Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tetapkan Izin IAM untuk Menggunakan Ground Truth
Gunakan topik di bagian ini untuk mempelajari cara menggunakan kebijakan terkelola dan kustom AWS Identity and Access Management (IAM) untuk mengelola akses ke Ground Truth dan sumber daya terkait.
Anda dapat menggunakan bagian di halaman ini untuk mempelajari hal berikut:
+ Cara membuat kebijakan IAM yang memberikan izin kepada pengguna atau peran untuk membuat pekerjaan pelabelan. Administrator dapat menggunakan kebijakan IAM untuk membatasi akses ke Amazon SageMaker AI dan AWS layanan lain yang khusus untuk Ground Truth.
+ Cara membuat *peran eksekusi SageMaker * AI. Peran eksekusi adalah peran yang Anda tentukan saat membuat pekerjaan pelabelan. Peran ini digunakan untuk memulai dan mengelola pekerjaan pelabelan Anda.
Berikut ini adalah ikhtisar topik yang akan Anda temukan di halaman ini:
+ Jika Anda mulai menggunakan Ground Truth, atau Anda tidak memerlukan izin terperinci untuk kasus penggunaan Anda, disarankan agar Anda menggunakan kebijakan terkelola IAM yang dijelaskan dalam. [Gunakan Kebijakan Terkelola IAM dengan Ground Truth](sms-security-permissions-get-started.md)
+ Pelajari tentang izin yang diperlukan untuk menggunakan konsol Ground Truth di[Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console](sms-security-permission-console-access.md). Bagian ini mencakup contoh kebijakan yang memberikan izin entitas IAM untuk membuat dan memodifikasi tim kerja pribadi, berlangganan tim kerja vendor, dan membuat alur kerja pelabelan khusus.
+ Saat Anda membuat pekerjaan pelabelan, Anda harus memberikan peran eksekusi. Gunakan [Buat Peran Eksekusi SageMaker AI untuk Pekerjaan Pelabelan Ground Truth](sms-security-permission-execution-role.md) untuk mempelajari tentang izin yang diperlukan untuk peran ini.
# Gunakan Kebijakan Terkelola IAM dengan Ground Truth
SageMaker AI dan Ground Truth menyediakan kebijakan AWS terkelola yang dapat Anda gunakan untuk membuat pekerjaan pelabelan. Jika Anda mulai menggunakan Ground Truth dan Anda tidak memerlukan izin terperinci untuk kasus penggunaan Anda, disarankan agar Anda menggunakan kebijakan berikut:
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)`Gunakan kebijakan ini untuk memberikan izin kepada pengguna atau peran untuk membuat pekerjaan pelabelan. Ini adalah kebijakan luas yang memberikan izin entitas untuk menggunakan fitur SageMaker AI, serta fitur AWS layanan yang diperlukan melalui konsol dan API. Kebijakan ini memberikan izin entitas untuk membuat lowongan pelabelan serta membuat serta mengelola tenaga kerja menggunakan Amazon Cognito. Untuk mempelajari lebih lanjut, lihat [AmazonSageMakerFullAccess Kebijakan](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess).
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)`— Untuk membuat *peran eksekusi*, Anda dapat melampirkan kebijakan `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` ke peran. Peran eksekusi adalah peran yang Anda tentukan saat Anda membuat pekerjaan pelabelan dan digunakan untuk memulai pekerjaan pelabelan Anda. Kebijakan ini memungkinkan Anda membuat pekerjaan pelabelan streaming dan non-streaming, dan membuat pekerjaan pelabelan menggunakan jenis tugas apa pun. Perhatikan batasan berikut dari kebijakan terkelola ini.
+ **Izin Amazon S3**: Kebijakan ini memberikan izin peran eksekusi untuk mengakses bucket Amazon S3 dengan string berikut dalam nama:`GroundTruth`,,,,, `Groundtruth` `groundtruth` `SageMaker``Sagemaker`, dan `sagemaker` atau bucket dengan [tag objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) yang disertakan `SageMaker` dalam nama (tidak peka huruf besar/kecil). Pastikan nama bucket input dan output Anda menyertakan string ini, atau tambahkan izin tambahan ke peran eksekusi Anda untuk [memberinya izin mengakses bucket Amazon S3 Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html). Anda harus memberikan izin peran ini untuk melakukan tindakan berikut di bucket Amazon S3 Anda:`AbortMultipartUpload`,, `GetObject` dan. `PutObject`
+ **Alur Kerja Kustom**[: Saat Anda membuat alur kerja pelabelan kustom](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), peran eksekusi ini dibatasi untuk memanggil AWS Lambda fungsi dengan salah satu string berikut sebagai bagian dari nama fungsi:`GtRecipe`,,,, `SageMaker` atau. `Sagemaker` `sagemaker` `LabelingFunction` Ini berlaku untuk fungsi Lambda pra-anotasi dan pasca-anotasi Anda. Jika Anda memilih untuk menggunakan nama tanpa string tersebut, Anda harus secara eksplisit memberikan `lambda:InvokeFunction` izin untuk peran eksekusi yang digunakan untuk membuat pekerjaan pelabelan.
Untuk mempelajari cara melampirkan kebijakan AWS terkelola ke pengguna atau peran, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) di Panduan Pengguna IAM.
# Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console
Untuk menggunakan area Ground Truth pada konsol SageMaker AI, Anda harus memberikan izin kepada entitas untuk mengakses SageMaker AI dan AWS layanan lain yang berinteraksi dengan Ground Truth. Izin yang diperlukan untuk mengakses AWS layanan lain tergantung pada kasus penggunaan Anda:
+ Izin Amazon S3 diperlukan untuk semua kasus penggunaan. Izin ini harus memberikan akses ke bucket Amazon S3 yang berisi data input dan output.
+ AWS Marketplace izin diperlukan untuk menggunakan tenaga kerja vendor.
+ Izin Amazon Cognito diperlukan untuk penyiapan tim kerja pribadi.
+ AWS KMS izin diperlukan untuk melihat AWS KMS kunci yang tersedia yang dapat digunakan untuk enkripsi data keluaran.
+ Izin IAM diperlukan untuk mencantumkan peran eksekusi yang sudah ada sebelumnya, atau untuk membuat yang baru. Selain itu, Anda harus menggunakan add a `PassRole` permission untuk memungkinkan SageMaker AI menggunakan peran eksekusi yang dipilih untuk memulai pekerjaan pelabelan.
Bagian berikut mencantumkan kebijakan yang mungkin ingin Anda berikan kepada peran untuk menggunakan satu atau beberapa fungsi Ground Truth.
**Topics**
+ [Izin Konsol Ground Truth](#sms-security-permissions-console-all)
+ [Izin Alur Kerja Pelabelan Kustom](#sms-security-permissions-custom-workflow)
+ [Izin Tenaga Kerja Pribadi](#sms-security-permission-workforce-creation)
+ [Izin Tenaga Kerja Vendor](#sms-security-permissions-workforce-creation-vendor)
## Izin Konsol Ground Truth
Untuk memberikan izin kepada pengguna atau peran untuk menggunakan area Ground Truth pada konsol SageMaker AI untuk membuat pekerjaan pelabelan, lampirkan kebijakan berikut ke pengguna atau peran tersebut. Kebijakan berikut akan memberikan izin peran IAM untuk membuat pekerjaan pelabelan menggunakan [tipe tugas tipe tugas bawaan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Jika Anda ingin membuat alur kerja pelabelan kustom, tambahkan kebijakan [Izin Alur Kerja Pelabelan Kustom](#sms-security-permissions-custom-workflow) ke kebijakan berikut. Masing-masing yang `Statement` disertakan dalam kebijakan berikut dijelaskan di bawah blok kode ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Kebijakan ini mencakup pernyataan berikut. Anda dapat mencatat pernyataan ini dengan menambahkan sumber daya tertentu ke `Resource` daftar untuk pernyataan itu.
`SageMakerApis`
Pernyataan ini mencakup`sagemaker:*`, yang memungkinkan pengguna untuk melakukan semua [tindakan SageMaker AI API](sagemaker/latest/APIReference/API_Operations.html). Anda dapat mengurangi cakupan kebijakan ini dengan membatasi pengguna untuk melakukan tindakan yang tidak digunakan untuk membuat dan memantau pekerjaan pelabelan.
**`KmsKeysForCreateForms`**
Anda hanya perlu menyertakan pernyataan ini jika Anda ingin memberikan izin pengguna untuk membuat daftar dan memilih AWS KMS kunci di konsol Ground Truth yang akan digunakan untuk enkripsi data keluaran. Kebijakan di atas memberikan izin kepada pengguna untuk mendaftar dan memilih kunci apa pun di AWS KMS akun. Untuk membatasi kunci yang dapat dicantumkan dan dipilih pengguna, tentukan kunci ARNs tersebut. `Resource`
**`SecretsManager`**
Pernyataan ini memberikan izin pengguna untuk mendeskripsikan, membuat daftar, dan membuat sumber daya AWS Secrets Manager yang diperlukan untuk membuat pekerjaan pelabelan.
`ListAndCreateExecutionRoles`
Pernyataan ini memberikan izin pengguna untuk membuat daftar (`ListRoles`) dan membuat (`CreateRole`) peran IAM di akun Anda. Ini juga memberikan izin pengguna untuk membuat (`CreatePolicy`) kebijakan dan melampirkan (`AttachRolePolicy`) kebijakan ke entitas. Ini diperlukan untuk membuat daftar, memilih, dan jika diperlukan, membuat peran eksekusi di konsol.
Jika Anda telah membuat peran eksekusi, dan ingin mempersempit cakupan pernyataan ini sehingga pengguna hanya dapat memilih peran itu di konsol, tentukan peran yang Anda inginkan agar pengguna memiliki izin untuk melihat `Resource` dan menghapus tindakan`CreateRole`,`CreatePolicy`, dan`AttachRolePolicy`. ARNs
`AccessAwsMarketplaceSubscriptions`
Izin ini diperlukan untuk melihat dan memilih tim kerja vendor yang sudah Anda langgani saat membuat pekerjaan pelabelan. Untuk memberikan izin kepada pengguna untuk *berlangganan* tim kerja vendor, tambahkan pernyataan [Izin Tenaga Kerja Vendor](#sms-security-permissions-workforce-creation-vendor) ke kebijakan di atas
`PassRoleForExecutionRoles`
Ini diperlukan untuk memberikan izin pembuat pekerjaan pelabelan untuk melihat pratinjau UI pekerja dan memverifikasi bahwa data input, label, dan instruksi ditampilkan dengan benar. Pernyataan ini memberikan izin entitas untuk meneruskan peran eksekusi IAM yang digunakan untuk membuat pekerjaan pelabelan ke SageMaker AI untuk merender dan melihat pratinjau UI pekerja. Untuk mempersempit cakupan kebijakan ini, tambahkan peran ARN dari peran eksekusi yang digunakan untuk membuat pekerjaan pelabelan di bawah. `Resource`
**`GroundTruthConsole`**
+ `groundtruthlabeling`— Hal ini memungkinkan pengguna untuk melakukan tindakan yang diperlukan untuk menggunakan fitur tertentu dari konsol Ground Truth. Ini termasuk izin untuk mendeskripsikan status pekerjaan pelabelan (`DescribeConsoleJob`), mencantumkan semua objek kumpulan data dalam file manifes masukan (`ListDatasetObjects`), memfilter kumpulan data jika pengambilan sampel kumpulan data dipilih (`RunFilterOrSampleDatasetJob`), dan untuk menghasilkan file manifes masukan jika pelabelan data otomatis digunakan (). `RunGenerateManifestByCrawlingJob` Tindakan ini hanya tersedia saat menggunakan konsol Ground Truth dan tidak dapat dipanggil langsung menggunakan API.
+ `lambda:InvokeFunction`dan `lambda:ListFunctions` — tindakan ini memberi pengguna izin untuk membuat daftar dan memanggil fungsi Lambda yang digunakan untuk menjalankan alur kerja pelabelan khusus.
+ `s3:*`- Semua izin Amazon S3 yang disertakan dalam pernyataan ini digunakan untuk melihat bucket Amazon S3 untuk [penyiapan data otomatis (), mengakses data input](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) di Amazon S3 (,`ListAllMyBuckets`), memeriksa dan membuat kebijakan CORS di Amazon S3 jika diperlukan (`ListBucket`dan`GetObject`), `GetBucketCors` dan tulis file keluaran pekerjaan pelabelan ke S3 (`PutBucketCors`). `PutObject`
+ `cognito-idp`— Izin ini digunakan untuk membuat, melihat, dan mengelola serta tenaga kerja pribadi menggunakan Amazon Cognito. Untuk mempelajari lebih lanjut tentang tindakan ini, lihat Referensi [API Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Izin Alur Kerja Pelabelan Kustom
[Tambahkan pernyataan berikut ke kebijakan yang mirip dengan yang ada untuk memberikan izin kepada pengguna [Izin Konsol Ground Truth](#sms-security-permissions-console-all) untuk memilih fungsi Lambda pra-anotasi dan pasca-anotasi yang sudah ada sebelumnya sambil membuat alur kerja pelabelan kustom.](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Untuk mempelajari cara memberikan izin entitas untuk membuat dan menguji fungsi Lambda pra-anotasi dan pasca-anotasi, lihat [Izin yang Diperlukan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html) Untuk Menggunakan Lambda Dengan Ground Truth.
## Izin Tenaga Kerja Pribadi
Saat ditambahkan ke kebijakan izin, izin berikut memberikan akses untuk membuat dan mengelola tenaga kerja pribadi dan tim kerja menggunakan Amazon Cognito. Izin ini tidak diperlukan untuk menggunakan tenaga kerja [OIDC iDP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps).
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Untuk mempelajari selengkapnya tentang membuat tenaga kerja pribadi menggunakan Amazon Cognito, lihat. [Tenaga Kerja Amazon Cognito](sms-workforce-private-use-cognito.md)
## Izin Tenaga Kerja Vendor
Anda dapat menambahkan pernyataan berikut ke kebijakan [Berikan Izin IAM untuk Menggunakan Amazon SageMaker Ground Truth Console](#sms-security-permission-console-access) untuk memberikan izin entitas untuk berlangganan [tenaga kerja vendor](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```
# Buat Peran Eksekusi SageMaker AI untuk Pekerjaan Pelabelan Ground Truth
Saat mengonfigurasi pekerjaan pelabelan, Anda perlu memberikan *peran eksekusi*, yang merupakan peran yang diizinkan oleh SageMaker AI untuk memulai dan menjalankan pekerjaan pelabelan Anda.
Peran ini harus memberikan izin Ground Truth untuk mengakses hal-hal berikut:
+ Amazon S3 untuk mengambil data input Anda dan menulis data keluaran ke bucket Amazon S3. Anda dapat memberikan izin untuk peran IAM untuk mengakses seluruh bucket dengan menyediakan ARN bucket, atau Anda dapat memberikan akses ke peran tersebut untuk mengakses sumber daya tertentu dalam bucket. Misalnya, ARN untuk bucket mungkin terlihat mirip `arn:aws:s3:::amzn-s3-demo-bucket1` dan ARN sumber daya di bucket Amazon S3 mungkin terlihat mirip dengan. `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png` Untuk menerapkan tindakan ke semua sumber daya di bucket Amazon S3, Anda dapat menggunakan wild card:. `*` Misalnya, `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`. Untuk informasi selengkapnya, lihat [Sumber Daya Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html) Amazon di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
+ CloudWatch untuk mencatat metrik pekerja dan memberi label status pekerjaan.
+ AWS KMS untuk enkripsi data. (Opsional)
+ AWS Lambda untuk memproses data input dan output saat Anda membuat alur kerja khusus.
Selain itu, jika Anda membuat [pekerjaan pelabelan streaming](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html), peran ini harus memiliki izin untuk mengakses:
+ [Amazon SQS untuk membuat interaksi dengan antrean SQS yang digunakan untuk mengelola permintaan pelabelan.](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs)
+ Amazon SNS untuk berlangganan dan mengambil pesan dari topik input Amazon SNS Anda dan mengirim pesan ke topik keluaran Amazon SNS Anda.
Semua izin ini dapat diberikan dengan kebijakan `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` terkelola *kecuali*:
+ Enkripsi volume data dan penyimpanan bucket Amazon S3 Anda. Untuk mempelajari cara mengonfigurasi izin ini, lihat[Enkripsi Data Output dan Volume Penyimpanan dengan AWS KMS](sms-security-kms-permissions.md).
+ Izin untuk memilih dan memanggil fungsi Lambda yang tidak `GtRecipe` menyertakan`SageMaker`,,`Sagemaker`,`sagemaker`, `LabelingFunction` atau dalam nama fungsi.
+ Bucket Amazon S3 yang tidak menyertakan`GroundTruth`,,,, `Groundtruth` `groundtruth` `SageMaker``Sagemaker`, dan `sagemaker` dalam awalan atau nama bucket atau [tag objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) yang disertakan `SageMaker` dalam nama (tidak peka huruf besar/kecil).
Jika Anda memerlukan izin yang lebih terperinci daripada yang disediakan`AmazonSageMakerGroundTruthExecution`, gunakan contoh kebijakan berikut untuk membuat peran eksekusi yang sesuai dengan kasus penggunaan spesifik Anda.
**Topics**
+ [Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)](#sms-security-permission-execution-role-built-in-tt)
+ [Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [Persyaratan Peran Eksekusi untuk Jenis Tugas Kustom](#sms-security-permission-execution-role-custom-tt)
+ [Persyaratan Izin Pelabelan Data Otomatis](#sms-security-permission-execution-role-custom-auto-labeling)
## Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)
Kebijakan berikut memberikan izin untuk membuat pekerjaan pelabelan untuk jenis [tugas bawaan](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Kebijakan eksekusi ini tidak menyertakan izin untuk enkripsi atau dekripsi AWS KMS data. Ganti setiap ARN merah yang dicetak miring dengan Amazon S3 Anda sendiri. ARNs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan
Jika Anda membuat pekerjaan pelabelan streaming, Anda harus menambahkan kebijakan yang mirip dengan berikut ini ke peran eksekusi yang Anda gunakan untuk membuat pekerjaan pelabelan. Untuk mempersempit cakupan kebijakan, ganti `*` in `Resource` dengan AWS sumber daya tertentu yang ingin Anda berikan izin peran IAM untuk mengakses dan menggunakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## Persyaratan Peran Eksekusi untuk Jenis Tugas Kustom
Jika Anda ingin membuat [alur kerja pelabelan kustom](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html), tambahkan pernyataan berikut ke kebijakan peran eksekusi seperti yang ditemukan di [Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)](#sms-security-permission-execution-role-built-in-tt) atau. [Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan](#sms-security-permission-execution-role-built-in-tt-streaming)
Kebijakan ini memberikan izin peran eksekusi ke fungsi Lambda pra-anotasi dan pasca-anotasi `Invoke` Anda.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## Persyaratan Izin Pelabelan Data Otomatis
Jika Anda ingin membuat pekerjaan pelabelan dengan [pelabelan data otomatis](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) diaktifkan, Anda harus 1) menambahkan satu kebijakan ke kebijakan IAM yang dilampirkan ke peran eksekusi dan 2) memperbarui kebijakan kepercayaan peran eksekusi.
Pernyataan berikut memungkinkan peran eksekusi IAM diteruskan ke SageMaker AI sehingga dapat digunakan untuk menjalankan pekerjaan pelatihan dan inferensi yang digunakan untuk pembelajaran aktif dan pelabelan data otomatis masing-masing. Tambahkan pernyataan ini ke kebijakan peran eksekusi seperti yang ditemukan di [Persyaratan Peran Eksekusi Jenis Tugas Bawaan (Non-streaming)](#sms-security-permission-execution-role-built-in-tt) atau[Persyaratan Peran Eksekusi Jenis Tugas (Streaming) Bawaan](#sms-security-permission-execution-role-built-in-tt-streaming). Ganti `arn:aws:iam:::role/` dengan peran eksekusi ARN. **Anda dapat menemukan ARN peran IAM Anda di konsol IAM di bawah Peran.**
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
Pernyataan berikut memungkinkan SageMaker AI untuk mengambil peran eksekusi untuk membuat dan mengelola pekerjaan SageMaker pelatihan dan inferensi. Kebijakan ini harus ditambahkan ke hubungan kepercayaan dari peran eksekusi. Untuk mempelajari cara menambahkan atau mengubah kebijakan kepercayaan peran IAM, lihat [Memodifikasi peran dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) Pengguna IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------
# Enkripsi Data Output dan Volume Penyimpanan dengan AWS KMS
Anda dapat menggunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi data keluaran dari pekerjaan pelabelan dengan menentukan [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) saat Anda membuat pekerjaan pelabelan. Jika Anda menggunakan operasi API `CreateLabelingJob` untuk membuat pekerjaan pelabelan yang menggunakan pelabelan data otomatis, Anda juga dapat menggunakan kunci yang dikelola pelanggan untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML untuk menjalankan tugas pelatihan dan inferensi.
Bagian ini menjelaskan kebijakan IAM yang harus Anda lampirkan ke kunci terkelola pelanggan Anda untuk mengaktifkan enkripsi data keluaran dan kebijakan yang harus Anda lampirkan ke kunci terkelola pelanggan dan peran eksekusi untuk menggunakan enkripsi volume penyimpanan. Untuk mempelajari selengkapnya tentang opsi ini, lihat [Data Keluaran dan Enkripsi Volume Penyimpanan](sms-security.md).
## Enkripsi Data Output menggunakan KMS
Jika Anda menentukan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi data keluaran, Anda harus menambahkan kebijakan IAM yang mirip dengan kunci berikut ini. Kebijakan ini memberikan peran eksekusi IAM yang Anda gunakan untuk membuat izin pekerjaan pelabelan untuk menggunakan kunci ini untuk melakukan semua tindakan yang tercantum di dalamnya. `"Action"` Untuk mempelajari lebih lanjut tentang tindakan ini, lihat [AWS KMS izin](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kebijakan ini, ganti ARN peran layanan IAM `"Principal"` dengan ARN peran eksekusi yang Anda gunakan untuk membuat pekerjaan pelabelan. Saat Anda membuat pekerjaan pelabelan di konsol, ini adalah peran yang Anda tentukan untuk Peran **IAM di bawah bagian Ikhtisar** **pekerjaan**. Saat Anda membuat pekerjaan pelabelan menggunakan`CreateLabelingJob`, ini adalah ARN yang Anda tentukan. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn)
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Enkripsi Pelabelan Data Otomatis Volume Penyimpanan Instans Komputasi Volume
Jika Anda menentukan a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)untuk mengenkripsi volume penyimpanan yang dilampirkan ke instance komputasi ML yang digunakan untuk pelatihan dan inferensi pelabelan data otomatis, Anda harus melakukan hal berikut:
+ Lampirkan izin yang dijelaskan [Enkripsi Data Output menggunakan KMS](#sms-security-kms-permissions-output-data) ke kunci yang dikelola pelanggan.
+ Lampirkan kebijakan yang mirip dengan berikut ini ke peran eksekusi IAM yang Anda gunakan untuk membuat pekerjaan pelabelan Anda. Ini adalah peran IAM yang Anda tentukan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn). `CreateLabelingJob` Untuk mempelajari lebih lanjut tentang `"kms:CreateGrant"` tindakan yang diizinkan kebijakan ini, lihat [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)di Referensi AWS Key Management Service API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
Untuk mempelajari lebih lanjut tentang enkripsi volume penyimpanan Ground Truth, lihat[Gunakan Kunci KMS Anda untuk Mengenkripsi Volume Penyimpanan Pelabelan Data Otomatis (Hanya API)](sms-security.md#sms-security-kms-storage-volume).