-permission-execution-role-built-in-tt) o [Requisitos de roles de ejecución de tipos de tareas integrados (en streaming)](#sms-security-permission-execution-role-built-in-tt-streaming). Sustituya `arn:aws:iam:::role/` por el ARN del rol de ejecución. Encontrará el ARN del rol de IAM en la consola de IAM, en **Roles**.
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
La siguiente afirmación permite a la SageMaker IA asumir la función de ejecución para crear y gestionar los trabajos de SageMaker formación e inferencia. Esta política debe añadirse a la relación de confianza del rol de ejecución. Para obtener más información sobre cómo añadir o modificar una política de confianza de rol de IAM, consulte [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la Guía del usuario de IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------
# Cifre los datos de salida y el volumen de almacenamiento con AWS KMS
Puede utilizar AWS Key Management Service (AWS KMS) para cifrar los datos de salida de un trabajo de etiquetado especificando una [clave gestionada por el cliente al](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) crear el trabajo de etiquetado. Si utiliza la operación de API `CreateLabelingJob` para crear un trabajo de etiquetado que utilice un etiquetado de datos automático, también puede utilizar una clave administrada por el cliente para cifrar el volumen de almacenamiento asociado a las instancias de computación de ML para ejecutar los trabajos de entrenamiento e inferencia.
En esta sección, se describen las políticas de IAM que debe asociar a la clave administrada por el cliente para permitir el cifrado de datos de salida y las políticas que debe asociar a la clave administrada por el cliente y al rol de ejecución para utilizar el cifrado de los volúmenes de almacenamiento. Para obtener más información sobre estas opciones, consulte [Cifrado de volúmenes de almacenamiento y datos de salida](sms-security.md).
## Cifre los datos de salida mediante KMS
Si especifica una clave gestionada por el AWS KMS cliente para cifrar los datos de salida, debe añadir a esa clave una política de IAM similar a la siguiente. Esta política otorga al rol de ejecución de IAM que usted utiliza para crear su trabajo de etiquetado permiso para usarla para realizar todas las acciones que se enumeran en `"Action"`. Para obtener más información sobre estas acciones, consulte [AWS KMS los permisos en la Guía para](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) AWS Key Management Service desarrolladores.
Para usar esta política, sustituya el ARN del rol de servicio de IAM de `"Principal"` por el ARN del rol de ejecución que utiliza para crear el trabajo de etiquetado. Al crear un trabajo de etiquetado en la consola, este es el rol que se especifica para el **rol de IAM** en la sección **Información general del trabajo**. Cuando crea un trabajo de etiquetado con `CreateLabelingJob`, este es el ARN que especifica para [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn).
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Cifre el volumen de almacenamiento de la instancia de computación de ML de etiquetado de datos automático
Si especifica un [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId) para cifrar el volumen de almacenamiento asociado a la instancia de computación de ML que se utiliza para el entrenamiento y la inferencia automáticos del etiquetado de datos, debe hacer lo siguiente:
+ Asocie los permisos que se describen en [Cifre los datos de salida mediante KMS](#sms-security-kms-permissions-output-data) a la clave administrada por el cliente.
+ Asocie una política similar a la siguiente al rol de ejecución de IAM que utiliza para crear su trabajo de etiquetado. Este es el rol de IAM que especificó para [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn) en `CreateLabelingJob`. Para obtener más información sobre las `"kms:CreateGrant"` acciones que permite esta política, consulta [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)la referencia de la AWS Key Management Service API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre el cifrado de volúmenes de almacenamiento de Ground Truth, consulte [Utilice su clave KMS para cifrar el volumen de almacenamiento del etiquetado de datos automático (solo API)](sms-security.md#sms-security-kms-storage-volume).