Concedendo permissões de SDK operação Concessão de permissões do Amazon S3 Bucket Como atribuir permissões

Configurar SDK permissões

Para usar as operações do Amazon Lookout for SDK Vision, você precisa de permissões de acesso ao Lookout for API Vision e ao bucket do Amazon S3 usado para treinamento de modelos.

Tópicos

Concedendo permissões de SDK operação
Concessão de permissões do Amazon S3 Bucket
Como atribuir permissões

Concedendo permissões de SDK operação

É recomendável conceder apenas as permissões necessárias para executar uma tarefa (permissões de privilégio mínimo). Por exemplo, para ligar DetectAnomalies, você precisa de permissão para executarlookoutvision:DetectAnomalies. Para encontrar as permissões para uma operação, verifique a APIreferência.

Quando estiver apenas começando a usar um aplicativo, talvez não saiba as permissões específicas de que precisa, então é possível começar com permissões mais amplas. As políticas gerenciadas pela AWS fornecem permissões para ajudá-lo a começar.

AmazonLookoutVisionFullAccess— permite acesso total às operações do Amazon Lookout for SDK Vision.
AmazonLookoutVisionReadOnlyAccess— permite acesso às operações somente para leituraSDK.

As políticas gerenciadas do console também fornecem permissões de acesso para SDK operações. Para obter mais informações, consulte Etapa 2: Configurar permissões.

Para obter informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas.

Quando você conhece as permissões de que sua aplicação precisa, reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pelo cliente.

nota

As instruções de introdução exigem permissões s3:PutObject. Para obter mais informações, consulte Etapa 1: criar o arquivo de manifesto e fazer upload de imagens.

Para atribuir permissões, consulte Como atribuir permissões.

Concessão de permissões do Amazon S3 Bucket

Para treinar um modelo, você precisa de um bucket do Amazon S3 com as permissões apropriadas para armazenar as imagens, os arquivos de manifesto e o resultado do treinamento. O bucket deve pertencer à sua AWS conta e estar localizado na AWS região em que você está usando o Amazon Lookout for Vision.

As políticas SDK gerenciadas somente (AmazonLookoutVisionFullAccesseAmazonLookoutVisionReadOnlyAccess) não incluem permissões de bucket do Amazon S3 e você precisa aplicar a seguinte política de permissão para acessar os buckets que você usa, incluindo os buckets de console existentes.

As políticas gerenciadas pelo console (AmazonLookoutVisionConsoleFullAccess e AmazonLookoutVisionConsoleReadOnlyAccess) incluem permissões de acesso ao bucket do console. Se você estiver acessando o bucket do console com SDK operações e tiver permissões de política gerenciada pelo console, não precisará usar a política a seguir. Para obter mais informações, consulte Etapa 2: Configurar permissões.

Decidindo permissões de tarefas

Use as informações a seguir para decidir quais permissões são necessárias para as tarefas que você deseja realizar.

Criar um conjunto de dados

Para criar um conjunto de dados com CreateDataset, você precisa das seguintes permissões.

s3:GetBucketLocation: permite que o Lookout for Vision valide se o bucket está na mesma região em que você está usando o Lookout for Vision.
s3:GetObject: permite acesso ao arquivo de manifesto especificado no parâmetro DatasetSource de entrada. Se quiser especificar uma versão exata do objeto do S3 do arquivo de manifesto, você também precisará do arquivo de manifesto s3:GetObjectVersion. Para obter mais informações, consulte Usando o versionamento em buckets do S3.

Como criar um modelo

Para criar um modelo com CreateModel, você precisa das seguintes permissões.

s3:GetBucketLocation: permite que o Lookout for Vision valide se o bucket está na mesma região em que você está usando o Lookout for Vision.
s3:GetObject: permite o acesso às imagens especificadas nos conjuntos de dados de treinamento e teste do projeto.
s3:PutObject: concede a permissão para armazenar resultados de treinamento no bucket especificado. Você especifica a localização do bucket de saída no parâmetro OutputConfig. Opcionalmente, você pode definir o escopo das permissões somente para as chaves de objeto especificadas no campo Prefix do campo de entrada S3Location. Para obter mais informações, consulte OutputConfig.

Acessando imagens, arquivos de manifesto e resultados de treinamento

As permissões de bucket do Amazon S3 não são necessárias para visualizar as respostas da operação do Amazon Lookout for Vision. Você precisará da permissão s3:GetObject se quiser acessar imagens, arquivos de manifestos e resultados de treinamento referenciados nas respostas da operação. Se você estiver acessando um objeto do Amazon S3 com versionamento, precisará da permissão s3:GetObjectVersion.

Configuração da política de bucket do Amazon S3

Você pode usar a política a seguir para especificar as permissões de bucket do Amazon S3 necessárias para criar um conjunto de dados (CreateDataset), criar um modelo (CreateModel) e acessar imagens, arquivos de manifesto e resultados de treinamento. Alterar o valor de my-bucket para o nome do bucket que você deseja usar.

Você pode ajustar a política às suas necessidades. Para obter mais informações, consulte Decidindo permissões de tarefas. Adicione a política ao usuário desejado. Para obter mais informações, consulte Criação de IAM políticas.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

Para atribuir permissões, consulte Como atribuir permissões.

Como atribuir permissões

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos em AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
Usuários gerenciados IAM por meio de um provedor de identidade:

Crie um perfil para a federação de identidades. Siga as instruções em Criar uma função para um provedor de identidade terceirizado (federação) no Guia IAM do usuário.
IAMusuários:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criar uma função para um IAM usuário no Guia do IAM usuário.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do IAM usuário.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conceder acesso programático

Chame uma operação do Amazon Lookout for Vision