Identitätsbasierte Amazon-Rekognition-Richtlinien Ressourcenbasierte Amazon-Rekognition-Richtlinien Rollen bei Amazon Rekognition IAM

So funktioniert Amazon Rekognition mit IAM

Bevor Sie IAM die Nutzung zur Verwaltung des Zugriffs auf Amazon Rekognition verwenden, sollten Sie sich darüber im Klaren sein, welche IAM Funktionen für Amazon Rekognition verfügbar sind. Einen umfassenden Überblick darüber, wie Amazon Rekognition und andere AWS Services zusammenarbeitenIAM, finden Sie unter AWS Services That Work with IAM im IAMBenutzerhandbuch.

Themen

Identitätsbasierte Amazon-Rekognition-Richtlinien
Ressourcenbasierte Amazon-Rekognition-Richtlinien
Rollen bei Amazon Rekognition IAM

Identitätsbasierte Amazon-Rekognition-Richtlinien

Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zulässig oder verweigert werden. Amazon Rekognition unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie im IAMBenutzerhandbuch unter IAMJSONPolicy Elements Reference.

Aktionen

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Richtlinienaktionen in Amazon Rekognition verwenden das folgende Präfix vor der Aktion: rekognition:. Um beispielsweise jemandem die Erlaubnis zu erteilen, Objekte, Szenen oder Konzepte in einem Bild mit dem Amazon DetectLabels API Rekognition-Vorgang zu erkennen, nehmen Sie die rekognition:DetectLabels Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Amazon Rekognition definiert eine eigene Gruppe von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:


"Action": [
      "rekognition:action1",
      "rekognition:action2"

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:


"Action": "rekognition:Describe*"

Eine Liste der Amazon Rekognition-Aktionen finden Sie unter Von Amazon Rekognition definierte Aktionen im Benutzerhandbuch. IAM

Ressourcen

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Resource JSON Richtlinienelement gibt das Objekt oder die Objekte an, für die die Aktion gilt. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Es hat sich bewährt, eine Ressource mit ihrem Amazon-Ressourcennamen (ARN) anzugeben. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.


"Resource": "*"

Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.

Um beispielsweise die MyCollection Sammlung in Ihrem Kontoauszug zu spezifizieren, verwenden Sie Folgendes: ARN


"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"

Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):


"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"

Einige Amazon-Rekognition-Aktionen, z. B. das Erstellen von Ressourcen, können für bestimmte Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.


"Resource": "*"

Eine Liste der Amazon Rekognition-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Von Amazon Rekognition definierte Ressourcen im Benutzerhandbuch. IAM Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Von Amazon Rekognition definierte Aktionen.

Bedingungsschlüssel

Amazon Rekognition stellt keine servicespezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel im IAMBenutzerhandbuch.

Ressourcenbasierte Amazon-Rekognition-Richtlinien

Amazon Rekognition unterstützt ressourcenbasierte Richtlinien für Kopiervorgänge des Custom-Labels-Modells. Weitere Informationen finden Sie unter Beispiele für ressourcenbasierte Amazon-Rekognition-Richtlinien.

Andere Services, z. B. Amazon-S3, unterstützen auch ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.

Um auf Bilder zuzugreifen, die in einem Amazon-S3-Bucket gespeichert sind, benötigen Sie eine Zugriffsberechtigung für Objekte im S3-Bucket. Mit dieser Berechtigung kann Amazon Rekognition Bilder aus dem S3-Bucket herunterladen. Die folgende Beispielrichtlinie erlaubt es dem Benutzer, die s3:GetObject-Aktion auf dem S3-Bucket namens Tests3bucket auszuführen.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::Tests3bucket/*"
            ]
        }
    ]
}

Um einen S3-Bucket mit aktivierter Versionsverwaltung zu nutzen, fügen Sie die s3:GetObjectVersion-Aktion wie im nachfolgenden Beispiel gezeigt hinzu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::Tests3bucket/*"
            ]
        }
    ]

Rollen bei Amazon Rekognition IAM

Eine IAMRolle ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.

Verwenden temporärer Anmeldeinformationen mit Amazon Rekognition

Sie können temporäre Anmeldeinformationen verwenden, um sich bei Federation anzumelden, eine IAM Rolle zu übernehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

Amazon Rekognition unterstützt die Verwendung temporärer Anmeldeinformationen.

Service-verknüpfte Rollen

Mit dienstbezogenen Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Amazon Rekognition unterstützt keine serviceverknüpften Rollen.

Servicerollen

Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

Amazon Rekognition unterstützt Servicerollen.

Die Verwendung einer Servicerolle kann zu einem Sicherheitsproblem führen, wenn Amazon Rekognition verwendet wird, um einen anderen Service aufzurufen und auf Ressourcen zu reagieren, auf die dieser keinen Zugriff haben sollte. Um die Sicherheit Ihres Kontos zu gewährleisten, sollten Sie den Zugriff von Amazon Rekognition auf die Ressourcen beschränken, die Sie verwenden. Dies kann erreicht werden, indem Sie Ihrer IAM Servicerolle eine Vertrauensrichtlinie hinzufügen. Weitere Informationen hierzu finden Sie unter Vermeidung des Problems des verwirrten Stellvertreters (dienstübergreifend).

Eine IAM Rolle in Amazon Rekognition auswählen

Wenn Sie Amazon Rekognition für die Analyse von gespeicherten Videos konfigurieren, müssen Sie eine Rolle auswählen, damit Amazon Rekognition in Ihrem Namen auf Amazon SNS zugreifen kann. Wenn Sie zuvor eine Servicerolle oder serviceverknüpfte Rolle erstellt haben, stellt Ihnen Amazon Rekognition eine Liste mit Rollen bereit, aus denen Sie wählen können. Weitere Informationen finden Sie unter Amazon Rekognition Video konfigurieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

AWSverwaltete Richtlinien