翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SageMaker Ground Truth コンソールを使用するための IAM アクセス許可を付与する
SageMaker AI コンソールの Ground Truth エリアを使用するには、Ground Truth がやり取りする SageMaker AI やその他の AWS サービスにアクセスするためのアクセス許可をエンティティに付与する必要があります。他の AWS サービスにアクセスするために必要なアクセス許可は、ユースケースによって異なります。
+ Amazon S3 のアクセス許可は、すべてのユースケースで必要です。これらのアクセス許可は、入出力データを含む Amazon S3 バケットへのアクセス権を付与する必要があります。
+ AWS Marketplace ベンダーワークフォースを使用するには、 アクセス許可が必要です。
+ プライベートワークチームの設定には、Amazon Cognito アクセス許可が必要です。
+ AWS KMS 出力データの暗号化に使用できる AWS KMS キーを表示するには、 アクセス許可が必要です。
+ IAM アクセス許可は、既存の実行ロールを一覧表示するか、新しい実行ロールを作成するために必要です。さらに、`PassRole` アクセス許可を追加して、ラベル付けジョブを開始するために選択した実行ロールを SageMaker AI が使用できるようにする必要があります。
次のセクションでは、Ground Truth の 1 つ以上の機能を使用するためにロールに付与する可能性があるポリシーの一覧を示します。
**Topics**
+ [Ground Truth コンソールのアクセス許可](#sms-security-permissions-console-all)
+ [カスタムラベル付けワークフローのアクセス許可](#sms-security-permissions-custom-workflow)
+ [プライベートワークフォースのアクセス許可](#sms-security-permission-workforce-creation)
+ [ベンダーワークフォースのアクセス許可](#sms-security-permissions-workforce-creation-vendor)
## Ground Truth コンソールのアクセス許可
SageMaker AI コンソール の Ground Truth 領域を使用してラベル付けジョブを作成するアクセス許可をユーザーまたはロールに付与するには、ユーザーまたはロールに次のポリシーをアタッチします。次のポリシーは、[組み込みタスクタイプ](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html)を使用してラベル付けジョブを作成するための IAM ロールクセス許可を付与します。カスタムラベル付けワークフローを作成する場合は、[カスタムラベル付けワークフローのアクセス許可](#sms-security-permissions-custom-workflow) のポリシーを以下のポリシーに追加します。次のポリシーに含まれる各 `Statement` の説明は、このコードブロックの下にあります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
このポリシーには、次のステートメントが含まれます。そのステートメントの `Resource` リストに特定のリソースを追加することにより、これらのステートメントのスコープを絞り込むことができます。
`SageMakerApis`
このステートメントには、ユーザーがすべての [SageMaker AI API アクション](sagemaker/latest/APIReference/API_Operations.html)を実行できるようにする `sagemaker:*` が含まれています。ユーザーに対し、ラベル付けジョブの作成と監視に使用されないアクションの実行を制限することで、このポリシーの範囲を縮小できます。
**`KmsKeysForCreateForms`**
このステートメントを含める必要があるのは、出力データの暗号化に使用する Ground Truth コンソールで AWS KMS キーを一覧表示および選択するアクセス許可をユーザーに付与する場合のみです。上記のポリシーは、 AWS KMSのアカウント内の任意のキーを一覧表示および選択する許可をユーザーに付与します。ユーザーがリストして選択できるキーを制限するには、`Resource` でそれらのキー ARN を指定します。
**`SecretsManager`**
このステートメントは、ラベル付けジョブの作成 AWS Secrets Manager に必要な のリソースを記述、一覧表示、作成するアクセス許可をユーザーに付与します。
`ListAndCreateExecutionRoles`
このステートメントは、アカウントに IAM ロールを一覧表示 (`ListRoles`)および作成 (`CreateRole`) する許可をユーザーに付与します。また、エンティティにポリシーを作成 (`CreatePolicy`) およびアタッチ (`AttachRolePolicy`) する許可をユーザーに付与します。これらは、コンソールで実行ロールを一覧表示、選択、必要に応じて作成する際に必要です。
実行ロールを既に作成していて、ユーザーがコンソールでそのロールのみを選択できるようにこのステートメントの範囲を絞り込む場合は、ユーザーに `Resource` での表示と、アクション `CreateRole`、`CreatePolicy`、`AttachRolePolicy` の削除の許可を持たせるロールの ARN を指定します。
`AccessAwsMarketplaceSubscriptions`
これらの権限は、ラベル付けジョブの作成時に既にサブスクライブしているベンダーワークチームを表示および選択するために必要です。ベンダーの作業チームに*サブスクライブ*する許可をユーザーに与えるには、上記のポリシーに [ベンダーワークフォースのアクセス許可](#sms-security-permissions-workforce-creation-vendor) のステートメントを追加します
`PassRoleForExecutionRoles`
これは、ラベル付けジョブの作成者にワーカー UI をプレビューし、入力データ、ラベル、指示が正しく表示されることを確認する許可を与えるために必要です。このステートメントは、ラベル付けジョブを作成するために使用される IAM 実行ロールを SageMaker AI に渡し、ワーカー UI をレンダリングおよびプレビューする許可をエンティティに付与します。このポリシーのスコープを絞り込むには、`Resource` でラベル付けジョブの作成に使用される実行ロールのロール ARN を追加します。
**`GroundTruthConsole`**
+ `groundtruthlabeling` - これにより、ユーザーは Ground Truth コンソールの特定の機能を使用するために必要なアクションを実行できます。これには、ラベル付けジョブのステータスの記述 (`DescribeConsoleJob`)、入力マニフェストファイル内のすべてのデータセットオブジェクトの一覧表示 (`ListDatasetObjects`)、データセットサンプリングが選択されている場合は、データセットのフィルタリング (`RunFilterOrSampleDatasetJob`)、自動データラベリングが使用されている場合は、入力マニフェストファイルの生成 (`RunGenerateManifestByCrawlingJob`) の許可が含まれます。これらのアクションは Ground Truth コンソールを使用する場合にのみ使用でき、API を使用して直接呼び出すことはできません。
+ `lambda:InvokeFunction` と `lambda:ListFunctions` - これらのアクションは、カスタムラベル付けワークフローの実行に使用される Lambda 関数をリストして呼び出す許可をユーザーに付与します。
+ `s3:*` - このステートメントに含まれるすべてのAmazon S3 の許可は、[データの自動セットアップ](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html)用の Amazon S3 バケットの表示(`ListAllMyBuckets`)、Amazon S3 の入力データへのアクセス(`ListBucket`、`GetObject`)、必要に応じて Amazon S3 の CORS ポリシーの確認と作成 (`GetBucketCors` と `PutBucketCors`)、S3 へのラベル付けジョブの出力ファイルの書き込み (`PutObject`) に使用されます。
+ `cognito-idp` - これらのアクセス許可は、Amazon Cognito を使用してワークフォースを作成、表示、管理し、プライベートにするために使用されます。これらのアクションの詳細については、「[Amazon Cognito API リファレンス](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html)」を参照してください。
## カスタムラベル付けワークフローのアクセス許可
次のステートメントを、[Ground Truth コンソールのアクセス許可](#sms-security-permissions-console-all) のポリシーと同様のポリシーに追加して、[カスタムラベル付けワークフローの作成中](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)に、既存の注釈前と注釈後の Lambda 関数を選択する許可をユーザーに付与します。
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
エンティティに、注釈前と注釈後の Lambda 関数の作成とテストを行う許可を与える方法については、「[Required Permissions To Use Lambda With Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html)」を参照してください。
## プライベートワークフォースのアクセス許可
アクセス許可ポリシーに追加すると、次のアクセス許可により、Amazon Cognito を使用してプライベートワークフォースとワークチームを作成および管理するアクセス許可が付与されます。これらのアクセス許可は、[OIDC IdP ワークフォース](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps)の使用時には必要ありません。
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Amazon Cognito を使用したプライベートワークフォースの作成の詳細については、「[Amazon Cognito ワークフォース](sms-workforce-private-use-cognito.md)」を参照してください。
## ベンダーワークフォースのアクセス許可
[Amazon SageMaker Ground Truth コンソールを使用するための IAM アクセス許可を付与する](#sms-security-permission-console-access) のポリシーに次のステートメントを追加して、[ベンダーワークフォース](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html)にサブスクライブするアクセス許可をエンティティに付与できます。
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```