Identitätsbasierte Amazon-Rekognition-Richtlinien Ressourcenbasierte Amazon-Rekognition-Richtlinien Amazon-Rekognition-IAM-Rollen

So funktioniert Amazon Rekognition mit IAM

Bevor Sie mit IAM den Zugriff auf Amazon Rekognition verwalten können, sollten Sie sich darüber informieren, welche IAM-Funktionen Sie mit Amazon Rekognition verwenden können. Einen allgemeinen Überblick darüber, wie Amazon Rekognition und andere AWS Services mit IAM zusammenarbeiten, finden Sie unter AWS Services That Work with IAM im IAM-Benutzerhandbuch.

Themen

Identitätsbasierte Amazon-Rekognition-Richtlinien
Ressourcenbasierte Amazon-Rekognition-Richtlinien
Amazon-Rekognition-IAM-Rollen

Identitätsbasierte Amazon-Rekognition-Richtlinien

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon Rekognition unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.

Aktionen

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.

Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, die nur mit Genehmigung durchgeführt werden können und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Richtlinienaktionen in Amazon Rekognition verwenden das folgende Präfix vor der Aktion: rekognition:. Wenn Sie beispielsweise einer Person mittels der Amazon-Rekognition-API-Operation DetectLabels die Berechtigung zum Erkennen von Objekten, Szenen oder Konzepten in einem Bild erteilen möchten, muss Ihre Richtlinie die rekognition:DetectLabels-Aktion enthalten. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Amazon Rekognition definiert eine eigene Gruppe von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:


"Action": [
      "rekognition:action1",
      "rekognition:action2"

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:


"Action": "rekognition:Describe*"

Eine Liste der Aktionen für Amazon Rekognition finden Sie unter Von Amazon Rekognition definierte Aktionen im IAM-Benutzerhandbuch.

Ressourcen

Das JSON-Richtlinienelement Resource gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.


"Resource": "*"

Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.

Wenn Sie beispielsweise die MyCollection-Sammlung in Ihrer Anweisung angeben möchten, verwenden Sie den folgenden ARN.


"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"

Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):


"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"

Einige Amazon-Rekognition-Aktionen, z. B. das Erstellen von Ressourcen, können für bestimmte Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.


"Resource": "*"

Eine Liste der Amazon Rekognition-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Von Amazon Rekognition definierte Ressourcen im IAM-Benutzerhandbuch. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter Von Amazon Rekognition definierte Aktionen.

Bedingungsschlüssel

Amazon Rekognition stellt keine servicespezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Global Condition Context Keys im IAM-Benutzerhandbuch.

Ressourcenbasierte Amazon-Rekognition-Richtlinien

Amazon Rekognition unterstützt ressourcenbasierte Richtlinien für Kopiervorgänge des Custom-Labels-Modells. Weitere Informationen finden Sie unter Beispiele für ressourcenbasierte Amazon-Rekognition-Richtlinien.

Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.

Um auf Bilder zuzugreifen, die in einem Amazon-S3-Bucket gespeichert sind, benötigen Sie eine Zugriffsberechtigung für Objekte im S3-Bucket. Mit dieser Berechtigung kann Amazon Rekognition Bilder aus dem S3-Bucket herunterladen. Die folgende Beispielrichtlinie ermöglicht es dem Benutzer, die s3:GetObject Aktion auf dem S3-Bucket mit dem Namen amzn-s3-demo-bucket3 auszuführen.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket3/*"
            ]
        }
    ]
}

Um einen S3-Bucket mit aktivierter Versionsverwaltung zu nutzen, fügen Sie die s3:GetObjectVersion-Aktion wie im nachfolgenden Beispiel gezeigt hinzu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket3/*"
            ]
        }
    ]

Amazon-Rekognition-IAM-Rollen

Eine IAM-Rolle ist eine Entität innerhalb Ihres Kontos, die über bestimmte Berechtigungen verfügt. AWS

Verwenden temporärer Anmeldeinformationen mit Amazon Rekognition

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

Amazon Rekognition unterstützt die Verwendung temporärer Anmeldeinformationen.

Service-verknüpfte Rollen

Mit dienstbezogenen Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

Amazon Rekognition unterstützt keine serviceverknüpften Rollen.

Servicerollen

Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

Amazon Rekognition unterstützt Servicerollen.

Die Verwendung einer Servicerolle kann zu einem Sicherheitsproblem führen, wenn Amazon Rekognition verwendet wird, um einen anderen Service aufzurufen und auf Ressourcen zu reagieren, auf die dieser keinen Zugriff haben sollte. Um die Sicherheit Ihres Kontos zu gewährleisten, sollten Sie den Zugriff von Amazon Rekognition auf die Ressourcen beschränken, die Sie verwenden. Dies kann erreicht werden, indem Sie Ihrer IAM-Servicerolle eine Vertrauensrichtlinie hinzufügen. Weitere Informationen hierzu finden Sie unter Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend).

Auswählen einer IAM-Rolle in Amazon Rekognition

Wenn Sie für die Analyse gespeicherter Videos Amazon Rekognition konfigurieren, müssen Sie eine Rolle auswählen, mit der Amazon Rekognition für Sie auf Amazon SNS zugreifen kann. Wenn Sie zuvor eine Servicerolle oder serviceverknüpfte Rolle erstellt haben, stellt Ihnen Amazon Rekognition eine Liste mit Rollen bereit, aus denen Sie wählen können. Weitere Informationen finden Sie unter Amazon Rekognition Video konfigurieren.

Beispiel: Konfiguration von Amazon Rekognition für den Zugriff auf Bilder in einem Amazon S3 S3-Bucket

Im Folgenden finden Sie ein Beispiel dafür, wie Sie Amazon Rekognition für die Analyse von Bildern in einem Amazon S3 S3-Bucket konfigurieren könnten. Wenn Sie Amazon Rekognition verwenden möchten, um Bilder in einem Amazon S3 S3-Bucket zu analysieren, müssen Sie wie folgt vorgehen:

Stellen Sie sicher, dass Ihr IAM-Benutzer/Ihre IAM-Rolle (der Client) berechtigt ist, die entsprechenden Amazon Rekognition Rekognition-API-Operationen (wie usw.) aufzurufen DetectLabels DetectFaces

Fügen Sie eine identitätsbasierte Richtlinie bei, die die entsprechenden Berechtigungen zum Aufrufen Ihrer gewünschten API-Operationen gewährt. Um Ihrer Rolle beispielsweise die Berechtigung zum Aufrufen von DetectLabels und zu erteilenDetectFaces, würden Sie Ihrer Rolle eine Richtlinie hinzufügen, die wie folgt aussieht:
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rekognition:DetectLabels",
                "rekognition:DetectFaces"
                // other Rekognition permissions as needed
            ],
            "Resource": "*"
        }
    ]
}
                  
```

Der Amazon Rekognition Rekognition-Dienst benötigt eine Genehmigung für den Zugriff auf Ihren Amazon S3 S3-Bucket. Erstellen Sie eine IAM-Servicerolle, die Sie bei API-Aufrufen an Amazon Rekognition übergeben müssen. Stellen Sie sicher, dass die Servicerolle: Vertraut dem Amazon Rekognition Service Principal, hat s3:GetObject Berechtigungen für Ihren Bucket.

Die Vertrauensrichtlinie könnte wie folgt aussehen:



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rekognition.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Die identitätsbasierte Richtlinie, die der Servicerolle zugeordnet ist, könnte wie folgt aussehen:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Von AWS verwaltete Richtlinien