Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja Amazon Rekognition dengan IAM
Sebelum menggunakan IAM untuk mengelola akses ke Amazon Rekognition, Anda harus memahami fitur IAM mana yang tersedia untuk digunakan dengan Amazon Rekognition. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon Rekognition AWS dan layanan lainnya bekerja dengan IAM AWS , lihat Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis identitas Amazon Rekognition
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, serta kondisi tempat tindakan tersebut diperbolehkan atau ditolak. Amazon Rekognition mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi Elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin guna melakukan operasi terkait.
Tindakan kebijakan di Amazon Rekognition menggunakan prefiks berikut sebelum tindakan: rekognition:. Misalnya, untuk memberikan seseorang izin untuk mendeteksi objek, adegan, atau konsep dalam citra dengan Amazon Rekognition Operasi API DetectLabels, Anda menyertakan tindakan rekognition:DetectLabels dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon Rekognition menentukan set tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": [ "rekognition:action1", "rekognition:action2"
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "rekognition:Describe*"
Untuk melihat daftar tindakan Amazon Rekognition, lihat Tindakan yang Ditetapkan oleh Amazon Rekognition di Panduan Pengguna IAM.
Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
Untuk informasi selengkapnya tentang format ARN, lihat Nama Sumber Daya Amazon (ARN) dan Ruang Nama AWS Layanan.
Misalnya, untuk menentukan klaster MyCollection dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"
Untuk menentukan semua instans DB milik akun tertentu, gunakan wildcard (*):
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"
Beberapa tindakan Amazon Rekognition, seperti membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kondisi tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Untuk melihat daftar tipe sumber daya Amazon Rekognition dan ARN mereka, lihat Sumber Daya Ditetapkan oleh Amazon Rekognition di Panduan Pengguna IAM. Untuk mempelajari tindakan yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditetapkan oleh Amazon Rekognition.
Kunci syarat
Amazon Rekognition tidak menyediakan kunci syarat khusus layanan, tetapi mendukung menggunakan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.
Kebijakan berbasis sumber daya Amazon Rekognition
Amazon Rekognition mendukung kebijakan berbasis sumber daya untuk operasi penyalinan model Label Kustom. Untuk informasi selengkapnya, lihat contoh kebijakan berbasis sumber daya Amazon Rekognition.
Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut.
Untuk mengakses citra yang disimpan dalam bucket Amazon S3, Anda harus memiliki izin untuk mengakses objek dalam bucket S3. Dengan izin ini, Amazon Rekognition dapat mengunduh citra dari bucket S3. Contoh kebijakan izin berikut memungkinkan pengguna melakukan tindakan s3:GetObject pada bucket S3 dengan nama Tests3bucket.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::Tests3bucket/*" ] } ] }
Untuk menggunakan bucket S3 dengan versioning diaktifkan, tambahkan tindakan s3:GetObjectVersion, seperti yang ditunjukkan dalam contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::Tests3bucket/*" ] } ]
IAM role Amazon Rekognition
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
Menggunakan kredensial sementara dengan Amazon Rekognition
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau GetFederation Token.
Amazon Rekognition mendukung penggunaan kredensial sementara.
Peran terkait layanan
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon Rekognition tidak mendukung peran terkait layanan.
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukannya dapat merusak fungsionalitas layanan.
Amazon Rekognition mendukung peran layanan.
Menggunakan peran layanan dapat menimbulkan masalah keamanan di mana Amazon Rekognition digunakan untuk memanggil layanan lain dan menindaklanjuti sumber daya yang seharusnya tidak dapat diakses. Untuk menjaga keamanan akun Anda, Anda harus membatasi ruang lingkup akses Amazon Rekognition hanya ke sumber daya yang Anda gunakan. Ini dapat dilakukan dengan melampirkan kebijakan kepercayaan ke peran layanan IAM Anda. Untuk informasi tentang cara melakukannya, lihat Pencegahan wakil bingung lintas layanan.
Memilih IAM role di Amazon Rekognition
Saat Anda mengonfigurasi Amazon Rekognition untuk menganalisis video yang tersimpan, Anda harus memilih peran untuk mengizinkan Amazon Rekognition mengakses Amazon SNS atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, maka Amazon Rekognition akan memberi Anda daftar peran untuk dipilih. Untuk informasi selengkapnya, lihat Mengonfigurasi Amazon Rekognition Video.
