Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja Amazon Rekognition dengan IAM
Sebelum menggunakan IAM untuk mengelola akses ke Amazon Rekognition, Anda harus memahami fitur IAM mana yang tersedia untuk digunakan dengan Amazon Rekognition. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon Rekognition AWS dan layanan lainnya bekerja dengan IAM AWS , lihat Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis identitas Amazon Rekognition
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi tempat tindakan tersebut diperbolehkan atau ditolak. Amazon Rekognition mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di Amazon Rekognition menggunakan prefiks berikut sebelum tindakan: rekognition:. Misalnya, untuk memberikan seseorang izin untuk mendeteksi objek, adegan, atau konsep dalam citra dengan Amazon Rekognition Operasi API DetectLabels, Anda menyertakan tindakan rekognition:DetectLabels dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon Rekognition menentukan set tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "rekognition:action1", "rekognition:action2"
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "rekognition:Describe*"
Untuk melihat daftar tindakan Amazon Rekognition, lihat Tindakan yang Ditetapkan oleh Amazon Rekognition di Panduan Pengguna IAM.
Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
Untuk informasi selengkapnya tentang format ARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.
Misalnya, untuk menentukan klaster MyCollection dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"
Untuk menentukan semua instans DB milik akun tertentu, gunakan wildcard (*):
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"
Beberapa tindakan Amazon Rekognition, seperti membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kondisi tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Untuk melihat daftar jenis sumber daya Amazon Rekognition beserta ARNs jenisnya, lihat Sumber Daya yang Ditentukan oleh Amazon Rekognition di Panduan Pengguna IAM. Untuk mempelajari tindakan yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditetapkan oleh Amazon Rekognition.
Kunci syarat
Amazon Rekognition tidak menyediakan kunci syarat khusus layanan, tetapi mendukung menggunakan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.
Kebijakan berbasis sumber daya Amazon Rekognition
Amazon Rekognition mendukung kebijakan berbasis sumber daya untuk operasi penyalinan model Label Kustom. Untuk informasi selengkapnya, lihat contoh kebijakan berbasis sumber daya Amazon Rekognition.
Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut.
Untuk mengakses citra yang disimpan dalam bucket Amazon S3, Anda harus memiliki izin untuk mengakses objek dalam bucket S3. Dengan izin ini, Amazon Rekognition dapat mengunduh citra dari bucket S3. Contoh kebijakan berikut memungkinkan pengguna untuk melakukan s3:GetObject tindakan pada bucket S3 bernama amzn-s3-demo-bucket3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket3/*" ] } ] }
Untuk menggunakan bucket S3 dengan versioning diaktifkan, tambahkan tindakan s3:GetObjectVersion, seperti yang ditunjukkan dalam contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket3/*" ] } ]
IAM role Amazon Rekognition
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
Menggunakan kredensial sementara dengan Amazon Rekognition
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken
Amazon Rekognition mendukung penggunaan kredensial sementara.
Peran terkait layanan
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon Rekognition tidak mendukung peran terkait layanan.
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukannya dapat merusak fungsionalitas layanan.
Amazon Rekognition mendukung peran layanan.
Menggunakan peran layanan dapat menimbulkan masalah keamanan di mana Amazon Rekognition digunakan untuk memanggil layanan lain dan menindaklanjuti sumber daya yang seharusnya tidak dapat diakses. Untuk menjaga keamanan akun Anda, Anda harus membatasi ruang lingkup akses Amazon Rekognition hanya ke sumber daya yang Anda gunakan. Ini dapat dilakukan dengan melampirkan kebijakan kepercayaan ke peran layanan IAM Anda. Untuk informasi tentang cara melakukannya, lihat Pencegahan wakil bingung lintas layanan.
Memilih IAM role di Amazon Rekognition
Saat Anda mengonfigurasi Amazon Rekognition untuk menganalisis video yang tersimpan, Anda harus memilih peran untuk mengizinkan Amazon Rekognition mengakses Amazon SNS atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, maka Amazon Rekognition akan memberi Anda daftar peran untuk dipilih. Untuk informasi selengkapnya, lihat Mengonfigurasi Amazon Rekognition Video.
Contoh: Mengonfigurasi Amazon Rekognition untuk mengakses gambar di bucket Amazon S3
Berikut ini adalah contoh cara mengonfigurasi Amazon Rekognition untuk menganalisis gambar di bucket Amazon S3. Jika Anda ingin menggunakan Amazon Rekognition untuk menganalisis gambar di bucket Amazon S3, Anda harus melakukan hal berikut:
-
Pastikan pengguna/peran IAM Anda (klien) memiliki izin untuk memanggil operasi API Rekognition Amazon yang relevan (seperti, dll.) DetectLabels DetectFaces
Lampirkan kebijakan berbasis identitas yang memberikan izin yang sesuai untuk menjalankan operasi API yang Anda inginkan. Misalnya, untuk memberikan izin peran Anda untuk menelepon
DetectLabelsdanDetectFaces, Anda akan melampirkan kebijakan yang terlihat seperti ini ke peran Anda:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectFaces" // other Rekognition permissions as needed ], "Resource": "*" } ] } -
Layanan Amazon Rekognition memerlukan izin untuk mengakses bucket Amazon S3 Anda. Buat peran layanan IAM, yang harus Anda teruskan ke Amazon Rekognition saat melakukan panggilan API. Pastikan peran layanan: Mempercayai prinsipal layanan Amazon Rekognition
s3:GetObject, memiliki izin untuk bucket Anda.Kebijakan kepercayaan mungkin terlihat seperti ini:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rekognition.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Kebijakan berbasis identitas yang dilampirkan pada peran layanan mungkin terlihat seperti ini:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" } ] }
