Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan dan Izin Ground Truth
Gunakan topik di halaman ini untuk mempelajari tentang fitur keamanan Ground Truth dan cara mengonfigurasi izin AWS Identity and Access Management (IAM) untuk memungkinkan pengguna atau peran membuat pekerjaan pelabelan. Selain itu, pelajari cara membuat *peran eksekusi*. Peran eksekusi adalah peran yang Anda tentukan saat membuat pekerjaan pelabelan. Peran ini digunakan untuk memulai pekerjaan pelabelan Anda.
Jika Anda adalah pengguna baru dan ingin memulai dengan cepat, atau jika Anda tidak memerlukan izin terperinci, lihat. [Gunakan Kebijakan Terkelola IAM dengan Ground Truth](sms-security-permissions-get-started.md)
Untuk informasi selengkapnya tentang pengguna dan peran IAM, lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di Panduan Pengguna IAM.
Untuk mempelajari lebih lanjut tentang menggunakan IAM dengan SageMaker AI, lihat[AWS Identity and Access Management untuk Amazon SageMaker AI](security-iam.md).
**Topics**
+ [Persyaratan CORS untuk Data Gambar Input](sms-cors-update.md)
+ [Tetapkan Izin IAM untuk Menggunakan Ground Truth](sms-security-permission.md)
+ [Menggunakan Amazon SageMaker Ground Truth di Amazon Virtual Private Cloud](sms-vpc.md)
+ [Data Keluaran dan Enkripsi Volume Penyimpanan](sms-security.md)
+ [Otentikasi dan Pembatasan Tenaga Kerja](sms-security-workforce-authentication.md)
# Persyaratan CORS untuk Data Gambar Input
[Sebelumnya pada tahun 2020, browser yang banyak digunakan seperti Chrome dan Firefox mengubah perilaku default mereka untuk memutar gambar berdasarkan metadata gambar, yang disebut sebagai data EXIF.](https://en.wikipedia.org/wiki/Exif) Sebelumnya, browser akan selalu menampilkan gambar dengan cara yang tepat di mana mereka disimpan pada disk, yang biasanya tidak diputar. Setelah perubahan, gambar sekarang berputar sesuai dengan sepotong metadata gambar yang disebut nilai *orientasi*. Ini memiliki implikasi penting bagi seluruh komunitas pembelajaran mesin (ML). Misalnya, jika aplikasi yang membuat anotasi gambar tidak mempertimbangkan orientasi EXIF, mereka dapat menampilkan gambar dalam orientasi yang tidak terduga, sehingga menghasilkan label yang salah.
Dimulai dengan Chrome 89, tidak AWS dapat lagi secara otomatis mencegah rotasi gambar karena grup standar web W3C telah memutuskan bahwa kemampuan untuk mengontrol rotasi gambar melanggar Kebijakan Same-origin web. Oleh karena itu, untuk memastikan pekerja manusia membuat anotasi gambar input Anda dalam orientasi yang dapat diprediksi saat Anda mengirimkan permintaan untuk membuat pekerjaan pelabelan, Anda harus menambahkan kebijakan header CORS ke bucket Amazon S3 yang berisi gambar masukan Anda.
**penting**
Jika Anda tidak menambahkan konfigurasi CORS ke bucket Amazon S3 yang berisi data input Anda, tugas pelabelan untuk objek data input tersebut akan gagal.
Jika Anda membuat pekerjaan melalui konsol Ground Truth, CORS diaktifkan secara default. Jika semua data input *tidak* terletak di bucket Amazon S3 yang sama dengan file manifes masukan, Anda harus menambahkan konfigurasi CORS ke semua bucket Amazon S3 yang berisi data input menggunakan petunjuk berikut.
Jika Anda menggunakan `CreateLabelingJob` API untuk membuat pekerjaan pelabelan Ground Truth, Anda dapat menambahkan kebijakan CORS ke bucket Amazon S3 yang berisi data input di konsol S3. Untuk menyetel header CORS yang diperlukan di bucket Amazon S3 yang berisi gambar masukan Anda di konsol Amazon S3, ikuti petunjuk yang dijelaskan [di Bagaimana cara menambahkan](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-cors-configuration.html) berbagi sumber daya lintas domain dengan CORS? . Gunakan kode konfigurasi CORS berikut untuk bucket yang menampung gambar Anda. Jika Anda menggunakan konsol Amazon S3 untuk menambahkan kebijakan ke bucket, Anda harus menggunakan format JSON.
**penting**
Jika Anda membuat pekerjaan pelabelan cloud titik 3D atau bingkai video, Anda harus menambahkan aturan tambahan ke konfigurasi CORS Anda. Untuk mempelajari lebih lanjut, lihat [Persyaratan izin pekerjaan pelabelan awan titik 3D](sms-security-permission-3d-point-cloud.md) dan [Persyaratan izin pekerjaan bingkai video](sms-video-overview.md#sms-security-permission-video-frame) masing-masing.
**JSON**
```
[{
"AllowedHeaders": [],
"AllowedMethods": ["GET"],
"AllowedOrigins": ["*"],
"ExposeHeaders": ["Access-Control-Allow-Origin"]
}]
```
**XML**
```
*
GET
Access-Control-Allow-Origin
```
GIF berikut menunjukkan petunjuk yang ditemukan dalam dokumentasi Amazon S3 untuk menambahkan kebijakan header CORS menggunakan konsol Amazon S3. Untuk petunjuk tertulis, lihat **Menggunakan konsol Amazon S3** di halaman dokumentasi [Bagaimana cara menambahkan berbagi sumber daya lintas domain](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-cors-configuration.html) dengan CORS? di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
![\[Gif tentang cara menambahkan kebijakan header CORS menggunakan konsol Amazon S3.\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/sms/gifs/cors-config.gif)
# Tetapkan Izin IAM untuk Menggunakan Ground Truth
Gunakan topik di bagian ini untuk mempelajari cara menggunakan kebijakan terkelola dan kustom AWS Identity and Access Management (IAM) untuk mengelola akses ke Ground Truth dan sumber daya terkait.
Anda dapat menggunakan bagian di halaman ini untuk mempelajari hal berikut:
+ Cara membuat kebijakan IAM yang memberikan izin kepada pengguna atau peran untuk membuat pekerjaan pelabelan. Administrator dapat menggunakan kebijakan IAM untuk membatasi akses ke Amazon SageMaker AI dan AWS layanan lain yang khusus untuk Ground Truth.
+ Cara membuat *peran eksekusi SageMaker * AI. Peran eksekusi adalah peran yang Anda tentukan saat membuat pekerjaan pelabelan. Peran ini digunakan untuk memulai dan mengelola pekerjaan pelabelan Anda.
Berikut ini adalah ikhtisar topik yang akan Anda temukan di halaman ini:
+ Jika Anda mulai menggunakan Ground Truth, atau Anda tidak memerlukan izin terperinci untuk kasus penggunaan Anda, disarankan agar Anda menggunakan kebijakan terkelola IAM yang dijelaskan dalam. [Gunakan Kebijakan Terkelola IAM dengan Ground Truth](sms-security-permissions-get-started.md)
+ Pelajari tentang izin yang diperlukan untuk menggunakan konsol Ground Truth di[Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console](sms-security-permission-console-access.md). Bagian ini mencakup contoh kebijakan yang memberikan izin entitas IAM untuk membuat dan memodifikasi tim kerja pribadi, berlangganan tim kerja vendor, dan membuat alur kerja pelabelan khusus.
+ Saat Anda membuat pekerjaan pelabelan, Anda harus memberikan peran eksekusi. Gunakan [Buat Peran Eksekusi SageMaker AI untuk Pekerjaan Pelabelan Ground Truth](sms-security-permission-execution-role.md) untuk mempelajari tentang izin yang diperlukan untuk peran ini.
# Gunakan Kebijakan Terkelola IAM dengan Ground Truth
SageMaker AI dan Ground Truth menyediakan kebijakan AWS terkelola yang dapat Anda gunakan untuk membuat pekerjaan pelabelan. Jika Anda mulai menggunakan Ground Truth dan Anda tidak memerlukan izin terperinci untuk kasus penggunaan Anda, disarankan agar Anda menggunakan kebijakan berikut:
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)`Gunakan kebijakan ini untuk memberikan izin kepada pengguna atau peran untuk membuat pekerjaan pelabelan. Ini adalah kebijakan luas yang memberikan izin entitas untuk menggunakan fitur SageMaker AI, serta fitur AWS layanan yang diperlukan melalui konsol dan API. Kebijakan ini memberikan izin entitas untuk membuat lowongan pelabelan serta membuat serta mengelola tenaga kerja menggunakan Amazon Cognito. Untuk mempelajari lebih lanjut, lihat [AmazonSageMakerFullAccess Kebijakan](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess).
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`— Untuk membuat *peran eksekusi*, Anda dapat melampirkan kebijakan `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` ke peran. Peran eksekusi adalah peran yang Anda tentukan saat Anda membuat pekerjaan pelabelan dan digunakan untuk memulai pekerjaan pelabelan Anda. Kebijakan ini memungkinkan Anda membuat pekerjaan pelabelan streaming dan non-streaming, dan membuat pekerjaan pelabelan menggunakan jenis tugas apa pun. Perhatikan batasan berikut dari kebijakan terkelola ini.
+ **Izin Amazon S3**: Kebijakan ini memberikan izin peran eksekusi untuk mengakses bucket Amazon S3 dengan string berikut dalam nama:`GroundTruth`,,,,, `Groundtruth` `groundtruth` `SageMaker``Sagemaker`, dan `sagemaker` atau bucket dengan [tag objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) yang disertakan `SageMaker` dalam nama (tidak peka huruf besar/kecil). Pastikan nama bucket input dan output Anda menyertakan string ini, atau tambahkan izin tambahan ke peran eksekusi Anda untuk [memberinya izin mengakses bucket Amazon S3 Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html). Anda harus memberikan izin peran ini untuk melakukan tindakan berikut di bucket Amazon S3 Anda:`AbortMultipartUpload`,, `GetObject` dan. `PutObject`
+ **Alur Kerja Kustom**[: Saat Anda membuat alur kerja pelabelan kustom](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), peran eksekusi ini dibatasi untuk memanggil AWS Lambda fungsi dengan salah satu string berikut sebagai bagian dari nama fungsi:`GtRecipe`,,,, `SageMaker` atau. `Sagemaker` `sagemaker` `LabelingFunction` Ini berlaku untuk fungsi Lambda pra-anotasi dan pasca-anotasi Anda. Jika Anda memilih untuk menggunakan nama tanpa string tersebut, Anda harus secara eksplisit memberikan `lambda:InvokeFunction` izin untuk peran eksekusi yang digunakan untuk membuat pekerjaan pelabelan.
Untuk mempelajari cara melampirkan kebijakan AWS terkelola ke pengguna atau peran, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) di Panduan Pengguna IAM.
# Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console
Untuk menggunakan area Ground Truth pada konsol SageMaker AI, Anda harus memberikan izin kepada entitas untuk mengakses SageMaker AI dan AWS layanan lain yang berinteraksi dengan Ground Truth. Izin yang diperlukan untuk mengakses AWS layanan lain tergantung pada kasus penggunaan Anda:
+ Izin Amazon S3 diperlukan untuk semua kasus penggunaan. Izin ini harus memberikan akses ke bucket Amazon S3 yang berisi data input dan output.
+ AWS Marketplace izin diperlukan untuk menggunakan tenaga kerja vendor.
+ Izin Amazon Cognito diperlukan untuk penyiapan tim kerja pribadi.
+ AWS KMS izin diperlukan untuk melihat AWS KMS kunci yang tersedia yang dapat digunakan untuk enkripsi data keluaran.
+ Izin IAM diperlukan untuk mencantumkan peran eksekusi yang sudah ada sebelumnya, atau untuk membuat yang baru. Selain itu, Anda harus menggunakan add a `PassRole` permission untuk memungkinkan SageMaker AI menggunakan peran eksekusi yang dipilih untuk memulai pekerjaan pelabelan.
Bagian berikut mencantumkan kebijakan yang mungkin ingin Anda berikan kepada peran untuk menggunakan satu atau beberapa fungsi Ground Truth.
**Topics**
+ [Izin Konsol Ground Truth](#sms-security-permissions-console-all)
+ [Izin Alur Kerja Pelabelan Kustom](#sms-security-permissions-custom-workflow)
+ [Izin Tenaga Kerja Pribadi](#sms-security-permission-workforce-creation)
+ [Izin Tenaga Kerja Vendor](#sms-security-permissions-workforce-creation-vendor)
## Izin Konsol Ground Truth
Untuk memberikan izin kepada pengguna atau peran untuk menggunakan area Ground Truth pada konsol SageMaker AI untuk membuat pekerjaan pelabelan, lampirkan kebijakan berikut ke pengguna atau peran tersebut. Kebijakan berikut akan memberikan izin peran IAM untuk membuat pekerjaan pelabelan menggunakan [tipe tugas tipe tugas bawaan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Jika Anda ingin membuat alur kerja pelabelan kustom, tambahkan kebijakan [Izin Alur Kerja Pelabelan Kustom](#sms-security-permissions-custom-workflow) ke kebijakan berikut. Masing-masing yang `Statement` disertakan dalam kebijakan berikut dijelaskan di bawah blok kode ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Kebijakan ini mencakup pernyataan berikut. Anda dapat mencatat pernyataan ini dengan menambahkan sumber daya tertentu ke `Resource` daftar untuk pernyataan itu.
`SageMakerApis`
Pernyataan ini mencakup`sagemaker:*`, yang memungkinkan pengguna untuk melakukan semua [tindakan SageMaker AI API](sagemaker/latest/APIReference/API_Operations.html). Anda dapat mengurangi cakupan kebijakan ini dengan membatasi pengguna untuk melakukan tindakan yang tidak digunakan untuk membuat dan memantau pekerjaan pelabelan.
**`KmsKeysForCreateForms`**
Anda hanya perlu menyertakan pernyataan ini jika Anda ingin memberikan izin pengguna untuk membuat daftar dan memilih AWS KMS kunci di konsol Ground Truth yang akan digunakan untuk enkripsi data keluaran. Kebijakan di atas memberikan izin kepada pengguna untuk mendaftar dan memilih kunci apa pun di AWS KMS akun. Untuk membatasi kunci yang dapat dicantumkan dan dipilih pengguna, tentukan kunci ARNs tersebut. `Resource`
**`SecretsManager`**
Pernyataan ini memberikan izin pengguna untuk mendeskripsikan, membuat daftar, dan membuat sumber daya AWS Secrets Manager yang diperlukan untuk membuat pekerjaan pelabelan.
`ListAndCreateExecutionRoles`
Pernyataan ini memberikan izin pengguna untuk membuat daftar (`ListRoles`) dan membuat (`CreateRole`) peran IAM di akun Anda. Ini juga memberikan izin pengguna untuk membuat (`CreatePolicy`) kebijakan dan melampirkan (`AttachRolePolicy`) kebijakan ke entitas. Ini diperlukan untuk membuat daftar, memilih, dan jika diperlukan, membuat peran eksekusi di konsol.
Jika Anda telah membuat peran eksekusi, dan ingin mempersempit cakupan pernyataan ini sehingga pengguna hanya dapat memilih peran itu di konsol, tentukan peran yang Anda inginkan agar pengguna memiliki izin untuk melihat `Resource` dan menghapus tindakan`CreateRole`,`CreatePolicy`, dan`AttachRolePolicy`. ARNs
`AccessAwsMarketplaceSubscriptions`
Izin ini diperlukan untuk melihat dan memilih tim kerja vendor yang sudah Anda langgani saat membuat pekerjaan pelabelan. Untuk memberikan izin kepada pengguna untuk *berlangganan* tim kerja vendor, tambahkan pernyataan [Izin Tenaga Kerja Vendor](#sms-security-permissions-workforce-creation-vendor) ke kebijakan di atas
`PassRoleForExecutionRoles`
Ini diperlukan untuk memberikan izin pembuat pekerjaan pelabelan untuk melihat pratinjau UI pekerja dan memverifikasi bahwa data input, label, dan instruksi ditampilkan dengan benar. Pernyataan ini memberikan izin entitas untuk meneruskan peran eksekusi IAM yang digunakan untuk membuat pekerjaan pelabelan ke SageMaker AI untuk merender dan melihat pratinjau UI pekerja. Untuk mempersempit cakupan kebijakan ini, tambahkan peran ARN dari peran eksekusi yang digunakan untuk membuat pekerjaan pelabelan di bawah. `Resource`
**`GroundTruthConsole`**
+ `groundtruthlabeling`— Hal ini memungkinkan pengguna untuk melakukan tindakan yang diperlukan untuk menggunakan fitur tertentu dari konsol Ground Truth. Ini termasuk izin untuk mendeskripsikan status pekerjaan pelabelan (`DescribeConsoleJob`), mencantumkan semua objek kumpulan data dalam file manifes masukan (`ListDatasetObjects`), memfilter kumpulan data jika pengambilan sampel kumpulan data dipilih (`RunFilterOrSampleDatasetJob`), dan untuk menghasilkan file manifes masukan jika pelabelan data otomatis digunakan (). `RunGenerateManifestByCrawlingJob` Tindakan ini hanya tersedia saat menggunakan konsol Ground Truth dan tidak dapat dipanggil langsung menggunakan API.
+ `lambda:InvokeFunction`dan `lambda:ListFunctions` — tindakan ini memberi pengguna izin untuk membuat daftar dan memanggil fungsi Lambda yang digunakan untuk menjalankan alur kerja pelabelan khusus.
+ `s3:*`- Semua izin Amazon S3 yang disertakan dalam pernyataan ini digunakan untuk melihat bucket Amazon S3 untuk [penyiapan data otomatis (), mengakses data input](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) di Amazon S3 (,`ListAllMyBuckets`), memeriksa dan membuat kebijakan CORS di Amazon S3 jika diperlukan (`ListBucket`dan`GetObject`), `GetBucketCors` dan tulis file keluaran pekerjaan pelabelan ke S3 (`PutBucketCors`). `PutObject`
+ `cognito-idp`— Izin ini digunakan untuk membuat, melihat, dan mengelola serta tenaga kerja pribadi menggunakan Amazon Cognito. Untuk mempelajari lebih lanjut tentang tindakan ini, lihat Referensi [API Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Izin Alur Kerja Pelabelan Kustom
[Tambahkan pernyataan berikut ke kebijakan yang mirip dengan yang ada untuk memberikan izin kepada pengguna [Izin Konsol Ground Truth](#sms-security-permissions-console-all) untuk memilih fungsi Lambda pra-anotasi dan pasca-anotasi yang sudah ada sebelumnya sambil membuat alur kerja pelabelan kustom.](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Untuk mempelajari cara memberikan izin entitas untuk membuat dan menguji fungsi Lambda pra-anotasi dan pasca-anotasi, lihat [Izin yang Diperlukan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html) Untuk Menggunakan Lambda Dengan Ground Truth.
## Izin Tenaga Kerja Pribadi
Saat ditambahkan ke kebijakan izin, izin berikut memberikan akses untuk membuat dan mengelola tenaga kerja pribadi dan tim kerja menggunakan Amazon Cognito. Izin ini tidak diperlukan untuk menggunakan tenaga kerja [OIDC iDP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps).
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Untuk mempelajari selengkapnya tentang membuat tenaga kerja pribadi menggunakan Amazon Cognito, lihat. [Tenaga Kerja Amazon Cognito](sms-workforce-private-use-cognito.md)
## Izin Tenaga Kerja Vendor
Anda dapat menambahkan pernyataan berikut ke kebijakan [Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console](#sms-security-permission-console-access) untuk memberikan izin entitas untuk berlangganan [tenaga kerja vendor](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```
# Buat Peran Eksekusi SageMaker AI untuk Pekerjaan Pelabelan Ground Truth
Saat mengonfigurasi pekerjaan pelabelan, Anda perlu memberikan *peran eksekusi*, yang merupakan peran yang diizinkan oleh SageMaker AI untuk memulai dan menjalankan pekerjaan pelabelan Anda.
Peran ini harus memberikan izin Ground Truth untuk mengakses hal-hal berikut:
+ Amazon S3 untuk mengambil data input Anda dan menulis data keluaran ke bucket Amazon S3. Anda dapat memberikan izin untuk peran IAM untuk mengakses seluruh bucket dengan menyediakan ARN bucket, atau Anda dapat memberikan akses ke peran tersebut untuk mengakses sumber daya tertentu dalam bucket. Misalnya, ARN untuk bucket mungkin terlihat mirip `arn:aws:s3:::amzn-s3-demo-bucket1` dan ARN sumber daya di bucket Amazon S3 mungkin terlihat mirip dengan. `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png` Untuk menerapkan tindakan ke semua sumber daya di bucket Amazon S3, Anda dapat menggunakan wild card:. `*` Misalnya, `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`. Untuk informasi selengkapnya, lihat [Sumber Daya Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html) Amazon di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
+ CloudWatch untuk mencatat metrik pekerja dan memberi label status pekerjaan.
+ AWS KMS untuk enkripsi data. (Opsional)
+ AWS Lambda untuk memproses data input dan output saat Anda membuat alur kerja khusus.
Selain itu, jika Anda membuat [pekerjaan pelabelan streaming](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html), peran ini harus memiliki izin untuk mengakses:
+ [Amazon SQS untuk membuat interaksi dengan antrean SQS yang digunakan untuk mengelola permintaan pelabelan.](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs)
+ Amazon SNS untuk berlangganan dan mengambil pesan dari topik input Amazon SNS Anda dan mengirim pesan ke topik keluaran Amazon SNS Anda.
Semua izin ini dapat diberikan dengan kebijakan `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` terkelola *kecuali*:
+ Enkripsi volume data dan penyimpanan bucket Amazon S3 Anda. Untuk mempelajari cara mengonfigurasi izin ini, lihat[Enkripsi Data Output dan Volume Penyimpanan dengan AWS KMS](sms-security-kms-permissions.md).
+ Izin untuk memilih dan memanggil fungsi Lambda yang tidak `GtRecipe` menyertakan`SageMaker`,,`Sagemaker`,`sagemaker`, `LabelingFunction` atau dalam nama fungsi.
+ Bucket Amazon S3 yang tidak menyertakan`GroundTruth`,,,, `Groundtruth` `groundtruth` `SageMaker``Sagemaker`, dan `sagemaker` dalam awalan atau nama bucket atau [tag objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) yang disertakan `SageMaker` dalam nama (tidak peka huruf besar/kecil).
Jika Anda memerlukan izin yang lebih terperinci daripada yang disediakan`AmazonSageMakerGroundTruthExecution`, gunakan contoh kebijakan berikut untuk membuat peran eksekusi yang sesuai dengan kasus penggunaan spesifik Anda.
**Topics**
+ [Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)](#sms-security-permission-execution-role-built-in-tt)
+ [Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [Persyaratan Peran Eksekusi untuk Jenis Tugas Kustom](#sms-security-permission-execution-role-custom-tt)
+ [Persyaratan Izin Pelabelan Data Otomatis](#sms-security-permission-execution-role-custom-auto-labeling)
## Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)
Kebijakan berikut memberikan izin untuk membuat pekerjaan pelabelan untuk jenis [tugas bawaan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Kebijakan eksekusi ini tidak menyertakan izin untuk enkripsi atau dekripsi AWS KMS data. Ganti setiap ARN merah yang dicetak miring dengan Amazon S3 Anda sendiri. ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan
Jika Anda membuat pekerjaan pelabelan streaming, Anda harus menambahkan kebijakan yang mirip dengan berikut ini ke peran eksekusi yang Anda gunakan untuk membuat pekerjaan pelabelan. Untuk mempersempit cakupan kebijakan, ganti `*` in `Resource` dengan AWS sumber daya tertentu yang ingin Anda berikan izin peran IAM untuk mengakses dan menggunakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## Persyaratan Peran Eksekusi untuk Jenis Tugas Kustom
Jika Anda ingin membuat [alur kerja pelabelan kustom](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), tambahkan pernyataan berikut ke kebijakan peran eksekusi seperti yang ditemukan di [Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)](#sms-security-permission-execution-role-built-in-tt) atau. [Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan](#sms-security-permission-execution-role-built-in-tt-streaming)
Kebijakan ini memberikan izin peran eksekusi ke fungsi Lambda pra-anotasi dan pasca-anotasi `Invoke` Anda.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## Persyaratan Izin Pelabelan Data Otomatis
Jika Anda ingin membuat pekerjaan pelabelan dengan [pelabelan data otomatis](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) diaktifkan, Anda harus 1) menambahkan satu kebijakan ke kebijakan IAM yang dilampirkan ke peran eksekusi dan 2) memperbarui kebijakan kepercayaan peran eksekusi.
Pernyataan berikut memungkinkan peran eksekusi IAM diteruskan ke SageMaker AI sehingga dapat digunakan untuk menjalankan pekerjaan pelatihan dan inferensi yang digunakan untuk pembelajaran aktif dan pelabelan data otomatis masing-masing. Tambahkan pernyataan ini ke kebijakan peran eksekusi seperti yang ditemukan di [Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)](#sms-security-permission-execution-role-built-in-tt) atau[Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan](#sms-security-permission-execution-role-built-in-tt-streaming). Ganti `arn:aws:iam:::role/` dengan peran eksekusi ARN. **Anda dapat menemukan ARN peran IAM Anda di konsol IAM di bawah Peran.**
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
Pernyataan berikut memungkinkan SageMaker AI untuk mengambil peran eksekusi untuk membuat dan mengelola pekerjaan SageMaker pelatihan dan inferensi. Kebijakan ini harus ditambahkan ke hubungan kepercayaan dari peran eksekusi. Untuk mempelajari cara menambahkan atau mengubah kebijakan kepercayaan peran IAM, lihat [Memodifikasi peran dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) Pengguna IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------
# Enkripsi Data Output dan Volume Penyimpanan dengan AWS KMS
Anda dapat menggunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data keluaran dari pekerjaan pelabelan dengan menentukan [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) saat Anda membuat pekerjaan pelabelan. Jika Anda menggunakan operasi API `CreateLabelingJob` untuk membuat pekerjaan pelabelan yang menggunakan pelabelan data otomatis, Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML untuk menjalankan tugas pelatihan dan inferensi.
Bagian ini menjelaskan kebijakan IAM yang harus Anda lampirkan ke kunci terkelola pelanggan Anda untuk mengaktifkan enkripsi data keluaran dan kebijakan yang harus Anda lampirkan ke kunci terkelola pelanggan dan peran eksekusi untuk menggunakan enkripsi volume penyimpanan. Untuk mempelajari selengkapnya tentang opsi ini, lihat [Data Keluaran dan Enkripsi Volume Penyimpanan](sms-security.md).
## Enkripsi Data Output menggunakan KMS
Jika Anda menentukan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi data keluaran, Anda harus menambahkan kebijakan IAM yang mirip dengan kunci berikut ini. Kebijakan ini memberikan peran eksekusi IAM yang Anda gunakan untuk membuat izin pekerjaan pelabelan untuk menggunakan kunci ini untuk melakukan semua tindakan yang tercantum di dalamnya. `"Action"` Untuk mempelajari lebih lanjut tentang tindakan ini, lihat [AWS KMS izin](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kebijakan ini, ganti ARN peran layanan IAM `"Principal"` dengan ARN peran eksekusi yang Anda gunakan untuk membuat pekerjaan pelabelan. Saat Anda membuat pekerjaan pelabelan di konsol, ini adalah peran yang Anda tentukan untuk Peran **IAM di bawah bagian Ikhtisar** **pekerjaan**. Saat Anda membuat pekerjaan pelabelan menggunakan`CreateLabelingJob`, ini adalah ARN yang Anda tentukan. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn)
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Enkripsi Pelabelan Data Otomatis Volume Penyimpanan Instans Komputasi Volume
Jika Anda menentukan a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML yang digunakan untuk pelatihan dan inferensi pelabelan data otomatis, Anda harus melakukan hal berikut:
+ Lampirkan izin yang dijelaskan [Enkripsi Data Output menggunakan KMS](#sms-security-kms-permissions-output-data) ke kunci yang dikelola pelanggan.
+ Lampirkan kebijakan yang mirip dengan berikut ini ke peran eksekusi IAM yang Anda gunakan untuk membuat pekerjaan pelabelan Anda. Ini adalah peran IAM yang Anda tentukan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn). `CreateLabelingJob` Untuk mempelajari lebih lanjut tentang `"kms:CreateGrant"` tindakan yang diizinkan kebijakan ini, lihat [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)di Referensi AWS Key Management Service API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
Untuk mempelajari lebih lanjut tentang enkripsi volume penyimpanan Ground Truth, lihat[Gunakan Kunci KMS Anda untuk Mengenkripsi Volume Penyimpanan Pelabelan Data Otomatis (Hanya API)](sms-security.md#sms-security-kms-storage-volume).
# Menggunakan Amazon SageMaker Ground Truth di Amazon Virtual Private Cloud
Dengan [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) Anda dapat meluncurkan AWS sumber daya dalam jaringan virtual yang terisolasi secara logis yang Anda tentukan. Ground Truth mendukung menjalankan pekerjaan pelabelan di dalam VPC Amazon alih-alih terhubung melalui internet. Saat Anda meluncurkan pekerjaan pelabelan di VPC Amazon, komunikasi antara VPC dan Ground Truth dilakukan sepenuhnya dan aman di dalam jaringan. AWS
Panduan ini menunjukkan bagaimana Anda dapat menggunakan Ground Truth di Amazon VPC dengan cara berikut:
1. [Jalankan Pekerjaan Pelabelan SageMaker Ground Truth Amazon di Amazon Virtual Private Cloud](samurai-vpc-labeling-job.md)
1. [Gunakan Mode VPC Amazon dari Portal Pekerja Pribadi](samurai-vpc-worker-portal.md)
# Jalankan Pekerjaan Pelabelan SageMaker Ground Truth Amazon di Amazon Virtual Private Cloud
Ground Truth mendukung fungsionalitas berikut di Amazon VPC.
+ Anda dapat menggunakan kebijakan bucket Amazon S3 untuk mengontrol akses ke bucket dari titik akhir VPC Amazon tertentu, atau spesifik. VPCs Jika Anda meluncurkan pekerjaan pelabelan dan data input Anda berada di bucket Amazon S3 yang dibatasi untuk pengguna di VPC, Anda dapat menambahkan kebijakan bucket untuk juga memberikan izin titik akhir Ground Truth untuk mengakses bucket. Untuk mempelajari selengkapnya, lihat [Izinkan Ground Truth untuk Mengakses Bucket Amazon S3 yang Dibatasi VPC](#sms-vpc-permissions-s3).
+ Anda dapat meluncurkan [pekerjaan pelabelan data otomatis di VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) Anda. Anda menggunakan konfigurasi VPC untuk menentukan subnet VPC dan grup keamanan. SageMaker AI menggunakan konfigurasi ini untuk meluncurkan pekerjaan pelatihan dan inferensi yang digunakan untuk pelabelan data otomatis di VPC Anda. Untuk mempelajari selengkapnya, lihat [Membuat Pekerjaan Pelabelan Data Otomatis di VPC](#sms-vpc-permissions-automated-labeling).
Anda mungkin ingin menggunakan opsi ini dengan salah satu cara berikut.
+ Anda dapat menggunakan kedua metode ini untuk meluncurkan pekerjaan pelabelan menggunakan bucket Amazon S3 yang dilindungi VPC dengan pelabelan data otomatis diaktifkan.
+ Anda dapat meluncurkan pekerjaan pelabelan menggunakan [jenis tugas bawaan apa pun menggunakan bucket](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) yang dilindungi VPC.
+ Anda dapat meluncurkan [alur kerja pelabelan khusus](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html) menggunakan bucket yang dilindungi VPC. Ground Truth berinteraksi dengan fungsi Lambda pra-anotasi dan pasca-anotasi Anda menggunakan titik akhir. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html)
Kami menyarankan Anda meninjau [Prasyarat untuk menjalankan pekerjaan pelabelan Ground Truth di VPC](#sms-vpc-gt-prereq) sebelum membuat pekerjaan pelabelan di VPC Amazon.
## Prasyarat untuk menjalankan pekerjaan pelabelan Ground Truth di VPC
Tinjau prasyarat berikut sebelum Anda membuat pekerjaan pelabelan Ground Truth di VPC Amazon.
+ Jika Anda adalah pengguna baru Ground Truth, tinjau [Memulai](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-getting-started.html) untuk mempelajari cara membuat pekerjaan pelabelan.
+ Jika data input Anda terletak di bucket Amazon S3 yang dilindungi VPC, pekerja Anda harus mengakses portal pekerja dari VPC Anda. Pekerjaan pelabelan berbasis VPC memerlukan penggunaan tim kerja pribadi. Untuk mempelajari lebih lanjut tentang membuat tim kerja pribadi, lihat [Menggunakan Tenaga Kerja Pribadi](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private.html).
+ Prasyarat berikut khusus untuk meluncurkan pekerjaan pelabelan di VPC Anda.
+ Gunakan petunjuk di [Buat Titik Akhir VPC Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3). Wadah pelatihan dan inferensi yang digunakan dalam alur kerja pelabelan data otomatis menggunakan titik akhir ini untuk berkomunikasi dengan bucket Anda di Amazon S3.
+ Tinjau [Pelabelan Data Otomatis](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) untuk mempelajari lebih lanjut tentang fitur ini. Perhatikan bahwa pelabelan data otomatis didukung untuk [jenis tugas bawaan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) berikut: [Klasifikasi Gambar (Label Tunggal)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-image-classification.html), [Segmentasi Semantik Gambar](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-semantic-segmentation.html), [Kotak Pembatas](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-bounding-box.html), dan [Klasifikasi Teks](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-text-classification.html) (Label Tunggal). Pekerjaan pelabelan streaming tidak mendukung pelabelan data otomatis.
+ Tinjau bagian [Keamanan dan Izin Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-general.html) dan pastikan Anda telah memenuhi persyaratan berikut.
+ Pengguna yang membuat pekerjaan pelabelan memiliki semua izin yang diperlukan
+ Anda telah membuat peran eksekusi IAM dengan izin yang diperlukan. Jika Anda tidak memerlukan izin yang disesuaikan untuk kasus penggunaan Anda, kami sarankan Anda menggunakan kebijakan terkelola IAM yang dijelaskan dalam [Berikan Izin Umum Untuk Memulai Menggunakan Ground](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-permission.html#sms-security-permissions-get-started) Truth.
+ Izinkan VPC Anda memiliki akses ke bucket `sagemaker-labeling-data-region` dan `sm-bxcb-region-saved-task-states` S3. Ini adalah bucket S3 regional milik sistem yang diakses dari portal pekerja saat pekerja mengerjakan suatu tugas. Kami menggunakan bucket ini untuk berinteraksi dengan data yang dikelola sistem.
## Izinkan Ground Truth untuk Mengakses Bucket Amazon S3 yang Dibatasi VPC
Bagian berikut memberikan detail tentang izin yang diperlukan Ground Truth untuk meluncurkan pekerjaan pelabelan menggunakan bucket Amazon S3 yang memiliki akses terbatas ke titik akhir VPC dan VPC Anda. Untuk mempelajari cara membatasi akses ke bucket Amazon S3 ke VPC, lihat [Mengontrol akses dari titik akhir VPC dengan kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) di panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk mempelajari cara menambahkan kebijakan ke bucket S3, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
**catatan**
Memodifikasi kebijakan pada bucket yang ada dapat menyebabkan pekerjaan `IN_PROGRESS` Ground Truth gagal. Kami menyarankan Anda memulai pekerjaan baru menggunakan ember baru. Jika Anda ingin terus menggunakan ember yang sama, Anda dapat melakukan salah satu hal berikut.
Tunggu `IN_PROGRESS` pekerjaan selesai.
Mengakhiri pekerjaan menggunakan konsol atau. AWS CLI
Anda dapat membatasi akses bucket Amazon S3 ke pengguna di VPC menggunakan endpoint. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Misalnya, kebijakan bucket S3 berikut memungkinkan akses ke bucket tertentu, dari``, `` dan titik akhir saja``. Ketika Anda mengubah kebijakan ini, Anda harus mengganti semua *red-italized text* dengan sumber daya dan spesifikasi Anda.
**catatan**
Kebijakan berikut *menyangkal* semua entitas *selain* pengguna dalam VPC untuk melakukan tindakan yang tercantum di dalamnya. `Action` Jika Anda tidak menyertakan tindakan dalam daftar ini, tindakan tersebut masih dapat diakses oleh entitas mana pun yang memiliki akses ke bucket ini dan izin untuk melakukan tindakan tersebut. Misalnya, jika pengguna memiliki izin untuk melakukan `GetBucketLocation` di bucket Amazon S3 Anda, kebijakan di bawah ini tidak membatasi pengguna untuk melakukan tindakan ini di luar VPC Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "AccessToSpecificVPCEOnly",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678901234567"
]
}
}
}
]
}
```
------
Ground Truth harus dapat melakukan tindakan Amazon S3 berikut pada bucket S3 yang Anda gunakan untuk mengonfigurasi pekerjaan pelabelan.
```
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
```
Anda dapat melakukan ini dengan menambahkan titik akhir Ground Truth ke kebijakan bucket seperti yang disebutkan sebelumnya. Tabel berikut mencakup titik akhir layanan Ground Truth untuk setiap AWS Wilayah. Tambahkan titik akhir di [AWS Wilayah](https://docs.aws.amazon.com/general/latest/gr/rande.html) yang sama yang Anda gunakan untuk menjalankan pekerjaan pelabelan ke kebijakan bucket Anda.
****
| AWS Wilayah | Titik akhir Ground Truth |
| --- | --- |
| us-east-2 | vpce-02569ba1c40aad0bc |
| us-east-1 | vpce-08408e335ebf95b40 |
| us-west-2 | vpce-0ea07aa498eb78469 |
| ca-central-1 | vpce-0d46ea4c9ff55e1b7 |
| eu-central-1 | vpce-0865e7194a099183d |
| eu-west-2 | vpce-0bccd56798f4c5df0 |
| eu-west-1 | vpce-0788e7ed8628e595d |
| ap-south-1 | vpce-0d7fcda14e1783f11 |
| ap-southeast-2 | vpce-0b7609e6f305a77d4 |
| ap-southeast-1 | vpce-0e7e67b32e9efed27 |
| ap-northeast-2 | vpce-007893f89e05f2bbf |
| ap-northeast-1 | vpce-0247996a1a1807dbd |
Misalnya, kebijakan berikut membatasi `GetObject` dan `PutObject` tindakan pada:
+ Bucket Amazon S3 untuk pengguna di VPC () ``
+ Titik akhir VPC () ``
+ Titik akhir layanan Ground Truth () ``
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
Jika Anda ingin pengguna memiliki izin untuk meluncurkan pekerjaan pelabelan menggunakan konsol Ground Truth, Anda juga harus menambahkan ARN pengguna ke kebijakan bucket menggunakan `aws:PrincipalArn` kondisi tersebut. Pengguna ini juga harus memiliki izin untuk melakukan tindakan Amazon S3 berikut pada bucket yang Anda gunakan untuk meluncurkan pekerjaan pelabelan.
```
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
```
Kode berikut adalah contoh kebijakan bucket yang membatasi izin untuk melakukan tindakan yang tercantum `Action` di bucket S3 `` menjadi berikut.
+ **
+ Titik akhir VPC yang tercantum di `aws:sourceVpce`
+ Pengguna dalam VPC bernama **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role-name"
},
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
**catatan**
Titik akhir antarmuka VPC Amazon dan bucket Amazon S3 yang dilindungi yang Anda gunakan untuk data input dan output harus berada di AWS Wilayah yang sama dengan yang Anda gunakan untuk membuat pekerjaan pelabelan.
Setelah Anda memberikan izin Ground Truth untuk mengakses bucket Amazon S3, Anda dapat menggunakan salah satu topik di [Create a Labeling Job untuk meluncurkan pekerjaan pelabelan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job.html). Tentukan bucket Amazon S3 yang dibatasi VPC untuk bucket data input dan output Anda.
## Membuat Pekerjaan Pelabelan Data Otomatis di VPC
Untuk membuat pekerjaan pelabelan data otomatis menggunakan Amazon VPC, Anda menyediakan konfigurasi VPC menggunakan konsol Ground Truth atau operasi API. `CreateLabelingJob` SageMaker AI menggunakan subnet dan grup keamanan yang Anda berikan untuk meluncurkan pekerjaan pelatihan dan kesimpulan yang digunakan untuk pelabelan otomatis.
**penting**
Sebelum Anda meluncurkan pekerjaan pelabelan data otomatis dengan konfigurasi VPC, pastikan Anda telah membuat titik akhir VPC Amazon S3 menggunakan VPC yang ingin Anda gunakan untuk pekerjaan pelabelan. Untuk mempelajari caranya, lihat [Membuat Titik Akhir VPC Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3).
Selain itu, jika Anda membuat pekerjaan pelabelan data otomatis menggunakan bucket Amazon S3 yang dibatasi VPC, Anda harus mengikuti petunjuk untuk [Izinkan Ground Truth untuk Mengakses Bucket Amazon S3 yang Dibatasi VPC](#sms-vpc-permissions-s3) memberikan izin Ground Truth untuk mengakses bucket.
Gunakan prosedur berikut untuk mempelajari cara menambahkan konfigurasi VPC ke permintaan pekerjaan pelabelan Anda.
**Tambahkan konfigurasi VPC ke pekerjaan pelabelan data otomatis (konsol):**
1. Ikuti petunjuk di [Create a Labeling Job (Console)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html) dan selesaikan setiap langkah dalam prosedur, hingga langkah 15.
1. Di bagian **Pekerja**, pilih kotak centang di samping **Aktifkan pelabelan data otomatis**.
1. Maksimalkan bagian **konfigurasi VPC** konsol dengan memilih panah.
1. Tentukan **Virtual private cloud (VPC)** yang ingin Anda gunakan untuk pekerjaan pelabelan data otomatis Anda.
1. Pilih daftar dropdown di bawah **Subnet** dan pilih satu atau beberapa subnet.
1. Pilih daftar tarik-turun di bawah **Grup keamanan** dan pilih satu atau beberapa grup.
1. Selesaikan semua langkah prosedur yang tersisa di [Create a Labeling Job (Console)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html).
**Tambahkan konfigurasi VPC ke pekerjaan pelabelan data otomatis (API):**
Untuk mengonfigurasi job pelabelan menggunakan operasi Ground Truth API`CreateLabelingJob`, ikuti petunjuk di [Create an Automated Data Labeling Job (API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html#sms-create-automated-labeling-api) untuk mengonfigurasi permintaan Anda. Selain parameter yang dijelaskan dalam dokumentasi ini, Anda harus menyertakan `VpcConfig` parameter `LabelingJobResourceConfig` untuk menentukan satu atau lebih subnet dan grup keamanan menggunakan skema berikut.
```
"LabelingJobAlgorithmsConfig": {
"InitialActiveLearningModelArn": "string",
"LabelingJobAlgorithmSpecificationArn": "string",
"LabelingJobResourceConfig": {
"VolumeKmsKeyId": "string",
"VpcConfig": {
"SecurityGroupIds": [ "string" ],
"Subnets": [ "string" ]
}
}
}
```
Berikut ini adalah contoh [permintaan AWS Python SDK (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_labeling_job) untuk membuat pekerjaan pelabelan data otomatis di Wilayah AS Timur (Virginia N.) menggunakan tenaga kerja pribadi. Ganti semua *red-italicized text* dengan sumber daya dan spesifikasi pekerjaan pelabelan Anda. Untuk mempelajari lebih lanjut tentang `CreateLabelingJob` operasi, lihat tutorial [Create a Labeling Job (API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-api.html) dan dokumentasi [CreateLabelingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)API.
```
import boto3
client = boto3.client(service_name='sagemaker')
response = client.create_labeling_job(
LabelingJobName="example-labeling-job",
LabelAttributeName="label",
InputConfig={
'DataSource': {
'S3DataSource': {
'ManifestS3Uri': "s3://bucket/path/manifest-with-input-data.json"
}
}
},
"LabelingJobAlgorithmsConfig": {
"LabelingJobAlgorithmSpecificationArn": "arn:aws:sagemaker:us-east-1:027400017018:labeling-job-algorithm-specification/tasktype",
"LabelingJobResourceConfig": {
"VpcConfig": {
"SecurityGroupIds": [ "sg-01233456789", "sg-987654321" ],
"Subnets": [ "subnet-e0123456", "subnet-e7891011" ]
}
}
},
OutputConfig={
'S3OutputPath': "s3://bucket/path/file-to-store-output-data",
'KmsKeyId': "string"
},
RoleArn="arn:aws:iam::*:role/*,
LabelCategoryConfigS3Uri="s3://bucket/path/label-categories.json",
StoppingConditions={
'MaxHumanLabeledObjectCount': 123,
'MaxPercentageOfInputDatasetLabeled': 123
},
HumanTaskConfig={
'WorkteamArn': "arn:aws:sagemaker:region:*:workteam/private-crowd/*",
'UiConfig': {
'UiTemplateS3Uri': "s3://bucket/path/custom-worker-task-template.html"
},
'PreHumanTaskLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:PRE-tasktype",
'TaskKeywords': [
"Images",
"Classification",
"Multi-label"
],
'TaskTitle': "Add task title here",
'TaskDescription': "Add description of task here for workers",
'NumberOfHumanWorkersPerDataObject': 1,
'TaskTimeLimitInSeconds': 3600,
'TaskAvailabilityLifetimeInSeconds': 21600,
'MaxConcurrentTaskCount': 1000,
'AnnotationConsolidationConfig': {
'AnnotationConsolidationLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:ACS-tasktype"
},
Tags=[
{
'Key': "string",
'Value': "string"
},
]
)
```
# Gunakan Mode VPC Amazon dari Portal Pekerja Pribadi
Untuk membatasi akses portal pekerja ke labeler yang bekerja di dalam VPC Amazon Anda, Anda dapat menambahkan konfigurasi VPC saat membuat tenaga kerja pribadi Ground Truth. Anda juga dapat menambahkan konfigurasi VPC ke tenaga kerja pribadi yang ada. Ground Truth secara otomatis membuat titik akhir antarmuka VPC di VPC Anda dan mengatur antara titik akhir VPC AWS PrivateLink Anda dan layanan Ground Truth. URL portal pekerja yang terkait dengan tenaga kerja dapat diakses dari VPC Anda. URL portal pekerja juga dapat diakses dari internet publik sampai Anda menetapkan batasan di internet publik. Saat Anda menghapus tenaga kerja atau menghapus konfigurasi VPC dari tenaga kerja Anda, Ground Truth secara otomatis menghapus titik akhir VPC yang terkait dengan tenaga kerja.
**catatan**
Hanya ada satu VPC yang didukung untuk tenaga kerja.
[Point Cloud](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) dan tugas [video](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) tidak mendukung pemuatan melalui VPC.
Panduan ini menunjukkan cara menyelesaikan langkah-langkah yang diperlukan untuk menambah dan menghapus konfigurasi VPC Amazon ke tenaga kerja Anda, dan memenuhi prasyarat.
## Prasyarat
Untuk menjalankan pekerjaan pelabelan Ground Truth di Amazon VPC, tinjau prasyarat berikut.
+ Anda memiliki VPC Amazon yang dikonfigurasi yang dapat Anda gunakan. Jika Anda belum mengonfigurasi VPC, ikuti petunjuk ini untuk [membuat VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets).
+ Bergantung pada bagaimana [Template Tugas Pekerja](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html) ditulis, pelabelan data yang disimpan dalam bucket Amazon S3 dapat diakses langsung dari Amazon S3 selama tugas pelabelan. Dalam kasus ini, jaringan VPC harus dikonfigurasi untuk memungkinkan lalu lintas dari perangkat yang digunakan oleh pelabel manusia ke bucket S3 yang berisi data pelabelan.
+ Ikuti [Lihat dan perbarui atribut DNS untuk VPC Anda untuk](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) mengaktifkan nama host DNS dan resolusi DNS untuk VPC Anda.
**catatan**
Ada dua cara untuk mengonfigurasi VPC Anda untuk tenaga kerja Anda. Anda dapat melakukan ini melalui [konsol](https://console.aws.amazon.com/sagemaker) atau AWS SageMaker AI [CLI](https://aws.amazon.com/cli/).
# Menggunakan konsol SageMaker AI untuk mengelola konfigurasi VPC
Anda dapat menggunakan [konsol SageMaker AI](https://console.aws.amazon.com/sagemaker) untuk menambah atau menghapus konfigurasi VPC. Anda juga dapat menghapus tenaga kerja yang ada.
## Menambahkan konfigurasi VPC ke tenaga kerja Anda
### Buat tenaga kerja pribadi
+ [Buat tenaga kerja pribadi menggunakan Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [Buat tenaga kerja pribadi menggunakan OpenID Connect (OIDC) Identity Provider (IDP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html)).
Setelah Anda membuat tenaga kerja pribadi Anda, tambahkan konfigurasi VPC ke dalamnya.
1. Arahkan ke [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) di konsol Anda.
1. Pilih **Pelabelan tenaga kerja** di panel kiri.
1. Pilih **Private** untuk mengakses tenaga kerja pribadi Anda. Setelah **status Workforce** Anda **Aktif**, pilih **Tambah** di samping **VPC**.
1. Saat Anda diminta untuk mengonfigurasi VPC Anda, berikan yang berikut ini:
1. **VPC** Anda
1. **Subnet**
1. Pastikan VPC Anda memiliki subnet yang ada
1. **Grup keamanan**
1.
**catatan**
Anda tidak dapat memilih lebih dari 5 grup keamanan.
1. Setelah mengisi informasi ini, pilih **Konfirmasi**.
1. Setelah Anda memilih **Konfirmasi**, Anda akan diarahkan kembali ke halaman **Pribadi** di bawah **Pelabelan tenaga kerja**. Anda akan melihat spanduk hijau di bagian atas yang bertuliskan **Pembaruan tenaga kerja pribadi Anda dengan konfigurasi VPC berhasil diinisialisasi**. Status tenaga kerja adalah **Memperbarui**. Di sebelah tombol **Hapus tenaga kerja** adalah tombol **Refresh**, yang dapat digunakan untuk mengambil status **Workforce** terbaru. Setelah status tenaga kerja berubah menjadi **Aktif**, ID titik akhir VPC juga diperbarui.
## Menghapus konfigurasi VPC dari tenaga kerja Anda
Gunakan informasi berikut untuk menghapus konfigurasi VPC dari tenaga kerja Anda menggunakan konsol.
1. Arahkan ke [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) di konsol Anda.
1. Pilih **Pelabelan tenaga kerja** di panel kiri.
1. Temukan dan pilih tenaga kerja Anda.
1. Di bawah **Ringkasan tenaga kerja pribadi**, temukan **VPC** dan **pilih** Hapus di sebelahnya.
1. Pilih **Hapus**.
## Menghapus tenaga kerja melalui konsol
Jika Anda menghapus tenaga kerja, Anda seharusnya tidak memiliki tim yang terkait dengannya. **Anda dapat menghapus tenaga kerja hanya jika status tenaga kerja **Aktif** atau Gagal.**
Gunakan informasi berikut untuk menghapus tenaga kerja menggunakan konsol.
1. Arahkan ke [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) di konsol Anda.
1. Pilih **Pelabelan tenaga kerja** di panel kiri.
1. Temukan dan pilih tenaga kerja Anda.
1. Pilih **Hapus tenaga kerja**.
1. Pilih **Hapus**.
# Menggunakan SageMaker AI AWS API untuk mengelola konfigurasi VPC
Gunakan bagian berikut untuk mempelajari lebih lanjut tentang mengelola VPCs konfigurasi, sambil mempertahankan tingkat akses yang tepat ke tim kerja.
## Buat tenaga kerja dengan konfigurasi VPC
Jika akun sudah memiliki tenaga kerja, maka Anda harus menghapusnya terlebih dahulu. Anda juga dapat memperbarui tenaga kerja dengan konfigurasi VPC.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
Jelaskan tenaga kerja dan pastikan statusnya`Initializing`.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Arahkan ke konsol VPC Amazon. Pilih **Endpoint** dari panel kiri. Harus ada dua titik akhir VPC yang dibuat di akun Anda.
## Menambahkan konfigurasi VPC tenaga kerja Anda
Perbarui tenaga kerja pribadi non-VPC dengan konfigurasi VPC menggunakan perintah berikut.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
Jelaskan tenaga kerja dan pastikan statusnya`Updating`.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Arahkan ke konsol VPC Amazon Anda. Pilih **Endpoint** dari panel kiri. Harus ada dua titik akhir VPC yang dibuat di akun Anda.
## Menghapus konfigurasi VPC dari tenaga kerja Anda
Perbarui tenaga kerja pribadi VPC dengan konfigurasi VPC kosong untuk menghapus sumber daya VPC.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
Jelaskan tenaga kerja dan pastikan statusnya`Updating`.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Naviagasikan ke konsol VPC Amazon Anda. Pilih **Endpoint** dari panel kiri. Dua titik akhir VPC harus dihapus.
## Batasi akses publik ke portal pekerja sambil mempertahankan akses melalui VPC
Para pekerja di portal pekerja VPC atau non-VPC dapat melihat tugas pekerjaan pelabelan yang diberikan kepada mereka. Penugasan berasal dari menugaskan pekerja dalam tim kerja melalui kelompok OIDC. Adalah tanggung jawab pelanggan untuk membatasi akses ke portal pekerja publik mereka dengan mengatur tenaga kerja mereka. `sourceIpConfig`
**catatan**
Anda dapat membatasi akses ke portal pekerja hanya melalui SageMaker API. Ini tidak dapat dilakukan melalui konsol.
Gunakan perintah berikut untuk membatasi akses publik ke portal pekerja.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
Setelah `sourceIpConfig` diatur pada angkatan kerja, para pekerja dapat mengakses portal pekerja di VPC tetapi tidak melalui internet publik.
**catatan**
Anda tidak dapat mengatur `sourceIP` batasan untuk portal pekerja di VPC.
# Data Keluaran dan Enkripsi Volume Penyimpanan
Dengan Amazon SageMaker Ground Truth, Anda dapat memberi label pada data yang sangat sensitif, tetap mengendalikan data Anda, dan menerapkan praktik terbaik keamanan. Saat pekerjaan pelabelan Anda berjalan, Ground Truth mengenkripsi data saat transit dan saat istirahat. Selain itu, Anda dapat menggunakan AWS Key Management Service (AWS KMS) dengan Ground Truth untuk melakukan hal berikut:
+ Gunakan [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) untuk mengenkripsi data keluaran Anda.
+ Gunakan kunci terkelola AWS KMS pelanggan dengan tugas pelabelan data otomatis Anda untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi yang digunakan untuk pelatihan model dan inferensi.
Gunakan topik di halaman ini untuk mempelajari lebih lanjut tentang fitur keamanan Ground Truth ini.
## Gunakan Kunci KMS Anda untuk Mengenkripsi Data Output
Secara opsional, Anda dapat memberikan kunci terkelola AWS KMS pelanggan saat membuat pekerjaan pelabelan, yang digunakan Ground Truth untuk mengenkripsi data keluaran Anda.
Jika Anda tidak memberikan kunci yang dikelola pelanggan, Amazon SageMaker AI menggunakan default Kunci yang dikelola AWS untuk Amazon S3 untuk akun peran Anda untuk mengenkripsi data keluaran Anda.
Jika Anda memberikan kunci terkelola pelanggan, Anda harus menambahkan izin yang diperlukan ke kunci yang dijelaskan dalam[Enkripsi Data Output dan Volume Penyimpanan dengan AWS KMS](sms-security-kms-permissions.md). Saat menggunakan operasi API`CreateLabelingJob`, Anda dapat menentukan ID kunci terkelola pelanggan menggunakan parameter`[KmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobOutputConfig.html#sagemaker-Type-LabelingJobOutputConfig-KmsKeyId)`. Lihat prosedur berikut untuk mempelajari cara menambahkan kunci terkelola pelanggan saat Anda membuat pekerjaan pelabelan menggunakan konsol.
**Untuk menambahkan AWS KMS kunci untuk mengenkripsi data keluaran (konsol):**
1. Selesaikan 7 langkah pertama di[Membuat Job Pelabelan (Konsol)](sms-create-labeling-job-console.md).
1. Pada langkah 8, pilih panah di sebelah **Konfigurasi tambahan** untuk memperluas bagian ini.
1. Untuk **kunci Enkripsi**, pilih AWS KMS kunci yang ingin Anda gunakan untuk mengenkripsi data keluaran.
1. Selesaikan langkah-langkah lainnya [Membuat Job Pelabelan (Konsol)](sms-create-labeling-job-console.md) untuk membuat pekerjaan pelabelan.
## Gunakan Kunci KMS Anda untuk Mengenkripsi Volume Penyimpanan Pelabelan Data Otomatis (Hanya API)
Saat membuat pekerjaan pelabelan dengan pelabelan data otomatis menggunakan operasi `CreateLabelingJob` API, Anda memiliki opsi untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML yang menjalankan tugas pelatihan dan inferensi. Untuk menambahkan enkripsi ke volume penyimpanan Anda, gunakan parameter `VolumeKmsKeyId` untuk memasukkan kunci yang dikelola AWS KMS pelanggan. Untuk informasi selengkapnya tentang parameter ini, lihat`[LabelingJobResourceConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)`.
Jika Anda menentukan ID kunci atau ARN untuk`VolumeKmsKeyId`, peran eksekusi SageMaker AI Anda harus menyertakan izin untuk menelepon. `kms:CreateGrant` Untuk mempelajari cara menambahkan izin ini ke peran eksekusi, lihat[Buat Peran Eksekusi SageMaker AI untuk Pekerjaan Pelabelan Ground Truth](sms-security-permission-execution-role.md).
**catatan**
Jika Anda menentukan kunci terkelola AWS KMS pelanggan saat membuat pekerjaan pelabelan di konsol, kunci tersebut *hanya* digunakan untuk mengenkripsi data keluaran Anda. Ini tidak digunakan untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML yang digunakan untuk pelabelan data otomatis.
# Otentikasi dan Pembatasan Tenaga Kerja
Ground Truth memungkinkan Anda menggunakan tenaga kerja pribadi Anda sendiri untuk bekerja pada pekerjaan pelabelan. *Tenaga kerja pribadi* adalah konsep abstrak yang mengacu pada sekumpulan orang yang bekerja untuk Anda. Setiap pekerjaan pelabelan dibuat menggunakan tim kerja, yang terdiri dari pekerja di angkatan kerja Anda. Ground Truth mendukung pembuatan tenaga kerja pribadi menggunakan Amazon Cognito.
Tenaga kerja Ground Truth memetakan ke kumpulan pengguna Amazon Cognito. Tim kerja Ground Truth memetakan ke grup pengguna Amazon Cognito. Amazon Cognito mengelola otentikasi pekerja. Amazon Cognito mendukung koneksi Open ID (OIDC) dan pelanggan dapat mengatur federasi Amazon Cognito dengan penyedia identitas mereka sendiri (iDP).
Ground Truth hanya mengizinkan satu tenaga kerja per akun per AWS Wilayah. Setiap tenaga kerja memiliki URL login portal kerja Ground Truth khusus.
Anda juga dapat membatasi pekerja ke rentang alamat Classless Inter-Domain Routing (CIDR). block/IP Ini berarti annotator harus berada di jaringan tertentu untuk mengakses situs anotasi. Anda dapat menambahkan hingga sepuluh blok CIDR untuk satu tenaga kerja. Untuk mempelajari selengkapnya, lihat [Manajemen tenaga kerja pribadi menggunakan Amazon API SageMaker](sms-workforce-management-private-api.md).
Untuk mempelajari cara membuat tenaga kerja pribadi, lihat[Buat Tenaga Kerja Pribadi (Amazon Cognito)](sms-workforce-create-private.md).
## Batasi Akses ke Jenis Tenaga Kerja
Tim kerja Amazon SageMaker Ground Truth termasuk dalam salah satu dari tiga [jenis tenaga kerja](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html): publik (dengan Amazon Mechanical Turk), swasta, dan vendor. Untuk membatasi akses pengguna ke tim kerja tertentu menggunakan salah satu jenis ini atau ARN tim kerja, gunakan `sagemaker:WorkteamType` and/or `sagemaker:WorkteamArn` tombol kondisi. Untuk kunci `sagemaker:WorkteamType` kondisi, gunakan [operator kondisi string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Untuk kunci `sagemaker:WorkteamArn` kondisi, gunakan operator [kondisi Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Jika pengguna mencoba membuat pekerjaan pelabelan dengan tim kerja terbatas, SageMaker AI mengembalikan kesalahan akses ditolak.
Kebijakan di bawah ini menunjukkan berbagai cara untuk menggunakan kunci `sagemaker:WorkteamType` dan `sagemaker:WorkteamArn` kondisi dengan operator kondisi yang sesuai dan nilai kondisi yang valid.
Contoh berikut menggunakan kunci `sagemaker:WorkteamType` kondisi dengan operator `StringEquals` kondisi untuk membatasi akses ke tim kerja umum. Ini menerima nilai kondisi dalam format berikut:`workforcetype-crowd`, di mana *workforcetype* bisa sama`public`,`private`, atau`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Kebijakan berikut menunjukkan cara membatasi akses ke tim kerja publik menggunakan kunci `sagemaker:WorkteamArn` kondisi. Yang pertama menunjukkan cara menggunakannya dengan varian regex IAM yang valid dari tim kerja ARN dan operator kondisi. `ArnLike` Yang kedua menunjukkan bagaimana menggunakannya dengan operator `ArnEquals` kondisi dan tim kerja ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------