Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin dan Keamanan di Amazon Augmented AI
Saat menggunakan Amazon Augmented AI (Amazon A2I) untuk membuat alur kerja tinjauan manusia untuk aplikasi ML/AI Anda, Anda membuat dan mengonfigurasi *sumber daya* di SageMaker Amazon AI seperti templat tugas tenaga kerja manusia dan pekerja. Untuk mengonfigurasi dan memulai loop manusia, Anda dapat mengintegrasikan Amazon A2I dengan AWS layanan lain seperti Amazon Ttract atau Amazon Rekognition, atau menggunakan Amazon Augmented AI Runtime API. Untuk membuat alur kerja tinjauan manusia dan memulai loop manusia, Anda harus melampirkan kebijakan tertentu ke peran atau pengguna AWS Identity and Access Management (IAM) Anda. Secara khusus:
+ Saat memulai loop manusia menggunakan data input gambar pada atau setelah 12 Januari 2020, Anda harus menambahkan kebijakan header CORS ke bucket Amazon S3 yang berisi data input Anda. Lihat [Persyaratan Izin CORS](#a2i-cors-update) untuk mempelajari selengkapnya.
+ Saat membuat definisi aliran, Anda perlu memberikan peran yang memberikan izin Amazon A2I untuk mengakses Amazon S3 baik untuk membaca objek yang dirender di UI tugas manusia maupun untuk menulis hasil tinjauan manusia.
Peran ini juga harus memiliki kebijakan kepercayaan yang dilampirkan untuk memberikan izin SageMaker AI untuk mengambil peran tersebut. Hal ini memungkinkan Amazon A2I untuk melakukan tindakan sesuai dengan izin yang Anda lampirkan ke peran.
Lihat [Menambahkan Izin ke Peran IAM yang Digunakan untuk Membuat Definisi Aliran](#a2i-human-review-permissions-s3) misalnya kebijakan yang dapat Anda ubah dan lampirkan ke peran yang Anda gunakan untuk membuat definisi aliran. Ini adalah kebijakan yang dilampirkan pada peran IAM yang dibuat di bagian **alur kerja tinjauan Manusia** di area Amazon A2I di konsol AI. SageMaker
+ Untuk membuat dan memulai loop manusia, Anda dapat menggunakan operasi API dari tipe tugas bawaan (seperti `DetectModerationLabel` atau`AnalyzeDocument`) atau operasi Amazon A2I Runtime API `StartHumanLoop` dalam aplikasi HTML kustom. Anda harus melampirkan kebijakan `AmazonAugmentedAIFullAccess` terkelola ke pengguna yang memanggil operasi API ini untuk memberikan izin ke layanan ini guna menggunakan operasi Amazon A2I. Untuk mempelajari caranya, lihat [Buat Pengguna yang Dapat Memanggil Operasi API Amazon A2I](#create-user-grants).
Kebijakan ini *tidak* memberikan izin untuk menjalankan operasi API AWS layanan yang terkait dengan tipe tugas bawaan. Misalnya, `AmazonAugmentedAIFullAccess` tidak memberikan izin untuk memanggil operasi Amazon `DetectModerationLabel` Rekognition API atau operasi Amazon Texttract API. `AnalyzeDocument` Anda dapat menggunakan kebijakan yang lebih umum,`AmazonAugmentedAIIntegratedAPIAccess`, untuk memberikan izin ini. Untuk informasi selengkapnya, lihat [Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API](#a2i-grant-general-permission). Ini adalah opsi yang baik ketika Anda ingin memberikan izin luas kepada pengguna untuk menggunakan Amazon A2I dan operasi API AWS layanan terintegrasi.
Jika Anda ingin mengonfigurasi izin yang lebih terperinci, lihat Contoh Kebijakan Berbasis [Identitas Amazon Rekognition dan Contoh Kebijakan Berbasis](https://docs.aws.amazon.com/rekognition/latest/dg/security_iam_id-based-policy-examples.html) [Identitas Amazon Textract](https://docs.aws.amazon.com/textract/latest/dg/security_iam_id-based-policy-examples.html) untuk kebijakan berbasis identitas yang dapat Anda gunakan untuk memberikan izin untuk menggunakan layanan individual ini.
+ Untuk melihat pratinjau template UI tugas pekerja khusus, Anda memerlukan peran IAM dengan izin untuk membaca objek Amazon S3 yang dirender di antarmuka pengguna. Lihat contoh kebijakan di[Aktifkan Pratinjau Template Tugas Pekerja](#permissions-for-worker-task-templates-augmented-ai).
**Topics**
+ [
## Persyaratan Izin CORS
](#a2i-cors-update)
+ [
## Menambahkan Izin ke Peran IAM yang Digunakan untuk Membuat Definisi Aliran
](#a2i-human-review-permissions-s3)
+ [
## Buat Pengguna yang Dapat Memanggil Operasi API Amazon A2I
](#create-user-grants)
+ [
## Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API
](#a2i-grant-general-permission)
+ [
## Aktifkan Pratinjau Template Tugas Pekerja
](#permissions-for-worker-task-templates-augmented-ai)
+ [
## Menggunakan Amazon A2I dengan AWS KMS Ember Terenkripsi
](#a2i-kms-encryption)
+ [
## Izin Tambahan dan Sumber Daya Keamanan
](#additional-security-resources-augmented-ai)
## Persyaratan Izin CORS
[Sebelumnya pada tahun 2020, browser yang banyak digunakan seperti Chrome dan Firefox mengubah perilaku default mereka untuk memutar gambar berdasarkan metadata gambar, yang disebut sebagai data EXIF.](https://en.wikipedia.org/wiki/Exif) Sebelumnya, gambar akan selalu ditampilkan di browser persis bagaimana mereka disimpan pada disk, yang biasanya tidak diputar. Setelah perubahan, gambar sekarang berputar sesuai dengan sepotong metadata gambar yang disebut nilai *orientasi*. Ini memiliki implikasi penting bagi seluruh komunitas pembelajaran mesin (ML). Misalnya, jika orientasi EXIF tidak dipertimbangkan, aplikasi yang digunakan untuk membubuhi keterangan gambar dapat menampilkan gambar dalam orientasi yang tidak terduga dan menghasilkan label yang salah.
Dimulai dengan Chrome 89, tidak AWS dapat lagi secara otomatis mencegah rotasi gambar karena grup standar web W3C telah memutuskan bahwa kemampuan untuk mengontrol rotasi gambar melanggar Kebijakan Same-Origin web. Oleh karena itu, untuk memastikan pekerja manusia membuat anotasi gambar input Anda dalam orientasi yang dapat diprediksi saat Anda mengirimkan permintaan untuk membuat loop manusia, Anda harus menambahkan kebijakan header CORS ke bucket S3 yang berisi gambar input Anda.
**penting**
Jika Anda tidak menambahkan konfigurasi CORS ke bucket S3 yang berisi data input Anda, tugas peninjauan manusia untuk objek data input tersebut gagal.
Anda dapat menambahkan kebijakan CORS ke bucket S3 yang berisi data input di konsol Amazon S3. Untuk menyetel header CORS yang diperlukan pada bucket S3 yang berisi gambar masukan Anda di konsol S3, ikuti petunjuk yang dijelaskan di [Bagaimana cara menambahkan berbagi sumber daya lintas domain](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-cors-configuration.html) dengan CORS? . Gunakan kode konfigurasi CORS berikut untuk bucket yang menampung gambar Anda. Jika Anda menggunakan konsol Amazon S3 untuk menambahkan kebijakan ke bucket, Anda harus menggunakan format JSON.
**JSON**
```
[{
"AllowedHeaders": [],
"AllowedMethods": ["GET"],
"AllowedOrigins": ["*"],
"ExposeHeaders": []
}]
```
**XML**
```
*
GET
```
GIF berikut menunjukkan petunjuk yang ditemukan dalam dokumentasi Amazon S3 untuk menambahkan kebijakan header CORS menggunakan konsol Amazon S3.
![\[Gif tentang cara menambahkan kebijakan header CORS menggunakan konsol Amazon S3.\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/sms/gifs/cors-config.gif)
## Menambahkan Izin ke Peran IAM yang Digunakan untuk Membuat Definisi Aliran
Untuk membuat definisi alur, lampirkan kebijakan di bagian ini ke peran yang Anda gunakan saat membuat alur kerja tinjauan manusia di konsol SageMaker AI, atau saat menggunakan operasi `CreateFlowDefinition` API.
+ Jika Anda menggunakan konsol untuk membuat alur kerja tinjauan manusia, masukkan peran Amazon Resource Name (ARN) di bidang peran **IAM** [saat membuat alur kerja tinjauan manusia](https://docs.aws.amazon.com/sagemaker/latest/dg/create-human-review-console.html) di konsol.
+ Saat membuat definisi aliran menggunakan API, lampirkan kebijakan ini ke peran yang diteruskan ke `RoleArn` parameter `CreateFlowDefinition` operasi.
Saat Anda membuat alur kerja tinjauan manusia (definisi alur), Amazon A2I memanggil Amazon S3 untuk menyelesaikan tugas Anda. Untuk memberikan izin Amazon A2I untuk mengambil dan menyimpan file Anda di bucket Amazon S3, buat kebijakan berikut dan lampirkan ke peran Anda. Misalnya, jika gambar, dokumen, dan file lain yang Anda kirim untuk ditinjau manusia disimpan dalam bucket S3 bernama`my_input_bucket`, dan jika Anda ingin ulasan manusia disimpan dalam bucket bernama`my_output_bucket`, buat kebijakan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::my_input_bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::my_output_bucket/*"
]
}
]
}
```
------
Selain itu, peran IAM harus memiliki kebijakan kepercayaan berikut untuk memberikan izin SageMaker AI untuk mengambil peran tersebut. *Untuk mempelajari selengkapnya tentang kebijakan kepercayaan IAM, lihat bagian Kebijakan [Berbasis Sumber Daya dari Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) dan **Izin di dokumentasi Identity and** Access Management AWS .*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk informasi selengkapnya tentang membuat dan mengelola peran dan kebijakan IAM, lihat topik berikut di *Panduan AWS Identity and Access Management Pengguna*:
+ Untuk membuat peran IAM, lihat [Membuat Peran untuk Mendelegasikan Izin ke Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
+ Untuk mempelajari cara membuat kebijakan IAM, lihat [Membuat Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html).
+ Untuk mempelajari cara melampirkan kebijakan IAM ke peran, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
## Buat Pengguna yang Dapat Memanggil Operasi API Amazon A2I
Untuk menggunakan Amazon A2I untuk membuat dan memulai loop manusia untuk Amazon Rekognition, Amazon Textract, atau API runtime Amazon A2I, Anda harus menggunakan pengguna yang memiliki izin untuk menjalankan operasi Amazon A2I. Untuk melakukannya, gunakan konsol IAM untuk melampirkan kebijakan [https://console.aws.amazon.com/iam/home?region=us-east-2#/policies/arn:aws:iam::aws:policy/AmazonAugmentedAIFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home?region=us-east-2#/policies/arn:aws:iam::aws:policy/AmazonAugmentedAIFullAccess$jsonEditor)terkelola ke pengguna baru atau yang sudah ada.
Kebijakan ini memberikan izin kepada pengguna untuk menjalankan operasi API dari SageMaker API untuk pembuatan dan pengelolaan definisi aliran serta Amazon Augmented AI Runtime API untuk pembuatan dan pengelolaan loop manusia. Untuk mempelajari lebih lanjut tentang operasi API ini, lihat [Menggunakan APIs di Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-api-references.html).
`AmazonAugmentedAIFullAccess`tidak memberikan izin untuk menggunakan Amazon Rekognition atau operasi Amazon Texttract API.
**catatan**
Anda juga dapat melampirkan `AmazonAugmentedAIFullAccess` kebijakan ke peran IAM yang digunakan untuk membuat dan memulai loop manusia.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di *AWS Identity and Access Management Panduan Pengguna*.
## Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API
Untuk membuat pengguna yang memiliki izin untuk menjalankan operasi API yang digunakan oleh tipe tugas bawaan (yaitu, `DetectModerationLables` untuk Amazon `AnalyzeDocument` Rekognition dan Amazon Texttract) dan izin untuk menggunakan semua operasi Amazon A2I API, lampirkan kebijakan terkelola IAM,. `AmazonAugmentedAIIntegratedAPIAccess` Anda mungkin ingin menggunakan kebijakan ini saat ingin memberikan izin luas kepada pengguna yang menggunakan Amazon A2I dengan lebih dari satu jenis tugas. Untuk mempelajari lebih lanjut tentang operasi API ini, lihat [Menggunakan APIs di Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-api-references.html).
**catatan**
Anda juga dapat melampirkan `AmazonAugmentedAIIntegratedAPIAccess` kebijakan ke peran IAM yang digunakan untuk membuat dan memulai loop manusia.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di *AWS Identity and Access Management Panduan Pengguna*.
## Aktifkan Pratinjau Template Tugas Pekerja
Untuk menyesuaikan antarmuka dan instruksi yang dilihat pekerja Anda saat mengerjakan tugas, Anda membuat templat tugas pekerja. Anda dapat membuat template menggunakan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html)operasi atau konsol SageMaker AI.
Untuk melihat pratinjau template Anda, Anda memerlukan peran IAM dengan izin berikut untuk membaca objek Amazon S3 yang dirender di antarmuka pengguna Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::my_input_bucket/*"
]
}
]
}
```
------
Untuk jenis tugas Amazon Rekognition dan Amazon Textract, Anda dapat melihat pratinjau template menggunakan bagian Amazon Augmented AI di konsol AI. SageMaker Untuk jenis tugas khusus, Anda melihat pratinjau template Anda dengan menjalankan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html)operasi. Untuk melihat pratinjau template Anda, ikuti petunjuk untuk jenis tugas Anda:
+ Jenis tugas Amazon Rekognition dan Amazon Texttract — Di SageMaker konsol AI, gunakan Nama Sumber Daya Amazon (ARN) peran dalam prosedur yang didokumentasikan di. [Buat Template Tugas Pekerja](a2i-worker-template-console.md#a2i-create-worker-template-console)
+ Jenis tugas khusus - Dalam `RenderUiTemplate` operasi, gunakan ARN peran dalam parameter. `RoleArn`
## Menggunakan Amazon A2I dengan AWS KMS Ember Terenkripsi
Jika Anda menentukan AWS Key Management Service (AWS KMS) kunci terkelola pelanggan untuk mengenkripsi data keluaran di `OutputConfig` of [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), Anda harus menambahkan kebijakan IAM yang mirip dengan berikut ke kunci tersebut. Kebijakan ini memberikan peran eksekusi IAM yang Anda gunakan untuk membuat izin loop manusia untuk menggunakan kunci ini untuk melakukan semua tindakan yang tercantum di dalamnya`"Action"`. Untuk mempelajari lebih lanjut tentang tindakan ini, lihat [AWS KMS izin](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kebijakan ini, ganti ARN peran layanan IAM `"Principal"` dengan ARN peran eksekusi yang Anda gunakan untuk membuat alur kerja tinjauan manusia (definisi alur). Saat Anda membuat pekerjaan pelabelan menggunakan`CreateFlowDefinition`, ini adalah ARN yang Anda tentukan. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn) Perhatikan bahwa Anda tidak dapat memberikan `KmsKeyId` ketika Anda membuat definisi aliran di konsol.
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Izin Tambahan dan Sumber Daya Keamanan
+ [Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tag](security_iam_id-based-policy-examples.md#access-tag-policy).
+ [Kebijakan berbasis identitas untuk Amazon AI SageMaker](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies)
+ [Kontrol pembuatan sumber daya SageMaker AI dengan tombol kondisi](security_iam_id-based-policy-examples.md#sagemaker-condition-examples)
+ [Izin Amazon SageMaker AI API: Tindakan, Izin, dan Referensi Sumber Daya](api-permissions-reference.md)
+ [Konfigurasikan keamanan di Amazon SageMaker AI](security.md)