Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Concedi a IAM il permesso di utilizzare la console Amazon SageMaker Ground Truth
Per utilizzare l'area Ground Truth della console SageMaker AI, devi concedere l'autorizzazione a un'entità per accedere all' SageMaker IA e ad altri AWS servizi con cui interagisce Ground Truth. Le autorizzazioni richieste per accedere ad altri AWS servizi dipendono dal caso d'uso:
+ Le autorizzazioni di Amazon S3 sono necessarie per tutti i casi d'uso. Queste autorizzazioni devono concedere l'accesso ai bucket Amazon S3 che contengono dati di input e output.
+ Marketplace AWS le autorizzazioni sono necessarie per utilizzare la forza lavoro di un fornitore.
+ Per la configurazione del team di lavoro privato è richiesta l'autorizzazione di Amazon Cognito.
+ AWS KMS sono necessarie le autorizzazioni per visualizzare le AWS KMS chiavi disponibili che possono essere utilizzate per la crittografia dei dati di output.
+ Le autorizzazioni IAM sono necessarie per elencare i ruoli di esecuzione preesistenti o per creare un nuovo ruolo. Inoltre, è necessario utilizzare add a `PassRole` permission per consentire all' SageMaker IA di utilizzare il ruolo di esecuzione scelto per avviare il processo di etichettatura.
Le sezioni seguenti elencano le policy che potresti voler concedere a un ruolo per utilizzare una o più funzioni di Ground Truth.
**Topics**
+ [
## Autorizzazioni della console Ground Truth
](#sms-security-permissions-console-all)
+ [
## Autorizzazioni personalizzate per il flusso di lavoro di etichettatura
](#sms-security-permissions-custom-workflow)
+ [
## Autorizzazioni per la forza lavoro privata
](#sms-security-permission-workforce-creation)
+ [
## Autorizzazioni per la forza lavoro del fornitore
](#sms-security-permissions-workforce-creation-vendor)
## Autorizzazioni della console Ground Truth
Per concedere l'autorizzazione a un utente o a un ruolo di utilizzare l'area Ground Truth della console SageMaker AI per creare un processo di etichettatura, allega la seguente politica all'utente o al ruolo. La seguente policy concede a un ruolo IAM l'autorizzazione per creare un processo di etichettatura utilizzando un [tipo di attività predefinito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Se desideri creare un flusso di lavoro di etichettatura personalizzato, aggiungi la policy [Autorizzazioni personalizzate per il flusso di lavoro di etichettatura](#sms-security-permissions-custom-workflow) alla policy seguente. Ciascun criterio `Statement` incluso nella seguente policy è descritto sotto questo blocco di codice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Questa policy include le seguenti istruzioni. È possibile definire una qualsiasi di queste istruzioni aggiungendo risorse specifiche all'elenco `Resource` relativo a tale istruzione.
`SageMakerApis`
Questa dichiarazione include`sagemaker:*`, che consente all'utente di eseguire tutte le [azioni dell'API SageMaker AI](sagemaker/latest/APIReference/API_Operations.html). È possibile ridurre l'ambito di questa policy impedendo agli utenti di eseguire operazioni che non vengono utilizzate per creare e monitorare un processo di etichettatura.
**`KmsKeysForCreateForms`**
È necessario includere questa dichiarazione solo se si desidera concedere a un utente l'autorizzazione a elencare e selezionare AWS KMS le chiavi nella console Ground Truth da utilizzare per la crittografia dei dati di output. La policy di cui sopra concede all'utente l'autorizzazione a elencare e selezionare qualsiasi chiave nell'account in AWS KMS. Per limitare le chiavi che un utente può elencare e selezionare, specifica tali chiavi ARNs in`Resource`.
**`SecretsManager`**
Questa istruzione fornisce all'utente il permesso di descrivere, elencare e creare le risorse Gestione dei segreti AWS necessarie per creare il processo di etichettatura.
`ListAndCreateExecutionRoles`
Questa istruzione fornisce all'utente l'autorizzazione a elencare (`ListRoles`) e creare (`CreateRole`) i ruoli IAM nel tuo account. Inoltre, concede all'utente l'autorizzazione a creare (`CreatePolicy`) policy e collegare (`AttachRolePolicy`) policy alle entità. Sono necessarie per elencare, selezionare e, se necessario, creare un ruolo di esecuzione nella console.
Se hai già creato un ruolo di esecuzione e desideri restringere l'ambito di questa istruzione in modo che gli utenti possano selezionare solo quel ruolo nella console, specifica i ruoli a cui desideri che l'utente disponga ARNs dell'autorizzazione per visualizzare `Resource` e rimuovere le azioni e `CreateRole` `CreatePolicy``AttachRolePolicy`,
`AccessAwsMarketplaceSubscriptions`
Queste autorizzazioni sono necessarie per visualizzare e scegliere i team di lavoro dei fornitori a cui sei già iscritto quando crei un processo di etichettatura. Per concedere all'utente l'autorizzazione a *iscriversi* ai team di lavoro dei fornitori, aggiungi l’istruzione in [Autorizzazioni per la forza lavoro del fornitore](#sms-security-permissions-workforce-creation-vendor) alla policy di cui sopra.
`PassRoleForExecutionRoles`
Ciò è necessario per concedere al creatore del processo di etichettatura l'autorizzazione a visualizzare in anteprima l'interfaccia utente del worker e verificare che i dati di input, le etichette e le istruzioni vengano visualizzati correttamente. Questa istruzione fornisce a un'entità le autorizzazioni per passare il ruolo di esecuzione IAM utilizzato per creare il processo di etichettatura all' SageMaker IA per il rendering e l'anteprima dell'interfaccia utente del lavoratore. Per restringere l'ambito di questa policy, aggiungi il ruolo ARN del ruolo di esecuzione utilizzato per creare il processo di etichettatura in `Resource`.
**`GroundTruthConsole`**
+ `groundtruthlabeling` – Ciò consente all'utente di eseguire le azioni necessarie per utilizzare determinate funzionalità della console Ground Truth. Queste includono le autorizzazioni per descrivere lo stato del processo di etichettatura (`DescribeConsoleJob`), elencare tutti gli oggetti del set di dati nel file manifesto di input (`ListDatasetObjects`), filtrare il set di dati se è selezionato il campionamento del set di dati (`RunFilterOrSampleDatasetJob`) e generare file manifesto di input se viene utilizzata l'etichettatura automatizzata dei dati (`RunGenerateManifestByCrawlingJob`). Queste azioni sono disponibili solo quando si utilizza la console Ground Truth e non possono essere richiamate direttamente utilizzando un'API.
+ `lambda:InvokeFunction` e `lambda:ListFunctions`: queste azioni forniscono agli utenti l'autorizzazione a elencare e richiamare le funzioni Lambda utilizzate per eseguire un flusso di lavoro di etichettatura personalizzato.
+ `s3:*`: tutte le autorizzazioni Amazon S3 incluse in questa istruzione vengono utilizzate per visualizzare i bucket Amazon S3 per la [configurazione automatizzata dei dati](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) (`ListAllMyBuckets`), accedere ai dati di input in Amazon S3 (`ListBucket`, `GetObject`), cercare e creare una policy CORS in Amazon S3, se necessario (`GetBucketCors` e `PutBucketCors`) e scrivere file di output del processo di etichettatura su S3 (`PutObject`).
+ `cognito-idp`: queste autorizzazioni vengono utilizzate per creare, visualizzare e gestire una forza lavoro privata utilizzando Amazon Cognito. Per ulteriori informazioni su queste azioni, consulta [Amazon Cognito API Reference](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Autorizzazioni personalizzate per il flusso di lavoro di etichettatura
Aggiungi la seguente istruzione a una policy simile a quella in uso in [Autorizzazioni della console Ground Truth](#sms-security-permissions-console-all) per concedere all'utente l'autorizzazione a selezionare funzioni Lambda preesistenti di pre-annotazione e post-annotazione durante la [creazione di un flusso di lavoro di etichettatura personalizzato](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html).
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Per informazioni su come concedere a un'entità l'autorizzazione a creare e testare le funzioni Lambda di pre-annotazione e post-annotazione, consulta [Required Permissions to Use Lambda With Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html).
## Autorizzazioni per la forza lavoro privata
Quando viene aggiunta a una policy di autorizzazione, la seguente autorizzazione concede l'accesso per creare e gestire una forza lavoro privata e un team di lavoro usando Amazon Cognito. Queste autorizzazioni non sono necessarie per utilizzare una [forza lavoro IdP OIDC](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps).
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Per ulteriori informazioni sulla creazione di forza lavoro privata con Amazon Cognito, consulta [Forze lavoro Amazon Cognito](sms-workforce-private-use-cognito.md).
## Autorizzazioni per la forza lavoro del fornitore
È possibile aggiungere la seguente istruzione alla policy in [Concedi a IAM il permesso di utilizzare la console Amazon SageMaker Ground Truth](#sms-security-permission-console-access) per concedere a un'entità l'autorizzazione di iscriversi alla [forza lavoro di un fornitore](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```