设置 SDK 权限

要使用 Amazon Lookout for Vision SDK 操作，您需要获得 Lookout for Vision API 和用于模型训练的 Amazon S3 桶的访问权限。

主题

授予 SDK 操作权限
授予 Amazon S3 桶权限
分配权限

授予 SDK 操作权限

建议仅授予执行任务所必需的权限（最低权限）。例如，要拨打电话 DetectAnomalies，您需要获得执行权限lookoutvision:DetectAnomalies。要查找操作的权限，请查看 API 参考。

刚开始使用应用程序时，您可能不知道具体需要哪些权限，因此可以从广泛权限入手。 AWS 托管式策略可以提供一些权限来帮助您入门。

AmazonLookoutVisionFullAccess— 允许完全访问亚马逊 Lookout for Vision 软件开发工具包的操作。
AmazonLookoutVisionReadOnlyAccess— 允许访问只读 SDK 操作。

控制台的托管式策略还提供 SDK 操作的访问权限。有关更多信息，请参阅步骤 2：设置权限。

有关 AWS 托管策略的信息，请参阅 AWS 托管策略。

如果知道应用程序所需的权限，则可定义特定于您的使用场景的客户管理型策略，从而进一步减少权限。有关更多信息，请参阅客户管理型策略。

注意

入门说明需要 s3:PutObject 权限。有关更多信息，请参阅步骤 1：创建清单文件并上传图像。

若要分配权限，请参阅分配权限。

授予 Amazon S3 桶权限

要训练模型，您需要具有适当权限的 Amazon S3 桶来存储图像、清单文件和训练输出。桶必须归您的亚马逊云科技账户所有，并且必须位于您使用 Amazon Lookout for Vision 所在的亚马逊云科技区域。

仅限 SDK 的托管式策略（AmazonLookoutVisionFullAccess 和 AmazonLookoutVisionReadOnlyAccess）不包括 Amazon S3 桶权限，您需要应用以下权限策略才能访问所使用的桶，包括现有控制台桶。

控制台托管式策略（AmazonLookoutVisionConsoleFullAccess 和 AmazonLookoutVisionConsoleReadOnlyAccess）包括对控制台桶的访问权限。如果通过 SDK 操作访问控制台桶，并且拥有控制台托管式策略权限，则无需使用以下策略。有关更多信息，请参阅步骤 2：设置权限。

确定任务权限

使用以下信息确定要执行的任务需要哪些权限。

创建数据集

要使用创建数据集 CreateDataset，您需要以下权限。

s3:GetBucketLocation：允许 Lookout for Vision 验证您的桶是否与您使用 Lookout for Vision 所在的区域相同。
s3:GetObject：允许访问 DatasetSource 输入参数中指定的清单文件。如果要指定清单文件的确切 S3 对象版本，则还需要清单文件上的 s3:GetObjectVersion。有关更多信息，请参阅在 S3 桶中使用版本控制。

创建模型

要使用创建模型 CreateModel，您需要以下权限。

s3:GetBucketLocation：允许 Lookout for Vision 验证您的桶是否与您使用 Lookout for Vision 所在的区域相同。
s3:GetObject：允许访问项目训练及测试数据集中指定的图像。
s3:PutObject：给予在指定的桶中存储训练输出的权限。您需要在 OutputConfig 参数中指定输出桶的位置。或者，您可以缩小权限范围，使之仅限 S3Location 的 Prefix 字段中指定的对象键。有关更多信息，请参阅OutputConfig。

访问图像、清单文件和训练输出

无需 Amazon S3 桶权限即可查看 Amazon Lookout for Vision 操作响应。如果要访问操作响应中引用的图像、清单文件和训练输出，则需要 s3:GetObject 权限。如果要访问受版本控制的 Amazon S3 对象，则需要 s3:GetObjectVersion 权限。

设置 Amazon S3 桶策略

您可以使用以下策略来指定所需的 Amazon S3 桶权限，以便创建数据集（CreateDataset）、创建模型（CreateModel）以及访问图像、清单文件和训练输出。将 my-bucket 的值更改为您要使用的桶的名称。

您可以根据自身需求调整策略。有关更多信息，请参阅确定任务权限。将策略添加到所需的用户。有关更多信息，请参阅创建 IAM 策略。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

若要分配权限，请参阅分配权限。

分配权限

要提供访问权限，请为您的用户、组或角色添加权限：

中的用户和群组 AWS IAM Identity Center：

创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
通过身份提供商在 IAM 中托管的用户：

创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色（联合身份验证）的说明进行操作。
IAM 用户：
- 创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
- （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照IAM 用户指南 中向用户添加权限（控制台）中的说明进行操作。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

授予编程式访问权限

调用 Amazon Lookout for Vision 操作