Amazon Lookout for Vision の AWS 管理ポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースでアクセス許可を提供できるように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWS のすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマー管理ポリシーを定義することで、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
AWS 管理ポリシー:AmazonLookoutVisionReadOnlyAccess
以下の Amazon Lookout for Vision アクション (SDK オペレーション) で、Amazon Lookout for Vision (およびその依存関係) に対する読み取り専用アクセスをユーザーに許可する AmazonLookoutVisionReadOnlyAccess ポリシーを使用します。例えば、DescribeModel を使用して、既存のモデルに関する情報を取得します。
読み取り専用アクションを呼び出すために、ユーザーは Amazon S3 バケットのアクセス許可を必要としません。ただし、オペレーションレスポンスには Amazon S3 バケットへの参照が含まれる場合があります。例えば、source-ref からのレスポンス内の ListDatasetEntries エントリは Amazon S3 バケット内の画像への参照です。ユーザーが参照バケットにアクセスする必要がある場合は、Amazon S3 バケットのアクセス許可を追加します。例えば、ユーザーは、source-ref フィールドから参照される画像をダウンロードしたいと思うかも知れません。詳細については、「Amazon S3 バケット権限の付与」を参照してください。
AmazonLookoutVisionReadOnlyAccess ポリシーは IAM ID にアタッチできます。
許可の詳細
このポリシーには、以下の許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" } ] }
AWS 管理ポリシー:AmazonLookoutVisionFullAccess
以下の Amazon Lookout for Vision アクション (SDK オペレーション) で、Amazon Lookout for Vision (およびその依存関係) に対するフルアクセスをユーザーに許可する AmazonLookoutVisionFullAccess ポリシーを使用します。例えば、Amazon Lookout for Vision コンソールを使用せずにモデルをトレーニングできます。詳細については、「アクション」を参照してください。
データセットの作成 (CreateDataset) またはモデルの作成 (CreateModel) を行うには、データセットイメージ、Amazon SageMaker Ground Truth マニフェストファイル、およびトレーニング出力を保存するAmazon S3バケットへのフルアクセス権限がユーザーに付与されている必要があります。詳細については、「ステップ 2: 権限をセットアップする」を参照してください。
また、AmazonLookoutVisionConsoleFullAccess ポリシーを使用して Amazon Lookout for Vision SDK アクションにアクセス許可を付与することもできます。
AmazonLookoutVisionFullAccess ポリシーは IAM ID にアタッチできます。
許可の詳細
このポリシーには、以下の許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" } ] }
AWS 管理ポリシー:AmazonLookoutVisionConsoleFullAccess
AmazonLookoutVisionFullAccess ポリシーを使用して、Amazon Lookout for Vision コンソール、アクション (SDK オペレーション)、およびサービスの依存関係へのフルアクセスをユーザーに許可します。詳細については、「Amazon Lookout for Vision コンソールの開始」を参照してください。
LookoutVisionConsoleFullAccess ポリシーには、Amazon Lookout for Vision コンソールバケットに対するアクセス許可が含まれます。コンソールバケットの詳細については、「ステップ 3: コンソールバケットを作成する」 を参照してください。データセット、画像、および Amazon SageMaker Ground Truth マニフェストファイルを別の Amazon S3 バケットに格納するには、ユーザーに追加のアクセス許可が必要です。詳細については、「Amazon S3 バケット許可をセッティングする」を参照してください。
AmazonLookoutVisionConsoleFullAccess ポリシーは IAM ID にアタッチできます。
アクセス許可のグループ化
このポリシーは、提供された一連のアクセス許可に基づくステートメントごとにグループ化されます。
LookoutVisionFullAccess— すべての Lookout for Vision アクションを実行するためのアクセスを許可します。LookoutVisionConsoleS3BucketSearchAccess— 発信者が所有するすべての Amazon S3 バケットのリストを許可します。Lookout for Vision では、このアクションを使用して AWS リージョン固有の Lookout for Vision コンソールバケットが呼び出し元のアカウントに存在する場合、そのバケットを特定します。LookoutVisionConsoleS3BucketFirstUseSetupAccessPermissions— Lookout for Vision コンソールバケットの名前パターンに一致する Amazon S3 バケットの作成と設定を許可します。Lookout for Vision では、これらのアクションを使用して、リージョン固有の Lookout for Vision コンソールバケットが見つからない場合に、Lookout for Vision コンソールバケットを作成および設定します。LookoutVisionConsoleS3BucketAccess— Lookout for Vision コンソールバケット名パターンに一致するバケットに対する依存する Amazon S3 アクションを許可します。Lookout for Vision は、Amazon S3 バケットからデータセットを作成する際と、トライアル検出タスクを開始する際に、s3:ListBucketを使用して画像オブジェクトを検索します。Lookout for Vision はs3:GetBucketLocationとs3:GetBucketVersioningを用いて、以下の一環としてバケットの AWS リージョン、所有者、コンフィギュレーションを検証しています。データセットの作成
モデルのトレーニング
トライアル検出タスクの開始
トライアル検出フィードバックの実行
LookoutVisionConsoleS3ObjectAccess— Lookout for Vision コンソールバケット名パターンに一致するバケット内の Amazon S3 オブジェクトの読み取りと書き込みを許可します。Lookout for Vision では、これらのアクションを使用して、コンソールギャラリービューに画像を表示し、データセットで使用する新しい画像をアップロードします。さらに、これらの権限により、Lookout for Vision は、データセットの作成、モデルのトレーニング、トライアル検出タスクの開始、および試行検出フィードバックの実行中にメタデータを書き出すことができます。LookoutVisionConsoleDatasetLabelingToolsAccess— 依存する Amazon SageMaker GroundTruth ラベリングアクションを許可します。Lookout for Vision は、これらのアクションを使用して S3 バケットをスキャンして画像を検索し、GroundTruth マニフェストファイルを作成し、試行検出タスクの結果を検証ラベルで注釈付けします。LookoutVisionConsoleDashboardAccess- Amazon CloudWatch メトリクスの読み取りを許可します。Lookout for Vision では、これらのアクションを使用して、ダッシュボードのグラフと異常が検出された統計情報を入力します。LookoutVisionConsoleTagSelectorAccess— アカウント固有のタグキーとタグ値の提案の読み取りを許可します。Lookout for Visionは、「タグを管理」コンソールページでタグキーとタグ値の推奨値を提供するために、これらの許可を使用します。LookoutVisionConsoleKmsKeySelectorAccess— AWS Key Management Service (KMS) のキーとエイリアスのリストアップを可能にします。Amazon Lookout for Vision は、この権限を使用して、暗号化のために顧客が管理する KMS キーをサポートする特定の Lookout for Vision アクションの推奨タグの選択で KMS キーを入力することができます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketFirstUseSetupAccess", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketVersioning", "s3:PutLifecycleConfiguration", "s3:PutEncryptionConfiguration", "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketAcl", "s3:GetBucketVersioning" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3ObjectAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDatasetLabelingToolsAccess", "Effect": "Allow", "Action": [ "groundtruthlabeling:RunGenerateManifestByCrawlingJob", "groundtruthlabeling:AssociatePatchToManifestJob", "groundtruthlabeling:DescribeConsoleJob" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleTagSelectorAccess", "Effect": "Allow", "Action": [ "tag:GetTagKeys", "tag:GetTagValues" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleKmsKeySelectorAccess", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" } ] }
AWS 管理ポリシー:AmazonLookoutVisionConsoleReadOnlyAccess
AmazonLookoutVisionConsoleReadOnlyAccess ポリシーを使用して、Amazon Lookout for Vision コンソール、アクション (SDK オペレーション)、およびサービスの依存関係への読み取り専用アクセスをユーザーに許可します。
AmazonLookoutVisionConsoleReadOnlyAccess ポリシーには、Amazon Lookout for Vision コンソールバケットに対する Amazon S3 アクセス許可が含まれます。データセットイメージまたは Amazon SageMaker Ground Truth マニフェストファイルが別の Amazon S3 バケットにある場合、ユーザーに追加の権限が必要です。詳細については、「Amazon S3 バケット許可をセッティングする」を参照してください。
AmazonLookoutVisionConsoleReadOnlyAccess ポリシーは IAM ID にアタッチできます。
アクセス許可のグループ化
このポリシーは、提供された一連のアクセス許可に基づくステートメントごとにグループ化されます。
LookoutVisionReadOnlyAccess— Lookout for Vision 読み取り専用アクションを実行するためのアクセスを許可します。LookoutVisionConsoleS3BucketSearchAccess— 発信者が所有するすべての Amazon S3 バケットのリストを許可します。Lookout for Vision では、このアクションを使用して AWS リージョン固有の Lookout for Vision コンソールバケットが発信者のアカウントに存在する場合、そのバケットを特定します。LookoutVisionConsoleS3ObjectReadAccess— Lookout for Vision コンソールバケットで Amazon S3 オブジェクトと Amazon S3 オブジェクトのバージョンを読み込むことができます。Lookout for Vision では、これらのアクションを使用して、データセット、モデル、およびトライアル検出で画像を表示します。LookoutVisionConsoleDashboardAccess— Amazon CloudWatch メトリクスの読み取りを許可します。Lookout for Vision では、これらのアクションを使用して、検出されたダッシュボードグラフおよび異常の統計情報を入力します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeTrialDetection", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListTrialDetections", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3ObjectReadAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
Lookout for Vision AWS 管理ポリシーの更新について
Lookout for Vision の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、Lookout for Visionドキュメント履歴ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
|---|---|---|
モデルパッケージングオペレーションが追加されました |
Amazon Lookout for Vision は、AmazonLookoutVisionFullAccess ポリシーとAmazonLookoutvisionConsoleFullAccess ポリシーに以下のモデルパッケージオペレーションを追加しました: Amazon Lookout for Vision は、AmazonLookoutVisionReadOnlyAccess ポリシーとAmazonLookoutVisionConsoleReadOnlyAccess ポリシーに以下のモデルパッケージオペレーションを追加しました: |
2021 年 12 月 7 日 |
新しいポリシーが追加されました |
Amazon Lookout for Vision では、以下のポリシーを追加しました。 |
2021 年 5 月 11 日 |
|
Lookout for Vision は変更の追跡を開始しました |
Amazon Lookout for Vision が AWS 管理ポリシーの変更のトラッキングを開始しました。 |
2021 年 3 月 1 日 |
