本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授予 IAM 許可以使用 Amazon SageMaker Ground Truth 主控台
<a name="sms-security-permission-console-access"></a>

若要使用 SageMaker AI 主控台的 Ground Truth 區域，您需要授予實體存取 SageMaker AI 和其他 Ground Truth 互動 AWS 服務的許可。存取其他 AWS 服務所需的許可取決於您的使用案例：
+ 所有使用案例都需要 Amazon S3 許可。這些許可必須包含輸入和輸出資料之 Amazon S3 儲存貯體的授予存取權。
+ AWS Marketplace 使用廠商人力資源需要 許可。
+ 私有工作團隊設定需要 Amazon Cognito 許可。
+ AWS KMS 需要 許可才能檢視可用於輸出資料加密的可用 AWS KMS 金鑰。
+ 如需列出預先存在的執行角色或建立新角色時，需要 IAM 許可。此外，您必須使用新增 `PassRole` 許可，來允許 SageMaker AI 使用選擇的執行角色來啟動標籤工作。

以下各節列出您可能想授予角色以使用 Ground Truth 的一個或多個功能之政策。

**Topics**
+ [Ground Truth 主控台許可](#sms-security-permissions-console-all)
+ [自訂標籤工作流程許可](#sms-security-permissions-custom-workflow)
+ [私有人力資源許可](#sms-security-permission-workforce-creation)
+ [廠商人力資源許可](#sms-security-permissions-workforce-creation-vendor)

## Ground Truth 主控台許可
<a name="sms-security-permissions-console-all"></a>

若要授予使用者或角色使用 SageMaker AI 主控台 Ground Truth 區域的許可，以建立標籤工作，請將下列政策附加至該使用者或角色。下列政策會授予 IAM 角色許可，使用[內建任務類型](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html)任務類型建立標籤工作。如果您要建立自訂標籤工作流程，請將 [自訂標籤工作流程許可](#sms-security-permissions-custom-workflow) 中的政策新增至下列政策。下列政策中包含的每個 `Statement`，都在此程式碼區塊下方提供說明。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SageMakerApis",
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KmsKeysForCreateForms",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessAwsMarketplaceSubscriptions",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ViewSubscriptions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManager",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListAndCreateExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleForExecutionRoles",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "GroundTruthConsole",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*",
                "lambda:InvokeFunction",
                "lambda:ListFunctions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketCors",
                "s3:PutBucketCors",
                "s3:ListAllMyBuckets",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient"
            ],
            "Resource": "*"
        }
    ]
}
```

------

此政策包含下列陳述式。您可以將特定資源新增至該陳述式的 `Resource` 清單，以限制任何這些陳述式的範圍。

`SageMakerApis`

此陳述式包含 `sagemaker:*`，可讓使用者執行所有 [SageMaker AI API 動作](sagemaker/latest/APIReference/API_Operations.html)。您可以禁止使用者執行非用於建立和監控標籤工作的動作，以限制此政策的範圍。

**`KmsKeysForCreateForms`**

只有在您想要授予使用者在 Ground Truth 主控台中列出和選取 AWS KMS 金鑰以用於輸出資料加密的許可時，才需要包含此陳述式。上述政策授予使用者列出和選擇 AWS KMS帳戶中任何密鑰的許可。若要限制使用者可以列出和選取的金鑰，請在 `Resource` 中指定這些金鑰 ARN。

**`SecretsManager`**

此陳述式提供使用者在建立標籤工作 AWS Secrets Manager 所需的 中描述、列出和建立資源的許可。

`ListAndCreateExecutionRoles`

此陳述式授予使用者許可，在您的帳戶中列出 (`ListRoles`) 和建立 (`CreateRole`) IAM 角色。它也會授予使用者許可，以建立 (`CreatePolicy`) 政策和附加 (`AttachRolePolicy`) 政策至實體。要在主控台中列出、選擇並建立一個執行角色，這些為必要項目。

如果您已經建立一個執行角色，並想要縮小此陳述式的範圍，以便使用者只能在主控台中選取該角色，請在 `Resource` 中指定您希望使用者有權查看的角色 ARN，並移除動作 `CreateRole`、`CreatePolicy` 和 `AttachRolePolicy`。

`AccessAwsMarketplaceSubscriptions`

建立標籤工作時，需要這些許可才能檢視和選擇您已訂閱的廠商工作團隊。要授予使用者*訂閱*廠商工作團隊的許可，請將 [廠商人力資源許可](#sms-security-permissions-workforce-creation-vendor) 中的陳述式新增到上面的政策中

`PassRoleForExecutionRoles`

為了授予標籤工作建立者預覽工作者使用者介面的許可，並驗證輸入資料、標籤和指示是否正確顯示，此為必要項目。此陳述式提供實體許可，可將用於建立標籤工作的 IAM 執行角色傳遞給 SageMaker AI，以轉譯和預覽工作者使用者介面。若要縮小此政策的範圍，請在 `Resource` 下方新增用來建立標籤工作之執行角色的角色 ARN。

**`GroundTruthConsole`**
+ `groundtruthlabeling` — 這允許使用者執行使用 Ground Truth 主控台某些功能所需的特定動作。其中包含描述標籤工作狀態的許可 (`DescribeConsoleJob`)，列出輸入資訊清單檔案中的所有資料集物件 (`ListDatasetObjects`)，篩選選取資料集取樣時的資料集 (`RunFilterOrSampleDatasetJob`)，以及在使用自動化資料標籤時，產生輸入資訊清單檔案 (`RunGenerateManifestByCrawlingJob`)。這些動作僅在使用 Ground Truth 主控台時可用，無法使用 API 直接呼叫。
+ `lambda:InvokeFunction` 和 `lambda:ListFunctions` — 這些動作會授予使用者許可，以列出和調用用於執行自訂標籤工作流程的 Lambda 函式。
+ `s3:*` — 此陳述式中包含的所有 Amazon S3 許可都用於檢視 Amazon S3 儲存貯體以進行[自動化資料設定](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-console-create-manifest-file.html) (`ListAllMyBuckets`)、存取 Amazon S3 中的輸入資料 (`ListBucket`,`GetObject`)、在 Amazon S3 中檢查並在需要時建立 CORS 政策 (`GetBucketCors` 和 `PutBucketCors`)，以及將標籤工作輸出檔案寫入 S3 (`PutObject`)。
+ `cognito-idp` — 這些許可用於使用 Amazon Cognito 建立、檢視和管理員工以及私有人力資源。若要進一步了解這些動作，請參閱 [Amazon Cognito API 參考資料](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-reference.html)。

## 自訂標籤工作流程許可
<a name="sms-security-permissions-custom-workflow"></a>

將下列陳述式新增至類似於 [Ground Truth 主控台許可](#sms-security-permissions-console-all) 中的政策，以授予使用者在[建立自訂標籤工作流程](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)時，選取預先存在的註釋前和註釋後 Lambda 函式的權限。

```
{
    "Sid": "GroundTruthConsoleCustomWorkflow",
    "Effect": "Allow",
    "Action": [
        "lambda:InvokeFunction",
        "lambda:ListFunctions"
    ],
    "Resource": "*"
}
```

若要了解如何授予實體建立和測試註釋前和註釋後 Lambda 函式的許可，請參閱[使用 Lambda 與 Ground Truth 的必要許可](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates-step3-lambda-permissions.html)。

## 私有人力資源許可
<a name="sms-security-permission-workforce-creation"></a>

新增至許可政策時，下列許可會授予使用 Amazon Cognito建立和管理私有人力資源和工作團隊的存取許可。使用 [OIDC IdP 人力資源](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-create-private-oidc.html#sms-workforce-create-private-oidc-next-steps)不需要這些許可。

```
{
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:ListGroups",
        "cognito-idp:ListIdentityProviders",
        "cognito-idp:ListUsers",
        "cognito-idp:ListUsersInGroup",
        "cognito-idp:ListUserPoolClients",
        "cognito-idp:ListUserPools",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient"
        ],
    "Resource": "*"
}
```

若要進一步了解如何使用 Amazon Cognito 建立私有人力資源，請參閱[Amazon Cognito 人力資源](sms-workforce-private-use-cognito.md)。

## 廠商人力資源許可
<a name="sms-security-permissions-workforce-creation-vendor"></a>

您可以將下列陳述式新增至[授予 IAM 許可以使用 Amazon SageMaker Ground Truth 主控台](#sms-security-permission-console-access)中的政策，以授予實體訂閱[廠商人力資源](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management-vendor.html)的許可。

```
{
    "Sid": "AccessAwsMarketplaceSubscriptions",
    "Effect": "Allow",
    "Action": [
        "aws-marketplace:Subscribe",
        "aws-marketplace:Unsubscribe",
        "aws-marketplace:ViewSubscriptions"
    ],
    "Resource": "*"
}
```