Segurança - Rekognition
Como proteger projetos do Amazon Rekognition Custom LabelsComo proteger DetectCustomLabelsPolíticas gerenciadas pela AWS

Segurança

É possível proteger o gerenciamento de seus projetos, modelos e a operação DetectCustomLabels que seus clientes usam para detectar rótulos personalizados.

Para obter mais informações sobre como proteger o Amazon Rekognition, consulte Amazon Rekognition Security.

Como proteger projetos do Amazon Rekognition Custom Labels

É possível proteger seus projetos do Amazon Rekognition Custom Labels ao especificar as permissões em nível de recurso que são especificadas nas políticas baseadas em identidade. Para obter mais informações, consulte Políticas baseadas em identidade e políticas baseadas em recurso.

Os recursos do Amazon Rekognition Custom Labels que podem ser protegidos são:

Recurso Formato de nome do recurso da Amazon

Projeto

arn:aws:rekognition:*:*:project/project_name/datetime

Modelo

arn:aws:rekognition:*:*:project/project_name/version/name/datetime

O seguinte exemplo de política mostra como conceder permissão a uma identidade:

  • Descreve todos os projetos.

  • Crie, inicie, pare e use um modelo específico para inferência.

  • Crie um projeto. Crie e descreva um modelo específico.

  • Negue a criação de um projeto específico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllResources",
            "Effect": "Allow",
            "Action": "rekognition:DescribeProjects",
            "Resource": "*"
        },
        {
            "Sid": "SpecificProjectVersion",
            "Effect": "Allow",
            "Action": [
                "rekognition:StopProjectVersion",
                "rekognition:StartProjectVersion",
                "rekognition:DetectCustomLabels",
                "rekognition:CreateProjectVersion"
            ],
            "Resource": "arn:aws:rekognition:*:*:project/MyProject/version/MyVersion/*"
       },
        {
            "Sid": "SpecificProject",
            "Effect": "Allow",
            "Action": [
                "rekognition:CreateProject",
                "rekognition:DescribeProjectVersions",
                "rekognition:CreateProjectVersion"
            ],
            "Resource": "arn:aws:rekognition:*:*:project/MyProject/*"
        },
        {
            "Sid": "ExplicitDenyCreateProject",
            "Effect": "Deny",
            "Action": [
                "rekognition:CreateProject"
            ],
            "Resource": ["arn:aws:rekognition:*:*:project/SampleProject/*"]
        }
    ]
}

Como proteger DetectCustomLabels

A identidade usada para detectar etiquetas personalizadas pode ser diferente da identidade que gerencia os modelos do Amazon Rekognition Custom Labels.

É possível proteger o acesso de uma identidade para DetectCustomLabels aplicando uma política à identidade. O seguinte exemplo restringe o acesso a DetectCustomLabels somente a um modelo específico. A identidade não tem acesso a nenhuma das outras operações do Amazon Rekognition. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rekognition:DetectCustomLabels"


            ],
            "Resource": "arn:aws:rekognition:*:*:project/MyProject/version/MyVersion/*"
        }
    ]
}

Políticas gerenciadas pela AWS

Fornecemos o AmazonRekognitionCustomLabelsFullAccess da política gerenciada pela AWS que pode ser usado para controlar o acesso ao Amazon Rekognition Custom Labels. Para obter mais informações, consulte Política gerenciada pela AWS: AmazonRekognitionCustomLabelsFullAccess.