Autenticación y restricciones del personal - Amazon SageMaker
Restringir el acceso a los tipos de personal

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación y restricciones del personal

Ground Truth le permite utilizar su propio personal privado para llevar a cabo trabajos de etiquetado. El personal privado es un concepto abstracto y se refiere a un conjunto de personas que trabajan para usted. Cada trabajo de etiquetado se crea utilizando un equipo de trabajo, compuesto por trabajadores de su personal. Ground Truth admite la creación de personal privado mediante Amazon Cognito.

Un personal de Ground Truth se asigna a un grupo de usuarios de Amazon Cognito. Un equipo de trabajo de Ground Truth se asigna a un grupo de usuarios de Amazon Cognito. Amazon Cognito administra la autenticación de los trabajadores. Amazon Cognito admite la conexión Open ID (OIDC) y los clientes pueden configurar la federación de Amazon Cognito con su propio proveedor de identidad (IdP).

Ground Truth solo permite una fuerza laboral por cuenta por AWS región. Cada fuerza laboral tiene un inicio de sesión exclusivo en el portal de trabajo de Ground TruthURL.

También puede restringir a los trabajadores a un rango de direcciones IP o bloques de enrutamiento entre dominios sin clase (CIDR). Esto significa que los anotadores deben estar en una red concreta para acceder al sitio de anotación. Puede añadir hasta diez CIDR bloques para una plantilla. Para obtener más información, consulte Gestión de la fuerza laboral privada mediante Amazon SageMaker API.

Para obtener información sobre cómo crear personal privado, consulte Creación de un personal privado (Amazon Cognito).

Restringir el acceso a los tipos de personal

Los equipos de trabajo de Amazon SageMaker Ground Truth se dividen en tres tipos de personal: públicos (con Amazon Mechanical Turk), privados y vendedores. Para restringir el acceso de los usuarios a un equipo de trabajo específico que utilice uno de estos tipos o el equipo de trabajoARN, utilice las claves de condición sagemaker:WorkteamType y/o las claves de sagemaker:WorkteamArn condición. Para la clave de condición sagemaker:WorkteamType, utilice operadores de condición de cadena. Para la clave de sagemaker:WorkteamArn condición, utilice los operadores de condición Amazon Resource Name (ARN). Si el usuario intenta crear un trabajo de etiquetado con un equipo de trabajo restringido, SageMaker devuelve un error de acceso denegado.

Las políticas siguientes muestran diferentes formas de utilizar las claves de condición sagemaker:WorkteamType y sagemaker:WorkteamArn con los operadores de condición adecuados y los valores de condición válidos.

En el ejemplo siguiente se utiliza la clave de condición sagemaker:WorkteamType con el operador de condición StringEquals para restringir el acceso a un equipo de trabajo público. Acepta valores de condición en el siguiente formato:workforcetype-crowd, donde workforcetype puede ser igual a publicprivate, ovendor.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

Las siguientes políticas muestran cómo restringir el acceso a un equipo de trabajo público mediante la clave de condición sagemaker:WorkteamArn. La primera muestra cómo utilizarla con una IAM variante de expresiones regulares válida del equipo de trabajo ARN y del operador de ArnLike condición. La segunda muestra cómo usarla con el operador de la ArnEquals condición y el equipo de trabajo. ARN

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}