Authentification et restrictions du personnel - Amazon SageMaker

Authentification et restrictions du personnel

Ground Truth vous permet d'utiliser votre propre main-d'œuvre privée pour travailler sur l'étiquetage des tâches. Une main-d'œuvre privée est un concept abstrait qui fait référence à un ensemble de personnes qui travaillent pour vous. Chaque tâche d'étiquetage est créée à l'aide d'une équipe de travail composée de travailleurs de votre personnel. Ground Truth prend charge la création de main-d'œuvre privée avec Amazon Cognito.

Une main-d'œuvre Ground Truth est mappée à un groupe d'utilisateurs Amazon Cognito. Une équipe de travail Ground Truth est mappée à un groupe d'utilisateurs Amazon Cognito. Amazon Cognito gère l'authentification de l'employé. Amazon Cognito prend en charge la connexion Open ID (OIDC) et les clients peuvent configurer la fédération Amazon Cognito avec leur propre fournisseur d'identité (IdP).

Ground Truth autorise une seule main-d'œuvre par compte et par région AWS. Chaque main-d'œuvre dispose d'une URL de connexion dédiée au portail de travail Ground Truth.

Vous pouvez également limiter les travailleurs à une plage d'adresses IP/de bloc CIDR (Classless Inter-Domain Routing). Cela signifie que les annotateurs doivent se trouver sur un réseau spécifique pour accéder au site d'annotations. Vous pouvez ajouter jusqu'à quatre blocs CIDR pour une main-d'œuvre. Pour en savoir plus, consultez Gérer la main-d'œuvre privée à l'aide de l'API Amazon SageMaker.

Pour savoir comment créer un personnel privé, consultez Création d'une main-d'œuvre privée (Amazon Cognito).

Restreindre l'accès aux types de personnel

Les équipes de travail Amazon SageMaker Ground Truth font partie de l'un des trois Types de main-d'œuvre : publique (avec Amazon Mechanical Turk), privée et fournisseur. Pour restreindre l'accès des utilisateurs IAM à une équipe de travail spécifique à l'aide de l'un de ces types ou de l'ARN de l'équipe de travail, utilisez les clés de condition sagemaker:WorkteamType et/ou sagemaker:WorkteamArn. Pour la clé de condition sagemaker:WorkteamType, utilisez les opérateurs de condition de chaîne. Pour la clé de condition sagemaker:WorkteamArn, utilisez les opérateurs de condition Amazon Resource Name (ARN). Si l'utilisateur tente de créer une tâche d'étiquetage avec une équipe de travail restreinte, SageMaker renvoie une erreur d'accès refusé.

Les stratégies ci-dessous illustrent différentes façons d'utiliser les clés de condition sagemaker:WorkteamType et sagemaker:WorkteamArn avec des opérateurs de condition appropriés et des valeurs de condition valides.

L'exemple suivant utilise la clé de condition sagemaker:WorkteamType avec l'opérateur de condition StringEquals pour restreindre l'accès à une équipe de travail public. Il accepte les valeurs de condition dans le format suivant : workforcetype-crowd, où workforcetype peut être égal public, private ou vendor.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictWorkteamType", "Effect": "Deny", "Action": "sagemaker:CreateLabelingJob", "Resource": "*", "Condition": { "StringEquals": { "sagemaker:WorkteamType": "public-crowd" } } } ] }

Les stratégies suivantes montrent comment restreindre l'accès à une équipe de travail public à l'aide de la clé de condition sagemaker:WorkteamArn. Le premier montre comment l'utiliser avec une expression régulière IAM valide de l'ARN de l'équipe de travail et l'opérateur de condition ArnLike. La seconde montre comment l'utiliser avec l'opérateur de condition ArnEquals et l'ARN de l'équipe de travail.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictWorkteamType", "Effect": "Deny", "Action": "sagemaker:CreateLabelingJob", "Resource": "*", "Condition": { "ArnLike": { "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*" } } } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictWorkteamType", "Effect": "Deny", "Action": "sagemaker:CreateLabelingJob", "Resource": "*", "Condition": { "ArnEquals": { "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default" } } } ] }