翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Augmented AI におけるアクセス許可とセキュリティ
Amazon Augmented AI (Amazon A2I) を使用して ML/AI アプリケーション用の人間によるレビューワークフローを作成するときは、Amazon SageMaker でヒューマンワークフォースやワーカータスクテンプレートなどのリソースを作成して設定します。ヒューマンループを設定して開始するには、Amazon A2I を Amazon Textract や Amazon Rekognition などの他の AWS サービスと統合するか、Amazon Augmented AI ランタイム API を使用します。人間によるレビューワークフローを作成してヒューマンループを始めるには、AWS Identity and Access Management (IAM) ロールまたはユーザーに特定のポリシーをアタッチする必要があります。具体的には次のとおりです。
-
2020 年 1 月 12 日以降に画像入力データを使用してヒューマンループを始める場合は、入力データを含む Amazon S3 バケットに CORS ヘッダーポリシーを追加する必要があります。詳細については、「CORS アクセス許可要件」を参照してください。
-
フロー定義を作成するときは、ヒューマンタスク UI でレンダリングされるオブジェクトの読み取りと、人間によるレビューの結果の書き込みの両方に関して Amazon S3 への アクセス許可を Amazon A2I に付与するロールを指定する必要があります。
このロールには、SageMaker にロールを引き受ける許可を与える信頼ポリシーがアタッチされている必要があります。これにより、Amazon A2I は、ロールにアタッチした許可に従ってアクションを実行できます。
フロー定義の作成に使用するロールに変更およびアタッチできるポリシーの例については、「フロー定義の作成に使用する IAM ロールにアクセス許可を追加する」を参照してください。これらは、SageMaker コンソールの Amazon A2I 領域にある [Human review workflows] (人間によるレビューワークフロー) セクションで作成される IAM ロールにアタッチされるポリシーです。
-
ヒューマンループを作成して開始するには、組み込みタスクタイプ (
DetectModerationLabel
またはAnalyzeDocument
など) からの API オペレーションを使用するか、カスタム ML アプリケーションの Amazon A2I ランタイム API オペレーションStartHumanLoop
を使用します。これらの API オペレーションを呼び出す IAM ユーザーにAmazonAugmentedAIFullAccess
管理ポリシーをアタッチし、これらのサービスが Amazon A2I オペレーションを使用できるようにアクセス許可を付与する必要があります。この方法の詳細は、「Amazon A2I API オペレーションを呼び出せる IAM ユーザーを作成する」を参照してください。このポリシーは組み込みタスクタイプに関連付けられた AWS サービスの API オペレーションを呼び出すアクセス許可を付与しません。例えば、
AmazonAugmentedAIFullAccess
は、Amazon RekognitionDetectModerationLabel
API オペレーションまたは Amazon TextractAnalyzeDocument
API オペレーションを呼び出すアクセス許可を付与しません。より一般的なポリシーAmazonAugmentedAIIntegratedAPIAccess
を使用して、これらのアクセス許可を付与できます。詳細については、「Amazon A2I、Amazon Textract、Amazon Rekognition API オペレーションを呼び出すアクセス権限を持つ IAM ユーザーを作成する」を参照してください。これは、Amazon A2I および統合 AWS サービスの API オペレーションを使用する広範なアクセス許可を IAM ユーザーに付与する場合に適しています。より詳細なアクセス許可を設定する場合は、これらの個々のサービスを使用するアクセス許可を付与するために使用できる ID ベースのポリシーについては、Amazon Recognition アイデンティティベースのポリシーの例および Amazon Textract アイデンティティベースのポリシーの例を参照してください。
-
カスタムワーカータスク UI テンプレートをプレビューするには、ユーザーインターフェイスでレンダリングされる Amazon S3 オブジェクトの読み取り権限を持つ IAM ロールが必要です。ワーカータスクテンプレートプレビューを有効にする のポリシーの例を参照してください。
トピック
CORS アクセス許可要件
2020 年初めに、Chrome や Firefox などの広く使用されているブラウザは、EXIF データ
Chrome 89 以降、ウェブ標準グループ W3C は、イメージの回転を制御する機能がウェブの同一生成元ポリシーに違反していると判断したため、AWS ではイメージの回転を自動的に回避できなくなりました。したがって、ヒューマンループを作成するリクエストの送信時に人間のワーカーが予測可能な方向で入力イメージに注釈を付けるには、入力イメージを含む S3 バケットに CORS ヘッダーポリシーを追加する必要があります。
入力データを含む S3 バケットに CORS 設定を追加しないと、それらの入力データオブジェクトに対する人間によるレビュータスクは失敗します。
Amazon S3 コンソールで入力データを含む S3 バケットに CORS ポリシーを追加できます。S3 コンソールで入力イメージを含む S3 バケットに必要な CORS ヘッダーを設定するには、「CORS によりクロスドメインリソース共有を追加する方法」で説明されている指示に従います。イメージをホストするバケットには、次の CORS 設定コードを使用します。Amazon S3 コンソールを使用してポリシーをバケットに追加する場合は、JSON 形式を使用する必要があります。
JSON
[{ "AllowedHeaders": [], "AllowedMethods": ["GET"], "AllowedOrigins": ["*"], "ExposeHeaders": [] }]
XML
<CORSConfiguration> <CORSRule> <AllowedOrigin>*</AllowedOrigin> <AllowedMethod>GET</AllowedMethod> </CORSRule> </CORSConfiguration>
次の GIF は、Amazon S3 ドキュメントに説明されている、Amazon S3 コンソールを使用して CORS ヘッダーポリシーを追加する方法を示しています。

フロー定義の作成に使用する IAM ロールにアクセス許可を追加する
フロー定義を作成するには、このセクションのポリシーを、SageMaker コンソールで人間によるレビューワークフローを作成するとき、または CreateFlowDefinition
API オペレーションを使用するときに使用するロールにアタッチします。
-
コンソールを使用して人間によるレビューワークフローを作成する場合、コンソールで人間によるレビューワークフローを作成するときに、ロールの Amazon リソースネーム (ARN) を [IAM role (IAM ロール) フィールドに入力します。
-
API を使用してフロー定義を作成する場合は、これらのポリシーを
CreateFlowDefinition
オペレーションのRoleArn
パラメータに渡されるロールにアタッチします。
人間によるレビューワークフロー (フロー定義) を作成すると、Amazon A2I が Amazon S3 を呼び出してタスクが完了します。ファイルを取得して Amazon S3 バケットに保存する Amazon A2I アクセス許可を付与するには、次のポリシーを作成し、ロールにアタッチします。例えば、人間によるレビュー用に送信するイメージ、ドキュメント、他のファイルが my_input_bucket
という名前の S3 バケットに保存されており、人間によるレビューが my_output_bucket
という名前のバケットに保存されるようにする場合、次のポリシーを作成します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
my_input_bucket
/*" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::my_output_bucket
/*" ] } ] }
さらに、ロールを引き受ける SageMakerアクセス許可を付与するには、IAM ロールに次の信頼ポリシーが必要です。IAM 信頼ポリシーの詳細については、AWSIdentity and Access Management のドキュメントで「ポリシーとアクセス許可」の「リソースベースのポリシー」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerToAssumeRole", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
IAM ロールとポリシーの作成と管理の詳細については、AWS Identity and Access Management ユーザーガイドの次のトピックを参照してください。
-
IAM ロールを作成するには、「IAM ユーザーにアクセス許可を委任するロールの作成」を参照してください。
-
IAM ポリシーの作成方法については、「IAM ポリシーの作成」を参照してください。
-
ロールに IAM ポリシーをアタッチする方法については、「IAM ID アクセス許可の追加および削除」を参照してください。
Amazon A2I API オペレーションを呼び出せる IAM ユーザーを作成する
Amazon A2I を使用して Amazon Rekognition、Amazon Textract、または Amazon A2I ランタイム API のヒューマンループを作成および始めるには、Amazon A2I オペレーションを呼び出すアクセス許可を持つ IAM ユーザーを使用する必要があります。これを行うには、IAM コンソールを使用して AmazonAugmentedAIFullAccess
このポリシーは、フロー定義の作成と管理用の SageMaker API、ヒューマンループの作成と管理用の Amazon Augmented AI ランタイム API から API オペレーションを呼び出すアクセス許可を IAM ユーザーに付与します。これらの API オペレーションの詳細については、「Amazon Augmented AI で API を使用する」を参照してください。
AmazonAugmentedAIFullAccess
は、Amazon Rekognition または Amazon Textract API オペレーションを使用するアクセス許可を付与しません。
また、AmazonAugmentedAIFullAccess
ポリシーを、ヒューマンループの作成と開始に使用される IAM ロールにアタッチすることもできます。
必須の IAM ユーザーを作成するには
-
IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[ユーザー] を選択して既存のユーザーを選択するか、[ユーザーの追加] を選択して新しいユーザーを作成します。新規ユーザーの作成については、AWS Identity and Access Management ユーザーガイドの「AWS アカウントでの IAM ユーザーの作成」を参照してください。
-
ポリシーを既存のユーザーにアタッチする場合は、[Add permissions (アクセス許可の追加)] を選択します。
-
新しいユーザーの作成中に、[アクセス許可を設定] ページの次の手順に従います。
-
-
[Attach existing policies directly] (既存のポリシーを直接添付) を選択します。
-
[Search] (検索) バーに「
AmazonAugmentedAIFullAccess
」と入力し、そのポリシーの横にあるチェックボックスをオンにします。この IAM ユーザーがパブリックワークチームでフロー定義を作成できるようにするには、
AmazonSageMakerMechanicalTurkAccess
管理ポリシーもアタッチします。 -
ポリシーをアタッチした後、次の操作を行います。
-
既存のユーザーを使用している場合は、次へ: 確認[] を選択してから、アクセス許可の追加。
-
新規ユーザーを作成している場合は、次へ: タグをクリックし、ユーザーの作成プロセスを完了します。
-
詳細については、AWS Identity and Access Management ユーザーガイドの「IAM ID アクセス許可の追加と削除」を参照してください。
Amazon A2I、Amazon Textract、Amazon Rekognition API オペレーションを呼び出すアクセス権限を持つ IAM ユーザーを作成する
組み込みタスクタイプ (Amazon Rekognition の DetectModerationLables
とAmazon Textract の AnalyzeDocument
) で使用される API オペレーションを呼び出すアクセス許可と、すべての Amazon A2I API オペレーションを使用するアクセス許可を持つ IAM ユーザーを作成するには、IAM 管理ポリシー AmazonAugmentedAIIntegratedAPIAccess
をアタッチします。複数のタスクタイプで Amazon A2I を使用する IAM ユーザーに幅広いアクセス許可を付与する場合、このポリシーを使用できます。これらの API オペレーションの詳細については、「Amazon Augmented AI で API を使用する」を参照してください。
また、AmazonAugmentedAIIntegratedAPIAccess
ポリシーを、ヒューマンループの作成と開始に使用される IAM ロールにアタッチすることもできます。
必須の IAM ユーザーを作成するには
-
IAM コンソール (https://console.aws.amazon.com/iam/
) にサインインします。 -
[ユーザー] を選択して既存のユーザーを選択するか、[ユーザーの追加] を選択して新しいユーザーを作成します。新規ユーザーの作成については、AWS Identity and Access Management ユーザーガイドの「AWS アカウントでの IAM ユーザーの作成」を参照してください。
-
ポリシーを既存のユーザーにアタッチする場合は、[Add permissions (アクセス許可の追加)] を選択します。
-
新しいユーザーを作成する場合は、「アクセス許可を設定する」ページの次の手順に従います。
-
-
[Attach existing policies directly] (既存のポリシーを直接添付) を選択します。
-
[Search] (検索) バーに「
AmazonAugmentedAIIntegratedAPIAccess
」と入力し、そのポリシーの横にあるチェックボックスをオンにします。この IAM ユーザーが Amazon Mechanical Turk を使用してフロー定義を作成できるようにするには、
AmazonSageMakerMechanicalTurkAccess
管理ポリシーもアタッチします。 -
ポリシーをアタッチした後、次の操作を行います。
-
既存のユーザーを使用している場合は、次へ: 確認[] を選択してから、アクセス許可の追加。
-
新規ユーザーを作成している場合は、次へ: タグをクリックし、ユーザーの作成プロセスを完了します。
-
詳細については、AWS Identity and Access Management ユーザーガイドの「IAM ID アクセス許可の追加と削除」を参照してください。
ワーカータスクテンプレートプレビューを有効にする
ワーカーがタスクで作業するときに表示されるインターフェイスと指示をカスタマイズするには、ワーカーテンプレートを作成します。テンプレートを作成するには、CreateHumanTaskUi
操作または SageMaker コンソール。
テンプレートをプレビューするには、ユーザーインターフェイスでレンダリングされる Amazon S3 オブジェクトの読み取り権限を持つ IAM ロールが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::
my_input_bucket
/*" ] } ] }
Amazon Rekognition および Amazon Textract タスクタイプでは、SageMaker コンソールの Amazon Augmented AI セクションを使用してテンプレートをプレビューできます。カスタムタスクタイプの場合は、RenderUiTemplate
オペレーション. テンプレートをプレビューするには、タスクタイプの指示に従います。
-
SageMaker コンソールの Amazon Rekognition および Amazon Textract タスクタイプでは、「ワーカータスクテンプレートを作成する」に記載されている手順でロールの Amazon リソースネーム (ARN) を使用します。
-
RenderUiTemplate
オペレーションのカスタムタスクタイプ は、RoleArn
パラメータでロールの ARN を使用します。
AWS KMS の暗号化されたバケットでAmazon A2I を使用する
AWS Key Management Service (AWS KMS) カスタマーマネージド型キーを指定して CreateFlowDefinition
の OutputConfig
で出力データを暗号化する場合、次のような IAM ポリシーをそのキーに追加する必要があります。このポリシーは、ヒューマンループの作成に使用する IAM 実行ロールに、このキーを使用して "Action"
にリストされているすべてのアクションを実行するアクセス権限を付与します。これらのアクションの詳細については、AWS Key Management Service デベロッパーガイドの「AWS KMS アクセス許可」を参照してください。
このポリシーを使用するには、"Principal"
の IAM サービスロール ARN を人間によるレビューワークフロー (フロー定義) の作成に使用する実行ロールの ARN と置き換えます。CreateFlowDefinition
を使用してラベリングジョブを作成する場合、これは RoleArn
に対して指定する ARN です。は指定できないことに注意してください。KmsKeyId
コンソールでフロー定義を作成する場合。
{ "Sid": "AllowUseOfKmsKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
111122223333
:role/service-role/example-role
" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }