Concessione delle autorizzazioni operative dell'SDK Concessione delle autorizzazioni per Amazon S3 Bucket Assegnare le autorizzazioni

Impostare le autorizzazioni dell’SDK

Per utilizzare le operazioni dell'SDK di Amazon Lookout for Vision, sono necessarie le autorizzazioni di accesso all'API Lookout for Vision e al bucket Amazon S3 utilizzato per la formazione dei modelli.

Argomenti

Concessione delle autorizzazioni operative dell'SDK
Concessione delle autorizzazioni per Amazon S3 Bucket
Assegnare le autorizzazioni

Concessione delle autorizzazioni operative dell'SDK

Consigliamo pertanto di concedere solo le autorizzazioni richieste per eseguire un'attività (autorizzazioni con privilegio minimo). Ad esempio, per chiamare, è necessaria l'autorizzazione per DetectAnomalieseseguire. lookoutvision:DetectAnomalies Per trovare le autorizzazioni per un'operazione, controlla il riferimento API.

Quando utilizzi un'applicazione per la prima volta, potresti non conoscere le autorizzazioni specifiche di cui hai bisogno, quindi puoi iniziare con autorizzazioni più ampie. Le policy gestite da AWS forniscono autorizzazioni per iniziare a utilizzare il prodotto.

AmazonLookoutVisionFullAccess— consente l'accesso completo alle operazioni dell'SDK Amazon Lookout for Vision.
AmazonLookoutVisionReadOnlyAccess— consente l'accesso alle operazioni SDK di sola lettura.

Le policy gestite per la console forniscono anche le autorizzazioni di accesso per le operazioni SDK. Per ulteriori informazioni, consulta Passaggio 2: configura le autorizzazioni.

Per informazioni sulle policy AWS gestite, consulta le policy gestite da AWS.

Quando conosci le autorizzazioni richieste dalla tua applicazione, riduci ulteriormente le autorizzazioni definendo le policy gestite dal cliente specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite dal cliente .

Nota

Le istruzioni per iniziare richiedono s3:PutObject autorizzazioni. Per ulteriori informazioni, consulta Fase 1: crea il file del manifesto e carica delle immagini.

Per assegnare le autorizzazioni, consulta Assegnare le autorizzazioni.

Concessione delle autorizzazioni per Amazon S3 Bucket

Per addestrare un modello, è necessario un bucket Amazon S3 con le autorizzazioni appropriate per archiviare le immagini, i file manifest e l'output di formazione. Il bucket deve essere di proprietà del tuo account AWS e deve trovarsi nella regione AWS in cui utilizzi Amazon Lookout for Vision.

Le policy gestite solo per SDK (AmazonLookoutVisionFullAccesseAmazonLookoutVisionReadOnlyAccess) non includono le autorizzazioni per i bucket Amazon S3 e devi applicare la seguente politica di autorizzazione per accedere ai bucket che usi, inclusi i bucket di console esistenti.

Le policy gestite dalla console (AmazonLookoutVisionConsoleFullAccesseAmazonLookoutVisionConsoleReadOnlyAccess) includono le autorizzazioni di accesso al bucket della console. Se si accede al bucket della console con operazioni SDK e si dispone delle autorizzazioni relative alle policy gestite dalla console, non è necessario utilizzare la seguente politica. Per ulteriori informazioni, consulta Passaggio 2: configura le autorizzazioni.

Decidere le autorizzazioni delle attività

Utilizza le seguenti informazioni per decidere quali autorizzazioni sono necessarie per le attività che desideri svolgere.

Creazione di un set di dati

Per creare un set di dati con CreateDataset, sono necessarie le seguenti autorizzazioni.

s3:GetBucketLocation— consente a Lookout for Vision di confermare che il bucket si trova nella stessa regione in cui si utilizza Lookout for Vision.
s3:GetObject— Consente l'accesso al file manifesto specificato nel parametro di input. DatasetSource Se si desidera specificare una versione esatta dell'oggetto S3 del file manifest, è necessario disporre s3:GetObjectVersion anche del file manifest. Per ulteriori informazioni, consulta Utilizzo del controllo delle versioni nei bucket S3.

Creare un modello

Per creare un modello con CreateModel, sono necessarie le seguenti autorizzazioni.

s3:GetBucketLocation— consente a Lookout for Vision di confermare che il bucket si trova nella stessa regione in cui si utilizza Lookout for Vision.
s3:GetObject— consente l'accesso alle immagini specificate nei set di dati di formazione e test del progetto.
s3:PutObject— consente l'autorizzazione a memorizzare i risultati dell'allenamento nel bucket specificato. Si specifica la posizione del bucket di uscita nel OutputConfig parametro. Facoltativamente, è possibile limitare le autorizzazioni solo alle chiavi degli oggetti specificate nel Prefix campo del campo di input. S3Location Per ulteriori informazioni, consulta OutputConfig.

Accesso alle immagini, ai file manifest e ai risultati del training

Le autorizzazioni per i bucket Amazon S3 non sono necessarie per visualizzare le risposte operative di Amazon Lookout for Vision. È necessaria s3:GetObject l'autorizzazione se si desidera accedere a immagini, file manifest e risultati di formazione a cui si fa riferimento nelle risposte operative. Se stai accedendo a un oggetto Amazon S3 con versione, hai s3:GetObjectVersion bisogno dell'autorizzazione.

Impostazione della policy per i bucket di Amazon S3

Puoi utilizzare la seguente policy per specificare le autorizzazioni del bucket Amazon S3 necessarie per creare un set di dati (CreateDataset), creare un modello (CreateModel) e accedere a immagini, file manifest e output di formazione. Cambia il valore di amzn-s3-demo-bucket con il nome del bucket che desideri utilizzare.

Puoi adattare la politica alle tue esigenze. Per ulteriori informazioni, consulta Decidere le autorizzazioni delle attività. Aggiungi la politica all'utente desiderato. Per ulteriori informazioni, consulta Creazione di politiche IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

Per assegnare le autorizzazioni, consulta Assegnare le autorizzazioni.

Assegnare le autorizzazioni

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti in IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
Utenti IAM:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concessione dell'accesso programmatico

Chiama un'azienda Amazon Lookout for Vision