Authentifizierung der Arbeitskräfte und Einschränkungen - Amazon SageMaker
Beschränken des Zugriffs auf Arbeitskrafttypen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung der Arbeitskräfte und Einschränkungen

Mit Hilfe von Ground Truth können Sie für die Bearbeitung von Kennzeichnungsaufträgen Ihre eigenen privaten Arbeitskräfte einsetzen. Private Arbeitskräfte ist ein abstrakter Begriff. Er bedeutet eine Personengruppe, die für Sie arbeitet. Jeder Kennzeichnungsauftrag wird mit einem Arbeitsteam erstellt, das sich aus Auftragnehmern unter Ihren Arbeitskräften zusammensetzt. Ground Truth unterstützt die Erstellung privater Arbeitskräfte mit Amazon Cognito.

Ground-Truth-Arbeitskräfte werden einem Amazon Cognito-Benutzerpool zugeordnet. Ein Ground-Truth-Arbeitsteam wird einer Amazon Cognito-Benutzergruppe zugeordnet. Amazon Cognito verwaltet die Authentifizierung des Personals. Amazon Cognito unterstützt Open ID Connection (OIDC) und Kunden können den Amazon Cognito Cognito-Verbund mit ihrem eigenen Identitätsanbieter (IdP) einrichten.

Ground Truth erlaubt nur eine Belegschaft pro Konto und AWS Region. Jede Belegschaft hat ein eigenes Login für das Ground Truth-ArbeitsportalURL.

Sie können Mitarbeiter auch auf einen Block-/IP-Adressbereich mit Classless Inter-Domain Routing (CIDR) beschränken. Das bedeutet, dass Annotatoren sich in einem bestimmten Netzwerk befinden müssen, um auf die Annotations-Site zugreifen zu können. Sie können bis zu zehn CIDR Blöcke für eine Belegschaft hinzufügen. Weitere Informationen hierzu finden Sie unter Private Personalverwaltung mit Amazon SageMaker API.

Informationen dazu, wie Sie private Arbeitskräfte erstellen können, finden Sie unter Erstellen Sie eine private Belegschaft (Amazon Cognito).

Beschränken des Zugriffs auf Arbeitskrafttypen

Die Arbeitsteams von Amazon SageMaker Ground Truth lassen sich in eine von drei Arten von Mitarbeitern einteilen: öffentliche Mitarbeiter (mit Amazon Mechanical Turk), private Mitarbeiter und Zulieferer. Um den Benutzerzugriff auf ein bestimmtes Arbeitsteam zu beschränken, das einen dieser Typen oder das Arbeitsteam verwendetARN, verwenden Sie die Tasten sagemaker:WorkteamType und/oder die sagemaker:WorkteamArn Bedingungstasten. Verwenden Sie als sagemaker:WorkteamType-Bedingungsschlüssel Bedingungsoperatoren für Zeichenfolgen. Verwenden Sie für den sagemaker:WorkteamArn Bedingungsschlüssel die Bedingungsoperatoren Amazon Resource Name (ARN). Wenn der Benutzer versucht, einen Labeling-Job mit einem eingeschränkten Arbeitsteam zu erstellen, wird die Fehlermeldung „Zugriff verweigert“ SageMaker zurückgegeben.

Die folgenden Richtlinien veranschaulichen verschiedene Möglichkeiten zur Verwendung der Bedingungsschlüssel sagemaker:WorkteamType und sagemaker:WorkteamArn mit geeigneten Bedingungsoperatoren und gültigen Bedingungswerten.

Im folgenden Beispiel wird der sagemaker:WorkteamType-Bedingungsschlüssel zusammen mit dem StringEquals-Bedingungsoperator verwendet, um den Zugriff auf ein öffentliches Arbeitsteam zu beschränken. Es akzeptiert Bedingungswerte im folgenden Format:workforcetype-crowd, wobei workforcetype kann gleichpublic,private, oder seinvendor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

Die folgenden Richtlinien zeigen, wie Sie mithilfe des sagemaker:WorkteamArn-Bedingungsschlüssels den Zugriff auf ein öffentliches Arbeitsteam einschränken. Die erste zeigt, wie man es mit einer gültigen IAM Regex-Variante des Arbeitsteams ARN und des ArnLike Bedingungsoperators verwendet. Die zweite zeigt, wie man es mit dem ArnEquals Bedingungsoperator und dem Arbeitsteam verwendet. ARN

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}