Utilice las políticas administradas de IAM con Ground Truth

SageMaker AI y Ground Truth proporcionan políticas AWS gestionadas que puede utilizar para crear un trabajo de etiquetado. Si está empezando a utilizar Ground Truth y no necesita permisos detallados para su caso de uso, le recomendamos que utilice las siguientes políticas.

• AmazonSageMakerFullAccess: utilice esta política para conceder permiso a un usuario o rol para crear un trabajo de etiquetado. Se trata de una política amplia que permite a una entidad utilizar las funciones de SageMaker IA, así como las funciones de los AWS servicios necesarios, a través de la consola y la API. Esta política otorga a la entidad permiso para crear un trabajo de etiquetado y para crear y administrar el personal mediante Amazon Cognito. Para obtener más información, consulta AmazonSageMakerFullAccess la Política.

• AmazonSageMakerGroundTruthExecution: para crear un rol de ejecución, puede asociar la política AmazonSageMakerGroundTruthExecution a un rol. Un rol de ejecución es el rol que especifica cuando crea un trabajo de etiquetado y se utiliza para iniciar dicho trabajo. Esta política le permite crear trabajos de etiquetado en streaming y no en streaming, y crear un trabajo de etiquetado con cualquier tipo de tarea. Tenga en cuenta los siguientes límites de esta política administrada.

  • Permisos de Amazon S3: esta política concede un permiso de rol de ejecución para acceder a los buckets de Amazon S3 con las siguientes cadenas en el nombre: GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker y sagemaker, o un bucket con una etiqueta de objeto que incluya SageMaker en el nombre (no distingue mayúsculas de minúsculas). Asegúrese de que los nombres de los buckets de entrada y salida incluyan estas cadenas o añada permisos adicionales a su rol de ejecución para concederle permiso de acceso a sus buckets de Amazon S3. Debe conceder permiso a este rol para realizar las siguientes acciones en sus buckets de Amazon S3: AbortMultipartUpload, GetObject yPutObject.

  • Flujos de trabajo personalizados: al crear un flujo de trabajo de etiquetado personalizado, esta función de ejecución se limita a invocar AWS Lambda funciones con una de las siguientes cadenas como parte del nombre de la función: GtRecipeSageMaker,, Sagemakersagemaker, oLabelingFunction. Esto se aplica a las funciones Lambda tanto anteriores como posteriores a la anotación. Si decide utilizar nombres sin dichas cadenas, debe proporcionar de forma explícita un permiso lambda:InvokeFunction al rol de ejecución que se utiliza para crear el trabajo de etiquetado.

Para obtener información sobre cómo asociar una política AWS gestionada a un usuario o rol, consulte Añadir y eliminar permisos de identidad de IAM en la Guía del usuario de IAM.