本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 Ground Truth 中使用 IAM 托管策略 SageMaker AI 和 Ground Truth 提供了 AWS 托管策略,您可以使用这些策略来创建标签作业。如果您刚开始使用 Ground Truth 并且您的使用案例不需要细粒度权限,则建议您使用以下策略: + `[AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess)` – 使用此策略向用户或角色授予创建标注作业的权限。这是一项广泛的政策,它授予实体通过控制台和 AP SageMaker I 使用人工智能功能以及必要 AWS 服务功能的权限。此策略向实体授予使用 Amazon Cognito 创建标注作业以及创建和管理人力的权限。要了解更多信息,请参阅[AmazonSageMakerFullAccess 政策](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)。 + `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` – 要创建*执行角色*,可以将策略 `[AmazonSageMakerGroundTruthExecution](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonSageMakerGroundTruthExecution)` 附加到角色。执行角色是您在创建标注作业时指定的角色,用于启动标注作业。此策略允许您创建流式和非流式标注作业,并使用任何任务类型创建标注作业。请注意此托管策略的以下限制。 + **Amazon S3 权限**:此策略向执行角色授予访问名称中包含 `GroundTruth`、`Groundtruth`、`groundtruth`、`SageMaker`、`Sagemaker` 和 `sagemaker` 字符串的 Amazon S3 存储桶或具有[对象标签](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)(在名称中包括 `SageMaker`,不区分大小写)的存储桶的权限。确保您的输入和输出存储桶名称包含这些字符串,或为您的执行角色添加额外权限,以[授予访问 Amazon S3 存储桶的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_rw-bucket.html)。您必须向此角色授予对 Amazon S3 存储桶执行以下操作的权限:`AbortMultipartUpload`、`GetObject` 和 `PutObject`。 + **自定义工作流程**:创建[自定义标签工作流程](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)时,此执行角色仅限于调用 AWS Lambda 函数名称中包含以下字符串之一的函数:`GtRecipe`、`SageMaker`、`Sagemaker``sagemaker`、或`LabelingFunction`。这适用于注释前和注释后 Lambda 函数。如果您选择使用不含这些字符串的名称,则必须显式向用于创建标注作业的执行角色提供 `lambda:InvokeFunction` 权限。 要了解如何将 AWS 托管策略附加到用户或角色,请参阅 [IAM 用户指南中的添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。