Ground Truth で IAM 管理ポリシーを使用する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Ground Truth で IAM 管理ポリシーを使用する

SageMaker と Ground Truth には、ラベル付けジョブの作成に使用できる AWS 管理ポリシーが用意されています。Ground Truth の使用を開始する場合、またはユースケースに詳細なアクセス許可を必要としない場合は、次のポリシーを使用することをお勧めします。

  • AmazonSageMakerFullAccess - このポリシーを使用して、ラベル付けジョブを作成するアクセス許可をユーザーまたはロールに付与します。これは、コンソールと API を介して、 SageMaker の機能や必要な AWS のサービスの機能を使用するアクセス許可をエンティティに付与する広範なポリシーです。このポリシーは、Amazon Cognito を使用してラベル付けジョブを作成し、ワークフォースを作成および管理するアクセス許可をエンティティに付与します。詳細については、AmazonSageMakerFullAccess 「ポリシー」を参照してください。

  • AmazonSageMakerGroundTruthExecution - 実行ロールを作成するには、ポリシー AmazonSageMakerGroundTruthExecution をロールにアタッチします。実行ロールは、ラベル付けジョブの作成時に指定するロールで、ラベル付けジョブの開始に使用されます。このポリシーでは、ストリーミングラベル付けジョブと非ストリーミングラベル付けジョブの両方を作成し、任意のタスクタイプを使用してラベル付けジョブを作成できます。この管理ポリシーには以下の制限があります。

    • Amazon S3 のアクセス許可: このポリシーは、名前に次の文字列を含む Amazon S3 バケットにアクセスするためのアクセス許可を実行ロールに付与します。GroundTruthGroundtruthgroundtruthSageMakerSagemakersagemaker または、名前に SageMaker を含む (大文字と小文字は区別されません) オブジェクトタグがあるバケット。入出力バケット名にこれらの文字列が含まれていることを確認し、含まれていない場合は実行ロールに追加のアクセス許可を追加して Amazon S3 バケットへのアクセス許可を付与します。Amazon S3 バケットで次のアクションを実行するには、このロールにアクセス許可を与える必要があります。AbortMultipartUploadGetObjectPutObject

    • カスタムワークフロー : カスタムラベル付けワークフロー を作成する場合、この実行ロールは、 AWS Lambda 関数名の一部として次のいずれかの文字列を使用して関数を呼び出すことに制限されます: GtRecipeSageMakersagemaker、、または SagemakerLabelingFunction。これは、前注釈と後注釈の Lambda 関数のいずれにも適用されます。これらの文字列を含まない名前を使用するように選択した場合は、ラベル付けジョブの作成に使用された実行ロールに lambda:InvokeFunction アクセス権限を明示的に指定する必要があります。

ユーザーまたはロールに AWS 管理ポリシーをアタッチする方法については、「IAM ユーザーガイド」の「IAM ID アクセス許可の追加と削除」を参照してください。