Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Amazon Rekognition con IAM

Prima di utilizzare IAM per gestire l'accesso ad Amazon Rekognition, è necessario comprendere quali funzioni IAM sono disponibili per l'uso con Amazon Rekognition. Per avere una visione di alto livello di come Amazon Rekognition AWS e altri servizi funzionano con IAM AWS , consulta Services That Work with IAM nella IAM User Guide.

Policy basate su identità di Amazon Rekognition

Con le policy basate su identità di IAM, è possibile specificare quali azioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Amazon Rekognition supporta operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Operazioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Actiondi una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le operazioni delle policy in Amazon Rekognition utilizzano il seguente prefisso prima dell'operazione: rekognition:. Ad esempio, per concedere a qualcuno l'autorizzazione a rilevare oggetti, scene o concetti in un'immagine con l'operazione DetectLabels API Amazon Rekognition, è possibile includere l'azione rekognition:DetectLabels nei criteri. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon Rekognition definisce un proprio set di operazioni che descrivono le attività eseguibili con quel servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
      "rekognition:action1",
      "rekognition:action2"

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:

"Action": "rekognition:Describe*"

Per visualizzare un elenco delle operazioni Amazon Rekognition, consulta Operazioni definite da Amazon Rekognition nella Guida per l'utente IAM.

Risorse

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le operazioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

Per ulteriori informazioni sul formato di ARNs, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces.

Ad esempio, per specificare l'organizzazione MyCollection nell'istruzione, utilizza il seguente ARN:

"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"

Per specificare tutti le istanze che appartengono ad un account specifico, utilizza il carattere jolly (*):

"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"

Alcune operazioni di Amazon Rekognition, ad esempio quelle per la creazione delle risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Per visualizzare un elenco dei tipi di risorse di Amazon Rekognition ARNs e relativi, consulta Resources Defined by Amazon Rekognition nella IAM User Guide. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consultare Operazioni definite da Amazon Rekognition.

Chiavi di condizione

Amazon Rekognition non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella IAM User Guide.

Policy basate sulle risorse di Amazon Rekognition

Amazon Rekognition supporta le policy basate sulle risorse per la copia dei modelli delle etichette personalizzate. Per ulteriori informazioni, consulta Esempi di policy basate su risorse di Amazon Rekognition.

Anche altri servizi, ad esempio Amazon S3, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

Per accedere alle immagini archiviate in un bucket Amazon S3, devi disporre delle autorizzazioni di accesso all'oggetto nel bucket S3. Grazie a questa autorizzazione, Amazon Rekognition può scaricare le immagini dal bucket S3. La seguente policy di esempio consente all'utente di eseguire l's3:GetObjectazione sul bucket S3 denominato amzn-s3-demo-bucket3.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket3/*"
            ]
        }
    ]
}

Per usare un bucket S3 con la funzione Versioni multiple attivata, aggiungi l'operazione s3:GetObjectVersion, come illustrato nell'esempio seguente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket3/*"
            ]
        }
    ]

Ruoli IAM Amazon Rekognition

Un ruolo IAM è un'entità all'interno del tuo account che dispone di autorizzazioni specifiche. AWS

Utilizzo delle credenziali temporanee con Amazon Rekognition

È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Ottieni credenziali di sicurezza temporanee chiamando operazioni AWS STS API come AssumeRoleo. GetFederationToken

Amazon Rekognition supporta l'uso delle credenziali temporanee.

Ruoli collegati ai servizi

I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.

Amazon Rekognition non supporta i ruoli collegati ai servizi.

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.

Amazon Rekognition supporta i ruoli di servizio.

L'utilizzo di un ruolo di servizio può creare un problema di sicurezza in quanto Amazon Rekognition viene utilizzato per chiamare un altro servizio e agire su risorse a cui non dovrebbe avere accesso. Per tenere il tuo account al sicuro, dovrai limitare l'ambito di accesso di Amazon Rekognition alle sole risorse che stai utilizzando. Questo può essere fatto associando una policy di attendibilità al ruolo di servizio IAM. Per informazioni su come fare, consulta Prevenzione del problema "confused deputy" tra servizi.

Scelta di un ruolo IAM in Amazon Rekognition

Quando si configura Amazon Rekognition per l'analisi dei video archiviati, è necessario scegliere un ruolo per consentire a Amazon Rekognition di accedere a Amazon Rekognition per conto dell’utente. Se hai creato in precedenza un ruolo di servizio o un ruolo collegato ai servizi, Amazon Rekognition fornisce un elenco di ruoli tra cui scegliere. Per ulteriori informazioni, consulta Configurazione di Video Amazon Rekognition.

Esempio: configurazione di Amazon Rekognition per accedere alle immagini in un bucket Amazon S3

Di seguito è riportato un esempio di come è possibile configurare Amazon Rekognition per l'analisi delle immagini in un bucket Amazon S3. Se desideri utilizzare Amazon Rekognition per analizzare le immagini in un bucket Amazon S3, devi fare quanto segue: