Avis de fin de support : le 31 octobre 2025, le support d'Amazon Lookout for Vision AWS sera interrompu. Après le 31 octobre 2025, vous ne pourrez plus accéder à la console Lookout for Vision ni aux ressources Lookout for Vision. Pour plus d'informations, consultez ce billet de blog
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer les SDK autorisations
Pour utiliser les opérations Amazon Lookout for SDK Vision, vous devez disposer d'autorisations d'accès à Lookout for API Vision et au bucket Amazon S3 utilisé pour la formation des modèles.
Rubriques
Octroi SDK d'autorisations d'opération
Nous vous recommandons d’accorder uniquement les autorisations nécessaires à l’exécution d’une tâche (autorisations de moindre privilège). Par exemple, pour appeler DetectAnomalies, vous avez besoin d'une autorisation pour effectuer un appellookoutvision:DetectAnomalies. Pour trouver les autorisations relatives à une opération, consultez la APIréférence.
Lorsque vous commencez à utiliser une application, il se peut que vous ne connaissiez pas les autorisations spécifiques dont vous avez besoin. C’est pourquoi vous pouvez commencer par des autorisations générales. Les stratégies gérées AWS fournissent les autorisations nécessaires pour vous aider à démarrer.
AmazonLookoutVisionFullAccess— permet un accès complet aux opérations d'Amazon Lookout for SDK Vision.
AmazonLookoutVisionReadOnlyAccess
— permet d'accéder aux opérations en lecture seuleSDK.
Les politiques gérées pour la console fournissent également des autorisations d'accès pour les SDK opérations. Pour de plus amples informations, veuillez consulter Étape 2 : configurer les autorisations.
Pour plus d'informations sur les politiques AWS gérées, consultez la section stratégies AWS gérées.
Lorsque vous connaissez les autorisations dont votre application a besoin, réduisez les autorisations en définissant des politiques gérées par le client qui sont spécifiques à vos cas d’utilisation. Pour plus d’informations, consultez Politiques gérées par le client.
Note
Les instructions de démarrage nécessitent s3:PutObject des autorisations. Pour de plus amples informations, veuillez consulter Étape 1 : Création du fichier manifeste et téléchargement des images.
Pour attribuer des autorisations, consultez Attribution d’autorisations.
Octroi d'autorisations pour Amazon S3 Bucket
Pour entraîner un modèle, vous avez besoin d'un compartiment Amazon S3 doté des autorisations appropriées pour stocker les images, les fichiers manifestes et les résultats de formation. Le bucket doit appartenir à votre AWS compte et doit être situé dans la AWS région dans laquelle vous utilisez Amazon Lookout for Vision.
Les politiques gérées SDK uniquement (AmazonLookoutVisionFullAccessetAmazonLookoutVisionReadOnlyAccess) n'incluent pas les autorisations de compartiment Amazon S3 et vous devez appliquer la politique d'autorisation suivante pour accéder aux compartiments que vous utilisez, y compris les compartiments de console existants.
Les politiques gérées par la console (AmazonLookoutVisionConsoleFullAccessetAmazonLookoutVisionConsoleReadOnlyAccess) incluent les autorisations d'accès au compartiment de console. Si vous accédez au compartiment de console avec SDK des opérations et que vous disposez d'autorisations de stratégie gérées par la console, vous n'avez pas besoin d'utiliser la politique suivante. Pour de plus amples informations, veuillez consulter Étape 2 : configurer les autorisations.
Décider des autorisations relatives aux tâches
Utilisez les informations suivantes pour déterminer les autorisations nécessaires pour les tâches que vous souhaitez effectuer.
Création d'un jeu de données
Pour créer un ensemble de données avec CreateDataset, vous devez disposer des autorisations suivantes.
s3:GetBucketLocation— permet à Lookout for Vision de vérifier que votre bucket se trouve dans la même région que celle dans laquelle vous utilisez Lookout for Vision.s3:GetObject— Permet d'accéder au fichier manifeste spécifié dans le paramètreDatasetSourced'entrée. Si vous souhaitez spécifier une version d'objet S3 exacte du fichier manifeste, vous devez égalements3:GetObjectVersionutiliser le fichier manifeste. Pour plus d'informations, consultez la section Utilisation de la gestion des versions dans les compartiments S3.
Création d’un modèle
Pour créer un modèle avec CreateModel, vous devez disposer des autorisations suivantes.
s3:GetBucketLocation— permet à Lookout for Vision de vérifier que votre bucket se trouve dans la même région que celle dans laquelle vous utilisez Lookout for Vision.s3:GetObject— permet d'accéder aux images spécifiées dans les ensembles de données d'entraînement et de test du projet.s3:PutObject— autorise le stockage des résultats d'entraînement dans le compartiment spécifié. Vous spécifiez l'emplacement du compartiment de sortie dans leOutputConfigparamètre. Vous pouvez éventuellement limiter les autorisations aux seules clés d'objet spécifiées dans lePrefixchamp du champ deS3Locationsaisie. Pour de plus amples informations, veuillez consulter OutputConfig.
Accès aux images, aux fichiers manifestes et aux résultats de formation
Les autorisations du compartiment Amazon S3 ne sont pas requises pour consulter les réponses aux opérations Amazon Lookout for Vision. Vous avez besoin d'une s3:GetObject autorisation pour accéder aux images, aux fichiers manifestes et aux résultats de formation référencés dans les réponses aux opérations. Si vous accédez à un objet Amazon S3 versionné, vous devez disposer d'une s3:GetObjectVersion autorisation.
Configuration de la politique relative aux compartiments Amazon S3
Vous pouvez utiliser la politique suivante pour spécifier les autorisations du compartiment Amazon S3 nécessaires pour créer un ensemble de données (CreateDataset), créer un modèle (CreateModel) et accéder aux images, aux fichiers manifestes et aux résultats de formation. Remplacez la valeur my-bucket de par le nom du compartiment que vous souhaitez utiliser.
Vous pouvez adapter la politique à vos besoins. Pour de plus amples informations, veuillez consulter Décider des autorisations relatives aux tâches. Ajoutez la politique à l'utilisateur de votre choix. Pour plus d'informations, consultez la section Création IAM de politiques.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionS3BucketAccess", "Effect": "Allow", "Action": "s3:GetBucketLocation", "Resource": [ "arn:aws:s3:::my-bucket" ], "Condition": { "Bool": { "aws:ViaAWSService": "true" } } }, { "Sid": "LookoutVisionS3ObjectAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::my-bucket/*" ], "Condition": { "Bool": { "aws:ViaAWSService": "true" } } } ] }
Pour attribuer des autorisations, consultez Attribution d’autorisations.
Attribution d’autorisations
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
-
IAMutilisateurs :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Créer un rôle pour un IAM utilisateur dans le guide de IAM l'utilisateur.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.
-
