Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Attribuer des autorisations IAM pour utiliser Ground Truth
Consultez les rubriques de cette section pour apprendre à utiliser les politiques gérées et personnalisées Gestion des identités et des accès AWS (IAM) pour gérer l'accès à Ground Truth et aux ressources associées.
Vous pouvez utiliser les sections de cette page pour apprendre ce qui suit :
+ Comment créer des politiques IAM qui accordent à un utilisateur ou à un rôle l’autorisation de créer une tâche d’étiquetage. Les administrateurs peuvent utiliser les politiques IAM pour restreindre l'accès à Amazon SageMaker AI et à d'autres AWS services spécifiques à Ground Truth.
+ Comment créer un *rôle d'exécution SageMaker basé sur l'*IA. Un rôle d'exécution est le rôle que vous spécifiez lorsque vous créez une tâche d'étiquetage. Le rôle est utilisé pour démarrer et gérer votre tâche d’étiquetage.
Voici un aperçu des rubriques que vous trouverez sur cette page :
+ Si vous commencez à utiliser Ground Truth ou si vous n’avez pas besoin d’autorisations détaillées pour votre cas d’utilisation, il est recommandé d’utiliser les stratégies gérées IAM décrites dans [Utiliser les stratégies gérées IAM avec Ground Truth](sms-security-permissions-get-started.md).
+ Pour en savoir plus sur les autorisations requises pour utiliser la console Ground Truth, consultez [Autoriser IAM à utiliser la console Amazon SageMaker Ground Truth](sms-security-permission-console-access.md). Cette section contient des exemples de stratégie qui accordent à une entité IAM l’autorisation de créer et de modifier des équipes de travail privées, de s’abonner à des équipes de travail fournisseur et de créer des flux de travail d’étiquetage personnalisés.
+ Lorsque vous créez une tâche d’étiquetage, vous devez fournir un rôle d’exécution. Utilisez [Créez un rôle d'exécution basé sur l' SageMaker IA pour un job d'étiquetage Ground Truth](sms-security-permission-execution-role.md) pour en savoir plus sur les autorisations requises pour ce rôle.
# Utiliser les stratégies gérées IAM avec Ground Truth
SageMaker AI et Ground Truth fournissent des politiques AWS gérées que vous pouvez utiliser pour créer une tâche d'étiquetage. Si vous commencez à utiliser Ground Truth et que vous n’avez pas besoin d’autorisations détaillées pour votre cas d’utilisation, il est recommandé d’utiliser les stratégies suivantes :
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)` : utilisez cette politique pour autoriser un utilisateur ou un rôle à créer une tâche d’étiquetage. Il s'agit d'une politique générale qui accorde à une entité l'autorisation d'utiliser les fonctionnalités de l' SageMaker IA, ainsi que les fonctionnalités des AWS services nécessaires via la console et l'API. Cette politique donne à l’entité l’autorisation de créer une tâche d’étiquetage ainsi que de créer et de gérer des effectifs à l’aide d’Amazon Cognito. Pour en savoir plus, consultez [AmazonSageMakerFullAccess la section Politique](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess).
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` : pour créer un *rôle d’exécution*, vous pouvez attacher la politique `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` à un rôle. Un rôle d’exécution est le rôle que vous spécifiez lorsque vous créez une tâche d’étiquetage et il est utilisé pour démarrer votre tâche d’étiquetage. Cette stratégie vous permet de créer des tâches d’étiquetage en streaming et ponctuelles, et de créer une tâche d’étiquetage à l’aide de n’importe quel type de tâche. Notez les limites suivantes de cette stratégie gérée.
+ **Autorisations Amazon S3** : cette stratégie accorde une autorisation de rôle d’exécution pour accéder aux compartiments Amazon S3 dont le nom contient les chaînes suivantes : `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` et `sagemaker` ou un compartiment avec une [balise d’objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) qui inclut `SageMaker` dans le nom (insensible à la casse). Assurez-vous que vos noms de compartiment source et de sortie incluent ces chaînes, ou ajoutez des autorisations supplémentaires à votre rôle d’exécution sur [Accorder l’autorisation d’accéder à vos compartiments Amazon S3](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html). Vous devez autoriser ce rôle à effectuer les actions suivantes sur vos compartiments Amazon S3 : `AbortMultipartUpload`, `GetObject` et `PutObject`.
+ **Flux de travail personnalisés** : lorsque vous créez un [flux de travail d'étiquetage personnalisé](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), ce rôle d'exécution est limité à l'appel de AWS Lambda fonctions avec l'une des chaînes suivantes dans le nom de la fonction : `GtRecipe``SageMaker`,, `Sagemaker``sagemaker`, ou`LabelingFunction`. Cela s’applique à la fois aux fonctions Lambdas de pré-annotation et de post-annotation. Si vous choisissez d’utiliser des noms ne comportant pas ces chaînes, vous devez fournir explicitement l’autorisation `lambda:InvokeFunction` au rôle IAM utilisé pour créer la tâche d’étiquetage.
Pour savoir comment associer une politique AWS gérée à un utilisateur ou à un rôle, reportez-vous à la section [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) dans le guide de l'utilisateur IAM.
# Autoriser IAM à utiliser la console Amazon SageMaker Ground Truth
Pour utiliser la zone Ground Truth de la console SageMaker AI, vous devez autoriser une entité à accéder à l' SageMaker IA et aux autres AWS services avec lesquels Ground Truth interagit. Les autorisations requises pour accéder à d'autres AWS services dépendent de votre cas d'utilisation :
+ Les autorisations Amazon S3 sont requises pour tous les cas d’utilisation. Ces autorisations doivent accorder l’accès aux compartiments Amazon S3 qui contiennent des données d’entrée et de sortie.
+ AWS Marketplace des autorisations sont requises pour utiliser le personnel d'un fournisseur.
+ L’autorisation Amazon Cognito est requise pour la configuration d’une équipe de travail privée.
+ AWS KMS des autorisations sont requises pour afficher AWS KMS les clés disponibles qui peuvent être utilisées pour le chiffrement des données de sortie.
+ Les autorisations IAM sont requises pour répertorier les rôles d’exécution préexistants ou pour en créer un. En outre, vous devez utiliser l'option Ajouter une `PassRole` autorisation pour permettre à l' SageMaker IA d'utiliser le rôle d'exécution choisi pour démarrer la tâche d'étiquetage.
Les sections suivantes répertorient les politiques que vous pourriez accorder à un rôle pour lui permettre d’utiliser une ou plusieurs fonctions de Ground Truth.
**Topics**
+ [Autorisations de la console Ground Truth](#sms-security-permissions-console-all)
+ [Autorisations de flux de travail d’étiquetage personnalisées](#sms-security-permissions-custom-workflow)
+ [Autorisations de main-d’œuvre privée](#sms-security-permission-workforce-creation)
+ [Autorisations de main-d’œuvre fournisseur](#sms-security-permissions-workforce-creation-vendor)
## Autorisations de la console Ground Truth
Pour autoriser un utilisateur ou un rôle à utiliser la zone Ground Truth de la console SageMaker AI pour créer une tâche d'étiquetage, associez la politique suivante à l'utilisateur ou au rôle. La stratégie suivante donnera à un rôle IAM l’autorisation de créer une tâche d’étiquetage en utilisant un [type de tâche intégré](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Si vous souhaitez créer un flux de travail d’étiquetage personnalisé, ajoutez la stratégie qui se trouve dans [Autorisations de flux de travail d’étiquetage personnalisées](#sms-security-permissions-custom-workflow) à la stratégie suivante. Chaque `Statement` inclus dans la politique suivante est décrit ci-dessous ce bloc de code.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Cette stratégie comprend les déclarations suivantes. Vous pouvez réduire la portée de l’une de ces instructions en ajoutant des ressources spécifiques à la liste de `Resource` pour cette instruction.
`SageMakerApis`
Cette déclaration inclut `sagemaker:*` ce qui permet à l'utilisateur d'effectuer toutes les [actions de l'API SageMaker AI](sagemaker/latest/APIReference/API_Operations.html). Vous pouvez réduire la portée de cette stratégie en empêchant les utilisateurs d’effectuer des actions qui ne sont pas utilisées pour créer et contrôler une tâche d’étiquetage.
**`KmsKeysForCreateForms`**
Vous ne devez inclure cette déclaration que si vous souhaitez autoriser un utilisateur à répertorier et sélectionner les AWS KMS clés dans la console Ground Truth à utiliser pour le chiffrement des données de sortie. La stratégie ci-dessus accorde à un utilisateur l’autorisation d’afficher et de sélectionner n’importe quelle clé dans le compte dans AWS KMS. Pour limiter le nombre de clés qu'un utilisateur peut répertorier et sélectionner, ARNs spécifiez-les`Resource`.
**`SecretsManager`**
Cette instruction autorise l'utilisateur à décrire, répertorier et créer les ressources AWS Secrets Manager nécessaires à la création de la tâche d'étiquetage.
`ListAndCreateExecutionRoles`
Cette instruction donne à un utilisateur l’autorisation de lister (`ListRoles`) et créer (`CreateRole`) des rôles IAM dans votre compte. Il accorde également à l’utilisateur l’autorisation de créer (`CreatePolicy`) des politiques et d’attacher (`AttachRolePolicy`) des politiques aux entités. Celles-ci sont requises pour lister, sélectionner et, si nécessaire, créer un rôle d’exécution dans la console.
Si vous avez déjà créé un rôle d'exécution et que vous souhaitez restreindre la portée de cette déclaration afin que les utilisateurs puissent uniquement sélectionner ce rôle dans la console, spécifiez les rôles que vous souhaitez que l'utilisateur soit autorisé à consulter `Resource` et supprimez les actions `CreateRole``CreatePolicy`, et`AttachRolePolicy`. ARNs
`AccessAwsMarketplaceSubscriptions`
Ces autorisations sont nécessaires pour afficher et choisir les équipes de travail fournisseur auxquelles vous êtes déjà abonné lors de la création d’une tâche d’étiquetage. Pour accorder à l’utilisateur l’autorisation de *s’abonner* aux équipes de travail du fournisseur, ajoutez l’instruction qui se trouve dans [Autorisations de main-d’œuvre fournisseur](#sms-security-permissions-workforce-creation-vendor) à la politique ci-dessus.
`PassRoleForExecutionRoles`
Ceci est nécessaire pour donner au créateur de tâche d’étiquetage l’autorisation d’afficher une prévisualisation de l’interface utilisateur employé et de vérifier que les données d’entrée, les étiquettes et les instructions s’affichent correctement. Cette instruction autorise une entité à transmettre le rôle d'exécution IAM utilisé pour créer la tâche d'étiquetage à SageMaker AI pour qu'elle affiche et prévisualise l'interface utilisateur de travail. Pour restreindre la portée de cette stratégie, ajoutez l’ARN de rôle du rôle d’exécution utilisé pour créer la tâche d’étiquetage sous `Resource`.
**`GroundTruthConsole`**
+ `groundtruthlabeling` : ceci permet à un utilisateur d’effectuer les actions requises pour utiliser certaines fonctionnalités de la console Ground Truth. Ceux-ci incluent les autorisations pour décrire le statut de la tâche d’étiquetage (`DescribeConsoleJob`), lister tous les objets du jeu de données dans le fichier manifeste source (`ListDatasetObjects`), filtrer le jeu de données si l’échantillonnage du jeu de données est sélectionné (`RunFilterOrSampleDatasetJob`), et pour générer des fichiers manifestes source si l’étiquetage automatisé des données est utilisé (`RunGenerateManifestByCrawlingJob`). Ces actions ne sont disponibles que lors de l’utilisation de la console Ground Truth et ne peuvent pas être appelées directement à l’aide d’une API.
+ `lambda:InvokeFunction` et `lambda:ListFunctions` : ces actions donnent aux utilisateurs l’autorisation de lister et d’invoquer les fonctions Lambda utilisées pour exécuter un flux de travail d’étiquetage personnalisé.
+ `s3:*` : toutes les autorisations Amazon S3 incluses dans cette instruction sont utilisées pour afficher les compartiments Amazon S3 en vue d’effectuer la [configuration automatisée des données](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) (`ListAllMyBuckets`), d’accéder aux données d’entrée dans Amazon S3 (`ListBucket`, `GetObject`), de vérifier et de créer une stratégie CORS dans Amazon S3 si nécessaire (`GetBucketCors` et `PutBucketCors`), et d’écrire les fichiers de sortie de travail d’étiquetage dans S3 (`PutObject`).
+ `cognito-idp` : ces autorisations sont utilisées pour créer, afficher et gérer de la mains-d’œuvre privées à l’aide d’Amazon Cognito. Pour en savoir plus sur ces actions, consultez la [Référence des API Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Autorisations de flux de travail d’étiquetage personnalisées
Ajoutez l’instruction suivante à une politique similaire à celle de [Autorisations de la console Ground Truth](#sms-security-permissions-console-all) pour donner à un utilisateur l’autorisation de sélectionner des fonctions Lambda préexistantes de pré-annotation et de post-annotation lors de la [création d’un flux de travail d’étiquetage personnalisé](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html).
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Pour savoir comment accorder à une entité l’autorisation de créer et de tester des fonctions Lambda de pré-annotation et de post-annotation, consultez [Autorisations nécessaires à l’utilisation d’AWS Lambda avec Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html).
## Autorisations de main-d’œuvre privée
Lorsqu’elle est ajoutée à une stratégie d’autorisations, l’autorisation suivante accorde l’accès à la création et à la gestion d’une main-d’œuvre et d’une équipe de travail privées utilisant Amazon Cognito. Ces autorisations ne sont pas requises pour utiliser une [main-d’œuvre OIDC IdP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps).
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Pour en savoir plus sur la création d’une main-d’œuvre privée à l’aide d’Amazon Cognito, consultez [Mains-d’œuvre d’Amazon Cognito](sms-workforce-private-use-cognito.md).
## Autorisations de main-d’œuvre fournisseur
Vous pouvez ajouter l’instruction suivante à la politique dans [Autoriser IAM à utiliser la console Amazon SageMaker Ground Truth](#sms-security-permission-console-access) pour accorder à une entité l’autorisation de s’abonner à une [main-d’œuvre de fournisseurs](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```
# Créez un rôle d'exécution basé sur l' SageMaker IA pour un job d'étiquetage Ground Truth
Lorsque vous configurez votre tâche d'étiquetage, vous devez fournir un *rôle d'exécution*, rôle que l' SageMaker IA est autorisée à assumer pour démarrer et exécuter votre tâche d'étiquetage.
Ce rôle doit donner à Ground Truth l’autorisation d’accéder aux éléments suivants :
+ Amazon S3, pour récupérer vos données source et écrire les données de sortie dans un compartiment Amazon S3. Vous pouvez soit accorder à un rôle IAM l’autorisation d’accéder à un compartiment entier en fournissant l’ARN de ce dernier, soit accorder au rôle l’autorisation d’accéder à des ressources spécifiques dans un compartiment. Par exemple, l’ARN d’un compartiment peut ressembler à `arn:aws:s3:::amzn-s3-demo-bucket1` et l’ARN d’une ressource d’un compartiment Amazon S3 peut ressembler à `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png`. Pour appliquer une action à toutes les ressources d’un compartiment Amazon S3, vous pouvez utiliser le caractère de remplacement : `*`. Par exemple, `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`. Pour plus d’informations, consultez [Ressources Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html) dans le Guide de l’utilisateur Amazon Simple Storage Service.
+ CloudWatch pour enregistrer les statistiques des employés et étiqueter les statuts des tâches.
+ AWS KMS pour le chiffrement des données. (Facultatif)
+ AWS Lambda pour traiter les données d'entrée et de sortie lorsque vous créez un flux de travail personnalisé.
En outre, si vous créez une [Tâche d’étiquetage en streaming](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html), ce rôle doit avoir l’autorisation d’accéder à :
+ Amazon SQS, pour créer une interaction avec une file d’attente SQS utilisée pour [gérer les requêtes d’étiquetage](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs).
+ Amazon SNS, pour vous abonner et récupérer des messages à partir de votre rubrique d’entrée Amazon SNS et pour envoyer des messages à votre rubrique de sortie Amazon SNS.
Toutes ces autorisations peuvent être accordées avec la stratégie gérée `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`, *sauf* :
+ Chiffrement des données et des volumes de stockage de vos compartiments Amazon S3. Pour savoir comment configurer ces autorisations, consultez [Chiffrez les données de sortie et le volume de stockage avec AWS KMS](sms-security-kms-permissions.md).
+ Autorisation de sélectionner et d’invoquer Lambda des fonctions Lambda qui n’incluent pas `GtRecipe`, `SageMaker`, `Sagemaker`, `sagemaker` ou `LabelingFunction` dans le nom de la fonction.
+ Les compartiments Amazon S3 qui n’incluent pas `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker` et `sagemaker` dans le préfixe ou le nom du compartiment ou une [balise d’objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) qui inclut `SageMaker` dans le nom (insensible à la casse).
Si vous avez besoin d’autorisations plus détaillées que celles fournies dans `AmazonSageMakerGroundTruthExecution`, utilisez les exemples de stratégie suivants pour créer un rôle d’exécution qui correspond à votre cas d’utilisation spécifique.
**Topics**
+ [Exigences du rôle d’exécution des types de tâches intégrés (tâches qui ne s’exécutent pas en streaming, ou dites ponctuelles)](#sms-security-permission-execution-role-built-in-tt)
+ [Exigences du rôle d’exécution des types de tâches intégrés (tâches à exécution perpétuelle)](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [Exigences de rôle d’exécution pour les types de tâche personnalisés](#sms-security-permission-execution-role-custom-tt)
+ [Autorisations requises pour l’étiquetage automatique des données](#sms-security-permission-execution-role-custom-auto-labeling)
## Exigences du rôle d’exécution des types de tâches intégrés (tâches qui ne s’exécutent pas en streaming, ou dites ponctuelles)
La stratégie suivante accorde l’autorisation de créer une tâche d’étiquetage pour un [type de tâche intégré](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Cette politique d'exécution n'inclut pas les autorisations pour le chiffrement ou le déchiffrement AWS KMS des données. Remplacez chaque ARN rouge en italique par votre propre Amazon S3. ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## Exigences du rôle d’exécution des types de tâches intégrés (tâches à exécution perpétuelle)
Si vous créez une tâche d’étiquetage en streaming, vous devez ajouter une stratégie similaire à la suivante au rôle d’exécution que vous utilisez pour créer la tâche d’étiquetage. Pour réduire la portée de la politique, remplacez le `*` in par `Resource` des AWS ressources spécifiques auxquelles vous souhaitez autoriser le rôle IAM à accéder et à utiliser.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## Exigences de rôle d’exécution pour les types de tâche personnalisés
Si vous souhaitez créer un [Flux d’étiquetage personnalisé](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), ajoutez l’instruction suivante à une stratégie de rôle d’exécution comme celles se trouvant dans [Exigences du rôle d’exécution des types de tâches intégrés (tâches qui ne s’exécutent pas en streaming, ou dites ponctuelles)](#sms-security-permission-execution-role-built-in-tt) ou [Exigences du rôle d’exécution des types de tâches intégrés (tâches à exécution perpétuelle)](#sms-security-permission-execution-role-built-in-tt-streaming).
Cette stratégie donne au rôle d’exécution l’autorisation `Invoke` pour vos fonctions Lambda de pré-annotation et de post-annotation.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## Autorisations requises pour l’étiquetage automatique des données
Si vous souhaitez créer une tâche d’étiquetage avec [étiquetage automatisé des données](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html), vous devez 1) ajouter une stratégie à la politique IAM attachée au rôle d’exécution et 2) mettre à jour la stratégie d’approbation du rôle d’exécution.
L'instruction suivante permet de transmettre le rôle d'exécution IAM à l' SageMaker IA afin qu'il puisse être utilisé pour exécuter les tâches de formation et d'inférence utilisées respectivement pour l'apprentissage actif et l'étiquetage automatique des données. Ajoutez cette instruction à une stratégie de rôle d’exécution comme celles qui se trouvent dans [Exigences du rôle d’exécution des types de tâches intégrés (tâches qui ne s’exécutent pas en streaming, ou dites ponctuelles)](#sms-security-permission-execution-role-built-in-tt) ou [Exigences du rôle d’exécution des types de tâches intégrés (tâches à exécution perpétuelle)](#sms-security-permission-execution-role-built-in-tt-streaming). Remplacez `arn:aws:iam:::role/` par l’ARN du rôle d’exécution. Vous pouvez trouver l’ARN de votre rôle IAM dans la console IAM, sous **Rôles**.
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
L'énoncé suivant permet à l' SageMaker IA d'assumer le rôle d'exécution pour créer et gérer les tâches de SageMaker formation et d'inférence. Cette stratégie doit être ajoutée à la relation d’approbation du rôle d’exécution. Pour savoir comment ajouter ou modifier une stratégie d’approbation de rôle IAM, consultez [Modification d’un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dans le Guide de l’utilisateur IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------
# Chiffrez les données de sortie et le volume de stockage avec AWS KMS
Vous pouvez utiliser AWS Key Management Service (AWS KMS) pour chiffrer les données de sortie d'une tâche d'étiquetage en spécifiant une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) lorsque vous créez la tâche d'étiquetage. Si vous utilisez l’opération d’API `CreateLabelingJob` pour créer une tâche d’étiquetage qui utilise l’étiquetage automatisé des données, vous pouvez également utiliser une clé gérée par le client pour chiffrer le volume de stockage attaché aux instances de calcul ML pour exécuter les tâches d’entraînement et d’inférence.
Cette section décrit les politiques IAM que vous devez attacher à votre clé gérée par le client pour activer le chiffrement des données de sortie et les politiques que vous devez attacher à votre clé gérée par le client et à votre rôle d’exécution pour utiliser le chiffrement du volume de stockage. Pour en savoir plus sur ces options, consultez [Chiffrement des données et des volumes de stockage](sms-security.md).
## Chiffrer les données de sortie à l’aide de KMS
Si vous spécifiez une clé gérée par le AWS KMS client pour chiffrer les données de sortie, vous devez ajouter à cette clé une politique IAM similaire à la suivante. Cette stratégie donne au rôle d’exécution IAM que vous utilisez pour créer votre tâche d’étiquetage l’autorisation d’utiliser cette clé pour effectuer toutes les actions listées dans `"Action"`. Pour en savoir plus sur ces actions, consultez [AWS KMS les autorisations](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) dans le guide du AWS Key Management Service développeur.
Pour utiliser cette stratégie, remplacez l’ARN du rôle de service IAM dans `"Principal"` par l’ARN du rôle d’exécution utilisé pour créer la tâche d’étiquetage. Lorsque vous créez une tâche d’étiquetage dans la console, c’est le rôle que vous spécifiez pour **Rôle IAM** sous la section **Présentation de la tâche**. Lorsque vous créez une tâche d’étiquetage à l’aide `CreateLabelingJob`, c’est l’ARN que vous spécifiez pour [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn).
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Chiffrer le volume de stockage d’instance de calcul ML de l’étiquetage automatisé des données
Si vous spécifiez un [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId) pour chiffrer le volume de stockage attaché à l’instance de calcul ML utilisée pour l’entraînement et l’inférence d’étiquetage automatisé des données, vous devez effectuer les opérations suivantes :
+ Attachez les autorisations décrites dans [Chiffrer les données de sortie à l’aide de KMS](#sms-security-kms-permissions-output-data) à la clé gérée par le client.
+ Attacher une stratégie semblable à la suivante au rôle d’exécution IAM que vous utilisez pour créer votre tâche d’étiquetage. Il s’agit du rôle IAM que vous spécifiez pour [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn) dans `CreateLabelingJob`. Pour en savoir plus sur les `"kms:CreateGrant"` actions autorisées par cette politique, consultez [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)la référence des AWS Key Management Service API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
Pour en savoir plus sur le chiffrement des volumes de stockage Ground Truth, veuillez consulter [Utiliser votre clé KMS pour chiffrer le volume de stockage d’étiquetage automatisé des données (API uniquement)](sms-security.md#sms-security-kms-storage-volume).