As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conceda permissão ao IAM para usar o Amazon SageMaker Ground Truth Console
Para usar a área Ground Truth do console de SageMaker IA, você precisa conceder permissão a uma entidade para acessar a SageMaker IA e outros AWS serviços com os quais o Ground Truth interage. As permissões necessárias para acessar outros AWS serviços dependem do seu caso de uso:
+ As permissões do Amazon S3 são necessárias para todos os casos de uso. Essas permissões devem conceder acesso aos buckets do Amazon S3 que contêm dados de entrada e saída.
+ AWS Marketplace são necessárias permissões para usar a força de trabalho de um fornecedor.
+ A permissão do Amazon Cognito é necessária para a configuração de uma equipe de trabalho privada.
+ AWS KMS são necessárias permissões para visualizar AWS KMS as chaves disponíveis que podem ser usadas para criptografia de dados de saída.
+ As permissões do IAM são necessárias para listar as funções de execução preexistentes ou criar uma. Além disso, você deve adicionar uma `PassRole` permissão para permitir que a SageMaker IA use a função de execução escolhida para iniciar o trabalho de rotulagem.
As seções a seguir listam as políticas que você talvez queira conceder a uma função para usar uma ou mais funções do Ground Truth.
**Topics**
+ [Permissões do console Ground Truth](#sms-security-permissions-console-all)
+ [Personalizar permissões de fluxo de trabalho de rotulagem](#sms-security-permissions-custom-workflow)
+ [Permissões de força de trabalho privada](#sms-security-permission-workforce-creation)
+ [Permissões da força de trabalho do fornecedor](#sms-security-permissions-workforce-creation-vendor)
## Permissões do console Ground Truth
Para conceder permissão a um usuário ou função para usar a área Ground Truth do console de SageMaker IA para criar um trabalho de rotulagem, anexe a política a seguir ao usuário ou função. A política a seguir concede permissão de perfil do IAM para criar um trabalho de rotulagem usando um [tipo de tarefa integrado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html). Se você quiser criar um fluxo de trabalho de rotulagem personalizado, adicione a política em [Personalizar permissões de fluxo de trabalho de rotulagem](#sms-security-permissions-custom-workflow) à política a seguir. Cada `Statement` incluído na política a seguir está descrito abaixo desse bloco de código.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "KmsKeysForCreateForms",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Sid": "SecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid": "ListAndCreateExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
]
}
```
------
Esta política inclui as seguintes instruções: Você pode definir o escopo de qualquer uma dessas instruções adicionando recursos específicos à lista `Resource` dessa instrução.
`SageMakerApis`
Essa declaração inclui`sagemaker:*`, que permite ao usuário realizar todas as [ações da API de SageMaker IA](sagemaker/latest/APIReference/API_Operations.html). Você pode reduzir o escopo dessa política restringindo os usuários de realizar ações que não são usadas para criar e monitorar um trabalho de rotulagem.
**`KmsKeysForCreateForms`**
Você só precisa incluir essa declaração se quiser conceder permissão ao usuário para listar e selecionar AWS KMS chaves no console do Ground Truth para usar na criptografia de dados de saída. A política acima concede ao usuário permissão para listar e selecionar qualquer chave na conta no AWS KMS. Para restringir as chaves que um usuário pode listar e selecionar, especifique essas chaves ARNs `Resource`.
**`SecretsManager`**
Essa declaração dá ao usuário permissão para descrever, listar e criar recursos AWS Secrets Manager necessários para criar o trabalho de rotulagem.
`ListAndCreateExecutionRoles`
Essa instrução dá ao usuário permissão para listar (`ListRoles`) e criar (`CreateRole`) funções do IAM na conta. Também concede ao usuário permissão para criar (`CreatePolicy`) políticas e anexar (`AttachRolePolicy`) políticas a entidades. Elas são necessários para listar, selecionar e, se necessário, criar uma função de execução no console.
Se você já criou uma função de execução e deseja restringir o escopo dessa instrução para que os usuários só possam selecionar essa função no console, especifique as ARNs funções que você deseja que o usuário tenha permissão para visualizar `Resource` e remover as ações `CreateRole``CreatePolicy`, `AttachRolePolicy` e.
`AccessAwsMarketplaceSubscriptions`
Essas permissões são necessárias para visualizar e escolher as equipes de trabalho do fornecedor nas quais você já está inscrito ao criar um trabalho de rotulagem. Para dar permissão ao usuário para *se inscrever* nas equipes de trabalho do fornecedor, adicione a instrução em [Permissões da força de trabalho do fornecedor](#sms-security-permissions-workforce-creation-vendor) à política acima
`PassRoleForExecutionRoles`
Isso é necessário para permitir que o criador do trabalho de rotulagem visualize a interface do usuário do operador e verifique se os dados de entrada, os rótulos e as instruções estão exibidos corretamente. Essa declaração dá a uma entidade permissões para passar a função de execução do IAM usada para criar o trabalho de rotulagem para a SageMaker AI para renderizar e visualizar a interface do usuário do trabalhador. Para restringir o escopo dessa política, adicione o ARN do perfil de execução usada para criar o trabalho de rotulagem em `Resource`.
**`GroundTruthConsole`**
+ `groundtruthlabeling`: Isso permite que o usuário execute as ações necessárias para usar determinados atributos do console do Ground Truth. Isso inclui permissões para descrever o status do trabalho de rotulagem (`DescribeConsoleJob`), listar todos os objetos de conjunto de dados no arquivo manifesto de entrada (`ListDatasetObjects`), filtrar o conjunto de dados se a amostragem do conjunto de dados for selecionada (`RunFilterOrSampleDatasetJob`) e gerar arquivos manifesto de entrada se a rotulagem automática de dados for usada (`RunGenerateManifestByCrawlingJob`). Essas ações só estão disponíveis ao usar o console do Ground Truth e não podem ser chamadas diretamente usando uma API.
+ `lambda:InvokeFunction` e `lambda:ListFunctions`: Essas ações dão aos usuários permissão para listar e invocar funções do Lambda que são usadas para executar um fluxo de trabalho de rotulagem personalizado.
+ `s3:*`: Todas as permissões do Amazon S3 incluídas nesta instrução são usadas para visualizar buckets do Amazon S3 para [configuração automatizada de dados](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) (`ListAllMyBuckets`), acessar dados de entrada no Amazon S3 (`ListBucket`, `GetObject`), verificar e criar uma política de CORS no Amazon S3, se necessário (`GetBucketCors` e `PutBucketCors`), e gravar arquivos de saída do trabalho de rotulagem no S3 (`PutObject`).
+ `cognito-idp`: Essas permissões são usadas para criar, visualizar e gerenciar uma força de trabalho privada usando o Amazon Cognito. Para saber mais sobre essas ações, consulte as [referências de API do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html).
## Personalizar permissões de fluxo de trabalho de rotulagem
Adicione a instrução a seguir a uma política semelhante à já existente em [Permissões do console Ground Truth](#sms-security-permissions-console-all) para dar permissão ao usuário para selecionar funções do Lambda preexistentes de pré-anotação e pós-anotação ao [criar um fluxo de trabalho de rotulagem personalizado](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html).
```
{
"Sid": "GroundTruthConsoleCustomWorkflow",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction",
"lambda:ListFunctions"
],
"Resource": "*"
}
```
Para saber como dar permissão a uma entidade para criar e testar funções do Lambda de pré-anotação e pós-anotação, consulte [Permissões obrigatórias para usar o Lambda com o Ground Truth](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html).
## Permissões de força de trabalho privada
Quando adicionada a uma política de permissões, a permissão a seguir concede acesso para criar e gerenciar uma força de trabalho privada e uma equipe de trabalho usando o Amazon Cognito. Essas permissões não são necessárias para usar uma [força de trabalho do OIDC IdP](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps).
```
{
"Effect": "Allow",
"Action": [
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient"
],
"Resource": "*"
}
```
Para saber mais sobre como usar forças de trabalho privadas usando o Amazon Cognito, consulte [Forças de trabalho do Amazon Cognito](sms-workforce-private-use-cognito.md).
## Permissões da força de trabalho do fornecedor
É possível adicionar a instrução a seguir à política em [Conceda permissão ao IAM para usar o Amazon SageMaker Ground Truth Console](#sms-security-permission-console-access) para conceder permissão para que uma entidade se inscreva em uma [força de trabalho do fornecedor](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html).
```
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe",
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
}
```