Políticas gerenciadas da AWS para o Amazon Lookout for Vision - Amazon Lookout for Vision

Aviso de fim do suporte: em 31 de outubro de 2025, o suporte para o Amazon Lookout for Vision AWS será interrompido. Depois de 31 de outubro de 2025, você não poderá mais acessar o console do Lookout for Vision ou os recursos do Lookout for Vision. Para obter mais informações, visite esta postagem do blog.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas gerenciadas da AWS para o Amazon Lookout for Vision

Uma política gerenciada da AWS é uma política autônoma criada e administrada pela AWS. As políticas gerenciadas da AWS foram projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas gerenciadas da AWS podem não conceder permissões de menor privilégio para seus casos de uso específicos, pois elas estão disponíveis para todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada pela AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política está vinculada. É mais provável que a AWS atualize uma política gerenciada pela AWS quando um novo AWS service (Serviço da AWS) é lançado ou novas operações de API são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

Política gerenciada pela: AmazonLookoutVisionReadOnlyAccess

Use a política AmazonLookoutVisionReadOnlyAccess para permitir que os usuários acessem somente leitura o Amazon Lookout for Vision (e suas dependências) com as seguintes ações do Amazon Lookout for Vision (operações do SDK). Por exemplo, você pode usar DescribeModel para obter informações sobre um modelo existente.

Para chamar ações somente para leitura, os usuários não precisam de permissões de bucket do Amazon S3. No entanto, as respostas da operação podem incluir referências aos buckets do Amazon S3. Por exemplo, a entrada source-ref na resposta de ListDatasetEntries é uma referência a uma imagem em um bucket do Amazon S3. Adicione permissões de bucket do Amazon S3 se seus usuários precisarem acessar os buckets referenciados. Por exemplo, um usuário pode querer baixar uma imagem referenciada por um campo source-ref. Para obter mais informações, consulte Concessão de permissões do Amazon S3 Bucket.

É possível anexar a política AmazonLookoutVisionReadOnlyAccess a suas identidades do IAM.

Detalhes da permissão

Esta política inclui as seguintes permissões.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" } ] }

Política gerenciada pela: AmazonLookoutVisionFullAccess

Use a política AmazonLookoutVisionFullAccess para permitir que os usuários tenham acesso total ao Amazon Lookout for Vision (e suas dependências) com ações do Amazon Lookout for Vision (operações do SDK). Por exemplo, você pode treinar um modelo sem precisar usar o console Amazon Lookout for Vision. Para obter mais informações, consulte Ações.

Para criar um conjunto de dados (CreateDataset) ou criar um modelo (CreateModel), seus usuários devem ter permissões de acesso total ao bucket do Amazon S3 que armazena imagens do conjunto de dados, arquivos de manifesto do Amazon SageMaker Ground Truth e resultados de treinamento. Para obter mais informações, consulte Etapa 2: Configurar permissões.

Você também pode dar permissão às ações do SDK do Amazon Lookout for Vision usando a política AmazonLookoutVisionConsoleFullAccess.

É possível anexar a política AmazonLookoutVisionFullAccess a suas identidades do IAM.

Detalhes da permissão

Esta política inclui as seguintes permissões.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" } ] }

Política gerenciada pela: AmazonLookoutVisionConsoleFullAccess

Use a política AmazonLookoutVisionFullAccess para permitir que os usuários tenham acesso total ao console do Amazon Lookout for Vision, às ações (operações do SDK) e a quaisquer dependências que o serviço tenha. Para obter mais informações, consulte Conceitos básicos do Amazon Lookout for Vision.

A política LookoutVisionConsoleFullAccess inclui permissões para o bucket do console Amazon Lookout for Vision. Para obter informações sobre o bucket do console, consulte Etapa 3: Criar um bucket do console. Para armazenar conjuntos de dados, imagens e arquivos de manifesto do Amazon SageMaker Ground Truth em um bucket diferente do Amazon S3, seus usuários precisam de permissões adicionais. Para obter mais informações, consulte Configuração das permissões do bucket do Amazon S3.

É possível anexar a política AmazonLookoutVisionConsoleFullAccess a suas identidades do IAM.

Agrupamentos de permissões

Essa política é agrupada em declarações com base no conjunto de permissões fornecidas:

  • LookoutVisionFullAccess — Permite o acesso para realizar todas as ações do Lookout for Vision.

  • LookoutVisionConsoleS3BucketSearchAccess — Permite a listagem de todos os buckets do Amazon S3 de propriedade do chamador. O Lookout for Vision usa essa ação para identificar o bucket do console Lookout for Vision específico da região da AWS, se houver um na conta do chamador.

  • LookoutVisionConsoleS3BucketFirstUseSetupAccessPermissions — Permite criar e configurar buckets do Amazon S3 que correspondam ao padrão de nome do bucket do console Lookout for Vision. O Lookout for Vision usa essas ações para criar e configurar um bucket de console Lookout for Vision específico da região quando não consegue encontrar um.

  • LookoutVisionConsoleS3BucketAccess — Permite ações dependentes do Amazon S3 em buckets que correspondam ao padrão de nome de bucket do console Lookout for Vision. O Lookout for Vision é s3:ListBucket usado para pesquisar objetos de imagem ao criar um conjunto de dados a partir de um bucket do Amazon S3 e ao iniciar uma tarefa de detecção experimental. O Lookout for Vision usa s3:GetBucketLocation e s3:GetBucketVersioning para validar a região da AWS, o proprietário e a configuração do bucket como parte do seguinte:

    • Criação de um conjunto de dados

    • Treinamento de um modelo

    • Iniciando uma tarefa de detecção de testes

    • Realizando feedback de detecção de testes

    LookoutVisionConsoleS3ObjectAccess — Permite a leitura e gravação de objetos do Amazon S3 dentro de buckets que correspondem ao padrão de nome de bucket do Lookout for Vision Console. O Lookout for Vision usa essas ações para exibir imagens nas visualizações da galeria do console e fazer upload de novas imagens para uso em conjuntos de dados. Além disso, essas permissões permitem que o Lookout for Vision grave metadados enquanto cria um conjunto de dados, treina um modelo, inicia uma tarefa de detecção de teste e realiza feedback de detecção de teste.

  • LookoutVisionConsoleDatasetLabelingToolsAccess — Permite ações de rotulagem dependentes do Amazon SageMaker GroundTruth. O Lookout for Vision usa essas ações para escanear buckets do S3 em busca de imagens, criar arquivos de manifesto do GroundTruth e anotar os resultados da tarefa de detecção de testes com rótulos de validação.

  • LookoutVisionConsoleDashboardAccess - Permite a leitura das métricas do Amazon CloudWatch. O Lookout for Vision usa essas ações para preencher os gráficos do painel e as estatísticas detectadas de anomalias.

  • LookoutVisionConsoleTagSelectorAccess — Permite a leitura de sugestões de chave e valor de tag específicas da conta. O Lookout for Vision usa essas permissões para fornecer recomendações para chaves e valores de tags nas páginas do console Manage tags.

  • LookoutVisionConsoleKmsKeySelectorAccess — Permite listar chaves e aliases AWS Key Management Service (KMS). O Amazon Lookout for Vision usa essa permissão para preencher as chaves KMS na seleção de Tags sugeridas em determinadas ações do Lookout for Vision que oferecem suporte a chaves KMS gerenciadas pelo cliente para criptografia.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketFirstUseSetupAccess", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketVersioning", "s3:PutLifecycleConfiguration", "s3:PutEncryptionConfiguration", "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketAcl", "s3:GetBucketVersioning" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3ObjectAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDatasetLabelingToolsAccess", "Effect": "Allow", "Action": [ "groundtruthlabeling:RunGenerateManifestByCrawlingJob", "groundtruthlabeling:AssociatePatchToManifestJob", "groundtruthlabeling:DescribeConsoleJob" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleTagSelectorAccess", "Effect": "Allow", "Action": [ "tag:GetTagKeys", "tag:GetTagValues" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleKmsKeySelectorAccess", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" } ] }

Política gerenciada pela: AmazonLookoutVisionConsoleReadOnlyAccess

Use a política AmazonLookoutVisionConsoleReadOnlyAccess para permitir que os usuários tenham acesso somente para leitura ao console do Amazon Lookout for Vision, às ações (operações do SDK) e a quaisquer dependências que o serviço tenha.

A política AmazonLookoutVisionConsoleReadOnlyAccess inclui permissões do Amazon S3 para o bucket do console do Amazon Lookout for Vision. Se as imagens do conjunto de dados ou os arquivos de manifesto do Amazon SageMaker Ground Truth estiverem em um bucket diferente do Amazon S3, seus usuários precisarão de permissões adicionais. Para obter mais informações, consulte Configuração das permissões do bucket do Amazon S3.

É possível anexar a política AmazonLookoutVisionConsoleReadOnlyAccess a suas identidades do IAM.

Agrupamentos de permissões

Essa política é agrupada em declarações com base no conjunto de permissões fornecidas:

  • LookoutVisionReadOnlyAccess — Permite o acesso para realizar ações do Lookout for Vision somente para leitura.

  • LookoutVisionConsoleS3BucketSearchAccess — Permite a listagem de todos os buckets S3 de propriedade do chamador. O Lookout for Vision usa essa ação para identificar o bucket do console Lookout for Vision específico da região da AWS, se houver um na conta do chamador.

  • LookoutVisionConsoleS3ObjectReadAccess — Permite ler objetos do Amazon S3 e versões de objetos do Amazon S3 nos buckets do console Lookout for Vision. O Lookout for Vision usa essas ações para exibir as imagens em conjuntos de dados, modelos e detecções de testes.

  • LookoutVisionConsoleDashboardAccess — Permite ler as métricas do Amazon CloudWatch. O Lookout for Vision usa essas ações para preencher as estatísticas dos gráficos do painel e das anomalias detectadas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeTrialDetection", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListTrialDetections", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3ObjectReadAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }

Fique atento às atualizações do Vision para as políticas gerenciadas da AWS

Veja detalhes sobre as atualizações das políticas gerenciadas da AWS para o Lookout for Vision desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS na página de histórico do documento Lookout for Vision.

Alteração Descrição Data

Operações de embalagem do modelo adicionadas

O Amazon Lookout for Vision adicionou as seguintes operações de empacotamento de modelos às políticas AmazonLookoutVisionFullAccess e AmazonLookoutVisionConsoleFullAccess:

O Amazon Lookout for Vision adicionou as seguintes operações de empacotamento de modelos às políticas AmazonLookoutVisionReadOnlyAccess e AmazonLookoutVisionConsoleReadOnlyAccess:

7 de dezembro de 2021

Novas políticas adicionadas

O Amazon Lookout for Vision adicionou as seguintes políticas.

11 de maio de 2021

Lookout for Vision começou a monitorar as alterações

O Amazon Lookout for Vision começou a rastrear alterações em suas políticas gerenciadas pela AWS.

1º de março de 2021