Utiliser les stratégies gérées IAM avec Ground Truth - Amazon SageMaker

Utiliser les stratégies gérées IAM avec Ground Truth

SageMaker et Ground Truth fournissent des stratégies gérées AWS que vous pouvez utiliser pour créer une tâche d'étiquetage. Si vous commencez à utiliser Ground Truth et que vous n'avez pas besoin d'autorisations détaillées pour votre cas d'utilisation, il est recommandé d'utiliser les stratégies suivantes :

  • AmazonSageMakerFullAccess – Utilisez cette stratégie pour autoriser un utilisateur ou un rôle IAM à créer une tâche d'étiquetage. Il s'agit d'une stratégie large qui accorde à une entité IAM l'autorisation d'utiliser les fonctionnalités SageMaker, ainsi que les fonctionnalités des fonctionnalités AWS nécessaires via la console et l'API. Cette stratégie donne à l'entité IAM l'autorisation de créer une tâche d'étiquetage ainsi que de créer et de gérer des mains-d'œuvre à l'aide d'Amazon Cognito. Pour en savoir plus, veuillez consulter Stratégie AmazonSageMakerFullAccess.

  • AmazonSageMakerGroundTruthExecution – Pour créer un rôle d'exécution, vous pouvez attacher la stratégie AmazonSageMakerGroundTruthExecution à un rôle IAM. Un rôle d'exécution est le rôle que vous spécifiez lorsque vous créez une tâche d'étiquetage et il est utilisé pour démarrer votre tâche d'étiquetage. Cette stratégie vous permet de créer des tâches d'étiquetage en streaming et ponctuelles, et de créer une tâche d'étiquetage à l'aide de n'importe quel type de tâche. Notez les limites suivantes de cette stratégie gérée.

    • Autorisations Amazon S3 : cette stratégie accorde une autorisation de rôle d'exécution pour accéder aux compartiments Amazon S3 dont le nom contient les chaînes suivantes : GroundTruth, Groundtruth, groundtruth, SageMaker, Sagemaker et sagemaker ou un compartiment avec une balise d'objet qui inclut SageMaker dans le nom (insensible à la casse). Assurez-vous que vos noms de compartiment source et de sortie incluent ces chaînes, ou ajoutez des autorisations supplémentaires à votre rôle d'exécution sur Accorder l'autorisation d'accéder à vos compartiments Amazon S3. Vous devez autoriser ce rôle à effectuer les actions suivantes sur vos compartiments Amazon S3 : AbortMultipartUpload, GetObject et PutObject.

    • Flux de travail personnalisés : lorsque vous créez un Flux d'étiquetage personnalisé, ce rôle d'exécution est limité à l'appel des fonctions AWS Lambda, dont le nom contient l'une des chaînes suivantes  : GtRecipe, SageMaker, Sagemaker, sagemaker ou LabelingFunction. Cela s'applique à la fois aux fonctions Lambdas de pré-annotation et de post-annotation. Si vous choisissez d'utiliser des noms ne comportant pas ces chaînes, vous devez fournir explicitement l'autorisation lambda:InvokeFunction au rôle IAM utilisé pour créer la tâche d'étiquetage.

Pour savoir comment attacher une stratégie gérée AWS à un utilisateur ou rôle IAM (identité), veuillez consulter la rubrique Ajout et suppression d'autorisations d'identité IAM dans le Guide de l'utilisateur IAM.