기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Ground Truth 사용을 위한 IAM 권한 할당
이 섹션의 주제를 사용하여 AWS Identity and Access Management (IAM) 관리형 및 사용자 지정 정책을 사용하여 Ground Truth 및 관련 리소스에 대한 액세스를 관리하는 방법을 알아봅니다.
이 페이지의 섹션을 사용하여 다음 내용을 알아볼 수 있습니다.
+ 사용자 또는 역할에게 레이블 지정 작업을 생성할 권한을 부여하는 IAM 정책 생성 방법. 관리자는 IAM 정책을 사용하여 Amazon SageMaker AI 및 Ground Truth와 관련된 기타 AWS 서비스에 대한 액세스를 제한할 수 있습니다.
+ SageMaker AI *실행 역할* 생성 방법. 실행 역할은 레이블 지정 작업을 생성할 때 지정하는 역할입니다. 이 역할은 레이블 지정 작업을 시작하고 관리하는 데 사용됩니다.
다음은 이 페이지에서 찾을 수 있는 항목에 대한 개요입니다.
+ Ground Truth를 막 사용하기 시작했거나 사용 사례에 대한 세분화된 권한이 필요하지 않은 경우에는 [Ground Truth와 함께 IAM 관리형 정책 사용](sms-security-permissions-get-started.md)에 설명된 IAM 관리형 정책을 사용하는 것이 좋습니다.
+ [Amazon SageMaker Ground Truth 콘솔을 사용하는 IAM 권한 부여](sms-security-permission-console-access.md)에서 Ground Truth 콘솔을 사용하는 데 필요한 권한에 대해 알아보세요. 이 섹션에는 IAM 엔터티에 비공개 작업 팀을 생성 및 수정하고, 공급업체 작업 팀을 구독하고, 사용자 지정 레이블 지정 작업 워크플로를 생성할 권한을 부여하는 정책 예제가 포함되어 있습니다.
+ 레이블 지정 작업을 생성할 때는 실행 역할을 제공해야 합니다. 이 역할에 필요한 사용 권한에 대해 알아보려면 [Ground Truth 레이블링 작업을 위한 SageMaker AI 실행 역할 생성](sms-security-permission-execution-role.md)을 사용합니다.
# Ground Truth와 함께 IAM 관리형 정책 사용
SageMaker AI 및 Ground Truth는 레이블 지정 작업을 생성하는 데 사용할 수 있는 AWS 관리형 정책을 제공합니다. Ground Truth를 막 사용하기 시작했고 사용 사례에 대한 세분화된 권한이 필요하지 않은 경우에는 다음 정책을 사용하는 것이 좋습니다.
+ `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)` – 이 정책을 사용하여 사용자 또는 역할에게 레이블 지정 작업을 생성할 수 있는 권한을 부여하세요. 이는 콘솔 및 API를 통해 SageMaker AI 기능과 필요한 AWS 서비스의 기능을 사용할 수 있는 권한을 엔터티에 부여하는 광범위한 정책입니다. 이 정책은 Amazon Cognito를 사용하여 레이블 지정 작업을 생성하고 인력을 생성 및 관리할 권한을 엔터티에 부여합니다. 자세한 내용은 [AmazonSageMakerFullAccess 정책](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)을 참조하세요.
+ `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` – `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` 정책을 역할에 연결하면 *실행 역할*을 생성할 수 있습니다. 실행 역할은 레이블 지정 작업을 생성할 때 지정하는 역할이며, 레이블 지정 작업을 시작할 때 사용됩니다. 이 정책을 통해 스트리밍 및 비스트리밍 레이블 지정 작업을 모두 만들고 원하는 작업 유형을 사용하여 레이블 지정 작업을 만들 수 있습니다. 이 관리형 정책의 다음 제한에 유의하세요.
+ **Amazon S3 권한**: 이 정책은 이름에 `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker`, `sagemaker` 문자열이 포함된 Amazon S3 버킷 또는 이름에 `SageMaker`이(가) 포함된(대/소문자 구분 안 함) [객체 태그](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)가 있는 버킷에 액세스할 권한을 실행 역할에 부여합니다. 입력 및 출력 버킷 이름에 이러한 문자열이 포함되어 있는지 확인하거나 실행 역할에 권한을 추가하여 [Amazon S3 버킷에 액세스할 수 있는 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html)을 부여하세요. Amazon S3 버킷에서 `AbortMultipartUpload`, `GetObject`, `PutObject` 작업을 수행하려면 이 역할에 권한을 부여해야 합니다.
+ **사용자 지정 워크플로**: [사용자 지정 레이블 지정 워크플로](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)를 생성할 때이 실행 역할은 AWS Lambda 함수 이름의 일부로 다음 문자열 중 하나를 사용하여 함수를 호출하는 것으로 제한됩니다`LabelingFunction`. `GtRecipe`, `SageMaker`, `Sagemaker``sagemaker`, 또는 . 이는 주석 전 및 주석 후 Lambda 함수에 모두 적용됩니다. 이러한 문자열이 포함되지 않은 이름을 사용하기로 선택한 경우 레이블 지정 작업을 생성하는 데 사용되는 실행 역할에 `lambda:InvokeFunction` 권한을 명시적으로 제공해야 합니다.
사용자 또는 역할에 AWS 관리형 정책을 연결하는 방법을 알아보려면 [IAM 사용 설명서의 IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)를 참조하세요.
# Amazon SageMaker Ground Truth 콘솔을 사용하는 IAM 권한 부여
SageMaker AI 콘솔의 Ground Truth 영역을 사용하려면 개체에 Ground Truth가 상호 작용하는 SageMaker AI 및 기타 AWS 서비스에 액세스할 수 있는 권한을 부여해야 합니다. 다른 AWS 서비스에 액세스하는 데 필요한 권한은 사용 사례에 따라 다릅니다.
+ 모든 사용 사례에 Amazon S3 권한이 필요합니다. 이러한 권한은 입력 및 출력 데이터를 포함하는 Amazon S3 버킷에 대한 액세스를 부여해야 합니다.
+ AWS Marketplace 공급업체 인력을 사용하려면 권한이 필요합니다.
+ 비공개 작업 팀을 설정하려면 Amazon Cognito 권한이 필요합니다.
+ AWS KMS 출력 데이터 암호화에 사용할 수 있는 AWS KMS 키를 보려면 권한이 필요합니다.
+ 기존 실행 역할을 나열하거나 새 실행 역할을 생성하려면 IAM 권한이 필요합니다. 또한 먼저 `PassRole` 권한 추가를 사용하여 SageMaker AI가 레이블링 작업을 시작하기 위해 선택한 실행 역할을 사용할 수 있도록 허용해야 합니다.
다음 섹션에는 Ground Truth의 기능을 하나 이상 사용하기 위해 역할에 부여할 수 있는 정책이 나열되어 있습니다.
**Topics**
+ [Ground Truth 콘솔 권한](#sms-security-permissions-console-all)
+ [사용자 지정 레이블 워크플로 권한](#sms-security-permissions-custom-workflow)
+ [프라이빗 작업 인력 권한](#sms-security-permission-workforce-creation)
+ [공급업체 작업 인력 권한](#sms-security-permissions-workforce-creation-vendor)
## Ground Truth 콘솔 권한
SageMaker AI 콘솔의 Ground Truth 영역을 사용하여 사용자 또는 역할에 레이블링 작업을 만들 수 있는 권한을 부여하려면 사용자 또는 역할에 다음 정책을 연결합니다. 다음 정책은 [기본 제공 태스크 유형](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) 작업 유형을 사용한 대한 레이블 지정 작업을 생성할 IAM 역할 권한을 부여합니다. 사용자 지정 레이블 워크플로를 만들려면 [사용자 지정 레이블 워크플로 권한](#sms-security-permissions-custom-workflow)의 정책을 다음 정책에 추가하세요. 다음 정책에 포함된 각 `Statement`은(는) 이 코드 블록 아래에 설명되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
이 정책에 포함되는 문은 다음과 같습니다. 해당 명령문의 `Resource` 목록에 특정 리소스를 추가하여 이러한 명령문의 범위를 좁힐 수 있습니다.
`SageMakerApis`
이 명령문에는 사용자가 모든 [SageMaker AI API 작업](sagemaker/latest/APIReference/API_Operations.html)을 수행할 수 있도록 허용하는 `sagemaker:*`가 포함되어 있습니다. 레이블 지정 작업을 생성하고 모니터링하는 데 사용되지 않는 작업을 사용자가 수행하지 못하도록 제한하여 이 정책의 범위를 좁힐 수 있습니다.
**`KmsKeysForCreateForms`**
Ground Truth 콘솔에서 출력 데이터 암호화에 사용할 AWS KMS 키를 나열하고 선택할 수 있는 권한을 사용자에게 부여하려면이 문만 포함하면 됩니다. 위의 정책은 사용자에게 AWS KMS계정의 모든 키를 나열하고 선택할 수 있는 권한을 부여합니다. 사용자가 나열하고 선택할 수 있는 키를 제한하려면 `Resource`에 해당 키 ARN을 지정하세요.
**`SecretsManager`**
이 문은 사용자에게 레이블 지정 작업을 생성하는 데 AWS Secrets Manager 필요한의 리소스를 설명, 나열 및 생성할 수 있는 권한을 부여합니다.
`ListAndCreateExecutionRoles`
이 명령문은 사용자에게 계정의 IAM 역할을 나열하고(`ListRoles`) 생성할(`CreateRole`) 수 있는 권한을 부여합니다. 또한 사용자에게 정책을 생성하고(`CreatePolicy`) 정책을 엔터티에 연결할(`AttachRolePolicy`) 수 있는 권한을 부여합니다. 콘솔에서 실행 역할을 나열하고, 선택하고, 필요한 경우 실행 역할을 생성하는 데 필요합니다.
실행 역할을 이미 만들었고 사용자가 콘솔에서 해당 역할만 선택할 수 있도록 이 명령문의 범위를 좁히려면 사용자에게 보기 권한을 부여할 역할의 ARN을 `Resource`에서 지정하고, 작업 `CreateRole`, `CreatePolicy`, `AttachRolePolicy`을(를) 제거하세요.
`AccessAwsMarketplaceSubscriptions`
레이블 지정 작업을 생성할 때 이미 구독한 공급업체 작업 팀을 보고 선택하려면 이러한 권한이 필요합니다. 사용자에게 공급업체 작업 팀에 *구독*할 수 있는 권한을 부여하려면 위의 정책에 [공급업체 작업 인력 권한](#sms-security-permissions-workforce-creation-vendor)의 명령문을 추가하세요.
`PassRoleForExecutionRoles`
이는 레이블 지정 작업 생성자에게 작업자 UI를 미리 보고 입력 데이터, 레이블 및 지침이 올바르게 표시되는지 확인할 수 있는 권한을 부여하는 데 필요합니다. 이 명령문은 레이블링 작업을 생성하는 데 사용된 IAM 실행 역할을 SageMaker AI에 전달하여 작업자 UI를 렌더링하고 미리 볼 수 있는 권한을 엔터티에 부여합니다. 이 정책의 범위를 좁히려면 레이블 지정 작업을 생성하는 데 사용되는 실행 역할의 역할 ARN을 `Resource` 아래에 추가하세요.
**`GroundTruthConsole`**
+ `groundtruthlabeling` – 이를 통해 사용자는 Ground Truth 콘솔의 특정 기능을 사용하는 데 필요한 작업을 수행할 수 있습니다. 여기에는 레이블 지정 작업 상태를 설명하고(`DescribeConsoleJob`), 입력 매니페스트 파일의 모든 데이터세트 객체를 나열하고(`ListDatasetObjects`), 데이터세트 샘플링을 선택한 경우 데이터세트를 필터링하고(`RunFilterOrSampleDatasetJob`), 자동 데이터 레이블링을 사용하는 경우 입력 매니페스트 파일을 생성할 수 있는 권한(`RunGenerateManifestByCrawlingJob`)이 포함됩니다. 이러한 작업은 Ground Truth 콘솔을 사용할 때만 사용할 수 있으며 API를 사용하여 직접 호출할 수는 없습니다.
+ `lambda:InvokeFunction` 및 `lambda:ListFunctions` – 이러한 작업은 사용자에게 사용자 지정 레이블 워크플로를 실행하는 데 사용되는 Lambda 함수를 나열하고 간접 호출할 권한을 부여합니다.
+ `s3:*` – 이 명령문에 포함된 모든 Amazon S3 권한은 [자동화된 데이터 설정](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html)을 위해 Amazon S3 버킷을 보고(`ListAllMyBuckets`), Amazon S3의 입력 데이터에 액세스하고(`ListBucket`, `GetObject`) 필요한 경우 Amazon S3에서 CORS 정책을 확인 및 생성하고(`GetBucketCors`, `PutBucketCors`), S3에 레이블 지정 작업 출력 파일을 쓰는 데(`PutObject`) 사용됩니다.
+ `cognito-idp` – 이러한 권한은 Amazon Cognito를 사용하여 프라이빗 작업 인력을 만들고, 보고, 관리하는 데 사용됩니다. 이러한 작업에 대해 자세히 알아보려면 [Amazon Cognito API 참조](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html)를 참조하세요.
## 사용자 지정 레이블 워크플로 권한
[사용자 지정 레이블 워크플로를 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)하는 동안 기존 사전 주석 및 사후 주석 Lambda 함수를 선택할 수 있는 권한을 사용자에게 부여하는 정책과 유사한 [Ground Truth 콘솔 권한](#sms-security-permissions-console-all)의 정책에 다음 명령문을 추가합니다.
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
엔터티에 사전 주석 및 사후 주석 Lambda 함수를 생성하고 테스트할 수 있는 권한을 부여하는 방법을 알아보려면 [Lambda With Ground Truth를 사용하는 데 필요한 권한](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html)을 참조하세요.
## 프라이빗 작업 인력 권한
다음 권한을 권한 정책에 추가하면 Amazon Cognito를 사용하여 프라이빗 작업 인력 및 작업 팀을 생성하고 관리할 수 있는 액세스 권한이 부여됩니다. 이러한 권한은 [OIDC IdP 인력](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps)을 사용하는 데 필요하지 않습니다.
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Amazon Cognito를 사용하여 프라이빗 작업 인력을 생성하는 방법에 대한 자세한 내용은 [Amazon Cognito 작업 인력](sms-workforce-private-use-cognito.md)을(를) 참조하세요.
## 공급업체 작업 인력 권한
[Amazon SageMaker Ground Truth 콘솔을 사용하는 IAM 권한 부여](#sms-security-permission-console-access)의 정책에 다음 명령문을 추가하여 엔터티에 [공급업체 작업 인력](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html)을 구독할 권한을 부여할 수 있습니다.
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```
# Ground Truth 레이블링 작업을 위한 SageMaker AI 실행 역할 생성
레이블링 작업을 구성할 때 *실행 역할*을 제공해야 합니다. 이 역할은 SageMaker AI가 레이블링 작업을 시작하고 실행할 수 있는 권한을 가진 역할입니다.
이 역할은 다음에 액세스할 수 있는 권한을 Ground Truth에 부여해야 합니다.
+ Amazon S3를 사용하여 입력 데이터를 검색하고 Amazon S3 버킷에 출력 데이터를 쓸 수 있습니다. 버킷 ARN을 제공하여 전체 버킷에 액세스할 수 있는 권한을 IAM 역할에 부여하거나, 버킷의 특정 리소스에 액세스하기 위해 역할에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 버킷의 ARN은 `arn:aws:s3:::amzn-s3-demo-bucket1`와(과) 비슷할 수 있으며 Amazon S3 버킷에 있는 리소스의 ARN은 `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/file-name.png`와(과) 비슷할 수 있습니다. Amazon S3 버킷의 모든 리소스에 작업을 적용하려면 와일드카드 `*`을(를) 사용하면 됩니다. 예를 들어 `arn:aws:s3:::amzn-s3-demo-bucket1/prefix/*`입니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 [Amazon S3 리소스](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-arn-format.html)를 참조하세요.
+ 작업자 지표 및 레이블 지정 작업 상태 로깅을 위한 CloudWatch
+ AWS KMS 데이터 암호화를 위한 입니다. (선택 사항)
+ AWS Lambda 사용자 지정 워크플로를 생성할 때 입력 및 출력 데이터를 처리하기 위한 입니다.
또한 [스트리밍 레이블 지정 작업](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html)을 생성하는 경우 이 역할에 다음에 대한 액세스 권한이 있어야 합니다.
+ Amazon SQS는 [레이블 지정 요청을 관리](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-streaming-labeling-job.html#sms-streaming-how-it-works-sqs)하는 데 사용되는 SQS 대기열과의 상호 작용을 생성합니다.
+ Amazon SNS를 사용하여 Amazon SNS 입력 주제를 구독하고 메시지를 검색하며, Amazon SNS 출력 주제로 메시지를 전송할 수 있습니다.
`[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` 관리형 정책을 통해 이러한 권한을 모두 부여할 수 있습니다. 단, 다음과 같은 권한은 *예외*입니다.
+ Amazon S3 버킷의 데이터 및 스토리지 볼륨 암호화 이러한 권한을 구성하는 방법에 대해 알아보려면 [를 사용하여 출력 데이터 및 스토리지 볼륨 암호화 AWS KMS](sms-security-kms-permissions.md)을(를) 참조하세요.
+ 함수 이름에 `GtRecipe`, `SageMaker`, `Sagemaker`, `sagemaker`, 또는 `LabelingFunction`을(를) 포함하지 않는 Lambda 함수를 선택하고 간접 호출할 수 있는 권한입니다.
+ 접두사 또는 버킷 이름에 `GroundTruth`, `Groundtruth`, `groundtruth`, `SageMaker`, `Sagemaker`, 또는 `sagemaker`을(를) 포함하지 않는 Amazon S3 버킷 또는 이름에 `SageMaker`을(를) 포함한(대/소문자 구분 안 함) [객체 태그](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html).
`AmazonSageMakerGroundTruthExecution`에 제공된 권한보다 더 세분화된 권한이 필요한 경우 다음 정책 예제를 사용하여 특정 사용 사례에 맞는 실행 역할을 생성하세요.
**Topics**
+ [기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항](#sms-security-permission-execution-role-built-in-tt)
+ [기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항](#sms-security-permission-execution-role-built-in-tt-streaming)
+ [사용자 지정 태스크 유형의 실행 역할 요구 사항](#sms-security-permission-execution-role-custom-tt)
+ [자동 데이터 레이블링 권한 요구 사항](#sms-security-permission-execution-role-custom-auto-labeling)
## 기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항
다음 정책은 [기본 제공 태스크 유형](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html)에 대한 레이블 지정 작업을 만들 수 있는 권한을 부여합니다. 이 실행 정책에는 AWS KMS 데이터 암호화 또는 복호화에 대한 권한이 포함되지 않습니다. 빨간색, 기울임꼴로 표시된 각 ARN을 사용자의 Amazon S3 ARN으로 교체하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3ViewBuckets",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::"
]
},
{
"Sid": "S3GetPutObjects",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::/*"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## 기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항
스트리밍 레이블 지정 작업을 생성하는 경우 레이블 지정 작업을 만들 때 사용할 실행 역할에 다음과 유사한 정책을 추가해야 합니다. 정책의 범위를 좁히려면의를 IAM 역할에 액세스 및 사용 권한을 부여하려는 특정 AWS 리소스`*``Resource`로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sns:us-east-1:111122223333:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:input-topic-name",
"arn:aws:sns:us-east-1:111122223333:output-topic-name"
]
}
]
}
```
------
## 사용자 지정 태스크 유형의 실행 역할 요구 사항
[사용자 지정 레이블 워크플로](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)를 만들려면 [기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항](#sms-security-permission-execution-role-built-in-tt) 또는 [기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항](#sms-security-permission-execution-role-built-in-tt-streaming)에 있는 것과 같은 실행 역할 정책에 다음 명령문을 추가하세요.
이 정책은 `Invoke` 사전 주석 및 사후 주석 Lambda 함수에 실행 역할 권한을 부여합니다.
```
{
"Sid": "LambdaFunctions",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:::function:",
"arn:aws:lambda:::function:"
]
}
```
## 자동 데이터 레이블링 권한 요구 사항
[자동 데이터 레이블링](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html)을 활성화하여 레이블 지정 작업을 생성하려면 1) 실행 역할에 연결된 IAM 정책에 정책 하나를 추가하고 2) 실행 역할의 신뢰 정책을 업데이트해야 합니다.
다음 명령문을 사용하면 IAM 실행 역할을 SageMaker AI에 전달하여 능동적 학습과 자동화된 데이터 레이블링에 사용되는 훈련 및 추론 작업을 각각 실행하는 데 사용할 수 있습니다. [기본 제공 태스크 유형(비스트리밍) 실행 역할 요구 사항](#sms-security-permission-execution-role-built-in-tt) 또는 [기본 제공 태스크 유형(스트리밍) 실행 역할 요구 사항](#sms-security-permission-execution-role-built-in-tt-streaming)에 있는 것과 같이 실행 역할 정책에 이 명령문을 추가하세요. `arn:aws:iam:::role/`을(를) 실행 역할 ARN으로 대체하세요. 사용자 IAM 역할 ARN은 **역할**의 IAM 콘솔에서 찾을 수 있습니다.
```
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam:::role/",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
```
다음 명령문은 SageMaker AI가 SageMaker 훈련 및 추론 작업을 생성하고 관리하는 실행 역할을 맡을 수 있도록 허용합니다. 이 정책은 실행 역할의 신뢰 관계에 추가되어야 합니다. IAM 역할 신뢰 정책을 추가하거나 수정하는 방법을 알아보려면 IAM 사용 설명서의 [역할 수정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole"
}
}
```
------
# 를 사용하여 출력 데이터 및 스토리지 볼륨 암호화 AWS KMS
레이블 지정 작업을 생성할 때 [고객 관리형 키를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) 지정하여 AWS Key Management Service (AWS KMS)를 사용하여 레이블 지정 작업의 출력 데이터를 암호화할 수 있습니다. API 작업 `CreateLabelingJob`을(를) 사용하여 자동 데이터 레이블링을 사용하는 레이블 지정 작업을 생성하는 경우 고객 관리형 키를 사용하여 ML 컴퓨팅 인스턴스에 연결된 스토리지 볼륨을 암호화하여 훈련 및 추론 작업을 실행할 수도 있습니다.
이 섹션에서는 출력 데이터 암호화를 활성화하기 위해 고객 관리형 키에 연결해야 하는 IAM 정책과 스토리지 볼륨 암호화를 사용하기 위해 고객 관리형 키 및 실행 역할에 연결해야 하는 정책을 설명합니다. 이러한 옵션에 대해 자세히 알아보려면 [출력 데이터 및 스토리지 볼륨 암호화](sms-security.md) 섹션을 참조하세요.
## KMS를 사용한 출력 데이터 암호화
출력 데이터를 암호화하기 위해 AWS KMS 고객 관리형 키를 지정하는 경우 해당 키와 유사한 IAM 정책을 추가해야 합니다. 이 정책은 레이블 지정 작업을 생성하는 데 사용하는 IAM 실행 역할에 이 키를 사용하여 `"Action"`에 나열된 모든 작업을 수행할 수 있는 권한을 부여합니다. 이러한 작업에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 [AWS KMS 권한을](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) 참조하세요.
이 정책을 사용하려면 `"Principal"`의 IAM 서비스 역할 ARN을 레이블 지정 작업을 생성하는 데 사용하는 실행 역할의 ARN으로 교체하세요. 콘솔에서 레이블 지정 작업을 생성할 때 이 역할은 **작업 개요** 섹션에서 **IAM 역할**에 지정하는 역할입니다. `CreateLabelingJob`을(를) 사용하여 레이블 지정 작업을 생성할 때 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn)에 지정한 ARN입니다.
```
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## 자동 데이터 레이블링 ML 컴퓨팅 인스턴스 스토리지 볼륨 암호화
자동 데이터 레이블링 훈련 및 추론에 사용되는 ML 컴퓨팅 인스턴스에 연결된 스토리지 볼륨을 암호화하도록 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId)을(를) 지정하는 경우 다음을 수행해야 합니다.
+ [KMS를 사용한 출력 데이터 암호화](#sms-security-kms-permissions-output-data)에 설명된 권한을 고객 관리형 키에 연결합니다.
+ 레이블 지정 작업을 생성할 때 사용하는 IAM 실행 역할에 다음과 유사한 정책을 연결합니다. `CreateLabelingJob`에서 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn)에 지정한 IAM 역할입니다. 이 정책에서 허용하는 `"kms:CreateGrant"` 작업에 대한 자세한 내용은 AWS Key Management Service API 참조의 섹션을 참조[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
```
------
Ground Truth 스토리지 볼륨 암호화에 대한 자세한 내용은 [KMS 키를 사용한 자동 데이터 레이블링 스토리지 볼륨 암호화(API 전용)](sms-security.md#sms-security-kms-storage-volume)을(를) 참조하세요.