Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie Amazon Augmented AI (Amazon A2I) verwenden, um einen Workflow zur Überprüfung durch Mitarbeiter für Ihre ML/AI-Anwendung zu erstellen, erstellen und konfigurieren Sie Ressourcen in Amazon SageMaker AI, z. B. eine menschliche Belegschaft und Vorlagen für Arbeiteraufgaben. Um einen Human Loop zu konfigurieren und zu starten, integrieren Sie Amazon A2I entweder in andere AWS Dienste wie Amazon Textract oder Amazon Rekognition oder verwenden die Amazon Augmented AI Runtime API. Um einen menschlichen Überprüfungs-Workflow zu erstellen und einen menschlichen Kreislauf in Gang zu setzen, müssen Sie Ihrer AWS Identity and Access Management (IAM-) Rolle oder Ihrem Benutzer bestimmte Richtlinien zuordnen. Das heißt:
-
Wenn Sie am oder nach dem 12. Januar 2020 ein Human Loop mit Bildeingabedaten starten, müssen Sie dem Amazon-S3-Bucket, der Ihre Eingabedaten enthält, eine CORS-Header-Richtlinie hinzufügen. Weitere Informationen hierzu finden Sie unter CORS benötigte Berechtigungen.
-
Wenn Sie eine Flow-Definition erstellen, müssen Sie eine Rolle bereitstellen, die die Berechtigung für den Zugriff auf sowohl zum Lesen von Objekten, die in einer Benutzeroberfläche für menschliche Aufgaben gerendert werden, als auch zum Schreiben der Ergebnisse der Prüfung durch Menschen gewährt.
An diese Rolle muss auch eine Vertrauensrichtlinie angehängt sein, um der SageMaker KI die Erlaubnis zu erteilen, die Rolle zu übernehmen. Auf diese Weise kann Amazon A2I Aktionen entsprechend den Berechtigungen ausführen, die Sie der Rolle anfügen.
Unter Hinzufügen von Berechtigungen zur IAM-Rolle, die zum Erstellen einer Flow-Definition verwendet wird finden Sie Beispielrichtlinien, die Sie ändern und der Rolle anfügen können, die Sie zum Erstellen einer Flow-Definition verwenden. Dies sind die Richtlinien, die der IAM-Rolle zugeordnet sind, die im Bereich Human Review Workflows im Amazon A2I-Bereich der SageMaker KI-Konsole erstellt wurde.
-
Zum Erstellen und Starten von Human Loops können Sie entweder eine API-Operation aus einem integrierten Task-Typ (z. B.
DetectModerationLabel
oderAnalyzeDocument
) oder die Amazon A2I Runtime-API-OperationStartHumanLoop
in einer benutzerdefinierten ML-Anwendung verwenden. Sie müssen dieAmazonAugmentedAIFullAccess
verwaltete Richtlinie AmazonAugmentedAIFullAccess an den Benutzer anfügen, der diese API-Operationen aufruft, um die Serviceberechtigung zur Verwendung von Amazon A2I Vorgängen zu erteilen. Um zu erfahren wie dies geht, vgl. Erstellen eines Benutzers, der Amazon A2I API-Operationen aufrufen kann.Diese Richtlinie gewährt keine Genehmigung zum Aufrufen der API-Operationen des AWS Dienstes, die mit integrierten Aufgabentypen verknüpft sind. AmazonAugmentedAIFullAccess erteilt beispielsweise
AmazonAugmentedAIFullAccess
keine Berechtigung zum Aufrufen derDetectModerationLabel
API-Operation oder Amazon TextractAnalyzeDocument
API Operation. Sie können die allgemeinere RichtlinieAmazonAugmentedAIIntegratedAPIAccess
verwenden, um diese Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Einen Benutzer mit Berechtigungen zum Aufrufen von Amazon-A2I-, Amazon-Textract- und Amazon-Rekognition-API-Operationen erstellen. Dies ist eine gute Option, wenn Sie einem Benutzer umfassende Berechtigungen zur Nutzung von Amazon A2I und AWS der API-Operationen integrierter Dienste gewähren möchten.Wenn Sie detailliertere Berechtigungen konfigurieren möchten, finden Sie unter Beispiele für identitätsbasierte Richtlinien von Amazon Rekognition und Beispiele für identitätsbasierte Richtlinien von Amazon Textract identitätsbasierte Richtlinien, die Sie verwenden können, um die Berechtigung zur Nutzung dieser einzelnen Services zu erteilen.
-
Um eine Vorschau der benutzerdefinierten Vorlage für die Benutzeroberfläche für Auftragnehmeraufgaben anzuzeigen, benötigen Sie eine IAM-Rolle mit Berechtigungen zum Lesen von Amazon S3 Objekten, die auf der Benutzeroberfläche gerendert werden. Ein Richtlinienbeispiel finden Sie unter Aktivieren der Vorschau von Vorlagen für Auftragnehmeraufgaben .
Themen
CORS benötigte Berechtigungen
Anfang 2020 änderten weit verbreitete Browser wie Chrome und Firefox ihr Standardverhalten für das Rotieren von Bildern auf der Grundlage von Bildmetadaten, den sogenannten EXIF-Daten
Ab Chrome 89 AWS kann die Rotation von Bildern nicht mehr automatisch verhindert werden, da die Webstandardgruppe W3C entschieden hat, dass die Möglichkeit, die Rotation von Bildern zu kontrollieren, gegen die Same-Origin-Richtlinie des Webs verstößt. Daher müssen Sie den S3-Buckets, die Ihre Eingabebilder enthalten, eine CORS-Header-Richtlinie hinzufügen, um sicherzustellen, dass menschliche Mitarbeiter Ihre Eingabebilder in einer vorhersehbaren Ausrichtung kommentieren, wenn Sie Anfragen zur Erstellung eines Human Loops einreichen.
Wichtig
Wenn Sie den S3-Buckets, die Ihre Eingabedaten enthalten, keine CORS-Konfiguration hinzufügen, schlagen die manuellen Überprüfungsaufgaben für diese Eingabedatenobjekte fehl.
Sie können eine CORS-Richtlinie zu einem S3-Bucket hinzufügen, der Eingabedaten in der Amazon S3-Konsole enthält. Um die erforderlichen CORS-Header für den S3-Bucket festzulegen, der Ihre Eingabebilder in der S3-Konsole enthält, folgen Sie den Anweisungen unter Wie füge ich die domainübergreifende gemeinsame Nutzung von Ressourcen mit CORS hinzu?. Verwenden Sie den folgenden CORS-Konfigurationscode für die Buckets, die Ihre Bilder hosten. Wenn Sie die Amazon S3-Konsole verwenden, um die Richtlinie zu Ihrem Bucket hinzuzufügen, müssen Sie das JSON-Format verwenden.
JSON
[{
"AllowedHeaders": [],
"AllowedMethods": ["GET"],
"AllowedOrigins": ["*"],
"ExposeHeaders": []
}]
XML
<CORSConfiguration>
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
</CORSRule>
</CORSConfiguration>
Das folgende GIF zeigt die Anweisungen in der Amazon S3-Dokumentation zum Hinzufügen einer CORS-Header-Richtlinie mithilfe der Amazon S3-Konsole.

Hinzufügen von Berechtigungen zur IAM-Rolle, die zum Erstellen einer Flow-Definition verwendet wird
Um eine Flow-Definition zu erstellen, fügen Sie die Richtlinien in diesem Abschnitt der Rolle hinzu, die Sie bei der Erstellung eines Workflows zur Überprüfung durch Menschen in der SageMaker KI-Konsole oder bei der Verwendung des CreateFlowDefinition
API-Vorgangs verwenden.
-
Wenn Sie die Konsole verwenden, um einen Workflow für die Prüfung durch Menschen zu erstellen, geben Sie den Amazon-Ressourcennamen (ARN) der Rolle in das Feld IAM role (IAM-Rolle) ein, wenn Sie einen Workflow für die Prüfung durch Menschen in der Konsole erstellen.
-
Wenn Sie eine Flow-Definition über die API erstellen, fügen Sie diese Richtlinien der Rolle an, die an den
RoleArn
-Parameter derCreateFlowDefinition
-Operation übergeben wird.
Wenn Sie einen Workflow für die Prüfung durch Menschenerstellen, ruft Amazon A2I Amazon S3 auf, um die Aufgabe abzuschließen. Um Amazon A2I die Berechtigung zum Abrufen und Speichern Ihrer Dateien in Ihrem Amazon S3 Bucket zu erteilen, erstellen Sie die folgende Richtlinie und fügen Sie sie Ihrer Rolle an. Wenn beispielsweise die Bilder, Dokumente und anderen Dateien, die Sie zur Prüfung durch Menschen senden, in einem S3-Bucket namens my_input_bucket
gespeichert sind, und Sie möchten, dass die menschlichen Prüfungen in einem Bucket namens my_output_bucket
gespeichert werden, würden Sie die folgende Richtlinie erstellen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
my_input_bucket
/*" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::my_output_bucket
/*" ] } ] }
Darüber hinaus muss die IAM-Rolle über die folgende Vertrauensrichtlinie verfügen, um SageMaker KI die Erlaubnis zu erteilen, die Rolle zu übernehmen. Weitere Informationen IAM-Vertrauensrichtlinien finden Sie im Abschnitt Ressourcenbasierte Richtlinien unter Richtlinien und Berechtigungen in der Dokumentation zu AWS Identity and Access Management.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSageMakerToAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Weitere Informationen zum Erstellen und Verwalten von IAM-Rollen und -Richtlinien finden Sie in den folgenden Themen im AWS Identity and Access Management Benutzerhandbuch:
-
Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer.
-
Informationen zum Erstellen von -Richtlinien finden Sie unter Erstellen von IAM-Richtlinien.
-
Informationen zum Anfügen einer -Richtlinie an eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
Erstellen eines Benutzers, der Amazon A2I API-Operationen aufrufen kann
Um Amazon A2I zum Erstellen und Starten von Hooman Loops für Amazon Rekognition, Amazon Textract oder die Amazon-A2I-Runtime-API zu verwenden, müssen Sie einen Benutzer verwenden, der die Berechtigung hat, Amazon-A2I-Vorgänge aufzurufen. Verwenden Sie zu diesem Zweck die IAM Konsole, um die AmazonAugmentedAIFullAccess
Diese Richtlinie gewährt einem Benutzer die Erlaubnis, API-Operationen von der SageMaker API für die Erstellung und Verwaltung von Flow-Definitionen und der Amazon Augmented AI Runtime API für die Erstellung und Verwaltung von Human Loop aufzurufen. Weitere Informationen zu diesen API-Vorgängen finden Sie unter Verwendung APIs in Amazon Augmented AI.
AmazonAugmentedAIFullAccess
gewährt keine Berechtigungen für die Verwendung von Amazon Rekognition or Amazon Textract API-Operationen.
Anmerkung
Sie können AmazonAugmentedAIFullAccess
auch einer IAM-Rolle anfügen, die zum Erstellen und Starten einer Human Loop verwendet wird.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS Identity and Access Management IAM-Benutzerhandbuch.
Einen Benutzer mit Berechtigungen zum Aufrufen von Amazon-A2I-, Amazon-Textract- und Amazon-Rekognition-API-Operationen erstellen
Um einen Benutzer zu erstellen, der die Berechtigung hat, die API-Vorgänge aufzurufen, die von den eingebauten Aufgabentypen verwendet werden (d. h. DetectModerationLables
für Amazon Rekognition und AnalyzeDocument
für Amazon Textract), und die Berechtigung hat, alle Amazon-A2I-API-Vorgänge zu verwenden, fügen Sie die verwaltete IAM-Richtlinie, AmazonAugmentedAIIntegratedAPIAccess
. Sie können diese Richtlinie verwenden, wenn Sie einem Benutzer, der Amazon A2I mit mehreren Task-Typen verwendet, allgemeine Berechtigungen erteilen möchten. Weitere Informationen zu diesen API-Vorgängen finden Sie unter Verwendung APIs in Amazon Augmented AI.
Anmerkung
Sie können AmazonAugmentedAIIntegratedAPIAccess
auch einer IAM-Rolle anfügen, die zum Erstellen und Starten einer Human Loop verwendet wird.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Informationen finden Sie im Abschnitt Adding and Removing IAM Identity Permissions im AWS Identity and Access Management -Benutzerhandbuch.
Aktivieren der Vorschau von Vorlagen für Auftragnehmeraufgaben
Sie können eine Vorlage für Auftragnehmeraufgaben erstellen, um die Benutzeroberfläche und Anweisungen anzupassen, die Ihren Auftragnehmern beim Arbeiten an Ihren Aufgaben angezeigt werden. Sie können die Vorlage mithilfe der CreateHumanTaskUi
Operation oder der SageMaker AI-Konsole erstellen.
Um eine Vorschau der Vorlage anzuzeigen, benötigen Sie eine IAM-Rolle mit den folgenden Berechtigungen zum Lesen von Amazon S3-Objekten, die auf der Benutzeroberfläche gerendert werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
my_input_bucket
/*" ] } ] }
Für die Aufgabentypen Amazon Rekognition und Amazon Textract können Sie im Bereich Amazon Augmented AI der KI-Konsole eine Vorschau Ihrer Vorlage anzeigen. SageMaker Bei benutzerdefinierten Aufgabentypen können Sie eine Vorschau der Vorlage anzeigen, indem Sie die RenderUiTemplate
Operation aufrufen. Befolgen Sie die Anweisungen für Ihren Aufgabentyp, um eine Vorschau der Vorlage anzuzeigen:
-
Aufgabentypen Amazon Rekognition und Amazon Textract — Verwenden Sie in der SageMaker AI-Konsole den Amazon-Ressourcennamen (ARN) der Rolle in dem unter dokumentierten Verfahren. Erstellen einer Worker-Aufgabenvorlage
-
Benutzerdefinierte Aufgabentypen – Verwenden Sie im
RenderUiTemplate
Vorgang die ARN der Rolle imRoleArn
Parameter.
Amazon A2I mit AWS KMS verschlüsselten Buckets verwenden
Wenn Sie einen AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel angeben, um die Ausgabedaten in OutputConfig
of zu verschlüsseln CreateFlowDefinition
, müssen Sie diesem Schlüssel eine IAM-Richtlinie hinzufügen, die der folgenden ähnelt. Diese Richtlinie erteilt der IAM-Ausführungsrolle, mit der Sie Ihre Human Loops erstellen, die Erlaubnis, diesen Schlüssel für die Ausführung aller aufgeführten Aktionen unter "Action"
zu verwenden. Weitere Informationen zu diesen Aktionen finden Sie im AWS KMSAWS Key Management Service Entwicklerhandbuch unter Berechtigungen.
Um diese Richtlinie zu verwenden, ersetzen Sie den ARN der IAM-Servicerolle durch den ARN der Ausführungsrolle in "Principal"
, mit der Sie den Workflow für die menschliche Überprüfung (Flow-Definition)erstellen. Wenn Sie einen Beschriftungsauftrag mithilfe CreateFlowDefinition
erstellen, ist dies der ARN, für den Sie RoleArn
angeben. Beachten Sie, dass Sie ein KmsKeyId
beim Erstellen einer Flow-Definition in der Konsole nicht angeben können.
{
"Sid": "AllowUseOfKmsKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333
:role/service-role/example-role
"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}