Izin dan Keamanan di Amazon Augmented AI

Saat menggunakan Amazon Augmented AI (Amazon A2I) untuk membuat alur kerja tinjauan manusia untuk aplikasi ML/AI Anda, Anda membuat dan mengonfigurasi sumber daya di SageMaker Amazon seperti templat tugas tenaga kerja manusia dan pekerja. Untuk mengonfigurasi dan memulai loop manusia, Anda dapat mengintegrasikan Amazon A2I dengan AWS layanan lain seperti Amazon Ttract atau Amazon Rekognition, atau menggunakan Amazon Augmented AI Runtime API. Untuk membuat alur kerja tinjauan manusia dan memulai loop manusia, Anda harus melampirkan kebijakan tertentu ke peran atau pengguna AWS Identity and Access Management (IAM) Anda. Secara khusus:

• Saat memulai loop manusia menggunakan data input gambar pada atau setelah 12 Januari 2020, Anda harus menambahkan kebijakan header CORS ke bucket Amazon S3 yang berisi data input Anda. Lihat Persyaratan Izin CORS untuk mempelajari selengkapnya.

• Saat membuat definisi aliran, Anda harus memberikan peran yang memberikan izin Amazon A2I untuk mengakses Amazon S3 baik untuk membaca objek yang dirender di UI tugas manusia maupun untuk menulis hasil tinjauan manusia.

  Peran ini juga harus memiliki kebijakan kepercayaan yang dilampirkan untuk memberikan SageMaker izin untuk mengambil peran tersebut. Hal ini memungkinkan Amazon A2I untuk melakukan tindakan sesuai dengan izin yang Anda lampirkan ke peran.

  Lihat Menambahkan Izin ke Peran IAM yang Digunakan untuk Membuat Definisi Aliran misalnya kebijakan yang dapat Anda ubah dan lampirkan ke peran yang Anda gunakan untuk membuat definisi aliran. Ini adalah kebijakan yang dilampirkan pada peran IAM yang dibuat di bagian alur kerja tinjauan Manusia di area Amazon A2I konsol. SageMaker

• Untuk membuat dan memulai loop manusia, Anda dapat menggunakan operasi API dari tipe tugas bawaan (seperti DetectModerationLabel atauAnalyzeDocument) atau operasi Amazon A2I Runtime API StartHumanLoop dalam aplikasi HTML kustom. Anda harus melampirkan kebijakan AmazonAugmentedAIFullAccess terkelola ke pengguna yang memanggil operasi API ini untuk memberikan izin ke layanan ini guna menggunakan operasi Amazon A2I. Untuk mempelajari caranya, lihat Buat Pengguna yang Dapat Memanggil Operasi API Amazon A2I.

  Kebijakan ini tidak memberikan izin untuk menjalankan operasi API AWS layanan yang terkait dengan tipe tugas bawaan. Misalnya, AmazonAugmentedAIFullAccess tidak memberikan izin untuk memanggil operasi Amazon DetectModerationLabel Rekognition API atau operasi Amazon Texttract API. AnalyzeDocument Anda dapat menggunakan kebijakan yang lebih umum,AmazonAugmentedAIIntegratedAPIAccess, untuk memberikan izin ini. Untuk informasi selengkapnya, lihat Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API. Ini adalah opsi yang baik ketika Anda ingin memberikan izin luas kepada pengguna untuk menggunakan Amazon A2I dan operasi API AWS layanan terintegrasi.

  Jika Anda ingin mengonfigurasi izin yang lebih terperinci, lihat Contoh Kebijakan Berbasis Identitas Amazon Rekognition dan Contoh Kebijakan Berbasis Identitas Amazon Textract untuk kebijakan berbasis identitas yang dapat Anda gunakan untuk memberikan izin untuk menggunakan layanan individual ini.

• Untuk melihat pratinjau template UI tugas pekerja kustom, Anda memerlukan peran IAM dengan izin untuk membaca objek Amazon S3 yang dirender di antarmuka pengguna. Lihat contoh kebijakan diAktifkan Pratinjau Template Tugas Pekerja .

Persyaratan Izin CORS

Sebelumnya pada tahun 2020, browser yang banyak digunakan seperti Chrome dan Firefox mengubah perilaku default mereka untuk memutar gambar berdasarkan metadata gambar, yang disebut sebagai data EXIF. Sebelumnya, gambar akan selalu ditampilkan di browser persis bagaimana mereka disimpan pada disk, yang biasanya tidak diputar. Setelah perubahan, gambar sekarang berputar sesuai dengan sepotong metadata gambar yang disebut nilai orientasi. Ini memiliki implikasi penting bagi seluruh komunitas pembelajaran mesin (ML). Misalnya, jika orientasi EXIF tidak dipertimbangkan, aplikasi yang digunakan untuk membubuhi keterangan gambar dapat menampilkan gambar dalam orientasi yang tidak terduga dan menghasilkan label yang salah.

Dimulai dengan Chrome 89, tidak AWS dapat lagi secara otomatis mencegah rotasi gambar karena grup standar web W3C telah memutuskan bahwa kemampuan untuk mengontrol rotasi gambar melanggar Kebijakan Same-Origin web. Oleh karena itu, untuk memastikan pekerja manusia membuat anotasi gambar input Anda dalam orientasi yang dapat diprediksi saat Anda mengirimkan permintaan untuk membuat loop manusia, Anda harus menambahkan kebijakan header CORS ke bucket S3 yang berisi gambar input Anda.

penting

Jika Anda tidak menambahkan konfigurasi CORS ke bucket S3 yang berisi data input Anda, tugas peninjauan manusia untuk objek data input tersebut gagal.

Anda dapat menambahkan kebijakan CORS ke bucket S3 yang berisi data input di konsol Amazon S3. Untuk menyetel header CORS yang diperlukan pada bucket S3 yang berisi gambar masukan Anda di konsol S3, ikuti petunjuk yang dijelaskan di Bagaimana cara menambahkan berbagi sumber daya lintas domain dengan CORS? . Gunakan kode konfigurasi CORS berikut untuk bucket yang menampung gambar Anda. Jika Anda menggunakan konsol Amazon S3 untuk menambahkan kebijakan ke bucket, Anda harus menggunakan format JSON.

JSON

[{
   "AllowedHeaders": [],
   "AllowedMethods": ["GET"],
   "AllowedOrigins": ["*"],
   "ExposeHeaders": []
}]

XML-XM

<CORSConfiguration>
 <CORSRule>
   <AllowedOrigin>*</AllowedOrigin>
   <AllowedMethod>GET</AllowedMethod>
 </CORSRule>
</CORSConfiguration>

GIF berikut menunjukkan petunjuk yang ditemukan dalam dokumentasi Amazon S3 untuk menambahkan kebijakan header CORS menggunakan konsol Amazon S3.

Menambahkan Izin ke Peran IAM yang Digunakan untuk Membuat Definisi Aliran

Untuk membuat definisi alur, lampirkan kebijakan di bagian ini ke peran yang Anda gunakan saat membuat alur kerja tinjauan manusia di SageMaker konsol, atau saat menggunakan operasi CreateFlowDefinition API.

• Jika Anda menggunakan konsol untuk membuat alur kerja tinjauan manusia, masukkan peran Amazon Resource Name (ARN) di bidang peran IAM saat membuat alur kerja tinjauan manusia di konsol.

• Saat membuat definisi aliran menggunakan API, lampirkan kebijakan ini ke peran yang diteruskan ke RoleArn parameter CreateFlowDefinition operasi.

Saat Anda membuat alur kerja tinjauan manusia (definisi alur), Amazon A2I memanggil Amazon S3 untuk menyelesaikan tugas Anda. Untuk memberikan izin Amazon A2I untuk mengambil dan menyimpan file Anda di bucket Amazon S3, buat kebijakan berikut dan lampirkan ke peran Anda. Misalnya, jika gambar, dokumen, dan file lain yang Anda kirim untuk ditinjau manusia disimpan dalam bucket S3 bernamamy_input_bucket, dan jika Anda ingin ulasan manusia disimpan dalam bucket bernamamy_output_bucket, buat kebijakan berikut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_input_bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_output_bucket/*"
            ]
        }
    ]
}

Selain itu, peran IAM harus memiliki kebijakan kepercayaan berikut untuk memberikan SageMaker izin untuk mengambil peran tersebut. Untuk mempelajari selengkapnya tentang kebijakan kepercayaan IAM, lihat bagian Kebijakan Berbasis Sumber Daya dari Kebijakan dan Izin di dokumentasi Identity and Access Management AWS .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerToAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk informasi selengkapnya tentang membuat dan mengelola peran dan kebijakan IAM, lihat topik berikut di Panduan AWS Identity and Access Management Pengguna:

• Untuk membuat peran IAM, lihat Membuat Peran untuk Mendelegasikan Izin ke Pengguna IAM.

• Untuk mempelajari cara membuat kebijakan IAM, lihat Membuat Kebijakan IAM.

• Untuk mempelajari cara melampirkan kebijakan IAM ke peran, lihat Menambahkan dan Menghapus Izin Identitas IAM.

Buat Pengguna yang Dapat Memanggil Operasi API Amazon A2I

Untuk menggunakan Amazon A2I untuk membuat dan memulai loop manusia untuk Amazon Rekognition, Amazon Textract, atau API runtime Amazon A2I, Anda harus menggunakan pengguna yang memiliki izin untuk menjalankan operasi Amazon A2I. Untuk melakukannya, gunakan konsol IAM untuk melampirkan kebijakan AmazonAugmentedAIFullAccessterkelola ke pengguna baru atau yang sudah ada.

Kebijakan ini memberikan izin kepada pengguna untuk menjalankan operasi API dari SageMaker API untuk pembuatan dan pengelolaan definisi aliran serta Amazon Augmented AI Runtime API untuk pembuatan dan pengelolaan loop manusia. Untuk mempelajari lebih lanjut tentang operasi API ini, lihat Menggunakan API di Amazon Augmented AI.

AmazonAugmentedAIFullAccesstidak memberikan izin untuk menggunakan Amazon Rekognition atau operasi Amazon Texttract API.

catatan

Anda juga dapat melampirkan AmazonAugmentedAIFullAccess kebijakan ke peran IAM yang digunakan untuk membuat dan memulai loop manusia.

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan Pengguna AWS IAM Identity Center .

• Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.

• Pengguna IAM:

  • Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.

  • (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus Izin Identitas IAM di AWS Identity and Access Management Panduan Pengguna.

Buat Pengguna Dengan Izin untuk Memanggil Operasi Amazon A2I, Amazon Texttract, dan Amazon Rekognition API

Untuk membuat pengguna yang memiliki izin untuk menjalankan operasi API yang digunakan oleh tipe tugas bawaan (yaitu, DetectModerationLables untuk Amazon AnalyzeDocument Rekognition dan Amazon Texttract) dan izin untuk menggunakan semua operasi Amazon A2I API, lampirkan kebijakan terkelola IAM,. AmazonAugmentedAIIntegratedAPIAccess Anda mungkin ingin menggunakan kebijakan ini saat ingin memberikan izin luas kepada pengguna yang menggunakan Amazon A2I dengan lebih dari satu jenis tugas. Untuk mempelajari lebih lanjut tentang operasi API ini, lihat Menggunakan API di Amazon Augmented AI.

catatan

Anda juga dapat melampirkan AmazonAugmentedAIIntegratedAPIAccess kebijakan ke peran IAM yang digunakan untuk membuat dan memulai loop manusia.

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan Pengguna AWS IAM Identity Center .

• Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.

• Pengguna IAM:

  • Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.

  • (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Untuk informasi selengkapnya, lihat Menambahkan dan Menghapus Izin Identitas IAM di AWS Identity and Access Management Panduan Pengguna.

Aktifkan Pratinjau Template Tugas Pekerja

Untuk menyesuaikan antarmuka dan instruksi yang dilihat pekerja Anda saat mengerjakan tugas Anda, Anda membuat templat tugas pekerja. Anda dapat membuat template menggunakan CreateHumanTaskUioperasi atau SageMaker konsol.

Untuk melihat pratinjau template Anda, Anda memerlukan peran IAM dengan izin berikut untuk membaca objek Amazon S3 yang dirender di antarmuka pengguna Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my_input_bucket/*"
            ]
        }
    ]
}

Untuk jenis tugas Amazon Rekognition dan Amazon Textract, Anda dapat melihat pratinjau template menggunakan bagian Amazon Augmented AI di konsol. SageMaker Untuk jenis tugas khusus, Anda melihat pratinjau template Anda dengan menjalankan RenderUiTemplateoperasi. Untuk melihat pratinjau template Anda, ikuti petunjuk untuk jenis tugas Anda:

• Jenis tugas Amazon Rekognition dan Amazon Texttract — Di SageMaker konsol, gunakan Nama Sumber Daya Amazon (ARN) peran dalam prosedur yang didokumentasikan. Buat Template Tugas Pekerja

• Jenis tugas khusus - Dalam RenderUiTemplate operasi, gunakan ARN peran dalam parameter. RoleArn

Menggunakan Amazon A2I dengan AWS KMS Ember Terenkripsi

Jika Anda menentukan AWS Key Management Service (AWS KMS) kunci terkelola pelanggan untuk mengenkripsi data keluaran di OutputConfig of CreateFlowDefinition, Anda harus menambahkan kebijakan IAM yang mirip dengan berikut ke kunci tersebut. Kebijakan ini memberikan peran eksekusi IAM yang Anda gunakan untuk membuat izin loop manusia untuk menggunakan kunci ini untuk melakukan semua tindakan yang tercantum di dalamnya"Action". Untuk mempelajari lebih lanjut tentang tindakan ini, lihat AWS KMS izin di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kebijakan ini, ganti ARN peran layanan IAM "Principal" dengan ARN dari peran eksekusi yang Anda gunakan untuk membuat alur kerja tinjauan manusia (definisi alur). Saat Anda membuat pekerjaan pelabelan menggunakanCreateFlowDefinition, ini adalah ARN yang Anda tentukan. RoleArn Perhatikan bahwa Anda tidak dapat memberikan KmsKeyId ketika Anda membuat definisi aliran di konsol.

{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

Izin Tambahan dan Sumber Daya Keamanan

• Kontrol Akses ke SageMaker Sumber Daya dengan Menggunakan Tag.

• Kebijakan Berbasis Identitas SageMaker

• Kontrol Pembuatan Sumber SageMaker Daya dengan Kunci Kondisi

• Izin Amazon SageMaker API: Tindakan, Izin, dan Referensi Sumber Daya

• Konfigurasikan keamanan di Amazon SageMaker