기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 프라이빗 작업 인력
**프라이빗 작업 인력**은 *사용자*가 선택하는 작업자 그룹입니다. 이들은 회사 직원이거나 업계의 주제 관련 전문가 그룹일 수 있습니다. 예를 들어, 의료 영상에 레이블을 지정하는 작업인 경우 해당 영상에 대한 지식이 풍부한 사람으로 구성된 프라이빗 작업 인력을 생성할 수 있습니다.
각 AWS 계정은 리전당 단일 프라이빗 작업 인력에 액세스할 수 있으며, 소유자는 해당 작업 인력 내에 여러 개의 **프라이빗** **작업 팀**을 생성할 수 있습니다. 단일 프라이빗 작업 팀은 레이블 지정 작업, 인적 검토 작업 또는 *작업*을 완료하는 데 사용됩니다. 각 작업 팀을 별도의 작업에 할당하거나 여러 작업에 대해 단일 팀을 사용할 수 있습니다. 한 작업자는 둘 이상의 작업 팀에 속할 수 있습니다.
[Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) 또는 자체 프라이빗 OpenID Connect(OIDC) 자격 증명 공급자(IdP)를 사용하여 프라이빗 작업 인력을 생성 및 관리할 수 있습니다.
[Amazon SageMaker Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms.html) 또는 [Amazon Augmented AI](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-use-augmented-ai-a2i-human-review-loops.html)를 처음 사용하며 작업자를 자체 IdP로 관리할 필요가 없는 경우에는 Amazon Cognito를 사용하여 프라이빗 작업 인력을 만들고 관리하는 것이 좋습니다.
작업 인력을 생성한 후, 작업 팀을 생성하고 관리하는 것 외에도 다음과 같은 사항을 수행할 수 있습니다.
+ [작업자 성과 추적](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html)
+ [Amazon SNS 주제를 생성 및 관리하여](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html) 레이블 지정 작업이 가능할 때 작업자에게 알림
+ [IP 주소를 사용하여 작업에 대한 프라이빗 작업 인력 액세스 관리](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-api.html)
**참고**
프라이빗 작업 인력은 Ground Truth 및 Amazon A2I 간에 공유됩니다. 증강형 AI에서 사용하는 프라이빗 작업 팀을 만들고 관리하려면 SageMaker AI 콘솔의 Ground Truth 섹션을 사용하세요.
**Topics**
+ [Amazon Cognito 작업 인력](sms-workforce-private-use-cognito.md)
+ [OIDC IdP 작업 인력](sms-workforce-private-use-oidc.md)
+ [Amazon SageMaker API를 사용하여 프라이빗 작업 인력 관리](sms-workforce-management-private-api.md)
+ [작업자 성과 지표 추적](workteam-private-tracking.md)
+ [Amazon SNS 주제를 생성하려면](sms-workforce-management-private-sns.md)
# Amazon Cognito 작업 인력
Amazon SageMaker AI 콘솔을 사용하여 작업 인력을 만들고 싶거나 작업자 자격 증명 및 인증을 관리하는 오버헤드를 원하지 않는 경우 Amazon Cognito를 사용하여 프라이빗 작업 인력을 생성하고 관리합니다. Amazon Cognito로 프라이빗 작업 인력을 생성하면 프라이빗 작업자에 대해 인증, 권한 부여 및 사용자 관리를 제공합니다.
**Topics**
+ [프라이빗 작업 인력 생성(Amazon Cognito)](sms-workforce-create-private.md)
+ [프라이빗 작업 인력 관리(Amazon Cognito)](sms-workforce-management-private.md)
# 프라이빗 작업 인력 생성(Amazon Cognito)
Amazon Cognito를 사용하면 다음 방법 중 하나를 사용하여 프라이빗 작업 인력을 생성할 수 있습니다.
+ 레이블 지정 작업을 생성하는 동안 새로운 작업 인력을 생성합니다. 자세한 방법은 [레이블 지정 작업을 생성할 때 Amazon Cognito 작업 인력 생성](sms-workforce-create-private-console.md#create-workforce-labeling-job)을 참조하세요.
+ 레이블 지정 작업을 생성하기 전에 새로운 작업 인력을 생성합니다. 자세한 방법은 [레이블 지정 작업 인력 페이지를 사용하여 Amazon Cognito 작업 인력 생성하기](sms-workforce-create-private-console.md#create-workforce-sm-console)을 참조하세요.
+ Amazon Cognito 콘솔에서 사용자 풀을 생성한 후 기존 작업 인력을 가져옵니다. 자세한 방법은 [프라이빗 작업 인력 생성 (Amazon Cognito 콘솔)](sms-workforce-create-private-cognito.md)을 참조하세요.
프라이빗 작업 인력을 생성하면 해당 작업 인력 및 그와 연관된 모든 작업 팀 및 작업자가 모든 Ground Truth 레이블 지정 작업 및 Amazon Augmented AI 인적 검토 워크플로 작업에서 사용 가능하게 됩니다.
Amazon SageMaker AI를 처음 사용하고 Ground Truth 또는 A2I를 테스트하려면 콘솔을 사용하여 조직의 멤버로 구성된 프라이빗 작업 팀을 생성하는 것이 좋습니다. 레이블 지정 또는 인적 검토 워크플로(흐름 정의)를 생성할 때 이 작업 팀을 사용하여 작업자 UI 및 작업 워크플로를 테스트할 수 있습니다.
**Topics**
+ [프라이빗 작업 인력 생성(Amazon SageMaker AI 콘솔)](sms-workforce-create-private-console.md)
+ [프라이빗 작업 인력 생성 (Amazon Cognito 콘솔)](sms-workforce-create-private-cognito.md)
# 프라이빗 작업 인력 생성(Amazon SageMaker AI 콘솔)
다음 두 가지 방법 중 하나로 Amazon SageMaker AI 콘솔에서 프라이빗 작업 인력을 생성할 수 있습니다.
+ Amazon SageMaker Ground Truth 섹션의 **레이블 지정 작업** 페이지에서 레이블 지정 작업을 생성할 때.
+ Amazon SageMaker Ground Truth 섹션의 **레이블 지정 작업 인력** 페이지 사용. Amazon A2I 인적 검토 워크플로우에 대해 프라이빗 작업 인력을 생성하는 경우 이 방법을 사용합니다.
이 두 가지 방법 모두 작업 인력의 모든 구성원이 포함된 기본 작업 팀을 만들 수도 있습니다. 이 프라이빗 작업 인력은 Ground Truth 및 Amazon Augmented AI 작업 모두에 사용할 수 있습니다.
콘솔을 사용하여 프라이빗 작업 인력을 생성하면 SageMaker AI는 Amazon Cognito를 작업 인력을 위한 자격 증명 공급자로 사용합니다. 자체 OpenID Connect(OIDC) 자격 증명 공급자(IdP)를 사용하여 프라이빗 작업 인력을 생성하고 관리하려면 SageMaker API 작업 `CreateWorkforce`을 사용하여 작업 인력을 생성해야 합니다. 자세한 내용은 [프라이빗 작업 인력 생성(OIDC IdP)](sms-workforce-create-private-oidc.md) 섹션을 참조하세요.
## 레이블 지정 작업을 생성할 때 Amazon Cognito 작업 인력 생성
레이블 지정 작업을 생성할 때 프라이빗 작업 인력을 생성하지 않고 프라이빗 작업자를 사용하기로 선택한 경우 작업 팀을 생성하라는 메시지가 표시됩니다. 이 작업을 수행하면 Amazon Cognito를 사용하여 프라이빗 작업 인력이 생성됩니다.
**레이블 지정 작업을 생성하는 동안 작업 인력을 생성하려면(콘솔)**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 SageMaker AI 콘솔을 엽니다.
1. 탐색 창에서 **Labeling jobs(레이블 지정 작업)**를 선택하고 모든 필수 필드에 값을 입력합니다. 레이블 지정 작업을 시작하는 방법에 대한 지침은 [시작하기: Ground Truth로 경계 상자 레이블 지정 작업 생성](sms-getting-started.md) 섹션을 참조하세요. **다음**을 선택합니다.
1. 작업 인력 유형으로 **프라이빗**을 선택합니다.
1. **작업자** 섹션에서 다음을 입력합니다.
1. **Team name(팀 이름)**.
1. 최대 100명의 작업 인력 멤버에 대한 이메일 주소입니다. 이메일 주소는 대/소문자를 구분합니다. 작업자는 처음에 입력한 주소와 동일한 대/소문자를 사용해야 합니다. 작업이 생성된 후에 작업 인력 멤버를 추가할 수 있습니다.
1. 조직 이름. SageMaker AI는 작업자에게 보내는 이메일을 사용자 지정하는 데 이 정보를 사용합니다.
1. 작업자가 작업과 관련된 문제를 보고하기 위한 연락처 이메일 주소.
레이블 지정 작업을 생성하면 각 작업자에게 작업 인력으로 참여하도록 초대하는 이메일이 전송됩니다. 작업 인력이 생성된 후에는 SageMaker AI 콘솔 또는 Amazon Cognito 콘솔을 사용하여 작업자를 추가, 삭제 및 비활성화할 수 있습니다.
## 레이블 지정 작업 인력 페이지를 사용하여 Amazon Cognito 작업 인력 생성하기
Amazon Cognito를 사용하여 프라이빗 작업 인력을 생성하고 관리하기 위해 **레이블 지정 작업 인력** 페이지를 사용할 수 있습니다. 아래 지침에 따라 작업자 이메일을 입력하거나 Amazon Cognito 사용자 풀에서 기존의 작업 인력을 가져와서 프라이빗 작업 인력을 생성할 수 있는 옵션이 제공됩니다. 작업 인력을 가져오려면 [프라이빗 작업 인력 생성 (Amazon Cognito 콘솔)](sms-workforce-create-private-cognito.md) 섹션을 참조하세요.
**작업자 이메일을 사용하여 프라이빗 작업 인력을 생성하려면**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 Amazon SageMaker AI 콘솔을 엽니다.
1. 탐색 창에서 **Labeling workforces(레이블 지정 작업 인력)**를 선택합니다.
1. **프라이빗**을 선택한 다음 **Create private team(프라이빗 팀 생성)**을 선택합니다.
1. **Invite new workers by email(이메일로 새 작업자 초대)**을 선택합니다.
1. 최대 50개의 이메일 주소(쉼표로 구분)의 목록을 이메일 주소 상자에 붙여 넣거나 입력합니다.
1. 조직 이름과 연락처 이메일을 입력합니다.
1. 선택에 따라 팀에서 구독할 SNS 주제를 선택하여 새 레이블 지정 작업을 사용할 수 있을 때 작업자에게 이메일로 알립니다. Amazon SNS 알림은 Ground Truth에서 지원되지만 증강형 AI에서는 지원되지 않습니다. 작업자가 SNS 알림을 수신하도록 구독하면 작업자는 Ground Truth 레이블 지정 작업에 대한 알림만 받습니다. 증강형 AI 작업에 대한 알림은 받지 않습니다.
1. **Create private team(프라이빗 팀 생성)** 버튼을 클릭합니다.
프라이빗 작업 인력을 가져온 후 페이지를 새로 고칩니다. **프라이빗 작업 인력 요약** 페이지에서 작업 인력의 Amazon Cognito 사용자 풀, 작업 인력의 작업 팀 목록, 프라이빗 작업 인력의 전체 멤버 목록에 대한 정보를 볼 수 있습니다.
**참고**
모든 프라이빗 작업 팀을 삭제하는 경우에는 이 프로세스를 반복하여 해당 리전의 프라이빗 작업 인력을 사용해야 합니다.
# 프라이빗 작업 인력 생성 (Amazon Cognito 콘솔)
Amazon Cognito는 프라이빗 작업 인력과 작업 팀을 정의하고 관리하는 데 사용됩니다. 작업자의 ID를 생성하고 ID 공급자를 통해 이러한 ID를 인증하는 데 사용할 수 있는 서비스입니다. 프라이빗 작업 인력은 단일 **Amazon Cognito 사용자 풀**에 해당합니다. 프라이빗 작업 팀은 해당 사용자 풀 내의 **Amazon Cognito 사용자 그룹**에 해당합니다.
Amazon Cognito에서 지원되는 자격 증명 공급자의 예:
+ Facebook 및 Google 같은 소셜 로그인 공급자
+ OpenID Connect(OIDC) 공급자
+ Active Directory 같은 Security Assertion Markup Language(SAML) 공급자
+ Amazon Cognito의 기본 제공 자격 증명 공급자
자세한 내용은 [Amazon Cognito란?](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html)을 참고하세요.
Amazon Cognito를 사용하여 프라이빗 작업 인력을 생성하려면 하나 이상의 사용자 그룹을 포함하는 기존의 Amazon Cognito 사용자 풀이 있어야 합니다. 사용자 풀을 생성하는 방법을 알아보려면 [자습서: 사용자 풀 생성](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html)을 참조하세요. 풀에 사용자 그룹을 추가하는 방법을 알아보려면 [사용자 풀에 그룹 추가](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html)를 참조하세요.
사용자 풀이 생성되면, 아래 단계에 따라 해당 사용자 풀을 Amazon SageMaker AI로 가져와서 프라이빗 작업 인력을 생성합니다.
**Amazon Cognito 사용자 풀을 가져와서 프라이빗 작업 인력을 생성하려면**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 SageMaker AI 콘솔을 엽니다.
1. 탐색 창에서 **Labeling workforces(레이블 지정 작업 인력)**를 선택합니다.
1. **프라이빗**을 선택합니다.
1. **Create private team(프라이빗 팀 생성)**을 선택합니다. 이렇게 하면 프라이빗 작업 인력과 작업 팀이 생성됩니다.
1. **기존 Amazon Cognito 사용자 그룹에서 작업자 가져오기**를 선택합니다.
1. 생성한 사용자 풀을 선택합니다. 사용자 풀에는 도메인과 기존 사용자 그룹이 필요합니다. 도메인이 누락되었다는 오류가 발생하는 경우, 그룹의 Amazon Cognito 콘솔의 **앱 통합** 페이지에 있는 **도메인 이름** 옵션에서 이를 설정하세요.
1. 앱 클라이언트를 선택합니다. SageMaker AI에서 생성한 클라이언트를 사용하는 것이 좋습니다.
1. 풀에서 사용자 그룹을 선택하여 멤버를 가져옵니다.
1. 필요에 따라 팀에서 구독할 Amazon Simple Notification Service(Amazon SNS) 주제를 선택하여 새 레이블 지정 작업을 사용할 수 있게 되면 작업자에게 이메일로 알릴 수 있도록 합니다. Amazon SNS 알림은 Ground Truth에서 지원되지만 증강형 AI에서는 지원되지 않습니다. 작업자가 SNS 알림을 수신하도록 구독하면 작업자는 Ground Truth 레이블 지정 작업에 대한 알림만 받습니다. 증강형 AI 작업에 대한 알림은 받지 않습니다.
1. **Create private team(프라이빗 팀 생성)**을 선택합니다.
**중요**
Amazon Cognito 사용자 풀을 사용하여 작업 인력을 생성한 후에는 먼저 SageMaker AI 콘솔에서 해당 풀과 연결된 모든 작업 팀을 삭제해야만 작업 인력이 삭제됩니다.
프라이빗 작업 인력을 가져오고 난 후에는 페이지를 새로 고침하여 **Private workforce summary(프라이빗 작업 인력 요약)** 페이지를 확인합니다. 이 페이지에서 작업 인력의 Amazon Cognito 사용자 풀에 대한 정보, 작업 인력의 작업 팀 목록, 프라이빗 작업 인력의 전체 멤버 목록을 볼 수 있습니다. 이제 이 작업 인력을 Amazon Augmented AI 및 Amazon SageMaker Ground Truth 모두에서 각각 인적 검토 작업과 데이터 레이블 지정 작업에 사용할 수 있습니다.
# 프라이빗 작업 인력 관리(Amazon Cognito)
Amazon Cognito를 사용하여 프라이빗 작업 인력을 생성한 후에는 Amazon SageMaker AI 콘솔 및 API 작업을 사용하여 작업 팀을 만들고 관리할 수 있습니다.
[SageMaker AI 콘솔](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-console.html) 또는 [Amazon Cognito 콘솔](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-cognito.html)을 사용하여 다음 작업을 수행할 수 있습니다.
+ 작업 팀 추가 및 삭제
+ 작업 인력과 하나 이상의 작업 팀에 작업자 추가
+ 작업 인력 및 하나 이상의 작업 팀에서 작업자 비활성화 또는 제거 Amazon Cognito 콘솔을 사용하여 작업 인력에 작업자를 추가하는 경우, 동일한 콘솔을 사용하여 작업 인력에서 작업자를 제거해야 합니다.
작업에 대한 액세스를 SageMaker API를 사용하여 특정 IP 주소의 작업자로 제한할 수 있습니다. 자세한 내용은 [Amazon SageMaker API를 사용하여 프라이빗 작업 인력 관리](sms-workforce-management-private-api.md) 섹션을 참조하세요.
**Topics**
+ [작업 인력 관리(Amazon SageMaker AI 콘솔)](sms-workforce-management-private-console.md)
+ [프라이빗 작업 인력 관리 (Amazon Cognito 콘솔)](sms-workforce-management-private-cognito.md)
# 작업 인력 관리(Amazon SageMaker AI 콘솔)
Amazon SageMaker AI 콘솔을 사용하여 프라이빗 작업 인력을 구성하는 작업 팀 및 개인 작업자를 생성하고 관리할 수 있습니다.
작업 팀을 사용하면 레이블 지정 작업 또는 사람이 직접하는 검토 *작업*에 프라이빗 작업 인력의 멤버를 할당할 수 있습니다. SageMaker AI 콘솔을 사용하여 작업 인력을 생성하면 작업에 전체 작업 인력을 할당할 수 있게 하는 **Everyone-in-private-workforce**라고 부르는 작업 팀이 있습니다. 가져온 Amazon Cognito 사용자 풀에 작업 팀에 포함하고 싶지 않은 구성원이 있을 수 있으므로 Amazon Cognito 사용자 풀에 대해 유사한 작업 팀이 생성되지 않습니다.
새 작업 팀을 생성하는 데 두 가지 옵션이 있습니다.
+ SageMaker AI 콘솔에서 작업 팀을 생성하고 이 팀에 작업 인력의 구성원을 추가할 수 있습니다.
+ Amazon Cognito 콘솔을 사용하여 사용자 그룹을 생성한 후 해당 사용자 그룹을 가져와 작업 팀을 생성할 수 있습니다. 각 작업 팀으로 사용자 그룹을 두 개 이상 가져올 수 있습니다. Amazon Cognito 콘솔에서 사용자 그룹을 업데이트하여 작업 팀 구성원을 관리합니다. 자세한 정보는 [프라이빗 작업 인력 관리 (Amazon Cognito 콘솔)](sms-workforce-management-private-cognito.md)을 참조하세요.
## SageMaker AI 콘솔을 사용하여 작업 팀 생성
**레이블링 작업 인력** 페이지에서 SageMaker AI 콘솔을 사용하여 새 Amazon Cognito 사용자 그룹을 생성하거나 기존 사용자 그룹을 가져올 수 있습니다. Amazon Cognito 콘솔에서 사용자 그룹을 생성하는 방법에 대한 자세한 내용은 [프라이빗 작업 인력 관리 (Amazon Cognito 콘솔)](sms-workforce-management-private-cognito.md)을 참고하세요.
**SageMaker AI 콘솔을 사용하여 작업 팀을 생성하려면**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 SageMaker AI 콘솔을 엽니다.
1. 왼쪽 메뉴에서 **라벨링 작업 인력**을 선택합니다.
1. **프라이빗**에서 **Create private team(프라이빗 팀 생성)**을 선택합니다.
1. **Team details(팀 세부 정보)**에서 **Team name(팀 이름)**을 입력합니다. 이름은 AWS 리전의 계정에서 고유해야 합니다.
1. **Add workers(작업자 추가)**에서 사용자 그룹을 사용하여 팀에 작업자를 추가할 방법을 선택합니다.
+ **새로운 Amazon Cognito 사용자 그룹에 작업자를 추가하여 팀 생성하기**를 선택한 경우 팀에 추가할 작업자를 선택합니다.
+ **기존 Amazon Cognito 사용자 그룹을 가져와 팀 생성하기**를 선택한 경우 새 팀에 속할 사용자 그룹을 선택합니다.
1. **SNS 주제**를 선택할 경우 팀에 추가된 모든 작업자가 Amazon SNS 주제를 구독하게 되고 새로운 작업 항목이 팀에 배정되면 알림을 받습니다. 기존 Ground Truth 관련 Amazon SNS 주제 목록에서 선택하거나 **새로운 주제 생성**을 선택하여 주제 생성 대화 상자를 엽니다.
Amazon SNS 알림은 Ground Truth에서 지원되지만 증강형 AI에서는 지원되지 않습니다. 작업자가 SNS 알림을 수신하도록 구독하면 작업자는 Ground Truth 레이블 지정 작업에 대한 알림만 받습니다. 증강형 AI 작업에 대한 알림은 받지 않습니다.
특정 주제를 구독하는 작업 팀의 작업자는 해당 팀에 새로운 Ground Truth 레이블 지정 작업이 배정될 때 그리고 작업이 만료되기 직전에 알림을 받습니다.
Amazon SNS 주제 사용에 대한 자세한 내용은 [Amazon SNS 주제를 생성하려면](sms-workforce-management-private-sns.md) 섹션을 참조하세요.
### 구독
작업 팀을 만든 후에는 Amazon Cognito 콘솔을 방문하여 팀에 대한 자세한 정보를 확인하고 구성원이 구독하는 Amazon SNS 주제를 변경하거나 설정할 수 있습니다. 어떤 주제를 팀이 구독하도록 하기 전에 팀 구성원을 추가한 경우 수동으로 해당 구성원이 해당 주제를 구독하도록 해야 합니다. Amazon SNS 주제 생성 및 관리에 대한 자세한 내용은 [작업 팀을 위한 Amazon SNS 주제 생성 및 관리](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-private-sns.html)를 참조하세요.
## 작업자 추가 또는 제거
*작업 팀*은 사용자가 작업을 할당할 수 있는 작업 인력 내의 작업자 그룹입니다. 작업자를 둘 이상의 작업 팀에 추가할 수 있습니다. 작업팀에 작업자가 추가되면 해당 작업자를 비활성화하거나 제거할 수 있습니다.
### 작업 인력에 작업자 추가
작업자를 작업 인력에 추가하면, 해당 작업자를 해당 작업 인력 내의 모든 작업 팀에 추가할 수 있습니다.
**프라이빗 작업 인력 요약 페이지를 사용하여 작업자를 추가하려면,**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 Amazon SageMaker AI 콘솔을 엽니다.
1. **레이블 지정 작업 인력**을 선택하여 프라이빗 작업 인력 요약 페이지로 이동합니다.
1. **프라이빗**을 선택합니다.
1. ** 작업자 초대)**를 선택합니다.
1. 쉼표로 구분된 이메일 주소 목록을 이메일 주소 상자에 붙여넣거나 입력합니다. 이 목록에 최대 50개의 이메일 주소가 있을 수 있습니다.
### 작업 팀에 작업자 추가
작업 팀에 추가되기 전에 작업자를 작업 인력에 추가해야 합니다. 작업 팀에 작업자를 추가하려면 먼저 위의 단계를 사용하여 **Private workforce summary(프라이빗 작업 인력 요약)** 페이지로 이동합니다.
**프라이빗 작업 인력 요약 페이지에서 작업 팀에 작업자를 추가하려면,**
1. **프라이빗 팀** 섹션에서 작업자를 추가할 팀을 선택합니다.
1. **작업자** 탭을 선택합니다.
1. **팀에 작업자 추가**를 선택하고 추가하려는 작업자 옆에 있는 상자를 선택합니다.
1. **팀에 작업자 추가**를 클릭합니다.
### 작업 인력에서 작업자 비활성화 및 제거
작업자를 비활성화하면 작업자가 작업을 수신할 수 없게 됩니다. 하지만 작업 인력이나 작업자가 연관된 작업 팀에서 작업자가 제거되지는 않습니다. 작업 팀에서 작업자를 비활성화하거나 제거하려면, 먼저 위의 단계를 사용하여 프라이빗 작업 인력 요약 페이지로 이동합니다.
**프라이빗 작업 인력 요약 페이지를 사용하여 작업자를 비활성화하려면,**
1. **작업자** 섹션에서 비활성화할 작업자를 선택합니다.
1. **비활성화**를 선택합니다.
원하는 경우 작업자가 비활성화되고 나서 이후에 작업자를 **활성화**할 수 있습니다.
SageMaker AI 콘솔에 작업자가 추가된 경우 이 콘솔의 프라이빗 작업 인력에서 직접 해당 작업자를 제거할 수 있습니다. Amazon Cognito 콘솔에 작업자(사용자)를 추가한 경우, Amazon Cognito 콘솔에서 작업자를 제거하는 방법을 알아보려면 [프라이빗 작업 인력 관리 (Amazon Cognito 콘솔)](sms-workforce-management-private-cognito.md)을 참조하세요.
**프라이빗 작업 인력 요약 페이지를 사용하여 작업자를 제거하려면,**
1. **작업자** 섹션에서 삭제하려는 작업자를 선택합니다.
1. 작업자가 비활성화되지 않은 경우 **비활성화**를 선택합니다.
1. 작업자를 선택하고 **삭제**를 선택합니다.
# 프라이빗 작업 인력 관리 (Amazon Cognito 콘솔)
프라이빗 작업 인력은 단일 **Amazon Cognito 사용자 풀**에 해당합니다. 프라이빗 작업 팀은 해당 사용자 풀 내의 **Amazon Cognito 사용자 그룹**에 해당합니다. 작업자는 해당 그룹 내의 **Amazon Cognito 사용자**에 해당합니다.
작업 인력이 생성되고 난 후에는 Amazon Cognito 콘솔을 통해 작업 팀 및 개별 작업자를 추가할 수 있습니다. 또한, 프라이빗 작업 인력에서 작업자를 삭제하거나 Amazon Cognito 콘솔의 개별 팀에서 작업자를 제거할 수도 있습니다.
**중요**
Amazon Cognito 콘솔에서는 작업 팀을 삭제할 수 없습니다. Amazon SageMaker AI 작업 팀과 연결된 Amazon Cognito 사용자 그룹을 삭제하면 오류가 발생합니다. 작업 팀을 제거하려면 SageMaker AI 콘솔을 사용합니다.
## 작업 팀 생성 (Amazon Cognito 콘솔)
프라이빗 작업 인력과 연결된 사용자 풀에 Amazon Cognito 사용자 그룹을 추가하여 작업을 완료하기 위한 새 작업 팀을 생성할 수 있습니다. 기존 작업자 풀에 Amazon Cognito 사용자 그룹을 추가하는 방법은 [사용자 풀에 그룹 추가](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html)를 참고하세요.
**기존 Amazon Cognito 사용자 그룹을 사용하여 작업 팀을 생성하려면**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 SageMaker AI 콘솔을 엽니다.
1. 탐색 창에서 **Workforces(작업 인력)**를 선택합니다.
1. **Private teams(프라이빗 팀)**에서 **Create private team(프라이빗 팀 생성)**을 선택합니다.
1. **팀 세부 정보**에 팀 이름을 지정합니다. 이름은 AWS 리전의 계정에서 고유해야 합니다.
1. **작업자 추가에서** **기존 Amazon Cognito 사용자 그룹 가져오기**를 선택하고 새 팀에 속한 사용자 그룹을 하나 이상 선택합니다.
1. **SNS 주제**를 선택할 경우, 팀에 추가된 모든 작업자는 Amazon Simple Notification Service(Amazon SNS)를 구독하고 새로운 작업 항목이 팀에 배정되면 알림을 받습니다. SageMaker Ground Truth 또는 Amazon Augmented AI와 관련된 기존 SNS 주제 목록에서 선택하거나 **새로운 주제 생성**을 선택해 주제를 새로 생성합니다.
**참고**
Amazon SNS 알림은 Ground Truth에서 지원되지만 증강형 AI에서는 지원되지 않습니다. 작업자가 SNS 알림을 수신하도록 구독하면 작업자는 Ground Truth 레이블 지정 작업에 대한 알림만 받습니다. 증강형 AI 작업에 대한 알림은 받지 않습니다.
### 구독
작업 팀을 만든 후에는 Amazon Cognito 콘솔을 사용하여 팀에 대한 자세한 정보를 확인하고 구성원이 구독하는 SNS 주제를 변경하거나 설정할 수 있습니다. 어떤 주제를 팀이 구독하도록 하기 전에 팀 구성원을 추가한 경우 수동으로 해당 구성원이 해당 주제를 구독하도록 해야 합니다. 자세한 내용은 [Amazon SNS 주제를 생성하려면](sms-workforce-management-private-sns.md) 섹션을 참조하세요.
## 작업자 추가 및 제거 (Amazon Cognito 콘솔)
Amazon Cognito 콘솔을 사용하여 작업 팀에 작업자를 추가할 때는 해당 사용자를 사용자 그룹에 추가하기 전에 해당 작업 인력과 연결된 사용자 풀에 사용자를 추가해야 합니다. 사용자를 다양한 방법으로 사용자 풀에 추가할 수 있습니다. 자세한 내용은 [사용자 계정 등록 및 확인](https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html)을 참조하세요.
### 작업 팀에 작업자 추가
사용자를 풀에 추가한 후에는 해당 풀 내의 사용자 그룹과 연결할 수 있습니다. 사용자가 사용자 그룹에 추가되면 해당 사용자는 해당 사용자 그룹을 사용하여 생성된 모든 작업 팀에서 작업자가 됩니다.
**사용자 그룹에 사용자를 추가하려면**
1. [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)에서 Amazon Cognito 콘솔을 엽니다.
1. **사용자 풀 관리**를 선택합니다.
1. SageMaker AI 작업 인력과 연결된 사용자 풀을 선택합니다.
1. **일반 설정**에서 **사용자 및 그룹**을 선택하고 다음 중 하나를 수행합니다.
+ **그룹**을 선택하고 사용자를 추가할 그룹을 선택한 다음, **사용자 추가**를 선택합니다. 사용자 이름 오른쪽에 있는 더하기 아이콘을 선택하여 추가할 사용자를 선택합니다.
+ **사용자**를 선택하고 사용자 그룹에 추가할 사용자를 선택한 다음, **그룹에 추가**를 선택합니다. 드롭다운 메뉴에서 해당 그룹을 선택하고 **그룹에 추가**를 선택합니다.
### 작업 팀에서 작업자를 비활성화 및 제거
작업자를 비활성화하면 작업자가 작업을 수신할 수 없게 됩니다. 하지만 작업 인력이나 작업자가 연결된 작업 팀에서 작업자가 제거되지는 않습니다. Amazon Cognito의 작업 팀에서 사용자를 제거하려면 해당 팀과 연결된 사용자 그룹에서 사용자를 제거합니다.
**작업자를 비활성화하려면 (Amazon Cognito 콘솔)**
1. [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)에서 Amazon Cognito 콘솔을 엽니다.
1. **사용자 풀 관리**를 선택합니다.
1. SageMaker AI 작업 인력과 연결된 사용자 풀을 선택합니다.
1. **일반 설정**에서 **사용자 및 그룹**을 선택합니다.
1. 비활성화할 사용자를 선택합니다.
1. **사용자 비활성화**를 선택합니다.
**사용자 활성화**를 선택하여 비활성화된 사용자를 활성화할 수 있습니다.
**사용자 그룹에서 사용자를 제거하려면(Amazon Cognito 콘솔)**
1. [https://console.aws.amazon.com/cognito/](https://console.aws.amazon.com/cognito)에서 Amazon Cognito 콘솔을 엽니다.
1. **사용자 풀 관리**를 선택합니다.
1. SageMaker AI 작업 인력과 연결된 사용자 풀을 선택합니다.
1. **일반 설정**에서 **사용자 및 그룹**을 선택합니다.
1. **사용자** 탭에서 사용자를 제거할 그룹 오른쪽에 있는 **X** 아이콘을 선택합니다.
# OIDC IdP 작업 인력
자체 OIDC IdP를 사용하여 작업자를 인증하고 관리하려는 경우 OpenID Connect(OIDC) 자격 증명 공급자(IdP)를 사용하여 프라이빗 작업 인력을 생성합니다. 개별 작업자 자격 증명 및 기타 데이터는 비공개로 유지됩니다. Ground Truth와 Amazon A2I는 사용자가 이러한 서비스에 보내는 클레임을 통해 사용자가 제공하는 작업자 정보만 볼 수 있습니다. OIDC IdP를 사용하여 작업 인력을 만들려면 IdP가 *그룹*을 지원해야 합니다. Ground Truth와 Amazon A2I는 IdP에 있는 하나 이상의 그룹을 작업 팀에 매핑하기 때문입니다. 자세한 내용은 [필수 및 선택적 클레임을 Ground Truth 및 Amazon A2I로 전송](sms-workforce-create-private-oidc.md#sms-workforce-create-private-oidc-configure-idp) 섹션을 참조하세요.
Ground Truth 또는 Amazon A2I를 처음 사용하는 경우, 프라이빗 작업 팀을 만들고 자신을 작업자로 추가하여 작업자 UI 및 작업 워크플로우를 테스트할 수 있습니다. 레이블 지정 작업 또는 인적 검토 워크플로우를 생성할 때 이 작업 팀을 활용하세요. 먼저 [프라이빗 작업 인력 생성(OIDC IdP)](sms-workforce-create-private-oidc.md)의 지침에 따라 프라이빗 OIDC IdP 작업 인력을 만듭니다. 다음으로, 작업 팀을 만드는 방법을 알아보려면 [프라이빗 작업 인력 관리(OIDC IdP)](sms-workforce-manage-private-oidc.md)을 참조하세요.
**Topics**
+ [프라이빗 작업 인력 생성(OIDC IdP)](sms-workforce-create-private-oidc.md)
+ [프라이빗 작업 인력 관리(OIDC IdP)](sms-workforce-manage-private-oidc.md)
# 프라이빗 작업 인력 생성(OIDC IdP)
자체 자격 증명 공급자를 사용하여 작업자를 인증하고 관리하려는 경우 OpenID Connect(OIDC) 자격 증명 공급자(IdP)를 사용하여 프라이빗 작업 인력을 생성하세요. 이 페이지에서는 Amazon SageMaker Ground Truth(Ground Truth) 또는 Amazon Augmented AI(Amazon A2I)와 통신하도록 IdP를 구성하는 방법과 자체 IdP를 사용하여 인력을 만드는 방법을 알아봅니다.
OIDC IdP를 사용하여 인력을 만들려면 IdP가 *그룹*을 지원해야 합니다. Ground Truth와 Amazon A2I는 사용자가 작업 팀을 만들기 위해 지정하는 하나 이상의 그룹을 사용하기 때문입니다. 작업 팀을 사용하여 레이블 지정 작업과 인적 검토 작업을 수행할 작업자를 지정합니다. 그룹은 [표준 클레임](https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims)이 아니므로 IdP는 사용자 그룹(작업자)에 대해 다른 명명 규칙을 적용할 수 있습니다. 따라서 IdP에서 Ground Truth 또는 Amazon A2I로 전송되는 `sagemaker:groups` 사용자 지정 클레임을 사용하여 작업자가 속한 하나 이상의 사용자 그룹을 식별해야 합니다. 자세한 내용은 [필수 및 선택적 클레임을 Ground Truth 및 Amazon A2I로 전송](#sms-workforce-create-private-oidc-configure-idp) 섹션을 참조하세요.
SageMaker API 작업 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)를 사용하여 OIDC IdP 인력을 생성합니다. 프라이빗 작업 인력을 생성하면 해당 작업 인력 및 그와 연관된 모든 작업 팀 및 작업자가 모든 Ground Truth 레이블 지정 작업 및 Amazon A2I 인적 검토 워크플로 작업에서 사용 가능하게 됩니다. 자세한 내용은 [OIDC IdP 인력 생성](#sms-workforce-create-private-oidc-createworkforce) 섹션을 참조하세요.
## 필수 및 선택적 클레임을 Ground Truth 및 Amazon A2I로 전송
자체 IdP를 사용하는 경우 Ground Truth 및 Amazon A2I는 사용자의 `Issuer`, `ClientId` 및 `ClientSecret`를 사용하여 `AuthorizationEndpoint`에서 사용자의 인증 코드를 획득하여 작업자를 인증합니다.
Ground Truth와 Amazon A2I는 이 코드를 사용하여 사용자의 IdP의 `TokenEndpoint` 또는 `UserInfoEndpoint`로부터 사용자 지정 클레임을 획득합니다. JSON 웹 토큰 (JWT)을 반환하기 위해 `TokenEndpoint`를 구성하거나 JSON 객체를 반환하기 위해 `UserInfoEndpoint`를 구성할 수 있습니다. JWT 또는 JSON 객체에는 지정한 필수 및 선택적 클레임이 포함되어야 합니다. [클레임](https://openid.net/specs/openid-connect-core-1_0.html#Terminology)은 작업자에 대한 정보 또는 OIDC 서비스에 대한 메타데이터를 포함하는 키-값 쌍입니다. 다음 표에는 포함되어야 하는 클레임과 IdP가 반환하는 JWT 또는 JSON 객체에 선택적으로 포함될 수 있는 클레임이 나열되어 있습니다.
**참고**
다음 표의 일부 파라미터는 `:` 또는 `-`를 사용하여 지정할 수 있습니다. 예를 들어, 클레임에서 `sagemaker:groups` 또는 `sagemaker-groups`을 사용하여 작업자가 속해 있는 그룹을 지정할 수 있습니다.
| 이름 | 필수 | 허용되는 형식 및 값 | 설명 | 예제 |
| --- | --- | --- | --- | --- |
| `sagemaker:groups` 또는 `sagemaker-groups` | 예 | **데이터 유형**: 작업자가 단일 그룹에 속하는 경우 문자열을 사용하여 그룹을 식별하세요. 작업자가 여러 그룹에 속하는 경우 최대 10개의 문자열로 이루어진 목록을 사용하세요. **허용 문자**: 정규식: [\$1p\$1L\$1\$1p\$1M\$1\$1p\$1S\$1\$1p\$1N\$1\$1p\$1P\$1]\$1 **할당량**: 작업당 10 그룹 그룹 이름당 63자 | 작업자를 하나 이상의 그룹에 할당합니다. 그룹은 작업자를 작업 팀에 매핑하는 데 사용됩니다. | 단일 그룹에 속하는 작업자의 예: `"work_team1"` 둘 이상의 그룹에 속하는 작업자의 예: `["work_team1", "work_team2"]` |
| `sagemaker:sub` 또는 `sagemaker-sub` | 예 | **데이터 유형**: 문자열 | 이는 감사를 위해 Ground Truth 플랫폼 내에서 작업자 ID를 추적하고 해당 작업자가 수행한 작업을 식별하는 데 필수적입니다. ADFS의 경우: 고객은 기본 보안 식별자(SID)를 사용해야 합니다. | `"111011101-123456789-3687056437-1111"` |
| `sagemaker:client_id` 또는 `sagemaker-client_id` | 예 | **데이터 유형**: 문자열 **허용 문자**: 정규식: [\$1w\$1-]\$1 **따옴표**: 128자 | 클라이언트 ID. 모든 토큰은 이 클라이언트 ID에 대해 발행되어야 합니다. | `"00b600bb-1f00-05d0-bd00-00be00fbd0e0"` |
| `sagemaker:name` 또는 `sagemaker-name` | 예 | **데이터 유형**: 문자열 | 작업자 포털에 표시할 작업자 이름. | `"Jane Doe"` |
| `email` | 아니요 | **데이터 유형**: 문자열 | 작업자 이메일. Ground Truth는 이 이메일을 사용하여 작업자에게 레이블 지정 작업에 초대되었음을 알립니다. 또한 Ground Truth는 작업자가 소속된 작업팀을 위해 Amazon SNS 주제를 설정한 경우 레이블 지정 작업이 가능해지면 이 이메일을 사용하여 작업자에게 알립니다. | `"example-email@domain.com"` |
| `email_verified` | 아니요 | **데이터 유형**: 부울 **허용되는 값**: `True`, `False` | 사용자 이메일이 확인되었는지 여부를 나타냅니다. | `True` |
다음은 사용자의 `UserInfoEndpoint`가 반환할 수 있는 JSON 객체 구문의 예입니다.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
Ground Truth 또는 Amazon A2I는 작업자가 레이블 지정 작업 또는 인적 검토 작업에 지정된 작업팀에 속하는지 확인하기 위해 `sagemaker:groups` 또는 `sagemaker-groups` 목록에 있는 그룹을 비교합니다. 작업팀이 확인되면 레이블 지정 작업이나 인적 검토 작업이 해당 작업자에게 전달됩니다.
## OIDC IdP 인력 생성
SageMaker API 작업 `CreateWorkforce` 및 관련 언어별 SDK를 사용하여 인력을 생성할 수 있습니다. 파라미터 `OidcConfig`에 OIDC IDP에 대한 `WorkforceName` 및 정보를 지정합니다. 자리 표시자 리디렉션 URI를 사용하여 OIDC를 구성한 다음 인력을 생성한 후 작업자 포털 URL로 URI를 업데이트하는 것이 좋습니다. 자세한 내용은 [OIDC IdP 구성](#sms-workforce-create-private-oidc-configure-url) 섹션을 참조하세요.
다음 그림에서는 요청 예시를 보여줍니다. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)를 참조하여 이 요청의 각 파라미터에 대한 자세한 내용을 알아보세요.
```
CreateWorkforceRequest: {
#required fields
WorkforceName: "example-oidc-workforce",
OidcConfig: {
ClientId: "clientId",
ClientSecret: "secret",
Issuer: "https://example-oidc-idp.com/adfs",
AuthorizationEndpoint: "https://example-oidc-idp.com/adfs/oauth2/authorize",
TokenEndpoint: "https://example-oidc-idp.com/adfs/oauth2/token",
UserInfoEndpoint: "https://example-oidc-idp.com/adfs/oauth2/userInfo",
LogoutEndpoint: "https://example-oidc-idp.com/adfs/oauth2/log-out",
JwksUri: "https://example-oidc-idp.com/adfs/discovery/keys"
},
SourceIpConfig: {
Cidrs: ["string", "string"]
}
}
```
### OIDC IdP 구성
OIDC IdP를 구성하는 방법은 사용하는 IdP와 비즈니스 요구 사항에 따라 다릅니다.
IdP를 구성할 때 콜백 또는 리디렉션 URI를 지정해야 합니다. Ground Truth 또는 Amazon A2I가 작업자를 인증한 후 이 URI는 작업자를 작업자 포털로 리디렉션하여 작업자가 레이블 지정 또는 인적 검토 작업에 액세스할 수 있습니다. 작업자 포털 URL을 생성하려면 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) API 작업을 사용하여 OIDC IdP 세부 정보로 인력을 생성해야 합니다. 특히 필수 사용자 지정 sagemaker 클레임을 사용하여 OIDC IdP를 구성해야 합니다(자세한 내용은 다음 섹션 참조). 자리 표시자 리디렉션 URI를 사용하여 OIDC를 구성한 다음 인력을 생성한 후 URI를 업데이트하는 것이 좋습니다. 이 API를 사용하여 인력을 생성하는 방법에 대해 알아보려면 [OIDC IdP 인력 생성](#sms-workforce-create-private-oidc-createworkforce) 섹션을 참조하세요.
SageMaker Ground Truth 콘솔에서 또는 SageMaker API 작업 `DescribeWorkforce`를 사용하여 작업자 포털 URL을 볼 수 있습니다. 작업자 포털 URL은 응답의 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Workforce.html#sagemaker-Type-Workforce-SubDomain) 파라미터에 있습니다.
**중요**
OIDC IdP 허용 목록에 인력 하위 도메인을 추가했는지 확인하세요. 허용 목록에 하위 도메인을 추가할 때는 `/oauth2/idpresponse`(으)로 끝나야 합니다.
**프라이빗 작업 인력을 생성한 후 작업자 포털 URL을 보려면(콘솔):**
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 SageMaker AI 콘솔을 엽니다.
1. 탐색 창에서 **Labeling workforces(레이블 지정 작업 인력)**를 선택합니다.
1. **Private(프라이빗)** 탭을 선택합니다.
1. **프라이빗 작업 인력 요약**에서 **레이블 지정 포털 로그인 URL**을 확인할 수 있습니다. 작업자 포털 URL입니다.
**프라이빗 작업 인력을 생성한 후 작업자 포털 URL을 보려면(API):**
`[CreateWorkforce](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)`를 사용하여 프라이빗 작업 인력을 생성할 때는 `WorkforceName`을 지정합니다. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html)를 호출하려면 이 이름을 사용하세요. 다음 표에는 AWS CLI 및를 사용하는 요청의 예가 나와 있습니다 AWS SDK for Python (Boto3).
------
#### [ SDK for Python (Boto3) ]
```
response = client.describe_workforce(WorkforceName='string')
print(f'The workforce subdomain is: {response['SubDomain']}')
```
------
#### [ AWS CLI ]
```
$ C:\> describe-workforce --workforce-name 'string'
```
------
## OIDC IdP 작업 인력 인증 응답을 검증하세요.
OIDC IdP 작업 인력을 생성한 후 다음 절차에 따라 cURL로 인증 워크플로를 검증할 수 있습니다. 이 절차에서는 터미널에 액세스할 수 있고 cURL이 설치되어 있다고 가정합니다.
**OIDC IdP 인증 응답을 검증하려면:**
1. 다음과 같이 구성된 URI를 사용하여 인증 코드를 받으세요.
```
{AUTHORIZE ENDPOINT}?client_id={CLIENT ID}&redirect_uri={REDIRECT URI}&scope={SCOPE}&response_type=code
```
1. OIDC IdP의 권한 부여 엔드포인트로 *`{AUTHORIZE ENDPOINT}`*를 바꾸세요.
1. OAuth 클라이언트의 클라이언트 ID로 `{CLIENT ID}`를 바꾸세요.
1. 작업자 포털 URL로 *`{REDIRECT URI}`*를 바꾸세요. URL이 아직 없는 경우 URL 끝에 `/oauth2/idpresponse`을(를) 추가해야 합니다.
1. 사용자 지정 범위가 있는 경우 범위를 사용하여 `{SCOPE}`를 바꾸세요. 사용자 지정 범위가 없는 경우 `openid`를 사용하여 `{SCOPE}`를 바꾸세요.
다음은 위의 수정 후 URI의 예시입니다.
```
https://example.com/authorize?client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac&redirect_uri=https%3A%2F%2F%2Fexample.labeling.sagemaker.aws%2Foauth2%2Fidpresponse&response_type=code&scope=openid
```
1. 1단계에서 수정한 URI를 복사하여 브라우저에 붙여넣고 키보드의 Enter 키를 누릅니다.
1. IdP를 사용하여 인증하세요.
1. URI의 인증 코드 쿼리 파라미터를 복사합니다. 이 파라미터는 `code=`로 시작됩니다. 다음은 응답에 대한 예시입니다. 이 예제에서는 `code=MCNYDB...`을(를) 복사한 다음 모든 것을 복사합니다.
```
https://example.labeling.sagemaker.aws/oauth2/idpresponse?code=MCNYDB....
```
1. 아래 나열된 필수 수정 작업을 수행한 후 터미널을 열고 다음 명령을 입력합니다.
```
curl --request POST \
--url '{TOKEN ENDPOINT}' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id={CLIENT ID}' \
--data client_secret={CLIENT SECRET} \
--data code={CODE} \
--data 'redirect_uri={REDIRECT URI}'
```
1. OIDC IdP의 토큰 엔드포인트로 `{TOKEN ENDPOINT}`를 바꾸세요.
1. OAuth 클라이언트의 클라이언트 ID로 `{CLIENT ID}`를 바꾸세요.
1. OAuth 클라이언트의 클라이언트 암호로 `{CLIENT SECRET}`를 바꾸세요.
1. 4단계에서 복사한 인증 코드 쿼리 파라미터로 `{CODE}`를 바꾸세요.
1. 작업자 포털 URL로 *`{REDIRECT URI}`*를 바꾸세요.
다음은 위에서 설명한 수정을 수행한 후의 cURL 요청의 예시입니다.
```
curl --request POST \
--url 'https://example.com/token' \
--header 'content-type: application/x-www-form-urlencoded' \
--data grant_type=authorization_code \
--data 'client_id=f490a907-9bf1-4471-97aa-6bfd159f81ac' \
--data client_secret=client-secret \
--data code=MCNYDB... \
--data 'redirect_uri=https://example.labeling.sagemaker.aws/oauth2/idpresponse'
```
1. 이 단계는 IdP가 반환하는 `access_token` 유형, 일반 텍스트 액세스 토큰 또는 JWT 액세스 토큰에 따라 다릅니다.
+ IdP가 JWT 액세스 토큰을 지원하지 않는 경우 `access_token`은 일반 텍스트(예: UUID)가 될 수 있습니다. 응답은 다음과 비슷해 보일 수 있습니다. 이 경우 7단계로 이동하세요.
```
{
"access_token":"179c144b-fccb-4d96-a28f-eea060f39c13",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"ef43e52e-9b4f-410c-8d4c-d5c5ee57631a",
"scope":"openid"
}
```
+ IdP가 JWT 액세스 토큰을 지원하는 경우 5단계에서 JWT 형식의 액세스 토큰을 생성해야 합니다. 예를 들어, 응답은 다음과 비슷해 보일 수 있습니다.
```
{
"access_token":"eyJh...JV_adQssw5c",
"refresh_token":"i6mapTIAVSp2oJkgUnCACKKfZxt_H5MBLiqcybBBd04",
"refresh_token_expires_in":6327,
"scope":"openid",
"id_token":"eyJ0eXAiOiJK9...-rDaQzUHl6cQQWNiDpWOl_lxXjQEvQ"
}
```
JWT를 복사하고 디코딩하세요. Python 스크립트 또는 타사 웹 사이트를 사용하여 디코딩할 수 있습니다. 예를 들어 [https://jwt.io/](https://jwt.io/) 웹 사이트로 이동하여 JWT를 **인코딩됨** 상자에 붙여넣어 디코딩할 수 있습니다.
디코딩된 응답에 다음 내용이 포함되어 있는지 확인하세요.
+ **필수** SageMaker AI 클레임은 [필수 및 선택적 클레임을 Ground Truth 및 Amazon A2I로 전송](#sms-workforce-create-private-oidc-configure-idp)의 표에 나와 있습니다. 그렇지 않은 경우 이러한 클레임을 포함하도록 OIDC IdP를 재구성해야 합니다.
+ 작업 IdP 인력을 설정할 때 지정한 [발급자](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html#sagemaker-Type-OidcConfig-Issuer).
1. 터미널에서 아래 나열된 필수 수정 사항을 수행한 후 다음 명령을 입력합니다.
```
curl -X POST -H 'Authorization: Bearer {ACCESS TOKEN}' -d '' -k -v {USERINFO ENDPOINT}
```
1. OIDC IdP의 사용자 정보 엔드포인트로 `{USERINFO ENDPOINT}`를 바꾸세요.
1. 7단계에서 받은 응답의 액세스 토큰으로 `{ACCESS TOKEN}`을 바꾸세요. `"access_token"` 파라미터에 대한 항목입니다.
다음은 위에서 설명한 수정을 수행한 후의 cURL 요청의 예시입니다.
```
curl -X POST -H 'Authorization: Bearer eyJ0eX...' -d '' -k -v https://example.com/userinfo
```
1. 위 절차의 마지막 단계에 대한 응답은 다음 코드 블록과 비슷해 보일 수 있습니다.
6단계에서 반환된 `access_token`이 일반 텍스트인 경우 이 응답에 필수 정보가 포함되어 있는지 확인해야 합니다. 이 경우 응답에는 [필수 및 선택적 클레임을 Ground Truth 및 Amazon A2I로 전송](#sms-workforce-create-private-oidc-configure-idp)에 있는 표의 **필수** SageMaker AI 클레임이 포함되어야 합니다. 예, `sagemaker-groups`, `sagamaker-name`.
```
{
"sub":"122",
"exp":"10000",
"sagemaker-groups":["group1","group2"]
"sagemaker-name":"name",
"sagemaker-sub":"122",
"sagemaker-client_id":"123456"
}
```
## 다음 단계
IdP를 사용하여 프라이빗 작업 인력을 생성하고 IdP 인증 응답을 확인한 후에는 IdP 그룹을 사용하여 작업 팀을 만들 수 있습니다. 자세한 내용은 [프라이빗 작업 인력 관리(OIDC IdP)](sms-workforce-manage-private-oidc.md) 섹션을 참조하세요.
작업에 대한 작업자 액세스를 특정 IP 주소로 제한하고 SageMaker API를 사용하여 인력을 업데이트하거나 삭제할 수 있습니다. 자세한 내용은 [Amazon SageMaker API를 사용하여 프라이빗 작업 인력 관리](sms-workforce-management-private-api.md) 섹션을 참조하세요.
# 프라이빗 작업 인력 관리(OIDC IdP)
OIDC(OpenID Connect) 자격 증명 공급자(IdP)를 이용하여 프라이빗 작업 인력을 생성하고 나면 IdP를 이용해 작업자를 관리할 수 있습니다. 예를 들면 IdP를 통해 작업자를 직접 추가, 제거 및 그룹화할 수 있습니다.
Amazon SageMaker Ground Truth(Ground Truth) 레이블 지정 작업 또는 Amazon A2I(Amazon Augmented AI) 인간 검토 작업에 작업자를 추가하려면, IdP 그룹 1\$110개를 사용하여 작업팀을 생성하고 해당 작업 팀을 작업에 배정해야 합니다. 레이블 지정 작업(Ground Truth) 또는 인간 검토 워크플로(Amazon A2I)를 생성할 때 해당 작업팀을 지정하여 작업에 작업팀을 배정해야 합니다.
각 레이블 지정 작업 또는 인간 검토 워크플로에는 한 팀만 배정할 수 있습니다. 동일한 팀을 사용하여 여러 개의 레이블 지정 작업 또는 인간 검토 작업을 생성할 수 있습니다. 작업팀을 여러 개 생성하여 다양한 레이블 지정 작업 또는 인간 검토 작업을 수행할 수도 있습니다.
## 사전 조건
OIDC IdP 그룹을 이용하여 프라이빗 작업팀을 생성 및 관리하려면 먼저 SageMaker API 연산 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html)을(를) 사용하여 작업 인력을 생성해야 합니다. 자세한 내용은 [프라이빗 작업 인력 생성(OIDC IdP)](sms-workforce-create-private-oidc.md) 섹션을 참조하세요.
## 작업팀 추가
SageMaker AI 콘솔을 사용하면 **Ground Truth** 하위의 **레이블링 작업 인력** 페이지대로 OIDC IdP 작업 인력을 이용하여 프라이빗 작업팀을 생성할 수 있습니다. Ground Truth 레이블 지정 작업을 생성하고자 할 경우, 레이블 지정 작업을 생성하는 동시에 프라이빗 작업팀을 생성할 수도 있습니다.
**참고**
SageMaker AI 콘솔의 Ground Truth 영역에서 Amazon A2I용 작업팀을 생성하고 관리하세요.
SageMaker API 및 관련 언어별 SDK를 사용하여 프라이빗 작업팀을 생성할 수도 있습니다.
다음 절차에 따라 SageMaker AI 콘솔 및 API를 사용하여 프라이빗 작업팀을 생성하는 방법을 알아보세요.
**레이블 지정 작업 인력 페이지(콘솔)대로 프라이빗 작업팀을 생성하는 방법**
1. SageMaker AI 콘솔의 Ground Truth 영역, 즉 [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)로 이동하세요.
1. **레이블 지정 작업 인력**을 선택하세요.
1. **프라이빗**을 선택하세요.
1. **프라이빗 팀** 섹션에서 **프라이빗 팀 생성**을 선택하세요.
1. **팀 세부 정보** 섹션에서 **팀 이름**을 입력하세요.
1. **작업자 추가** 섹션에서 단일 사용자 그룹의 이름을 입력하세요. IdP의 이 그룹에 연결된 모든 작업자가 이 작업팀에 추가됩니다.
1. 사용자 그룹을 2개 이상 추가하려면 **새 사용자 그룹 추가**를 선택한 다음, 이 작업팀에 추가할 사용자 그룹의 이름을 입력하세요. 행 1개마다 사용자 그룹을 하나씩 입력하세요.
1. (선택 사항) Ground Truth 레이블 지정 작업에서 사용자가 JWT 내 작업자에게 이메일을 전송할 경우, 사용자가 SNS 주제를 선택하면 Ground Truth가 새 레이블 지정 작업이 가능한 시기를 작업자에게 알립니다.
1. **프라이빗 팀 생성**을 선택하세요.
**Ground Truth 레이블 지정 작업(콘솔)을 생성하는 동시에 프라이빗 작업팀을 생성하는 방법**
1. SageMaker AI 콘솔의 Ground Truth 영역, 즉 [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)로 이동하세요.
1. **레이블 지정 작업**을 선택하세요.
1. [레이블 지정 작업 생성(콘솔)](sms-create-labeling-job-console.md)의 지침에 따라 레이블 지정 작업을 생성하세요. 두 번째 페이지의 **작업자** 섹션이 나오면 중단하세요.
1. 작업자 유형으로 **프라이빗**을 선택하세요.
1. **팀 이름**을 입력하세요.
1. **작업자 추가** 섹션의 **사용자 그룹** 란에 단일 사용자 그룹의 이름을 입력하세요. IdP의 이 그룹에 연결된 모든 작업자가 이 작업팀에 추가됩니다.
**중요**
**사용자 그룹**에 지정한 그룹 이름은 OIDC IdP에 지정된 그룹 이름과 일치해야 합니다.
1. 사용자 그룹을 2개 이상 추가하려면 **새 사용자 그룹 추가**를 선택한 다음, 이 작업팀에 추가할 사용자 그룹의 이름을 입력하세요. 행 1개마다 사용자 그룹을 하나씩 입력하세요.
1. 나머지 단계를 모두 완료하여 레이블 지정 작업을 생성하세요.
생성한 개인 팀은 이 레이블링 작업에 사용되고 SageMaker AI 콘솔의 **레이블링 작업 인력** 섹션에 명시됩니다.
**SageMaker API를 사용하여 프라이빗 작업팀을 생성하는 방법**
SageMaker API 연산 `[CreateWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html)`을(를) 사용하여 프라이빗 작업팀을 생성할 수 있습니다.
이 연산을 사용할 경우, 작업팀에 포함시킬 모든 사용자 그룹을 `OidcMemberDefinition` 파라미터 `Groups`에 기재하세요.
**중요**
`Groups`에 지정한 그룹 이름은 OIDC IdP에 지정된 그룹 이름과 일치해야 합니다.
예를 들어 OIDC IdP 내 사용자 그룹 이름이 `group1`, `group2`, `group3`(이)라면, 다음과 같이 `OidcMemberDefinition`을(를) 구성하세요.
```
"OidcMemberDefinition": {
"Groups": ["group1", "group2", "group3"]
}
```
이외에도 `WorkteamName` 파라미터를 사용하여 작업팀에 이름을 지정해야 합니다.
## 작업팀에 대한 IdP 그룹 추가 또는 제거
작업팀을 생성한 후에는 SageMaker API를 사용하여 해당 작업팀을 관리할 수 있습니다. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) 연산을 사용하여 해당 작업팀에 포함된 IdP 사용자 그룹을 업데이트하세요.
+ `WorkteamName` 파라미터를 사용하여 업데이트할 작업팀을 식별하세요.
+ 이 연산을 사용할 경우, 작업팀에 포함시킬 모든 사용자 그룹을 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcMemberDefinition.html) 파라미터 `Groups`에 기재하세요. 사용자 그룹을 작업팀에 연결했으면서도 이 목록에 포함시키지 *않는* 경우, 해당 사용자 그룹은 더 이상 이 작업팀에 연결되지 않습니다.
## 작업팀 삭제
SageMaker AI 콘솔 및 SageMaker API를 사용하여 작업팀을 삭제할 수 있습니다.
**SageMaker AI 콘솔에서 프라이빗 작업팀을 삭제하려면**
1. SageMaker AI 콘솔의 Ground Truth 영역, 즉 [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)로 이동하세요.
1. **레이블 지정 작업 인력**을 선택하세요.
1. **프라이빗**을 선택하세요.
1. **프라이빗 팀** 섹션에서 삭제할 작업팀을 선택하세요.
1. **삭제**를 선택합니다.
**프라이빗 작업팀(API)을 삭제하는 방법**
SageMaker API 연산 `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)`을(를) 사용하여 프라이빗 작업팀을 삭제할 수 있습니다.
## 개별 작업자 관리
자체 OIDC IdP를 이용하여 작업 인력을 생성할 경우, Ground Truth 또는 Amazon A2I를 사용하여 개별 작업자를 관리하는 것은 불가능합니다.
+ 작업팀에 작업자를 추가하려면 해당 작업팀에 연결된 그룹에 해당 작업자를 추가하세요.
+ 작업팀에서 작업자를 제거하려면 해당 작업팀에 연결된 모든 사용자 그룹에서 해당 작업자를 제거하세요.
## 작업 인력의 업데이트, 삭제, 설명
SageMaker API를 사용하여 OIDC IdP 작업 인력을 업데이트, 삭제 및 설명할 수 있습니다. 다음은 작업 인력 관리에 사용할 수 있는 API 연산의 목록입니다. 작업 인력 이름을 찾는 방법 등 기타 자세한 내용은 [Amazon SageMaker API를 사용하여 프라이빗 작업 인력 관리](sms-workforce-management-private-api.md)을(를) 참조하세요.
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) - 자체 OIDC IdP를 이용하여 생성한 작업 인력을 업데이트하여 다른 권한 부여 엔드포인트, 토큰 엔드포인트 또는 발급자를 지정해야 할 수 있습니다. 이 연산을 사용하면 어떤 것이든 `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)`에서 찾아낸 파라미터를 업데이트할 수 있습니다.
작업 인력과 연결된 작업팀이 없는 경우에만 OIDC IdP 구성을 업데이트할 수 있습니다. 작업팀을 삭제하는 방법은 [작업팀 삭제](#sms-workforce-manage-private-oidc-workteam-delete)을(를) 참조하세요.
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) - 이 연산을 사용하면 프라이빗 작업 인력을 삭제할 수 있습니다. 작업 인력과 연결된 작업팀이 있다면 작업 인력을 삭제하기 전에 해당 작업팀을 삭제해야 합니다. 자세한 내용은 [작업팀 삭제](#sms-workforce-manage-private-oidc-workteam-delete) 섹션을 참조하세요.
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) - 이 연산을 사용하면 작업 인력 이름, Amazon 리소스 이름(ARN), 허용 IP 주소 범위(CIDR)(해당하는 경우) 등의 프라이빗 작업 인력 정보를 명시할 수 있습니다.
# Amazon SageMaker API를 사용하여 프라이빗 작업 인력 관리
Amazon SageMaker API 작업을 사용하여 프라이빗 작업 인력을 관리, 업데이트 및 삭제할 수 있습니다. 다음 주제에 나열된 각 API 작업에 대해 지원되는 언어별 SDK 목록과 해당 설명서는 API 설명서의 **참고 항목** 섹션에서 찾을 수 있습니다.
**Topics**
+ [작업 인력 이름 찾기](sms-workforce-management-private-api-name.md)
+ [작업에 대한 작업자 액세스를 허용 가능한 IP 주소로 제한하기](sms-workforce-management-private-api-cidr.md)
+ [듀얼 스택 작업 인력 활성화](sms-workforce-management-private-api-dualstack.md)
+ [OIDC ID 공급자 작업 인력 구성 업데이트](sms-workforce-management-private-api-update.md)
+ [프라이빗 작업 인력 삭제](sms-workforce-management-private-api-delete.md)
# 작업 인력 이름 찾기
일부 SageMaker AI 작업 인력 관련 API 작업에는 작업 인력의 이름을 입력해야 합니다. 해당 AWS 리전의 []() API 작업을 사용하여 AWS 리전의 Amazon Cognito 또는 OIDC IdP 프라이빗 및 공급업체 작업 인력 이름을 볼 수 있습니다. 자체 OIDC IdP를 사용하여 작업 인력을 생성한 경우 SageMaker AI 콘솔의 Ground Truth 영역에서 작업 인력의 이름을 찾을 수 있습니다.
**SageMaker AI 콘솔에서 작업 인력의 이름을 찾으려면**
1. SageMaker AI 콘솔의 Ground Truth 영역, 즉 [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)로 이동하세요.
1. **레이블 지정 작업 인력**을 선택하세요.
1. **프라이빗**을 선택합니다.
1. **프라이빗 작업 인력 요약** 섹션에서 작업 인력 ARN을 찾습니다. 작업 인력의 이름은 이 ARN 끝에 있습니다. 예를 들어, ARN이 `arn:aws:sagemaker:us-east-2:111122223333:workforce/example-workforce`인 경우 작업 인력의 이름은 `example-workforce`입니다.
# 작업에 대한 작업자 액세스를 허용 가능한 IP 주소로 제한하기
기본적으로 작업 인력은 특정 IP 주소로 제한되지 않습니다. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) 작업을 사용하여 워커가 특정 범위의 IP 주소([CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html))를 사용하여 작업에 액세스하도록 요구할 수 있습니다. 하나 이상의 CIDR을 지정하면, 지정된 범위 밖의 IP 주소를 사용하여 작업에 액세스하려는 워커는 거부되고 워커 포털에 HTTP 204 콘텐츠 없음 오류 메시지가 표시됩니다. `UpdateWorkforce`를 사용하여 최대 10개의 CIDR 값을 지정할 수 있습니다.
작업 인력을 하나 이상의 CIDR로 제한하고 나면 `UpdateWorkforce`의 출력이 허용되는 모든 CIDR을 나열합니다. 또한 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) 작업을 사용하여 작업 인력에 허용되는 모든 CIDR을 볼 수 있습니다.
# 듀얼 스택 작업 인력 활성화
[CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html) 및 [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html) API 작업을 사용하여 듀얼 스택 작업 인력을 활성화할 수 있습니다. 듀얼 스택 작업 인력을 생성하고, 기존 작업 인력을 듀얼 스택으로 업데이트하고, 작업 인력을 듀얼 스택에서 IPv4로 다시 변경하는 것은 AWS Management Console에서 지원되지 않습니다.
**중요**
정의된 `IpAddressType`이 없는 작업 인력은 기본적으로 `IPv4`로 설정됩니다.
## 듀얼 스택 작업 인력 생성
듀얼 스택 작업 인력을 생성하는 프로세스는 IPv4 전용 작업 인력을 생성하는 프로세스와 유사하지만, 아래에 설명된 예외 사항이 있습니다. 자세한 내용은 [CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html)를 참조하세요.
+ 프라이빗 작업 인력에 VPC를 연결하려면, 해당 VPC도 듀얼 스택이어야 하며, VPC의 서브넷에 IPv6 CIDR 블록이 연결되어 있어야 합니다.
+ `SourceIpConfig` 파라미터를 사용하여 트래픽을 특정 IP 주소 범위로 제한하려면 IPv6 CIDR 블록도 목록에 포함되어야 합니다.
+ 태스크에서 액세스하는 S3 버킷에 `SourceIp` 조건이 있는 정책을 구현하려면 해당 정책이 듀얼 스택과 호환되도록 업데이트되어야 합니다.
+ ID 제공업체의 인증 엔드포인트가 듀얼 스택을 지원해야 합니다. 자세한 내용은 [인증 흐름](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)을 참조하세요.
**boto3를 사용한 `CreateWorkforce` SDK 직접 호출 예시**
자세한 내용은 [create\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/create_workforce.html#SageMaker.Client.create_workforce)를 참조하세요.
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.create_workforce(
WorkforceName='string',
IpAddressType='dualstack',
WorkforceConfig={
'CognitoConfig': {
'UserPool': 'string',
'Client': 'string'
}
}
)
```
## 듀얼 스택 작업 인력 업데이트
기존 작업 인력을 듀얼 스택으로 업데이트할 때는 다음 사항에 유의하세요. 자세한 내용은 [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html) 및 [VPC에 대한 IPv6 지원](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-migrate-ipv6.html)을 참조하세요.
+ VPC가 작업 인력에 연결된 경우 VPC를 듀얼 스택으로 업데이트해야 합니다. 또한 VPC의 모든 보안 그룹이 IPv6 트래픽을 허용하는지 확인합니다.
+ `SourceIpConfig` 파라미터를 사용하는 경우 IPv6 CIDR 블록을 포함하도록 업데이트합니다.
+ 태스크에서 액세스하는 S3 버킷에 `SourceIp` 조건이 있는 정책을 구현하려면 해당 정책이 듀얼 스택과 호환되도록 업데이트되어야 합니다.
+ ID 제공업체의 인증 엔드포인트가 듀얼 스택을 지원해야 합니다. 자세한 내용은 [인증 흐름](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)을 참조하세요.
**boto3를 사용한 `UpdateWorkforce` SDK 직접 호출 예시**
자세한 내용은 [update\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/update_workforce.html#SageMaker.Client.update_workforce)를 참조하세요.
```
import boto3
client = boto3.resource('sagemaker')
# IpAddressType = 'dualstack'|'ipv4'
client.update_workforce(
WorkforceName='string',
IpAddressType='dualstack'
)
```
# OIDC ID 공급자 작업 인력 구성 업데이트
자체 OIDC IdP를 사용하여 만든 작업 인력을 업데이트하여 다른 권한 부여 엔드포인트, 토큰 엔드포인트 또는 발급자를 지정할 수 있습니다. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) 작업 사용 시 `[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)`에서 찾은 모든 파라미터를 업데이트할 수 있습니다.
**중요**
작업 인력과 연결된 작업 팀이 없는 경우에만 OIDC IdP 구성을 업데이트할 수 있습니다. `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` 작업을 사용하여 프라이빗 작업 팀을 삭제할 수 있습니다.
# 프라이빗 작업 인력 삭제
각 AWS 리전에는 하나의 프라이빗 작업 인력만 있을 수 있습니다. 다음과 같은 경우 AWS 리전의 프라이빗 작업 인력을 삭제할 수 있습니다.
+ 새로운 Amazon Cognito 사용자 풀을 사용하여 작업 인력을 생성하고 싶습니다.
+ Amazon Cognito를 사용하여 이미 프라이빗 작업 인력을 만들었고 자체 OpenID Connect(OIDC) 자격 증명 공급자(IdP)를 사용하여 작업 인력을 만들고 싶습니다.
프라이빗 작업 인력을 삭제하려면 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) API 작업을 사용하세요. 작업 인력과 연계된 작업 팀이 있는 경우, 작업 인력을 삭제하기 전에 해당 작업 팀을 삭제해야 합니다. `[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` 작업을 사용하여 프라이빗 작업 팀을 삭제할 수 있습니다.
# 작업자 성과 지표 추적
Amazon SageMaker Ground Truth는 작업자가 작업을 시작하거나 제출하는 시기 등과 같은 작업자 이벤트를 Amazon CloudWatch에 기록합니다. Amazon CloudWatch 지표를 사용하여 팀 전체 또는 개별 작업자의 처리량을 측정하고 추적하세요.
**중요**
작업자 이벤트 추적은 Amazon Augmented AI 인적 검토 워크플로우에서 사용할 수 없습니다.
## 추적 활성화
새 작업 팀의 설정 프로세스 중에 작업자 이벤트의 Amazon CloudWatch 로깅 권한이 생성됩니다. 이 기능은 2019년 8월에 추가되었으므로 이전에 작성된 작업 팀은 올바른 권한이 없을 수 있습니다. 2019년 8월 이전에 모든 작업 팀을 만든 경우 새 작업 팀을 만듭니다. 구성원이 필요하지 않으며 생성 후에 삭제될 수 있지만, 생성하면 권한이 설정되어 모든 작업 팀에 생성 시점에 관계 없이 적용됩니다.
## 로그를 사용하여 지표 추적
추적이 활성화되면 작업자의 활동이 기록됩니다. Amazon CloudWatch 콘솔을 열고 탐색 창에서 **로그**를 선택합니다. **/aws/sagemaker/groundtruth/WorkerActivity**라는 로그 그룹이 표시되어야 합니다.
완료된 각 작업은 작업자, 팀, 작업, 작업이 수락된 시간, 작업이 제출된 시간에 대한 정보가 포함된 로그 항목으로 표시됩니다.
**Example 로그 항목**
```
{
"worker_id": "cd449a289e129409",
"cognito_user_pool_id": "us-east-2_IpicJXXXX",
"cognito_sub_id": "d6947aeb-0650-447a-ab5d-894db61017fd",
"task_accepted_time": "Wed Aug 14 16:00:59 UTC 2019",
"task_submitted_time": "Wed Aug 14 16:01:04 UTC 2019",
"task_returned_time": "",
"task_declined_time": "",
"workteam_arn": "arn:aws:sagemaker:us-east-2:############:workteam/private-crowd/Sample-labeling-team",
"labeling_job_arn": "arn:aws:sagemaker:us-east-2:############:labeling-job/metrics-demo",
"work_requester_account_id": "############",
"job_reference_code": "############",
"job_type": "Private",
"event_type": "TasksSubmitted",
"event_timestamp": "1565798464"
}
```
각 이벤트에서 유용한 데이터 포인트는 `cognito_sub_id`입니다. 그것을 개별 작업자와 일치시킬 수 있습니다.
1. [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)에서 Amazon SageMaker AI 콘솔을 엽니다.
1. **Ground Truth** 섹션에서 **작업 인력**을 선택합니다.
1. **프라이빗**을 선택합니다.
1. **프라이빗 팀** 섹션에서 팀 이름을 선택합니다.
1. **팀 요약** 섹션에서 **Amazon Cognito 사용자 그룹** 아래 식별된 사용자 그룹을 선택합니다. Amazon Cognito 콘솔의 그룹으로 이동합니다.
1. **그룹** 페이지에 그룹의 사용자가 나열됩니다. **사용자 이름** 열에서 사용자 링크를 선택하면 고유한 **하위** ID를 포함하여 사용자에 대한 추가 정보를 볼 수 있습니다.
모든 팀원에 대한 정보를 가져오려면 Amazon Cognito API에서 [ListUsers](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListUsers.html) 작업([예제](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-manage-user-accounts.html#cognito-user-pools-searching-for-users-listusers-api-examples))을 사용하세요.
## CloudWatch 콘솔을 사용한 지표 추적
원시 로그 정보를 처리하고 시각화하기 위해 자체 스크립트를 작성하지 않으려는 경우에는 Amazon CloudWatch 지표가 작업자 활동에 대한 통찰력을 제공합니다.
**측정치를 보려면**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **지표**를 선택합니다.
1. `AWS/SageMaker/Workteam` 네임 스페이스를 선택한 다음, [사용 가능한 지표](monitoring-cloudwatch.md)를 탐색합니다. 예를 들어 **작업 팀**, **작업 인력** 지표를 선택하면 특정 레이블 지정 작업에 대해 제출된 작업 당 평균 시간을 계산할 수 있습니다.
자세한 내용은 [Amazon CloudWatch 지표 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)을 참조하세요.
# Amazon SNS 주제를 생성하려면
작업 팀 알림을 위한 Amazon SNS 주제를 생성하는 단계는 *Amazon SNS 개발자 안내서*의 [시작하기](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) 단계와 비슷하지만, 한 가지 중요한 추가 사항이 있습니다. Amazon SageMaker AI가 사용자를 대신하여 주제에 메시지를 게시할 수 있도록 먼저 액세스 정책을 추가해야 한다는 점입니다.
콘솔을 사용하여 작업 팀을 생성하는 경우, 사용자가 이러한 단계를 수행할 필요가 없도록 팀의 새 주제를 생성하는 옵션이 있습니다.
**중요**
Amazon A2I은 Amazon SNS 기능을 지원하지 않습니다. 작업 팀이 Amazon SNS 주제를 구독하면 작업자는 Ground Truth 레이블 지정 작업에 대한 알림만 받게 됩니다. 작업자는 새로운 Amazon A2I 인적 검토 작업에 대한 알림을 받게 됩니다.
**주제를 생성할 때 정책을 추가하려면**
1. [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)에서 Amazon SNS 콘솔을 엽니다.
1. **주제 생성**에서 주제의 이름을 입력한 다음 **다음 단계**를 선택합니다.
1. **액세스 정책**에서 **고급**을 선택합니다.
1. **JSON 편집기**에서 `Resource` 속성을 찾습니다. 여기에 주제의 ARN이 표시되어 있습니다.
1. `Resource` ARN 값을 복사합니다.
1. 마지막의 닫는 괄호(`]`) 앞에 다음 정책을 추가합니다.
```
, {
"Sid": "AwsSagemaker_SnsAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:partition:sns:region:111122223333:MyTopic", # ARN of the topic you copied in the previous step
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:partition:sagemaker:region:111122223333:workteam/*" # Workteam ARN
},
"StringEquals": {
"aws:SourceAccount": "111122223333" # SNS topic account
}
}
}
```
1. 주제를 생성합니다.
주제를 생성하면 **주제** 요약 화면에 해당 주제가 나타납니다. 주제를 생성하는 방법에 대한 자세한 내용은 [Amazon SNS 개발자 설명서](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)의 *주제 생성하기*를 참조하세요.
# 작업자 구독 관리
작업 팀을 이미 생성한 후 이 작업 팀이 주제를 구독하도록 하면 작업 팀을 생성할 때 팀에 추가한 개별 작업 팀원은 주제에 자동 구독되지 않습니다. 해당 주제에 대해 작업자의 이메일 주소를 구독하는 자세한 내용은 [Amazon SNS 개발자 설명서](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)의 *Amazon SNS 주제에 엔드포인트 구독*을 참조하세요.
작업자가 주제에 자동 구독되도록 하려면 반드시 작업 팀을 생성할 때 Amazon Cognito 사용자 그룹을 생성하거나 가져와야 하며 ***또한*** 작업 팀을 생성할 때 주제 구독을 설정해야 합니다. Amazon Cognito를 통한 작업 팀 생성 및 관리에 대한 자세한 내용은 [작업 팀 생성 (Amazon Cognito 콘솔)](sms-workforce-management-private-cognito.md#create-work-teams-cog)을 참조하세요.