Conceder permissões de operação do SDK Concessão de permissões do Amazon S3 Bucket Como atribuir permissões

Configurar permissões do SDK

Para usar as operações do Amazon Lookout for Vision SDK, você precisa de permissões de acesso à API do Lookout for Vision e ao bucket do Amazon S3 usado para o treinamento do modelo.

Tópicos

Conceder permissões de operação do SDK
Concessão de permissões do Amazon S3 Bucket
Como atribuir permissões

Conceder permissões de operação do SDK

É recomendável conceder apenas as permissões necessárias para executar uma tarefa (permissões de privilégio mínimo). Por exemplo, para ligar DetectAnomalies, você precisa de permissão para executarlookoutvision:DetectAnomalies. Para encontrar as permissões para uma operação, verifique a referência da API.

Quando estiver apenas começando a usar um aplicativo, talvez não saiba as permissões específicas de que precisa, então é possível começar com permissões mais amplas. As políticas gerenciadas pela AWS fornecem permissões para ajudá-lo a começar.

AmazonLookoutVisionFullAccess— permite acesso total às operações do Amazon Lookout for Vision SDK.
AmazonLookoutVisionReadOnlyAccess— permite acesso às operações do SDK somente para leitura.

As políticas gerenciadas do console também fornecem permissões de acesso para operações do SDK. Para ter mais informações, consulte Etapa 2: Configurar permissões.

Para obter informações sobre políticas AWS gerenciadas, consulte as políticas gerenciadas da AWS.

Quando você conhece as permissões de que sua aplicação precisa, reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pelo cliente.

nota

As instruções de introdução exigem permissões s3:PutObject. Para ter mais informações, consulte Etapa 1: criar o arquivo de manifesto e fazer upload de imagens.

Para atribuir permissões, consulte Como atribuir permissões.

Concessão de permissões do Amazon S3 Bucket

Para treinar um modelo, você precisa de um bucket do Amazon S3 com as permissões apropriadas para armazenar as imagens, os arquivos de manifesto e o resultado do treinamento. O bucket deve ser de propriedade da sua conta da AWS e deve estar localizado na região da AWS na qual você está usando o Amazon Lookout for Vision.

As políticas gerenciadas somente pelo SDK (AmazonLookoutVisionFullAccess e AmazonLookoutVisionReadOnlyAccess) não incluem permissões de bucket do Amazon S3 e você precisa aplicar a seguinte política de permissão para acessar os buckets que você usa, incluindo os buckets de console existentes.

As políticas gerenciadas pelo console (AmazonLookoutVisionConsoleFullAccess e AmazonLookoutVisionConsoleReadOnlyAccess) incluem permissões de acesso ao bucket do console. Se você estiver acessando o bucket do console com operações do SDK e tiver permissões de política gerenciada pelo console, não precisará usar a política a seguir. Para ter mais informações, consulte Etapa 2: Configurar permissões.

Decidindo permissões de tarefas

Use as informações a seguir para decidir quais permissões são necessárias para as tarefas que você deseja realizar.

Criar um conjunto de dados

Para criar um conjunto de dados com CreateDataset, você precisa das seguintes permissões.

s3:GetBucketLocation: permite que o Lookout for Vision valide se o bucket está na mesma região em que você está usando o Lookout for Vision.
s3:GetObject: permite acesso ao arquivo de manifesto especificado no parâmetro DatasetSource de entrada. Se quiser especificar uma versão exata do objeto do S3 do arquivo de manifesto, você também precisará do arquivo de manifesto s3:GetObjectVersion. Para obter mais informações, consulte Usando o versionamento em buckets do S3.

Como criar um modelo

Para criar um modelo com CreateModel, você precisa das seguintes permissões.

s3:GetBucketLocation: permite que o Lookout for Vision valide se o bucket está na mesma região em que você está usando o Lookout for Vision.
s3:GetObject: permite o acesso às imagens especificadas nos conjuntos de dados de treinamento e teste do projeto.
s3:PutObject: concede a permissão para armazenar resultados de treinamento no bucket especificado. Você especifica a localização do bucket de saída no parâmetro OutputConfig. Opcionalmente, você pode definir o escopo das permissões somente para as chaves de objeto especificadas no campo Prefix do campo de entrada S3Location. Para obter mais informações, consulte OutputConfig.

Acessando imagens, arquivos de manifesto e resultados de treinamento

As permissões de bucket do Amazon S3 não são necessárias para visualizar as respostas da operação do Amazon Lookout for Vision. Você precisará da permissão s3:GetObject se quiser acessar imagens, arquivos de manifestos e resultados de treinamento referenciados nas respostas da operação. Se você estiver acessando um objeto do Amazon S3 com versionamento, precisará da permissão s3:GetObjectVersion.

Configuração da política de bucket do Amazon S3

Você pode usar a política a seguir para especificar as permissões de bucket do Amazon S3 necessárias para criar um conjunto de dados (CreateDataset), criar um modelo (CreateModel) e acessar imagens, arquivos de manifesto e resultados de treinamento. Altere o valor de my-bucket para o nome do bucket que você deseja usar.

Você pode ajustar a política às suas necessidades. Para ter mais informações, consulte Decidindo permissões de tarefas. Adicione a política ao usuário desejado. Para obter mais informações, consulte Criação de políticas de IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

Para atribuir permissões, consulte Como atribuir permissões.

Como atribuir permissões

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos em AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conceder acesso programático

Chame uma operação do Amazon Lookout for Vision