Otorgar permisos de operación SDK Concesión de permisos de bucket de Amazon S3 Asignación de permisos

Configure SDK los permisos

Para utilizar las operaciones de Amazon Lookout for SDK Vision, necesita permisos de acceso a Lookout for API Vision y al bucket de Amazon S3 que se utiliza para el entrenamiento de modelos.

Temas

Otorgar permisos de operación SDK
Concesión de permisos de bucket de Amazon S3
Asignación de permisos

Otorgar permisos de operación SDK

Se recomienda conceder solo los permisos necesarios para realizar una tarea (permisos de privilegios mínimos). Por ejemplo, para llamar DetectAnomalies, se necesita permiso para actuarlookoutvision:DetectAnomalies. Para encontrar los permisos de una operación, consulte la APIreferencia.

Cuando esté comenzando con una aplicación, es posible que no conozca los permisos concretos que necesite, por lo que puede empezar con los permisos más amplios. Las políticas administradas de AWS otorgan permisos que le servirán como punto de partida.

AmazonLookoutVisionFullAccess— permite el acceso total a las operaciones de Amazon Lookout for SDK Vision.
AmazonLookoutVisionReadOnlyAccess— permite el acceso a las operaciones de solo lecturaSDK.

Las políticas gestionadas de la consola también proporcionan permisos de acceso a las SDK operaciones. Para obtener más información, consulte Paso 2: configuración de permisos.

Para obtener información sobre las políticas AWS administradas, consulte Políticas AWS administradas.

Cuando conozca los permisos que necesita su aplicación, cree políticas administradas por el cliente según la finalidad de uso para reducir aún más el número de permisos. Para obtener más información, consulte Políticas administradas por el cliente.

nota

Las instrucciones de introducción requieren permisos s3:PutObject. Para obtener más información, consulte Paso 1: Crear el archivo de manifiesto y cargar las imágenes.

Para asignar permisos, consulte Asignación de permisos.

Concesión de permisos de bucket de Amazon S3

Para entrenar un modelo, necesita un bucket de Amazon S3 con los permisos adecuados para almacenar las imágenes, los archivos de manifiesto y el resultado del entrenamiento. El bucket debe ser propiedad de tu AWS cuenta y debe estar ubicado en la AWS región en la que utilices Amazon Lookout for Vision.

Las políticas SDK administradas únicamente (AmazonLookoutVisionFullAccessyAmazonLookoutVisionReadOnlyAccess) no incluyen los permisos de los buckets de Amazon S3, por lo que debe aplicar la siguiente política de permisos para acceder a los buckets que utiliza, incluidos los buckets de consola existentes.

Las políticas administradas de la consola (AmazonLookoutVisionConsoleFullAccess y AmazonLookoutVisionConsoleReadOnlyAccess) incluyen permisos de acceso al bucket de la consola. Si accedes al bucket de la consola con SDK operaciones y tienes permisos de política gestionados por la consola, no necesitas usar la siguiente política. Para obtener más información, consulte Paso 2: configuración de permisos.

Determinación de los permisos de las tareas

Utilice la siguiente información para decidir qué permisos son necesarios para las tareas que desee realizar.

Creación de un conjunto de datos

Para crear un conjunto de datos con CreateDataset, necesitas los siguientes permisos.

s3:GetBucketLocation: permite a Lookout for Vision validar que su bucket se encuentra en la misma región en la que utiliza Lookout for Vision.
s3:GetObject: permite el acceso al archivo de manifiesto especificado en el parámetro de entrada DatasetSource. Si quiere especificar una versión exacta de un objeto S3 del archivo de manifiesto, también necesita especificarla s3:GetObjectVersion en el archivo de manifiesto. Para obtener más información, consulte Usar el control de versiones en buckets de S3.

Creación de un modelo

Para crear un modelo con CreateModel, necesita los siguientes permisos.

s3:GetBucketLocation: permite a Lookout for Vision validar que su bucket se encuentra en la misma región en la que utiliza Lookout for Vision.
s3:GetObject: permite el acceso a las imágenes especificadas en los conjuntos de datos de entrenamiento y prueba del proyecto.
s3:PutObject: permite almacenar los resultados del entrenamiento en el bucket especificado. La ubicación del bucket de salida se especifica en el OutputConfig parámetro. Si lo desea, puede aplicar los permisos a solo las claves de objeto especificadas en el campo Prefix del campo de entrada S3Location. Para obtener más información, consulte OutputConfig.

Acceso a imágenes, archivos de manifiesto y resultados de entrenamiento

No se requieren permisos de bucket de Amazon S3 para ver las respuestas de las operaciones de Amazon Lookout for Vision. Sin embargo, sí necesita permiso s3:GetObject si quiere acceder a las imágenes, los archivos de manifiesto y los resultados de entrenamiento a los que se hace referencia en las respuestas de las operaciones. Si está accediendo a un objeto de Amazon S3 versionado, necesita s3:GetObjectVersion permiso.

Configuración de la política del bucket de Amazon S3

Puede usar la siguiente política para especificar los permisos del bucket de Amazon S3 necesarios para crear un conjunto de datos (CreateDataset), crear un modelo (CreateModel) y acceder a imágenes, archivos de manifiesto y resultados de entrenamiento. Cambie el valor de my-bucket al nombre del depósito que desee utilizar.

Puede ajustar la política a sus necesidades. Para obtener más información, consulte Determinación de los permisos de las tareas. Añada la política al usuario deseado. Para obtener más información, consulte Creación de IAM políticas.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

Para asignar permisos, consulte Asignación de permisos.

Asignación de permisos

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Concesión de acceso programático

Llame a una operación de Amazon Lookout for Vision