Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Main-d’œuvre privée
Une **main-d’œuvre privée** est un groupe d’employés que *vous* choisissez. Il peut s’agir d’employés de votre entreprise ou d’un groupe d’experts dans votre secteur d’activité. Par exemple, si la tâche consiste à étiqueter des images médicales, vous pouvez créer une main-d’œuvre privée d’experts sur les images en question.
Chaque compte AWS a accès à une seule main-d’œuvre privée par région, et le propriétaire a la possibilité de créer plusieurs **équipes de travail** **privées** au sein de cette main-d’œuvre. Une seule équipe de travail privée est utilisée pour effectuer une tâche d’étiquetage, une tâche de vérification humaine ou une *tâche*. Vous pouvez affecter chaque équipe de travail à une tâche distincte ou utiliser une seule équipe pour plusieurs tâches. Un même employé peut appartenir à plusieurs équipes de travail.
Votre main-d’œuvre privée peut être créé et géré à l’aide d’[Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) ou de votre propre fournisseur d’identité (IdP) OpenID Connect (OIDC) privé.
Si vous êtes un nouvel utilisateur d’[Amazon SageMaker Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms.html) ou d’[Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html) et que vous n’exigez pas que vos employés soient gérés avec votre propre IdP, il est recommandé d’utiliser Amazon Cognito pour créer et gérer votre main-d’œuvre privée.
Une fois que vous avez créé une main-d’œuvre, en plus de créer et de gérer des équipes de travail, procédez comme suit :
+ [Suivi des performances des collaborateurs](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html)
+ [Création et gestion de rubriques Amazon SNS](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html) pour avertir les employés lorsque des tâches de labélisation sont disponibles
+ [Gestion de l’accès de la main-d’œuvre privée aux tâches à l’aide d’adresses IP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-api.html)
**Note**
Votre main-d’œuvre privée est partagée entre Ground Truth et Amazon A2I. Pour créer et gérer des équipes de travail privées utilisées par l’Augmented AI, utilisez la section Ground Truth de la console SageMaker AI.
**Topics**
+ [Mains-d’œuvre d’Amazon Cognito](sms-workforce-private-use-cognito.md)
+ [Mains-d’œuvre de fournisseur d’identité OIDC](sms-workforce-private-use-oidc.md)
+ [Gestion du personnel privé à l'aide de l' SageMaker API Amazon](sms-workforce-management-private-api.md)
+ [Suivi des métriques de performance des employés](workteam-private-tracking.md)
+ [Créer une rubrique Amazon SNS](sms-workforce-management-private-sns.md)
# Mains-d’œuvre d’Amazon Cognito
Créez et gérez votre main-d’œuvre privée à l’aide d’Amazon Cognito lorsque vous souhaitez créer votre main-d’œuvre à l’aide de la console Amazon SageMaker AI ou que vous ne souhaitez pas gérer les informations d’identification et d’authentification des employés. Lorsque vous créez une main-d’œuvre privée avec Amazon Cognito, elle fournit l’authentification, l’autorisation et la gestion des utilisateurs pour vos employés privés.
**Topics**
+ [Création d’une main-d’œuvre privée (Amazon Cognito)](sms-workforce-create-private.md)
+ [Gérer une main-d’œuvre privée (Amazon Cognito)](sms-workforce-management-private.md)
# Création d’une main-d’œuvre privée (Amazon Cognito)
Lorsque vous utilisez Amazon Cognito, vous pouvez créer une main-d’œuvre privée de l’une des manières suivantes :
+ Créez une nouvelle main-d’œuvre pendant que vous créez votre travail d’étiquetage. Pour savoir comment procéder, consultez [Créer une main-d’œuvre Amazon Cognito lors de la création d’une tâche d’étiquetage](sms-workforce-create-private-console.md#create-workforce-labeling-job).
+ Créez une nouvelle main-d’œuvre avant de créer votre travail d’étiquetage. Pour savoir comment procéder, consultez [Création d’une main-d’œuvre Amazon Cognito à l’aide de la page Mains-d’œuvre d’étiquetage](sms-workforce-create-private-console.md#create-workforce-sm-console).
+ Importez une main-d’œuvre existante après la création d’un groupe d’utilisateurs dans la console Amazon Cognito. Pour savoir comment procéder, consultez [Création d’une main-d’œuvre privée (console Amazon Cognito)](sms-workforce-create-private-cognito.md).
Une fois que vous avez créé une main-d’œuvre privée, cette main-d’œuvre, ainsi que toutes les équipes de travail et les employés qui lui sont associés sont disponibles pour toutes les tâches d’étiquetage Ground Truth et les tâches des flux de travail de révision humaine de l’IA augmentée d’Amazon.
Si vous utilisez Amazon SageMaker AI pour la première fois et que vous souhaitez tester Ground Truth ou Amazon A2I, nous vous suggérons de créer une équipe de travail privée composée de membres de votre organisation utilisant la console. Utilisez cette équipe de travail lorsque vous créez des flux de travail d’étiquetage ou de révision humaine (définitions de flux) pour tester l’interface utilisateur de l’employé et le flux de travail.
**Topics**
+ [Création d'une main-d'œuvre privée (Amazon SageMaker AI Console)](sms-workforce-create-private-console.md)
+ [Création d’une main-d’œuvre privée (console Amazon Cognito)](sms-workforce-create-private-cognito.md)
# Création d'une main-d'œuvre privée (Amazon SageMaker AI Console)
Vous pouvez créer une main-d'œuvre privée dans la console Amazon SageMaker AI de deux manières :
+ Lorsque vous créez une tâche d'étiquetage sur la page des **tâches d'étiquetage** de la section Amazon SageMaker Ground Truth.
+ En utilisant la page **Labeling Workforce** de la section Amazon SageMaker Ground Truth. Si vous créez une main-d’œuvre privée pour un flux de travail de révision humaine Amazon A2I, utilisez cette méthode.
Ces deux méthodes créent également une équipe de travail par défaut contenant tous les membres de la main-d’œuvre. Cette équipe privée peut être utilisée pour les emplois de Ground Truth et de l’IA augmentée d’Amazon.
Lorsque vous créez un personnel privé à l'aide de la console, l' SageMaker IA utilise Amazon Cognito comme fournisseur d'identité pour votre personnel. Si vous souhaitez utiliser votre propre fournisseur d'identité (IdP) OpenID Connect (OIDC) pour créer et gérer votre personnel privé, vous devez créer un personnel à l'aide de l'opération API. SageMaker `CreateWorkforce` Pour en savoir plus, veuillez consulter la section [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Créer une main-d’œuvre Amazon Cognito lors de la création d’une tâche d’étiquetage
Si vous n’avez pas créé de main-d’œuvre privée lors de la création de votre poste d’étiquetage et que vous choisissez d’utiliser des employés privés, vous êtes invité à créer une équipe de travail. Cela créera une main-d’œuvre privée utilisant Amazon Cognito.
**Pour créer une main-d’œuvre lors de la création d’une tâche d’étiquetage (console)**
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Labeling jobs (Tâches d’étiquetage)** et remplissez tous les champs obligatoires. Pour obtenir des instructions sur le démarrage d’une tâche d’étiquetage, consultez [Mise en route : création d’une tâche d’étiquetage de cadre de délimitation avec Ground Truth](sms-getting-started.md). Choisissez **Suivant**.
1. Choisissez **Private (Privé)** pour le type de main-d’œuvre.
1. Dans la section **Workers (Employés)**, entrez :
1. Le **nom de l’équipe (Team name)**.
1. Les adresses e-mail de jusqu’à 100 membres de la main-d’œuvre. Les adresses e-mail sont sensibles à la casse. Vos employés doivent se connecter en respectant la casse utilisée lors de la saisie initiale de l’adresse. Vous pouvez ajouter d’autres membres de la main-d’œuvre une fois la tâche créée.
1. Le nom de votre organisation. SageMaker L'IA l'utilise pour personnaliser le courrier électronique envoyé aux travailleurs.
1. une adresse e-mail de contact que les employés utilisent pour signaler des problèmes liés à la tâche.
Lorsque vous créez la tâche d’étiquetage, un e-mail est envoyé à chaque employé pour l’inviter à rejoindre la main-d’œuvre. Après avoir créé le personnel, vous pouvez ajouter, supprimer et désactiver des employés à l'aide de la console SageMaker AI ou de la console Amazon Cognito.
## Création d’une main-d’œuvre Amazon Cognito à l’aide de la page Mains-d’œuvre d’étiquetage
Pour créer et gérer votre main-d’œuvre privée à l’aide d’Amazon Cognito, vous pouvez utiliser la page **Mains-d’œuvre d’étiquetage**. En suivant les instructions ci-dessous, vous avez la possibilité de créer un effectif privé en saisissant les e-mails des employés en important une main-d’œuvre préexistante à partir d’un groupe d’utilisateurs Amazon Cognito. Pour importer une main-d’œuvre, consultez [Création d’une main-d’œuvre privée (console Amazon Cognito)](sms-workforce-create-private-cognito.md).
**Pour créer une main-d’œuvre privée à l’aide d’e-mails d’employés**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Mains-d’œuvre d’étiquetage**.
1. Choisissez **Private (Privée)**, puis **Create private team (Créer une équipe privée)**.
1. Choisissez **Invite new workers by email (Inviter les nouveaux employés par e-mail)**.
1. Collez ou tapez une liste de 50 adresses e-mail au maximum, séparées par des virgules, dans la zone des adresses e-mail.
1. Saisissez un nom d’organisation et une adresse e-mail de contact.
1. Éventuellement, choisissez une rubrique SNS à laquelle abonner l’équipe pour que les employés soient avertis par e-mail lorsque de nouvelles tâches d’étiquetage Ground Truth deviennent disponibles. Les notifications Amazon SNS sont prises en charge par Ground Truth et ne sont pas prises en charge par Augmented AI. Si vous inscrivez des employés pour qu’ils reçoivent des notifications SNS, ils ne recevront que les notifications concernant les tâches d’étiquetage de Ground Truth. Ils ne recevront pas de notifications concernant les tâches Augmented AI.
1. Cliquez sur le bouton **Créer une équipe privée**.
Après avoir importé votre main-d’œuvre privée, actualisez la page. La page **Résumé de main-d’œuvre privée** affiche des informations sur le groupe d’utilisateurs Amazon Cognito, une liste des équipes de travail de votre main-d’œuvre et une liste de tous les membres de votre main-d’œuvre privée.
**Note**
Si vous supprimez toutes vos équipes de travail privées, vous devez répéter ce processus pour utiliser une main-d’œuvre privée dans cette région.
# Création d’une main-d’œuvre privée (console Amazon Cognito)
Amazon Cognito est utilisé pour définir et gérer votre main-d’œuvre privée et vos équipes de travail. Il s’agit d’un service que vous pouvez utiliser pour créer des identités pour vos collaborateurs et authentifier ces identités avec des fournisseurs d’identités. Une main-d’œuvre privée correspond à un **groupe d’utilisateurs Amazon Cognito** unique. Les équipes de travail privées correspondent à des **groupes d’utilisateurs Amazon Cognito** au sein de ce groupe d’utilisateurs.
Exemples de fournisseurs d’identité pris en charge par Amazon Cognito :
+ Fournisseurs d’identité sociaux, tels que Facebook et Google
+ Fournisseurs OpenID Connect (OIDC)
+ Fournisseurs SAML (Security Assertion Markup Language) tels qu’Active Directory
+ Le fournisseur d’identité intégré Amazon Cognito
Pour plus d’informations, consultez [Qu’est-ce qu’Amazon Cognito ?](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html).
Pour créer une main-d’œuvre privée en utilisant Amazon Cognito, vous devez avoir un groupe d’utilisateurs Amazon Cognito existant contenant au moins un groupe d’utilisateurs. Consultez [Didacticiel : Création d’un groupe d’utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html) pour savoir comment créer un groupe d’utilisateurs. Consultez [Ajout de groupes à un groupe d’utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html) pour savoir comment ajouter un groupe d’utilisateurs à un groupe.
Une fois votre groupe d'utilisateurs créé, suivez les étapes ci-dessous pour créer une main-d'œuvre privée en important ce groupe d'utilisateurs dans Amazon SageMaker AI.
**Pour créer une main-d’œuvre privée en important un groupe d’utilisateurs Amazon Cognito**
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Mains-d’œuvre d’étiquetage**.
1. Choisissez **Privé**.
1. Choisissez **Create private team (Créer une équipe privée)**. Cela crée une main-d’œuvre privée et une équipe de travail.
1. Choisissez **Importer des employés à partir de groupes d’utilisateurs Amazon Cognito existants**.
1. Choisissez un groupe d’utilisateurs que vous avez créé. Les pools d’utilisateurs nécessitent un domaine et un groupe d’utilisateurs existant. Si vous obtenez une erreur indiquant que le domaine est manquant, définissez-le dans les **Domain name (Options du nom de domaine)** sur la page **App integration (Intégration de l’appli)** de la console Amazon Cognito pour votre groupe.
1. Choisissez un client d’application. Nous vous recommandons d'utiliser un client généré par l' SageMaker IA.
1. Sélectionnez un groupe d’utilisateurs dans votre groupe pour importer ses membres.
1. Vous pouvez également choisir une rubrique Amazon Simple Notification Service (Amazon SNS) auquel souscrire l’équipe afin que les employés soient avertis par e-mail lorsque de nouvelles tâches d’étiquetage sont disponibles. Les notifications Amazon SNS sont prises en charge par Ground Truth et ne sont pas prises en charge par Augmented AI. Si vous inscrivez des employés pour qu’ils reçoivent des notifications SNS, ils ne recevront que les notifications concernant les tâches d’étiquetage de Ground Truth. Ils ne recevront pas de notifications concernant les tâches Augmented AI.
1. Choisissez **Create private team (Créer une équipe privée)**.
**Important**
Une fois que vous avez créé un effectif à l'aide d'un groupe d'utilisateurs Amazon Cognito, celui-ci ne doit pas être supprimé sans avoir préalablement supprimé toutes les équipes de travail associées à ce groupe dans la console SageMaker AI.
Après avoir importé votre main-d’œuvre privée, actualisez la page pour afficher la page **Récapitulatif de la main-d’œuvre privée**. Sur cette page, vous pouvez voir des informations sur le groupe d’utilisateurs Amazon Cognito pour votre main-d’œuvre, une liste des équipes de travail pour votre personnel, et une liste de tous les membres de votre main-d’œuvre privée. Cette main-d'œuvre peut désormais être utilisée à la fois dans Amazon Augmented AI et Amazon SageMaker Ground Truth pour les tâches de révision humaine et d'étiquetage des données, respectivement.
# Gérer une main-d’œuvre privée (Amazon Cognito)
Après avoir créé une main-d'œuvre privée à l'aide d'Amazon Cognito, vous pouvez créer et gérer des équipes de travail à l'aide de la console Amazon SageMaker AI et des opérations d'API.
Vous pouvez effectuer les opérations suivantes à l'aide de la [console SageMaker AI ou de la console](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-console.html) [Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-cognito.html).
+ Ajoutez et supprimez des équipes de travail.
+ Ajoutez des employés à votre main-d’œuvre et une ou plusieurs équipes de travail.
+ Désactiver ou retirer des employés de votre main-d’œuvre et d’une ou plusieurs équipes de travail. Si vous ajoutez des employés à une main-d’œuvre en utilisant la console Amazon Cognito, vous devez utiliser la même console pour retirer l’employé de la main-d’œuvre.
Vous pouvez restreindre l'accès aux tâches aux employés utilisant des adresses IP spécifiques à l'aide de l' SageMaker API. Pour de plus amples informations, veuillez consulter [Gestion du personnel privé à l'aide de l' SageMaker API Amazon](sms-workforce-management-private-api.md).
**Topics**
+ [Gérer un effectif (Amazon SageMaker AI Console)](sms-workforce-management-private-console.md)
+ [Gérer une main-d’œuvre privée (Console Amazon Cognito)](sms-workforce-management-private-cognito.md)
# Gérer un effectif (Amazon SageMaker AI Console)
Vous pouvez utiliser la console Amazon SageMaker AI pour créer et gérer les équipes de travail et les travailleurs individuels qui constituent une main-d'œuvre privée.
Utilisez une équipe de travail pour affecter des membres de votre main-d’œuvre privée à une *tâche* d’étiquetage ou de révision humaine. Lorsque vous créez votre personnel à l'aide de la console SageMaker AI, une équipe de travail appelée **E veryone-in-private-workforce** vous permet d'affecter l'ensemble de votre personnel à une tâche. Comme un groupe d’utilisateurs Amazon Cognito importé peut contenir des membres que vous ne souhaitez pas inclure dans vos équipes de travail, une équipe de travail similaire n’est pas créée pour les groupes d’utilisateurs Amazon Cognito.
Deux options s’offrent à vous pour créer une nouvelle équipe de travail :
+ Vous pouvez créer une équipe de travail dans la console SageMaker AI et y ajouter des membres de votre personnel.
+ Vous pouvez créer un groupe d’utilisateurs en utilisant la console Amazon Cognito et ensuite créer une équipe de travail en important le groupe d’utilisateurs. Vous pouvez importer plusieurs groupes d’utilisateurs dans chaque équipe de travail. Vous gérez les membres de l’équipe de travail en mettant à jour le groupe d’utilisateurs dans la console Amazon Cognito. Pour plus d’informations, consultez [Gérer une main-d’œuvre privée (Console Amazon Cognito)](sms-workforce-management-private-cognito.md).
## Créez une équipe de travail à l'aide de la console SageMaker AI
Vous pouvez créer un nouveau groupe d'utilisateurs Amazon Cognito ou importer un groupe d'utilisateurs existant à l'aide de la console SageMaker AI, sur la page **Labeling workforce**. Pour plus d’informations sur la création d’un groupe d’utilisateurs dans la console Amazon Cognito, consultez [Gérer une main-d’œuvre privée (Console Amazon Cognito)](sms-workforce-management-private-cognito.md).
**Pour créer une équipe de travail à l'aide de la console SageMaker AI**
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le menu de gauche, choisissez **Mains-d’œuvre d’étiquetage**.
1. Sous **Privé**, choisissez **Créer une équipe privée**.
1. Sous **Détails de l’équipe**, saisissez un **Nom d’équipe**. Le nom doit être unique dans votre compte dans une AWS région.
1. Sous **Ajouter des employés**, choisissez une méthode pour ajouter des employés à l’équipe à l’aide d’un groupe d’utilisateurs.
+ Si vous avez choisi **Créer une équipe en ajoutant des employés à un nouveau groupe d’utilisateurs Amazon Cognito**, sélectionnez les employés à ajouter à l’équipe.
+ Si vous avez choisi **Créer une équipe en important des groupes d’utilisateurs Amazon Cognito existants**, choisissez les groupes d’utilisateurs à ajouter à l’équipe.
1. Si vous sélectionnez une **rubrique SNS**, tous les employés ajoutés à l’équipe sont abonnés à la rubrique Amazon SNS et informés lorsque de nouveaux éléments de travail sont disponibles pour l’équipe. Sélectionnez dans la liste des rubriques Amazon SNS relatifs à Ground Truth existants ou cliquez sur **Créer une rubrique** pour ouvrir une boîte de dialogue de création de rubrique.
Les notifications Amazon SNS sont prises en charge par Ground Truth et ne sont pas prises en charge par Augmented AI. Si vous inscrivez des employés pour qu’ils reçoivent des notifications SNS, ils ne recevront que les notifications concernant les tâches d’étiquetage de Ground Truth. Ils ne recevront pas de notifications concernant les tâches Augmented AI.
Les employés d’une équipe de travail abonnés à une rubrique reçoivent des notifications lorsqu’une nouvelle tâche d’étiquetage Ground Truth pour cette équipe est disponible et lorsqu’une tâche est sur le point d’expirer.
Pour plus d’informations sur l’utilisation d’une rubrique Amazon SNS, consultez [Créer une rubrique Amazon SNS](sms-workforce-management-private-sns.md).
### Abonnements
Après avoir créé une équipe de travail, vous pouvez voir plus d’informations sur l’équipe et modifier ou définir la rubrique Amazon SNS à laquelle ses membres sont abonnés en visitant la console Amazon Cognito. Si vous avez ajouté des membres de l’équipe avant de l’abonner à une rubrique, vous devez les abonner manuellement à cette rubrique. Lisez [Créer et gérer des rubriques Amazon SNS pour vos équipes de travail](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html) pour plus d’informations sur la création et la gestion de la rubrique Amazon SNS.
## Ajouter ou supprimer des employés
Une *équipe de travail* est un groupe d’employés au sein de votre main-d’œuvre auquel vous pouvez affecter des tâches. Un employé peut être ajouté à plus d’une équipe de travail. Une fois qu’un employé a été ajouté à une équipe de travail, il peut être désactivé ou supprimé.
### Ajouter des employés à la main-d’œuvre
L’ajout d’un employé à la main-d’œuvre vous permettra d’ajouter ce dernier à n’importe quelle équipe de travail au sein de cette main-d’œuvre.
**Pour ajouter des employés à l’aide de la page de synthèse de la main-d’œuvre privée**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Choisissez **Mains-d’œuvre d’étiquetage** pour accéder à la page récapitulative de la main-d’œuvre privée.
1. Choisissez **Privé**.
1. Choisissez **Inviter de nouveaux employés**.
1. Collez ou tapez une liste d’adresses e-mail, séparées par des virgules, dans la zone des adresses e-mail. Vous pouvez avoir jusqu’à 50 adresses e-mail dans cette liste.
### Ajouter un employé à une équipe de travail
Un employé doit être ajouté à la main-d’œuvre avant d’être ajouté à une équipe de travail. Pour ajouter un employé à une équipe de travail, accédez d’abord à la page **Récapitulatif de la main-d’œuvre privée** en suivant les étapes ci-dessus.
**Pour ajouter un employé à une équipe de travail à partir de la page récapitulative de la main-d’œuvre privée**
1. Dans **Équipes privées**, choisissez l’équipe dans laquelle vous souhaitez ajouter des employés.
1. Sélectionnez l’onglet **Employés**.
1. Choisissez **Ajouter des employés à l’équipe** et cochez les cases placées à côté des employés que vous souhaitez ajouter.
1. Cliquez sur **Ajouter des employés à l’équipe**.
### Désactiver et supprimer un employé de la main-d’œuvre
La désactivation d’un employé l’empêche de recevoir des tâches. Cette action ne supprime pas l’employé de la main-d’œuvre, ni de toute équipe de travail à laquelle il est associé. Pour désactiver ou supprimer un employé d’une équipe de travail, accédez d’abord à la page récapitulative de la main-d’œuvre privée en suivant les étapes ci-dessus.
**Pour désactiver un employé à l’aide de la page de résumé de la main-d’œuvre privée**
1. Dans la section **Employés**, choisissez l’employé que vous souhaitez désactiver.
1. Choisissez **Désactiver**.
Si vous le souhaitez, vous pouvez ensuite **Activer** un employé une fois qu’il a été désactivé.
Vous pouvez supprimer des travailleurs de votre personnel privé directement dans la console SageMaker AI si ce travailleur a été ajouté dans cette console. Si vous avez ajouté l’employé (utilisateur) dans la console Amazon Cognito, consultez [Gérer une main-d’œuvre privée (Console Amazon Cognito)](sms-workforce-management-private-cognito.md) pour apprendre comment supprimer l’employé dans la console Amazon Cognito.
**Pour supprimer un employé à l’aide de la page de synthèse de la main-d’œuvre privée**
1. Dans la section **Employés**, sélectionnez le employé que vous souhaitez supprimer.
1. Si le employé n’a pas été désactivé, choisissez **Désactiver**.
1. Sélectionnez l’employé et choisissez **Supprimer**.
# Gérer une main-d’œuvre privée (Console Amazon Cognito)
Une main-d’œuvre privée correspond à un **groupe d’utilisateurs Amazon Cognito** unique. Les équipes de travail privées correspondent à des **groupes d’utilisateurs Amazon Cognito** au sein de ce groupe d’utilisateurs. Les employés correspondent aux **utilisateurs Amazon Cognito** à l’intérieur de ces groupes.
Une fois votre main-d’œuvre créée, vous pouvez ajouter des équipes de travail et des employés individuels via la console Amazon Cognito. Vous pouvez également supprimer les employés de votre main-d’œuvre privée ou les retirer des équipes individuelles dans la console Amazon Cognito.
**Important**
Vous ne pouvez pas supprimer les équipes de travail à partir de la console Amazon Cognito. La suppression d'un groupe d'utilisateurs Amazon Cognito associé à une équipe de travail Amazon SageMaker AI entraînera une erreur. Pour supprimer des équipes de travail, utilisez la console SageMaker AI.
## Créer des équipes de travail (Console Amazon Cognito)
Vous pouvez créer une nouvelle équipe de travail pour effectuer une tâche en ajoutant un groupe d’utilisateurs Amazon Cognito au groupe d’utilisateurs associé à votre main-d’œuvre privée. Pour ajouter un groupe d’utilisateurs Amazon Cognito à un groupe d’employés existant, consultez [Ajout de groupes à un groupe d’utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html).
**Pour créer une équipe de travail en utilisant un groupe d’utilisateurs Amazon Cognito existant**
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Workforces (Mains-d’œuvre)**.
1. Pour **Private teams (Équipes privées)**, choisissez **Create private team (Créer une équipe privée)**.
1. Sous **Team details (Détails de l’équipe)**, nommez l’équipe. Le nom doit être unique dans votre compte dans une AWS région.
1. Pour **Ajouter des employés**, choisissez **Importer des groupes d’utilisateurs Amazon Cognito existants**, puis choisissez un ou plusieurs groupes d’utilisateurs faisant partie de la nouvelle équipe.
1. Si vous choisissez une **SNS topic (Rubrique SNS)**, tous les employés ajoutés à l’équipe sont abonnés à la rubrique Amazon Simple Notification Service (Amazon SNS) et sont informés lorsque de nouveaux éléments de travail sont disponibles pour l’équipe. Choisissez parmi une liste de vos sujets SNS existants liés à SageMaker Ground Truth ou Amazon Augmented AI ou choisissez **Create new topic** pour en créer un.
**Note**
Les notifications Amazon SNS sont prises en charge par Ground Truth et ne sont pas prises en charge par Augmented AI. Si vous inscrivez des employés pour qu’ils reçoivent des notifications SNS, ils ne recevront que les notifications concernant les tâches d’étiquetage de Ground Truth. Ils ne recevront pas de notifications concernant les tâches Augmented AI.
### Abonnements
Après avoir créé une équipe de travail, vous pouvez voir plus d’informations sur l’équipe et modifier ou définir la rubrique SNS à laquelle ses membres sont abonnés en utilisant la console Amazon Cognito. Si vous avez ajouté des membres de l’équipe avant de l’abonner à une rubrique, vous devez les abonner manuellement à cette rubrique. Pour de plus amples informations, veuillez consulter [Créer une rubrique Amazon SNS](sms-workforce-management-private-sns.md).
## Ajout et suppression d’employés (Console Amazon Cognito)
Lorsque vous utilisez la console Amazon Cognito pour ajouter des collaborateurs à une équipe de travail, vous devez ajouter un utilisateur au groupe d’utilisateurs associé à la main-d’œuvre avant d’ajouter cet utilisateur à un groupe d’utilisateurs. Les utilisateurs peuvent être ajoutés à un groupe de différentes manières. Pour plus d’informations, consultez [Inscription et confirmation des comptes d’utilisateur](https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html).
### Ajouter un employé à une équipe de travail
Une fois qu’un utilisateur a été ajouté à un groupe, il peut être associé à des groupes d’utilisateurs à l’intérieur de ce pool. Une fois qu’un utilisateur a été ajouté à un groupe d’utilisateurs, il devient un collaborateur pour n’importe quelle équipe de travail créée à l’aide de ce groupe d’utilisateurs.
**Pour ajouter un utilisateur à un groupe d’utilisateurs**
1. Ouvrez la console Amazon Cognito : [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)
1. Sélectionnez **Gérer les groupes d’utilisateurs**.
1. Choisissez le groupe d'utilisateurs associé à votre équipe d' SageMaker IA.
1. Sous **Paramètres généraux**, choisissez **Utilisateurs et groupes** et effectuez l’une des opérations suivantes :
+ Choisissez **Groupes**, choisissez le groupe auquel vous souhaitez ajouter l’utilisateur, puis **Ajouter des utilisateurs**. Choisissez les utilisateurs que vous voulez ajouter en cliquant sur l’icône « plus » à droite du nom de l’utilisateur.
+ Choisissez **Utilisateurs**, choisissez l’utilisateur que vous souhaitez ajouter au groupe d’utilisateurs, puis choisissez **Ajouter au groupe**. Dans le menu déroulant, choisissez le groupe et choisissez **Ajouter au groupe**.
### Désactiver et supprimer un collaborateur d’une équipe de travail
La désactivation d’un employé empêche ce dernier de recevoir des travaux. Cette action ne supprime pas l’employé de la main-d’œuvre, ni de toute équipe de travail à laquelle il est associé. Pour retirer un utilisateur d’une équipe de travail dans Amazon Cognito, vous retirez l’utilisateur du groupe d’utilisateurs associé à cette équipe.
**Pour désactiver un employé (Console Amazon Cognito)**
1. Ouvrez la console Amazon Cognito : [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)
1. Sélectionnez **Gérer les groupes d’utilisateurs**.
1. Choisissez le groupe d'utilisateurs associé à votre équipe d' SageMaker IA.
1. Sous **Paramètres généraux**, choisissez **Utilisateurs et groupes**.
1. Choisissez l’utilisateur que vous souhaitez désactiver.
1. Cliquez sur **Disable User (Désactiver) l’utilisateur**.
Vous pouvez réactiver un utilisateur en choisissant **Activer l’utilisateur**.
**Pour supprimer un utilisateur d’un groupe (Console Amazon Cognito)**
1. Ouvrez la console Amazon Cognito : [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)
1. Sélectionnez **Gérer les groupes d’utilisateurs**.
1. Choisissez le groupe d'utilisateurs associé à votre équipe d' SageMaker IA.
1. Sous **Paramètres généraux**, choisissez **Utilisateurs et groupes**.
1. Pour l’onglet **Utilisateur** cliquez sur l’icône **X** située à droite du groupe dont vous souhaitez supprimer l’utilisateur.
# Mains-d’œuvre de fournisseur d’identité OIDC
Créez une main-d’œuvre privée en utilisant un fournisseur d’identité (IdP) OpenID Connect (OIDC) lorsque vous souhaitez gérer et authentifier vos employés en utilisant votre propre IdP OIDC. Les informations d’identification des employés et autres données resteront privées. Ground Truth et Amazon A2I n’auront de visibilité sur les informations relatives aux employés que vous fournissez que par le biais des revendications que vous envoyez à ces services. Pour créer une main-d’œuvre à l’aide d’un IdP OIDC, votre IdP doit prendre en charge les *groupes*, car Ground Truth et Amazon A2I font correspondre un ou plusieurs groupes de votre IdP à une équipe de travail. Pour en savoir plus, consultez [Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp).
Si vous êtes un nouvel utilisateur de Ground Truth ou d’Amazon A2I, vous pouvez tester l’interface utilisateur de votre employé et le flux de travail en créant une équipe de travail privée et en vous ajoutant comme employé. Utilisez cette équipe de travail lorsque vous créez une tâche de labélisation ou un flux de travail de révision humaine. Tout d’abord, créez une main-d’œuvre privée OIDC IdP en suivant les instructions de [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md). Ensuite, reportez-vous à [Gestion d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-manage-private-oidc.md) pour savoir comment créer une équipe de travail.
**Topics**
+ [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md)
+ [Gestion d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-manage-private-oidc.md)
# Création d’une main-d’œuvre privée (OIDC IdP)
Créez une main-d’œuvre privée en utilisant un fournisseur d’identité (IdP) OpenID Connect (OIDC) lorsque vous souhaitez authentifier et gérer les employés en utilisant votre propre fournisseur d’identité. Utilisez cette page pour savoir comment configurer votre IdP pour communiquer avec Amazon SageMaker Ground Truth (Ground Truth) ou Amazon Augmented AI (Amazon A2I) et pour apprendre à créer une main-d'œuvre en utilisant votre propre IdP.
Pour créer une main-d’œuvre à l’aide d’un IdP OIDC, votre IdP doit prendre en charge les *groupes*, car Ground Truth et Amazon A2I utilisent un ou plusieurs groupes que vous spécifiez pour créer les équipes de travail. Vous utilisez des équipes de travail pour spécifier les employés pour vos tâches de labélisation et de révision humaine. Comme les groupes ne sont pas une [revendication standard](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims), votre IdP peut avoir une convention de dénomination différente pour un groupe d’utilisateurs (employés). Par conséquent, vous devez identifier un ou plusieurs groupes d’utilisateurs auxquels un employé appartient en utilisant la revendication personnalisée `sagemaker:groups` qui est envoyée à Ground Truth ou Amazon A2I depuis votre IdP. Pour en savoir plus, veuillez consulter la section [Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](#sms-workforce-create-private-oidc-configure-idp).
Vous créez un effectif IdP OIDC à l'aide de SageMaker l'opération API. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Une fois que vous avez créé une main-d’œuvre privée, celle-ci, ainsi que toutes les équipes de travail et tous les employés qui lui sont associés, peuvent être utilisés pour toutes les tâches d’étiquetage Ground Truth et les tâches des flux de travail de révision humaine Amazon A2I. Pour en savoir plus, veuillez consulter la section [Création d’une main-d’œuvre OIDC IdP](#sms-workforce-create-private-oidc-createworkforce).
## Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I
Lorsque vous utilisez votre propre IdP, Ground Truth et Amazon A2I utilisez vos propres `Issuer`, `ClientId` et `ClientSecret` pour authentifier les employés en obtenant un CODE d’authentification à depuis votre `AuthorizationEndpoint`.
Ground Truth et Amazon A2I utiliseront ce CODE pour obtenir une revendication personnalisée auprès du `TokenEndpoint` ou du `UserInfoEndpoint` de votre IdP. Vous pouvez configurer `TokenEndpoint` pour qu’il retourne un jeton Web JSON (JWT) ou `UserInfoEndpoint` pour qu’il retourne un objet JSON. L’objet JWT ou JSON doit contenir des revendications obligatoires et facultatives que vous spécifiez. Une [revendication](https://openid.net/specs/openid-connect-core-1_0.html#Terminology) est une paire clé-valeur qui contient des informations sur un employé ou des métadonnées sur le service OIDC. Le tableau suivant répertorie les revendications qui doivent être incluses et celles qui peuvent éventuellement être incluses dans l’objet JWT ou JSON renvoyé par votre IdP.
**Note**
Certains des paramètres du tableau suivant peuvent être spécifiés en utilisant `:` ou `-`. Par exemple, vous pouvez spécifier les groupes auxquels un employé appartient en utilisant `sagemaker:groups` ou `sagemaker-groups` dans votre revendication.
| Nom | Obligatoire | Format et valeurs acceptés | Description | Exemple |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` ou `sagemaker-groups` | Oui | **Type de données** : Si un employé appartient à un seul groupe, identifiez le groupe à l’aide d’une chaîne. Si un employé appartient à plusieurs groupes, utilisez une liste de 10 chaînes au maximum. **Caractères autorisés** : Regex : [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **Quotas** : 10 groupes par employé 63 caractères par nom de groupe | Affecte un employé à un ou plusieurs groupes. Les groupes sont utilisés pour affecter l’employé à des équipes de travail. | Exemple d’un employé appartenant à un seul groupe : `"work_team1"` Exemple d’un employé appartenant à plusieurs groupes : `["work_team1", "work_team2"]` |
| `sagemaker:sub` ou `sagemaker-sub` | Oui | **Type de données** : String | Ceci est obligatoire pour suivre l’identité d’un employé dans la plateforme Ground Truth pour l’audit et pour identifier les tâches effectuées par ce employé. Pour ADFS : les clients doivent utiliser le SID (Primary Security Identifier). | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` ou `sagemaker-client_id` | Oui | **Type de données** : String **Caractères autorisés** : Regex : [\$1w\$1-]\$1 **Guillemets** : 128 caractères | Un ID client. Tous les jetons doivent être émis pour cet ID client. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` ou `sagemaker-name` | Oui | **Type de données** : String | Le nom de l’employé à afficher dans le portail de travail. | `"Jane Doe"` |
| `email` | Non | **Type de données** : String | L’e-mail de l’employé. Ground Truth utilise cet e-mail pour informer les employés qu’ils ont été invités à travailler sur des tâches d’étiquetage. Ground Truth utilisera également cet e-mail pour notifier vos employés lorsque des tâches de labélisation deviennent disponibles si vous avez configuré une rubrique Amazon SNS pour une équipe de travail dont ce travailleur fait partie. | `"example-email@domain.com"` |
| `email_verified` | Non | **Type de données** : Booléen **Valeurs acceptées :** `True`, `False` | Indique si l’e-mail de l’utilisateur a été vérifié ou non. | `True` |
Voici un exemple de la syntaxe d’objet JSON que votre `UserInfoEndpoint` peut retourner.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
Ground Truth ou Amazon A2I compare les groupes énumérés en `sagemaker:groups` ou `sagemaker-groups` pour vérifier que votre employé appartient à l’équipe de travail spécifiée dans la tâche d’étiquetage ou de révision humaine. Une fois que l’équipe de travail a été vérifiée, les tâches d’étiquetage ou de révision humaine sont envoyées à cet employé.
## Création d’une main-d’œuvre OIDC IdP
Vous pouvez créer une main-d'œuvre à l'aide de l'opération SageMaker API `CreateWorkforce` et de la langue associée spécifique SDKs. Spécifiez un `WorkforceName` et des informations sur votre IDP OIDC dans le paramètre `OidcConfig`. Il est recommandé de configurer votre OIDC avec un URI de redirection de type place-holder, puis de mettre à jour l’URI avec l’URL du portail des employés après avoir créé la main-d’œuvre. Pour en savoir plus, veuillez consulter la section [Configuration de votre IdP OIDC](#sms-workforce-create-private-oidc-configure-url).
Voici un exemple de requête. Consultez [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) pour en savoir plus sur chaque paramètre de cette requête.
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### Configuration de votre IdP OIDC
La façon dont vous configurez votre IdP OIDC dépend de l’IdP que vous utilisez et de vos exigences commerciales.
Lorsque vous configurez votre IdP, vous devez spécifier un URI de rappel ou de redirection. Après l’authentification d’un employé par Ground Truth ou Amazon A2I, cette URI redirigera l’employé vers le portail de l’employé où il pourra accéder aux tâches d’étiquetage ou de révision humaine. Pour créer une URL de portail d’employé, vous devez créer une main-d’œuvre avec vos détails OIDC IdP en utilisant l’opération d’API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html). Plus précisément, vous devez configurer votre IdP OIDC avec les revendications Sagemaker personnalisées requises (voir la section suivante pour plus de détails). Par conséquent, il est recommandé de configurer votre OIDC avec un URI de redirection de type place-holder, puis de mettre à jour l’URI après avoir créé la main-d’œuvre. Consultez [Création d’une main-d’œuvre OIDC IdP](#sms-workforce-create-private-oidc-createworkforce) pour apprendre à créer une main-d’œuvre à l’aide de cette API.
Vous pouvez consulter l'URL de votre portail de travail dans la console SageMaker Ground Truth ou à l'aide de l'opération SageMaker API`DescribeWorkforce`. L’URL du portail d’employé se trouve dans le paramètre [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) dans la réponse.
**Important**
Assurez-vous d’ajouter le sous-domaine de la main-d’œuvre à votre liste d’autorisations OIDC IdP. Lorsque vous ajoutez le sous-domaine à votre liste d’autorisation, il doit se terminer par `/oauth2/idpresponse`.
**Pour afficher l’URL de votre portail d’employé après la création d’une main-d’œuvre privée (Console) :**
1. Ouvrez la console SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Mains-d’œuvre d’étiquetage**.
1. Sélectionnez l’onglet **Privé**.
1. Dans **Résumé de la main-d’œuvre privée**, vous verrez **URL de connexion au portail d’étiquetage**. Il s’agit de l’URL de votre portail d’employé.
**Pour afficher l’URL de votre portail d’employé après la création d’une main-d’œuvre privée (API) :**
Lorsque vous créez une main-d’œuvre privée à l’aide de `[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)`, vous spécifiez un `WorkforceName`. Utilisez ce nom pour appeler [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html). Le tableau suivant contient des exemples de demandes utilisant le AWS CLI et AWS SDK pour Python (Boto3).
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## Valider la réponse d’authentification de la main-d’œuvre de l’IdP OIDC
Après avoir créé votre main-d’œuvre OIDC IdP, vous pouvez utiliser la procédure suivante pour valider son flux d’authentification à l’aide de cURL. Cette procédure suppose que vous avez accès à un terminal, et que vous avez installé cURL.
**Pour valider votre réponse d’autorisation OIDC IdP :**
1. Obtenez un code d’autorisation à l’aide d’un URI configuré comme suit :
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. Remplacez *`{AUTHORIZE ENDPOINT}`* avec le point de terminaison autorisé pour votre IdP OIDC.
1. `{CLIENT ID}`Remplacez-le par l'ID client de votre OAuth client.
1. Remplacez *`{REDIRECT URI}`* par l’URL du portail d’employé. Si elle n’est pas déjà présente, vous devez ajouter la chaîne `/oauth2/idpresponse` à la fin de l’URL.
1. Si vous avez une portée personnalisée, utilisez-la pour remplacer `{SCOPE}`. Si vous n’avez aucune portée personnalisée, remplacez `{SCOPE}` par `openid`.
Voici un exemple d’URI après que les modifications ci-dessus ont été effectuées :
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. Copiez et collez l’URI modifié de l’étape 1 dans votre navigateur et appuyez sur Entrée sur votre clavier.
1. Authentifiez-vous en utilisant votre IdP.
1. Copiez le paramètre de requête de code d’authentification dans l’URI. Ce paramètre commence par `code=`. Voici un exemple de ce à quoi pourrait ressembler la réponse. Dans cet exemple, copiez `code=MCNYDB...` et tout ce qui suit.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. Ouvrez un terminal et entrez la commande suivante après avoir effectué les modifications requises énumérées ci-dessous :
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. Remplacez `{TOKEN ENDPOINT}` par le point de terminaison du jeton pour votre IdP OIDC.
1. `{CLIENT ID}`Remplacez-le par l'ID client de votre OAuth client.
1. `{CLIENT SECRET}`Remplacez-le par le secret client de votre OAuth client.
1. Remplacez `{CODE}` avec le paramètre de requête de code d’authentification que vous avez copié à l’étape 4.
1. Remplacez *`{REDIRECT URI}`* par l'URL du portail d'employé.
Voici un exemple de requête cURL après avoir effectué les modifications décrites ci-dessus :
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. Cette étape dépend du type de `access_token` que votre IdP renvoie, un jeton d’accès en texte brut ou un jeton d’accès JWT.
+ Si votre IdP ne prend pas en charge les jetons d’accès JWT, `access_token` peut être en texte brut (par exemple, un UUID). La réponse que vous voyez peut ressembler à ce qui suit. Dans ce cas, passez à l’étape 7.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ Si votre IdP prend en charge les jetons d’accès JWT, l’étape 5 devrait générer un jeton d’accès au format JWT. Par exemple, la réponse peut ressembler à ce qui suit :
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
Copiez le JWT et décodez-le. Vous pouvez utiliser un script python ou un site Web tiers pour le décoder. Par exemple, vous pouvez vous rendre sur le site Web [https://jwt.io/](https://jwt.io/) et coller le JWT dans la case **Encoded (Encodé)** pour le décoder.
Assurez-vous que la réponse décodée contient les éléments suivants :
+ Les affirmations relatives à l' SageMaker IA **requise** figurent dans le tableau figurant dans[Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Si ce n’est pas le cas, vous devez reconfigurer votre IdP OIDC pour qu’il contienne ces revendications.
+ Le [Diffuseur](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer) que vous avez spécifié lorsque vous avez configuré la main-d’œuvre IdP.
1. Ouvrez un terminal et saisissez la commande suivante après avoir effectué les modifications requises énumérées ci-dessous :
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. Remplacez `{USERINFO ENDPOINT}` par le point de terminaison des informations utilisateur de votre IdP OIDC.
1. Remplacez `{ACCESS TOKEN}` par le jeton d’accès figurant dans la réponse que vous avez reçue à l’étape 7. Il s’agit de l’entrée pour le paramètre `"access_token"`.
Voici un exemple de requête cURL après avoir effectué les modifications décrites ci-dessus :
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. La réponse à la dernière étape de la procédure ci-dessus peut ressembler au bloc de code suivant.
Si le `access_token` renvoyé à l’étape 6 était en texte brut, vous devez vérifier que cette réponse contient les informations requises. Dans ce cas, la réponse doit contenir les demandes d' SageMaker IA **requises** dans le tableau figurant dans[Envoyer les revendications obligatoires et facultatives à Ground Truth et Amazon A2I](#sms-workforce-create-private-oidc-configure-idp). Par exemple, `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## Étapes suivantes
Une fois que vous avez créé une main-d’œuvre privée à l’aide de votre IdP et vérifié votre réponse d’authentification IdP, vous pouvez créer des équipes de travail à l’aide de vos groupes IdP. Pour en savoir plus, veuillez consulter la section [Gestion d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-manage-private-oidc.md).
Vous pouvez restreindre l'accès des employés aux tâches à des adresses IP spécifiques, et mettre à jour ou supprimer votre personnel à l'aide de l' SageMaker API. Pour en savoir plus, consultez [Gestion du personnel privé à l'aide de l' SageMaker API Amazon](sms-workforce-management-private-api.md).
# Gestion d’une main-d’œuvre privée (OIDC IdP)
Une fois que vous avez créé une main-d’œuvre privée en utilisant votre fournisseur d’identité (IdP) OpenID Connect (OIDC), vous pouvez gérer vos employés en utilisant votre IdP. Vous pouvez par exemple ajouter, supprimer et regrouper des employés directement via votre IdP.
Pour ajouter des collaborateurs à une tâche d'étiquetage Amazon SageMaker Ground Truth (Ground Truth) ou à une tâche de révision humaine Amazon Augmented AI (Amazon A2I), vous créez des équipes de travail composées de 1 à 10 groupes IdP et vous affectez cette équipe de travail à la tâche ou à la tâche. Vous affectez une équipe de travail à un travail ou à une tâche en spécifiant cette équipe de travail lorsque vous créez un travail de labélisation (Ground Truth) ou un flux de travail de révision humaine (Amazon A2I).
Vous ne pouvez affecter qu’une seule équipe à chaque tâche d’étiquetage ou à chaque flux de travail de révision humaine. Vous pouvez utiliser la même équipe pour créer plusieurs tâches de labélisation ou de révision humaine. Vous pouvez également créer plusieurs équipes de travail pour travailler sur différentes tâches de labélisation ou de révision humaine.
## Conditions préalables
Pour créer et gérer des équipes de travail privées à l'aide de vos groupes IdP OIDC, vous devez d'abord créer un effectif à l'aide de SageMaker l'opération API. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) Pour en savoir plus, veuillez consulter la section [Création d’une main-d’œuvre privée (OIDC IdP)](sms-workforce-create-private-oidc.md).
## Ajout d’équipes de travail
**Vous pouvez utiliser la console SageMaker AI pour créer une équipe de travail privée en utilisant votre personnel IDP OIDC sur **la page Labeling** workforces sous Ground Truth.** Si vous créez une tâche d’étiquetage Ground Truth, vous pouvez également créer une équipe de travail privée lors de la création d’une tâche d’étiquetage.
**Note**
Vous créez et gérez des équipes de travail pour Amazon A2I dans la zone Ground Truth de la console SageMaker AI.
Vous pouvez également utiliser l' SageMaker API et le langage spécifique associé SDKs pour créer une équipe de travail privée.
Suivez les procédures suivantes pour savoir comment créer une équipe de travail privée à l'aide de la console et de l'API SageMaker AI.
**Pour créer une équipe de travail privée sur la page Mains-d’œuvre d’étiquetage (console)**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Mains-d’œuvre d’étiquetage**.
1. Cliquez sur **Private (Privé)**.
1. Dans la section **Équipes privées**, cliquez sur **Créer une équipe privée**.
1. Dans la section **Détails de l’équipe**, entrez un **Nom de l’équipe**.
1. Dans la section **Ajout d’employés**, saisissez le nom d’un seul groupe d’utilisateurs. Tous les employés associés à ce groupe dans votre IdP sont ajoutés à cette équipe de travail.
1. Pour ajouter plusieurs groupes d’utilisateurs, cliquez sur **Ajouter un nouveau groupe d’utilisateurs** et saisissez les noms des groupes d’utilisateurs que vous souhaitez ajouter à cette équipe de travail. Entrez un groupe d’utilisateurs par ligne.
1. (Facultatif) Pour les tâches d’étiquetage Ground Truth, si vous fournissez un e-mail pour les employés dans votre JWT, Ground Truth notifie les employés lorsqu’une nouvelle tâche d’étiquetage est disponible si vous sélectionnez une rubrique SNS.
1. Cliquez sur **Créer une équipe privée**.
**Pour créer une équipe de travail privée lors de la création d’une tâche d’étiquetage Ground Truth (console)**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Tâches d’étiquetage**.
1. Utilisez les instructions fournies dans [Création d’une tâche d’étiquetage (Console)](sms-create-labeling-job-console.md) pour créer une tâche d’étiquetage. Arrêtez-vous lorsque vous arrivez à la section **Employés** sur la deuxième page.
1. Sélectionnez **Privé** pour le type de votre employé.
1. Saisissez un **Nom d’équipe**.
1. Dans la section **Ajout d’employés**, saisissez le nom d’un seul groupe d’utilisateurs sous **Groupes d’utilisateurs**. Tous les employés associés à ce groupe dans votre IdP sont ajoutés à cette équipe de travail.
**Important**
Les noms de groupe que vous spécifiez pour **Groupes d’utilisateurs** doit correspondre aux noms de groupe spécifiés dans votre IdP OIDC.
1. Pour ajouter plusieurs groupes d'utilisateurs, sélectionnez **Add new user group (Ajouter un nouveau groupe d'utilisateurs)** et saisissez les noms des groupes d'utilisateurs que vous souhaitez ajouter à cette équipe de travail. Entrez un groupe d'utilisateurs par ligne.
1. Effectuez toutes les étapes restantes pour créer votre tâche de labélisation.
L'équipe privée que vous créez est utilisée pour cette tâche d'étiquetage et est répertoriée dans la section **Étiquetage du** personnel de la console SageMaker AI.
**Pour créer une équipe de travail privée à l'aide de l' SageMaker API**
Vous pouvez créer une équipe de travail privée à l'aide de l'opération SageMaker API`[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`.
Lorsque vous utilisez cette opération, dressez la liste de tous les groupes d’utilisateurs que vous souhaitez inclure dans l’équipe de travail dans le paramètre `OidcMemberDefinition` de `Groups`.
**Important**
Les noms de groupe que vous spécifiez pour `Groups` doit correspondre aux noms de groupe spécifiés dans votre IdP OIDC.
Par exemple, si vos noms de groupes d’utilisateurs sont `group1`, `group2` et `group3` dans votre IdP OIDC, configurez `OidcMemberDefinition` comme suit :
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
En outre, vous devez donner un nom à l’équipe de travail à l’aide du paramètre `WorkteamName`.
## Ajouter ou supprimer des groupes IdP des équipes de travail
Après avoir créé une équipe de travail, vous pouvez utiliser l' SageMaker API pour gérer cette équipe de travail. Utilisez l’opération [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) pour mettre à jour les groupes d’utilisateurs IdP inclus dans cette équipe de travail.
+ Utilisez le paramètre `WorkteamName` pour identifier l’équipe de travail que vous souhaitez mettre à jour.
+ Lorsque vous utilisez cette opération, dressez la liste de tous les groupes d’utilisateurs que vous souhaitez inclure dans l’équipe de travail dans le paramètre [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) de `Groups`. Si un groupe d’utilisateurs est associé à une équipe de travail et que vous ne l’incluez *pas* dans cette liste, ce groupe d’utilisateurs n’est plus associé à cette équipe de travail.
## Suppression d’une équipe de travail
Vous pouvez supprimer une équipe de travail à l'aide de la console SageMaker AI et de SageMaker l'API.
**Pour supprimer une équipe de travail privée dans la console SageMaker AI**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Mains-d’œuvre d’étiquetage**.
1. Sélectionnez **Privé**.
1. Dans la section **Équipes privées** sélectionnez l’équipe dans laquelle vous souhaitez supprimer des employés.
1. Sélectionnez **Supprimer**.
**Pour supprimer une équipe de travail privée (API)**
Vous pouvez supprimer une équipe de travail privée à l'aide de l'opération SageMaker API`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
## Gérer les employés individuels
Lorsque vous créez une main-d’œuvre à l’aide de votre propre IdP OIDC, vous ne pouvez pas utiliser Ground Truth ou Amazon A2I pour gérer des employés individuels.
+ Pour ajouter un employé à une équipe de travail, ajoutez-le à un groupe associé à cette équipe de travail.
+ Pour supprimer un employé d’une équipe de travail, supprimez le de tous les groupes d’utilisateurs associés à cette équipe de travail.
## Mettre à jour, supprimer et décrire votre main-d’œuvre
Vous pouvez mettre à jour, supprimer et décrire votre personnel IdP OIDC à l'aide SageMaker de l'API. La liste suivante contient les opérations d’API que vous pouvez utiliser pour gérer votre main-d’œuvre. Pour plus d’informations, y compris la façon de localiser le nom de votre main-d’œuvre, consultez [Gestion du personnel privé à l'aide de l' SageMaker API Amazon](sms-workforce-management-private-api.md).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) : vous pouvez mettre à jour une main-d’œuvre créée à l’aide de votre propre OIDC IdP pour spécifier un point de terminaison d’autorisation, un point de terminaison de jeton ou un diffuseur différent. Vous pouvez mettre à jour n’importe quel paramètre trouvé dans `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` à l’aide de cette opération.
Vous ne pouvez mettre à jour votre configuration OIDC IdP que lorsqu’il n’y a pas d’équipes de travail associées à votre main-d’œuvre. Pour savoir comment supprimer des équipes de travail, consultez [Suppression d’une équipe de travail](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) : utilisez cette opération pour supprimer votre main-d’œuvre privée. Si vous avez des équipes de travail associées à votre main-d’œuvre, vous devez supprimer ces équipes avant de supprimer votre main-d’œuvre. Pour de plus amples informations, veuillez consulter [Suppression d’une équipe de travail](#sms-workforce-manage-private-oidc-workteam-delete).
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)— Utilisez cette opération pour répertorier les informations relatives au personnel privé, notamment le nom du personnel, le nom de ressource Amazon (ARN) et, le cas échéant, les plages d'adresses IP autorisées (CIDRs).
# Gestion du personnel privé à l'aide de l' SageMaker API Amazon
Vous pouvez utiliser les opérations de SageMaker l'API Amazon pour gérer, mettre à jour et supprimer votre personnel privé. Pour chaque opération d'API répertoriée dans les rubriques suivantes, vous trouverez une liste des langages pris en charge SDKs et leur documentation dans la section **Voir aussi** de la documentation de l'API.
**Topics**
+ [Trouvez le nom de votre main-d’œuvre](sms-workforce-management-private-api-name.md)
+ [Restreindre l’accès des employés aux tâches aux adresses IP autorisées](sms-workforce-management-private-api-cidr.md)
+ [Mise en place d’une main-d’œuvre à double pile](sms-workforce-management-private-api-dualstack.md)
+ [Mise à jour de la configuration de la main-d’œuvre du fournisseur d’identité OIDC](sms-workforce-management-private-api-update.md)
+ [Suppression d’une main-d’œuvre privée](sms-workforce-management-private-api-delete.md)
# Trouvez le nom de votre main-d’œuvre
Certaines des opérations d'API liées à l' SageMaker IA nécessitent le nom de votre personnel comme entrée. Vous pouvez voir les noms de vos employés privés et fournisseurs Amazon Cognito ou OIDC IdP dans une région à l'aide de []()l' AWS opération d'API dans cette région. AWS Si vous avez créé votre équipe en utilisant votre propre IdP OIDC, vous pouvez trouver le nom de votre équipe dans la zone Ground Truth de SageMaker la console AI.
**Pour trouver le nom de votre personnel dans la console SageMaker AI**
1. Accédez à la zone Ground Truth de la console SageMaker AI : [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth).
1. Sélectionnez **Mains-d’œuvre d’étiquetage**.
1. Sélectionnez **Private (Privé)**.
1. Dans la section **Résumé de la main-d’œuvre privée**, localisez l’ARN de votre main-d’œuvre. Le nom de votre main-d’œuvre se trouve à la fin de cet ARN. Par exemple, si l’ARN est `arn:aws:sagemaker:us-east-2:111122223333:workforce/example-workforce`, le nom de la main-d’œuvre est `example-workforce`.
# Restreindre l’accès des employés aux tâches aux adresses IP autorisées
Par défaut, les employés ne sont pas limités par des adresses IP spécifiques. Vous pouvez utiliser cette [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html)opération pour obliger les travailleurs à utiliser une plage spécifique d'adresses IP ([CIDRs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)) pour accéder aux tâches. Si vous en spécifiez une ou plusieurs CIDRs, les travailleurs qui tentent d'accéder aux tâches en utilisant une adresse IP en dehors des plages spécifiées sont refusés et recevront un message d'erreur HTTP 204 No Content sur le portail des travailleurs. Vous pouvez spécifier jusqu’à 10 valeurs CIDR en utilisant `UpdateWorkforce`.
Une fois que vous avez limité votre effectif à une ou plusieurs personnes CIDRs, la sortie des `UpdateWorkforce` listes est autorisée CIDRs. Vous pouvez également utiliser cette [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)opération pour afficher tout ce qui est autorisé CIDRs pour un effectif.
# Mise en place d’une main-d’œuvre à double pile
Vous pouvez mettre en place une main-d'œuvre à double pile à l'aide des opérations [CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html)et de [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html)l'API. La création d'une main-d'œuvre à double pile, la mise à jour d'une main-d'œuvre existante vers une main-d'œuvre à double pile et le remplacement d'une main-d'œuvre à double pile ne IPv4 sont pas prises en charge dans. AWS Management Console
**Important**
Une main-d’œuvre sans valeur `IpAddressType` est définie par défaut sur `IPv4`.
## Création d’une main-d’œuvre à double pile
Le processus de création d'une main-d'œuvre à double pile est similaire à celui de la création d'une IPv4 main-d'œuvre uniquement, avec les exceptions indiquées ci-dessous. Pour de plus amples informations, veuillez consulter [CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html).
+ Pour associer un VPC au personnel du secteur privé, assurez-vous que le VPC est également à double pile, avec des IPv6 blocs CIDR associés aux sous-réseaux du VPC.
+ Pour utiliser le `SourceIpConfig` paramètre afin de restreindre le trafic à une plage d'adresses IP spécifique, assurez-vous que les blocs IPv6 CIDR sont également inclus dans la liste.
+ Pour mettre en œuvre des politiques `SourceIp` assorties de conditions sur les compartiments S3 auxquels vos tâches accèdent, assurez-vous que ces politiques sont mises à jour pour être compatibles avec la double pile.
+ Le point de terminaison d’authentification de votre fournisseur d’identité prend en charge la double pile. Pour plus d’informations, consultez [Flux d’authentification](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow).
**Exemple : appel du kit SDK `CreateWorkforce` à l’aide de boto3**
Pour plus d’informations, consultez [create\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/create_workforce.html#SageMaker.Client.create_workforce).
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.create_workforce(
WorkforceName='string',
IpAddressType='dualstack',
WorkforceConfig={
'CognitoConfig': {
'UserPool': 'string',
'Client': 'string'
}
}
)
```
## Mise à jour d’une main-d’œuvre à double pile
Lorsque vous mettez à jour une main-d’œuvre existante pour qu’elle soit à double pile, tenez compte des points suivants. Pour plus d'informations, consultez la section [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html)et [IPv6 le support de votre VPC](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-migrate-ipv6.html).
+ Si un VPC est rattaché à une main-d’œuvre, vous devez le mettre à jour pour qu’il soit à double pile. Assurez-vous également que tous les groupes de sécurité du VPC autorisent IPv6 le trafic.
+ Si vous utilisez le `SourceIpConfig` paramètre, mettez-le à jour pour inclure les blocs IPv6 CIDR.
+ Pour mettre en œuvre des politiques `SourceIp` assorties de conditions sur les compartiments S3 auxquels vos tâches accèdent, assurez-vous que ces politiques sont mises à jour pour être compatibles avec la double pile.
+ Le point de terminaison d’authentification de votre fournisseur d’identité prend en charge la double pile. Pour plus d’informations, consultez [Flux d’authentification](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow).
**Exemple : appel du kit SDK `UpdateWorkforce` à l’aide de boto3**
Pour plus d’informations, consultez [update\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/update_workforce.html#SageMaker.Client.update_workforce).
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.update_workforce(
WorkforceName='string',
IpAddressType='dualstack'
)
```
# Mise à jour de la configuration de la main-d’œuvre du fournisseur d’identité OIDC
Vous pouvez mettre à jour une main-d’œuvre créée à l’aide de votre propre OIDC IdP pour spécifier un point de terminaison d’autorisation, un point de terminaison de jeton ou un diffuseur différent. Vous pouvez mettre à jour n’importe quel paramètre trouvé dans `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` à l’aide de l’opération [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html).
**Important**
Vous ne pouvez mettre à jour votre configuration OIDC IdP que lorsqu’il n’y a pas d’équipes de travail associées à votre main-d’œuvre. Vous pouvez supprimer une équipe de travail privée en utilisant l’opération `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
# Suppression d’une main-d’œuvre privée
Vous ne pouvez avoir qu'une seule main-d'œuvre privée dans chaque AWS région. Vous souhaiterez peut-être supprimer votre personnel privé dans une AWS région lorsque :
+ Vous souhaitez créer une main-d’œuvre à l’aide d’un nouveau groupe d’utilisateurs Amazon Cognito.
+ Vous avez déjà créé une main-d’œuvre privée à l’aide d’Amazon Cognito et vous souhaitez créer une main-d’œuvre à l’aide de votre propre fournisseur d’identité (IdP) OpenID Connect (OIDC).
Pour supprimer une main-d’oeuvre privée, utilisez l’opération d’API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html). Si vous avez des équipes de travail associées à votre main-d’œuvre, vous devez supprimer ces équipes de travail avant de supprimer votre main-d’œuvre. Vous pouvez supprimer une équipe de travail privée en utilisant l'opération `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`.
# Suivi des métriques de performance des employés
Amazon SageMaker Ground Truth consigne les événements de travail dans Amazon CloudWatch, par exemple lorsqu’un employé commence ou soumet une tâche. Utilisez les métriques Amazon CloudWatch pour mesurer et suivre le rendement au sein d’une équipe ou pour des employés individuels.
**Important**
Le suivi des événements de l’employé n’est pas disponible pour les flux de travail de révision humaine Amazon Augmented AI.
## Activer le suivi
Au cours du processus de configuration d’une nouvelle équipe de travail, les autorisations de consignation des événements des employés par Amazon CloudWatch sont créées. Cette fonction ayant été ajoutée en août 2019, les équipes de travail créées avant peuvent ne pas disposer des autorisations correctes. Si toutes vos équipes de travail ont été créées avant août 2019, créez une nouvelle équipe de travail. Elle n’est pas tenue de contenir des membres et peut être supprimée après sa création, mais en la créant, vous établissez les autorisations et les appliquez à toutes vos équipes de travail, indépendamment de la date de leur création.
## Suivi des métriques à l’aide des journaux
Une fois le suivi activé, l’activité de vos collaborateurs est consignée. Ouvrez la console Amazon CloudWatch et choisissez **Logs (Journaux)** dans le panneau de navigation. Vous devez voir un groupe de journaux nommé **/aws/sagemaker/groundtruth/WorkerActivity**.
Chaque tâche terminée est représentée par une entrée de journal contenant des informations sur le collaborateur, son équipe, la tâche, le moment où la tâche a été acceptée et le moment où elle a été soumise.
**Example Entrée de journal**
```
{
"worker_id": "cd449a289e129409",
"cognito_user_pool_id": "us-east-2_IpicJXXXX",
"cognito_sub_id": "d6947aeb-0650-447a-ab5d-894db61017fd",
"task_accepted_time": "Wed Aug 14 16:00:59 UTC 2019",
"task_submitted_time": "Wed Aug 14 16:01:04 UTC 2019",
"task_returned_time": "",
"task_declined_time": "",
"workteam_arn": "arn:aws:sagemaker:us-east-2:############:workteam/private-crowd/Sample-labeling-team",
"labeling_job_arn": "arn:aws:sagemaker:us-east-2:############:labeling-job/metrics-demo",
"work_requester_account_id": "############",
"job_reference_code": "############",
"job_type": "Private",
"event_type": "TasksSubmitted",
"event_timestamp": "1565798464"
}
```
`cognito_sub_id` constitue un point de données utile dans chaque événement. Vous pouvez le mettre en correspondance avec un exécuteur individuel.
1. Ouvrez la console Amazon SageMaker AI à l’adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans la section **Ground Truth**, choisissez **Mains-d’œuvre**.
1. Choisissez **Private (Privé)**.
1. Cliquez sur le nom d’une équipe dans la section **Équipes privées**.
1. Dans la section **Résumé de l’équipe**, choisissez le groupe d’utilisateurs identifié sous **Groupe d’utilisateurs Amazon Cognito**. Vous accédez alors au groupe dans la console Amazon Cognito.
1. La page **Groupe** répertorie les utilisateurs du groupe. Cliquez sur le lien d’un utilisateur quelconque dans la colonne **Nom d’utilisateur** pour afficher plus d’informations sur l’utilisateur, y compris un **sous**-ID unique.
Pour obtenir des informations sur tous les membres de l’équipe, utilisez l’action [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html) ([exemples](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-manage-user-accounts.html#cognito-user-pools-searching-for-users-listusers-api-examples)) dans l’API Amazon Cognito.
## Suivi des métriques à l’aide de la console CloudWatch
Si vous ne voulez pas écrire vos propres scripts pour traiter et visualiser les informations brutes du journal, les métriques Amazon CloudWatch vous donnent un aperçu de l’activité des employés.
**Pour afficher les métriques de**
1. Ouvrez la console CloudWatch à l’adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, sélectionnez **Métriques**.
1. Choisissez l’espace de noms `AWS/SageMaker/Workteam`, puis explorez les [métriques disponibles](monitoring-cloudwatch.md). Par exemple, en sélectionnant les métriques **Équipe de travail** et **Main-d’œuvre**, vous pouvez calculer le temps moyen par tâche soumise pour un travail d’étiquetage spécifique.
Pour plus d’informations, consultez [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html).
# Créer une rubrique Amazon SNS
Les étapes de la création de rubriques Amazon SNS pour les notifications d’équipe de travail sont similaires à celles de la section [Mise en route](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) du *Guide du développeur Amazon SNS*, avec un ajout important : vous devez ajouter une stratégie d’accès pour qu’Amazon SageMaker AI puisse publier des messages sur la rubrique en votre nom.
Si vous créez une équipe de travail à l’aide de la console, cette dernière permet de créer une nouvelle rubrique pour l’équipe afin que vous n’ayez pas à effectuer ces étapes.
**Important**
La fonctionnalité Amazon SNS n’est pas prise en charge par Amazon A2I. Si vous abonnez votre équipe de travail à une rubrique Amazon SNS, les employés ne recevront que des notifications concernant les travaux de labélisation Ground Truth. Les employés ne recevront pas de notifications concernant les nouvelles tâches de révision humaine Amazon A2I.
**Pour ajouter la stratégie lorsque vous créez la rubrique**
1. Ouvrez la console Amazon SNS à partir de l’adresse [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. Dans **Créer une rubrique**, entrez le nom de votre rubrique, puis choisissez **Next steps (Étapes suivantes)**.
1. Dans **Access policy (Stratégie d’accès)**, choisissez **Advanced (Avancée)**.
1. Dans l’**éditeur JSON**, recherchez la propriété `Resource` qui affiche l’ARN de la rubrique.
1. Copiez la valeur de l’ARN `Resource`.
1. Ajoutez la stratégie suivante avant le crochet de fermeture final (`]`).
```
, {
"Sid": "AwsSagemaker_SnsAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:partition:sns:region:111122223333:MyTopic", # ARN of the topic you copied in the previous step
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:partition:sagemaker:region:111122223333:workteam/*" # Workteam ARN
},
"StringEquals": {
"aws:SourceAccount": "111122223333" # SNS topic account
}
}
}
```
1. Créer la rubrique .
Une fois la rubrique créée, elle apparaît dans l’écran récapitulatif **Rubriques**. Pour plus d’informations sur la création de sujets, consultez [Création d’une rubrique](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html) dans le *Guide du développeur Amazon SNS*.
# Gérer les abonnements des employés
Si vous abonnez une équipe de travail à une rubrique après avoir créé l’équipe de travail, les membres individuels de l’équipe de travail qui ont été ajoutés à l’équipe lors de la création de cette dernière ne sont pas automatiquement abonnés à la rubrique. Pour plus d’informations sur l’abonnement des adresses e-mail des employés à la rubrique, consultez [Abonnement d’un point de terminaison à une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html) dans le *Guide du développeur Amazon SNS*.
La seule situation dans laquelle les employés sont automatiquement abonnés à votre rubrique est lorsque vous créez ou importez un groupe d’utilisateurs Amazon Cognito au moment où vous créez une équipe de travail ***et*** que vous configurez l’abonnement à la rubrique lorsque vous créez cette équipe de travail. Pour plus d’informations sur la création et la gestion de vos équipes de travail avec Amazon Cognito, consultez [Créer des équipes de travail (Console Amazon Cognito)](sms-workforce-management-private-cognito.md#create-work-teams-cog).