人力資源身分驗證與限制 - Amazon SageMaker AI
限制對人力資源類型的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

人力資源身分驗證與限制

Ground Truth 可讓您使用自己的私有人力資源來進行標籤工作。私有人力資源是一種抽象概念,它指的是一組為您工作的人員。每個標籤工作都是使用工作團隊建立的,該團隊由您的人力資源中的工作者組成。Ground Truce 支援使用 Amazon Cognito 的私有人力資源建立。

Ground Truth 人力資源會對應至 Amazon Cognito 使用者集區。Ground Truth 工作團隊會對應至 Amazon Cognito 使用者團隊。Amazon Cognito 管理工作者身份驗證。Amazon Cognito 支援開放 ID 連線 (OIDC),客戶可以自己的身分提供者 (IdP) 設定 Amazon Cognito 聯合。

Ground Truth 每個 AWS 區域每個帳戶僅允許一個人力。每個人力資源都有專用的 Ground Truth 工作入口網站登入 URL。

您也可以將工作者限制為無類別網域間路由 (CIDR) 區塊/IP 地址範圍。這表示註釋工具必須位於特定網路上,才能存取註釋位置。您可以為一個人力資源新增最多十個 CIDR 區塊。如需進一步了解,請參閱 使用 Amazon SageMaker API 進行私有人力資源管理

若要了解如何建立私有人力資源,請參閱建立私有人力資源 (Amazon Cognito)

限制對人力資源類型的存取

Amazon SageMaker Ground Truth 工作團隊屬於三種人力資源類型之一:公共 (使用 Amazon Mechanical Turk)、私有和廠商。若要使用其中一種類型或工作團隊 ARN 來將使用者存取權限制為某個特定的工作團隊,請使用 sagemaker:WorkteamType 和/或 sagemaker:WorkteamArn 條件索引鍵。若是 sagemaker:WorkteamType 條件金鑰,請使用字串條件運算子。若是 sagemaker:WorkteamArn 條件金鑰,請使用 Amazon Resource Name (ARN) 條件運算子。如果使用者嘗試使用受限的工作團隊建立標籤工作,SageMaker AI 會傳回存取遭拒錯誤。

下列政策示範如何透過不同方式將 sagemaker:WorkteamTypesagemaker:WorkteamArn 條件金鑰與適當的條件運算子及有效條件值搭配使用。

下列範例將 sagemaker:WorkteamType 條件金鑰與 StringEquals 條件運算子搭配使用,以限制對公有工作團隊的存取權。它可接受以下格式的條件值:workforcetype-crowd,其中 workforcetype 可以等於 publicprivatevendor

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:WorkteamType": "public-crowd"
                }
            }
        }
    ]
}

下列政策示範如何使用 sagemaker:WorkteamArn 條件金鑰來限制對公有工作團隊的存取權。第一個政策示範如何將其與工作團隊 ARN 的有效 IAM Regex 變體及ArnLike條件運算子搭配使用。第二個政策示範如何將其與 ArnEquals 條件運算子及工作團隊 ARN 搭配使用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
                }
            }
        }
    ]
}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictWorkteamType",
            "Effect": "Deny",
            "Action": "sagemaker:CreateLabelingJob",
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
                }
            }
        }
    ]
}