AWS políticas gerenciadas para o Amazon Lookout for Vision - Amazon Lookout for Vision
AmazonLookoutVisionReadOnlyAccessAmazonLookoutVisionFullAccessAmazonLookoutVisionConsoleFullAccessAmazonLookoutVisionConsoleReadOnlyAccessAtualizações da política

Aviso de fim do suporte: em 31 de outubro de 2025, o suporte para o Amazon Lookout for Vision AWS será interrompido. Depois de 31 de outubro de 2025, você não poderá mais acessar o console do Lookout for Vision ou os recursos do Lookout for Vision. Para obter mais informações, visite esta postagem do blog.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Lookout for Vision

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas gerenciadas pela AWS no Guia do Usuário do IAM.

AWSpolítica gerenciada: AmazonLookoutVisionReadOnlyAccess

Use a AmazonLookoutVisionReadOnlyAccess política para permitir que os usuários acessem somente leitura o Amazon Lookout for Vision (e suas dependências) com as seguintes ações (operações) do Amazon Lookout for Vision. SDK Por exemplo, você pode usar DescribeModel para obter informações sobre um modelo existente.

Para chamar ações somente para leitura, os usuários não precisam de permissões de bucket do Amazon S3. No entanto, as respostas da operação podem incluir referências aos buckets do Amazon S3. Por exemplo, a entrada source-ref na resposta de ListDatasetEntries é uma referência a uma imagem em um bucket do Amazon S3. Adicione permissões de bucket do Amazon S3 se seus usuários precisarem acessar os buckets referenciados. Por exemplo, um usuário pode querer baixar uma imagem referenciada por um campo source-ref. Para obter mais informações, consulte Concessão de permissões do Amazon S3 Bucket.

É possível anexar a política AmazonLookoutVisionReadOnlyAccess às suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "lookoutvision:DescribeDataset",
                "lookoutvision:DescribeModel",
                "lookoutvision:DescribeProject",
                "lookoutvision:DescribeModelPackagingJob",
                "lookoutvision:ListDatasetEntries",
                "lookoutvision:ListModels",
                "lookoutvision:ListProjects",
                "lookoutvision:ListTagsForResource",
                "lookoutvision:ListModelPackagingJobs"
            ],
            "Resource": "*"
        }
    ]
}

AWSpolítica gerenciada: AmazonLookoutVisionFullAccess

Use a AmazonLookoutVisionFullAccess política para permitir que os usuários tenham acesso total ao Amazon Lookout for Vision (e suas dependências) com as ações (operações) do Amazon Lookout for VisionSDK. Por exemplo, você pode treinar um modelo sem precisar usar o console Amazon Lookout for Vision. Para obter mais informações, consulte Ações.

Para criar um conjunto de dados (CreateDataset) ou criar um modelo (CreateModel), seus usuários devem ter permissões de acesso total ao bucket do Amazon S3 que armazena imagens do conjunto de dados, arquivos de manifesto do Amazon AI SageMaker Ground Truth e resultados de treinamento. Para obter mais informações, consulte Etapa 2: Configurar permissões.

Você também pode dar permissão às ações do Amazon Lookout for SDK Vision usando AmazonLookoutVisionConsoleFullAccess a política.

É possível anexar a política AmazonLookoutVisionFullAccess às suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionFullAccess",
            "Effect": "Allow",
            "Action": [
                "lookoutvision:*"
            ],
            "Resource": "*"
        }
    ]
}

AWSpolítica gerenciada: AmazonLookoutVisionConsoleFullAccess

Use a AmazonLookoutVisionFullAccess política para permitir que os usuários tenham acesso total ao console do Amazon Lookout for Vision, às ações SDK (operações) e a quaisquer dependências que o serviço tenha. Para obter mais informações, consulte Conceitos básicos do Amazon Lookout for Vision.

A política LookoutVisionConsoleFullAccess inclui permissões para o bucket do console Amazon Lookout for Vision. Para obter informações sobre o bucket do console, consulte Etapa 3: Criar um bucket do console. Para armazenar conjuntos de dados, imagens e arquivos de manifesto do Amazon SageMaker AI Ground Truth em um bucket diferente do Amazon S3, seus usuários precisam de permissões adicionais. Para obter mais informações, consulte Configuração das permissões do bucket do Amazon S3.

É possível anexar a política AmazonLookoutVisionConsoleFullAccess às suas identidades do IAM.

Agrupamentos de permissões

Essa política é agrupada em declarações com base no conjunto de permissões fornecidas:

  • LookoutVisionFullAccess: permite o acesso para realizar todas as ações do Lookout for Vision.

  • LookoutVisionConsoleS3BucketSearchAccess: permite a listagem de todos os buckets do Amazon S3 de propriedade do chamador. O Lookout for Vision usa essa ação para identificar AWS o bucket do console Lookout for Vision específico da região, se houver algum na conta do chamador.

  • LookoutVisionConsoleS3BucketFirstUseSetupAccessPermissions: permite criar e configurar buckets do Amazon S3 que correspondam ao padrão de nome do bucket do console Lookout for Vision. O Lookout for Vision usa essas ações para criar e configurar um bucket de console Lookout for Vision específico da região quando não consegue encontrar um.

  • LookoutVisionConsoleS3BucketAccess: permite ações dependentes do Amazon S3 em buckets que correspondam ao padrão de nome de bucket do console Lookout for Vision. O Lookout for Vision é s3:ListBucket usado para pesquisar objetos de imagem ao criar um conjunto de dados a partir de um bucket do Amazon S3 e ao iniciar uma tarefa de detecção experimental. O Lookout for Vision s3:GetBucketLocation usa s3:GetBucketVersioning e valida a região, o proprietário e a configuração AWS do bucket como parte do seguinte:

    • Criar um conjunto de dados

    • Treinamento de um modelo

    • Iniciando uma tarefa de detecção de testes

    • Realizando feedback de detecção de testes

    LookoutVisionConsoleS3ObjectAccess: permite a leitura e gravação de objetos do Amazon S3 dentro de buckets que correspondem ao padrão de nome de bucket do Lookout for Vision Console. O Lookout for Vision usa essas ações para exibir imagens nas visualizações da galeria do console e fazer upload de novas imagens para uso em conjuntos de dados. Além disso, essas permissões permitem que o Lookout for Vision grave metadados enquanto cria um conjunto de dados, treina um modelo, inicia uma tarefa de detecção de teste e realiza feedback de detecção de teste.

  • LookoutVisionConsoleDatasetLabelingToolsAccess— Permite ações de GroundTruth rotulagem dependentes da Amazon SageMaker AI. O Lookout for Vision usa essas ações para escanear buckets do S3 em busca de imagens, GroundTruth criar arquivos de manifesto e anotar os resultados da tarefa de detecção de testes com rótulos de validação.

  • LookoutVisionConsoleDashboardAccess- Permite a leitura das CloudWatch métricas da Amazon. O Lookout for Vision usa essas ações para preencher os gráficos do painel e as estatísticas detectadas de anomalias.

  • LookoutVisionConsoleTagSelectorAccess: permite a leitura de sugestões de chave e valor de tag específicas da conta. O Lookout for Vision usa essas permissões para fornecer recomendações para chaves e valores de tags nas páginas do console Gerenciar tags.

  • LookoutVisionConsoleKmsKeySelectorAccess— Permite listar AWS Key Management Service (KMS) chaves e aliases. O Amazon Lookout for Vision usa essa permissão para preencher KMS as chaves na seleção de Tags sugeridas em determinadas ações do Lookout for Vision que oferecem suporte a chaves gerenciadas pelo KMS cliente para criptografia. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionFullAccess",
            "Effect": "Allow",
            "Action": [
                "lookoutvision:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleS3BucketSearchAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleS3BucketFirstUseSetupAccess",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketVersioning",
                "s3:PutLifecycleConfiguration",
                "s3:PutEncryptionConfiguration",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": "arn:aws:s3:::lookoutvision-*"
        },
        {
            "Sid": "LookoutVisionConsoleS3BucketAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:GetBucketAcl",
                "s3:GetBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::lookoutvision-*"
        },
        {
            "Sid": "LookoutVisionConsoleS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::lookoutvision-*/*"
        },
        {
            "Sid": "LookoutVisionConsoleDatasetLabelingToolsAccess",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:RunGenerateManifestByCrawlingJob",
                "groundtruthlabeling:AssociatePatchToManifestJob",
                "groundtruthlabeling:DescribeConsoleJob"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleDashboardAccess",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleTagSelectorAccess",
            "Effect": "Allow",
            "Action": [
                "tag:GetTagKeys",
                "tag:GetTagValues"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleKmsKeySelectorAccess",
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases"
            ],
            "Resource": "*"
        }
    ]
}

AWSpolítica gerenciada: AmazonLookoutVisionConsoleReadOnlyAccess

Use a AmazonLookoutVisionConsoleReadOnlyAccess política para permitir que os usuários tenham acesso somente de leitura ao console do Amazon Lookout for Vision, às ações (SDKoperações) e a quaisquer dependências que o serviço tenha.

A política AmazonLookoutVisionConsoleReadOnlyAccess inclui permissões do Amazon S3 para o bucket do console do Amazon Lookout for Vision. Se as imagens do seu conjunto de dados ou os arquivos de manifesto do Amazon SageMaker AI Ground Truth estiverem em um bucket diferente do Amazon S3, seus usuários precisarão de permissões adicionais. Para obter mais informações, consulte Configuração das permissões do bucket do Amazon S3.

É possível anexar a política AmazonLookoutVisionConsoleReadOnlyAccess às suas identidades do IAM.

Agrupamentos de permissões

Essa política é agrupada em declarações com base no conjunto de permissões fornecidas:

  • LookoutVisionReadOnlyAccess: permite o acesso para realizar ações do Lookout for Vision somente para leitura.

  • LookoutVisionConsoleS3BucketSearchAccess: permite a listagem de todos os buckets S3 de propriedade do chamador. O Lookout for Vision usa essa ação para identificar AWS o bucket do console Lookout for Vision específico da região, se houver um na conta do chamador.

  • LookoutVisionConsoleS3ObjectReadAccess: permite ler objetos do Amazon S3 e versões de objetos do Amazon S3 nos buckets do console Lookout for Vision. O Lookout for Vision usa essas ações para exibir as imagens em conjuntos de dados, modelos e detecções de testes.

  • LookoutVisionConsoleDashboardAccess— Permite ler CloudWatch as métricas da Amazon. O Lookout for Vision usa essas ações para preencher as estatísticas dos gráficos do painel e das anomalias detectadas. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "lookoutvision:DescribeDataset",
                "lookoutvision:DescribeModel",
                "lookoutvision:DescribeProject",
                "lookoutvision:DescribeTrialDetection",
                "lookoutvision:DescribeModelPackagingJob",
                "lookoutvision:ListDatasetEntries",
                "lookoutvision:ListModels",
                "lookoutvision:ListProjects",
                "lookoutvision:ListTagsForResource",
                "lookoutvision:ListTrialDetections",
                "lookoutvision:ListModelPackagingJobs"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleS3BucketSearchAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "LookoutVisionConsoleS3ObjectReadAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": "arn:aws:s3:::lookoutvision-*/*"
        },
        {
            "Sid": "LookoutVisionConsoleDashboardAccess",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics"
            ],
            "Resource": "*"
        }
    ]
}

Procure atualizações do Vision for Vision para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Lookout for Vision desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico de documentos do Lookout for Vision.

Alteração Descrição Data

Operações de embalagem do modelo adicionadas

O Amazon Lookout for Vision adicionou o seguinte modelo de operações de empacotamento AmazonLookoutVisionFullAccessàs políticas AmazonLookoutVisionConsoleFullAccesse:

O Amazon Lookout for Vision adicionou o seguinte modelo de operações de empacotamento AmazonLookoutVisionReadOnlyAccessàs políticas AmazonLookoutVisionConsoleReadOnlyAccesse:

7 de dezembro de 2021

Novas políticas adicionadas

O Amazon Lookout for Vision adicionou as seguintes políticas.

11 de maio de 2021

Lookout for Vision começou a monitorar as alterações

O Amazon Lookout for Vision começou a monitorar as mudanças em AWS suas políticas gerenciadas.

 1º de março de 2021