Otorgar permisos de operaciones del SDK Concesión de permisos de bucket de Amazon S3 Asignación de permisos

Configuración de permisos de SDK

Para utilizar las operaciones SDK de Amazon Lookout for Vision, necesita permisos de acceso a la API de Lookout for Vision y al bucket de Amazon S3 que utiliza para el entrenamiento de modelos.

Temas

Otorgar permisos de operaciones del SDK
Concesión de permisos de bucket de Amazon S3
Asignación de permisos

Otorgar permisos de operaciones del SDK

Se recomienda conceder solo los permisos necesarios para realizar una tarea (permisos de privilegios mínimos). Por ejemplo, para llamar DetectAnomalies, necesita permiso para realizar una llamada. lookoutvision:DetectAnomalies Para buscar los permisos de una operación, consulte la referencia de API.

Cuando esté comenzando con una aplicación, es posible que no conozca los permisos concretos que necesite, por lo que puede empezar con los permisos más amplios. Las políticas administradas de AWS otorgan permisos que le servirán como punto de partida.

AmazonLookoutVisionFullAccess— permite el acceso total a las operaciones del SDK de Amazon Lookout for Vision.
AmazonLookoutVisionReadOnlyAccess— permite el acceso a las operaciones del SDK de solo lectura.

Las políticas administradas de la consola también proporcionan permisos de acceso para las operaciones de SDK. Para obtener más información, consulte Paso 2: configuración de permisos.

Para obtener información sobre las políticas AWS administradas, consulte Políticas administradas por AWS.

Cuando conozca los permisos que necesita su aplicación, cree políticas administradas por el cliente según la finalidad de uso para reducir aún más el número de permisos. Para obtener más información, consulte Políticas administradas por el cliente.

nota

Las instrucciones de introducción requieren permisos s3:PutObject. Para obtener más información, consulte Paso 1: Crear el archivo de manifiesto y cargar las imágenes.

Para asignar permisos, consulte Asignación de permisos.

Concesión de permisos de bucket de Amazon S3

Para entrenar un modelo, necesita un bucket de Amazon S3 con los permisos adecuados para almacenar las imágenes, los archivos de manifiesto y el resultado del entrenamiento. El bucket debe ser propiedad de su cuenta de AWS y debe estar ubicado en la región de AWS en la que utilice Amazon Lookout for Vision.

Las políticas administradas únicamente por el SDK (AmazonLookoutVisionFullAccessyAmazonLookoutVisionReadOnlyAccess) no incluyen los permisos de los buckets de Amazon S3, por lo que debe aplicar la siguiente política de permisos para acceder a los buckets que utiliza, incluidos los buckets de consola existentes.

Las políticas administradas de la consola (AmazonLookoutVisionConsoleFullAccess y AmazonLookoutVisionConsoleReadOnlyAccess) incluyen permisos de acceso al bucket de la consola. Si accede al bucket de consola con operaciones de SDK y tiene permisos de políticas administradas de la consola, no necesita usar la siguiente política. Para obtener más información, consulte Paso 2: configuración de permisos.

Determinación de los permisos de las tareas

Utilice la siguiente información para decidir qué permisos son necesarios para las tareas que desee realizar.

Creación de un conjunto de datos

Para crear un conjunto de datos con CreateDataset, necesita los siguientes permisos.

s3:GetBucketLocation: permite a Lookout for Vision validar que su bucket se encuentra en la misma región en la que utiliza Lookout for Vision.
s3:GetObject: permite el acceso al archivo de manifiesto especificado en el parámetro de entrada DatasetSource. Si quiere especificar una versión exacta de un objeto S3 del archivo de manifiesto, también necesita especificarla s3:GetObjectVersion en el archivo de manifiesto. Para obtener más información, consulte Usar el control de versiones en buckets de S3.

Creación de un modelo

Para crear un modelo con CreateModel, necesita los siguientes permisos.

s3:GetBucketLocation: permite a Lookout for Vision validar que su bucket se encuentra en la misma región en la que utiliza Lookout for Vision.
s3:GetObject: permite el acceso a las imágenes especificadas en los conjuntos de datos de entrenamiento y prueba del proyecto.
s3:PutObject: permite almacenar los resultados del entrenamiento en el bucket especificado. La ubicación del bucket de salida se especifica en el OutputConfig parámetro. Si lo desea, puede aplicar los permisos a solo las claves de objeto especificadas en el campo Prefix del campo de entrada S3Location. Para obtener más información, consulte OutputConfig.

Acceso a imágenes, archivos de manifiesto y resultados de entrenamiento

No se requieren permisos de bucket de Amazon S3 para ver las respuestas de las operaciones de Amazon Lookout for Vision. Sin embargo, sí necesita permiso s3:GetObject si quiere acceder a las imágenes, los archivos de manifiesto y los resultados de entrenamiento a los que se hace referencia en las respuestas de las operaciones. Si está accediendo a un objeto de Amazon S3 versionado, necesita s3:GetObjectVersion permiso.

Configuración de la política del bucket de Amazon S3

Puede usar la siguiente política para especificar los permisos del bucket de Amazon S3 necesarios para crear un conjunto de datos (CreateDataset), crear un modelo (CreateModel) y acceder a imágenes, archivos de manifiesto y resultados de entrenamiento. Cambie el valor de my-bucket por el nombre del bucket que quiere usar.

Puede ajustar la política a sus necesidades. Para obtener más información, consulte Determinación de los permisos de las tareas. Añada la política al usuario deseado. Para obtener más información, consulte Creación de políticas de IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

Para asignar permisos, consulte Asignación de permisos.

Asignación de permisos

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios administrados en IAM a través de un proveedor de identidades:

Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
Usuarios de IAM:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Concesión de acceso programático

Llame a una operación de Amazon Lookout for Vision