Amazon Lookout for Vision の AWS 管理ポリシー - Amazon Lookout for Vision

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Lookout for Vision の AWS 管理ポリシー

ユーザー、グループ、ロールに許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象範囲に含めており、AWS アカウントで利用できます。AWSマネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。

さらに、AWS では、複数のサービスにまたがるジョブ機能のためのマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS 管理ポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。あるサービスで新しい機能を立ち上げる場合は、AWS は、追加された演算とリソースに対し、読み取り専用の許可を追加します。職務機能ポリシーのリストと説明については、「IAM ユーザーガイド」の「ジョブ機能の AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AmazonLookoutVisionReadOnlyAccess

以下の Amazon Lookout for Vision アクション (SDK オペレーション) で、Amazon Lookout for Vision (およびその依存関係) に対する読み取り専用アクセスをユーザーに許可する AmazonLookoutVisionReadOnlyAccess ポリシーを使用します。例えば、DescribeModel を使用して、既存のモデルに関する情報を取得します。

読み取り専用アクションを呼び出すために、ユーザーは Amazon S3 バケットのアクセス許可を必要としません。ただし、オペレーションレスポンスには Amazon S3 バケットへの参照が含まれる場合があります。例えば、source-ref からのレスポンス内の ListDatasetEntries エントリは Amazon S3 バケット内の画像への参照です。ユーザーが参照バケットにアクセスする必要がある場合は、Amazon S3 バケットのアクセス許可を追加します。例えば、ユーザーは、source-ref フィールドから参照される画像をダウンロードしたいと思うかも知れません。詳細については、「Amazon S3 バケット許可をセッティングする」を参照してください。

AmazonLookoutVisionReadOnlyAccess ポリシーは IAM ID に添付できます。

許可の詳細

このポリシーには、以下の許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" } ] }

AWS 管理ポリシー: AmazonLookoutVisionFullAccess

以下の Amazon Lookout for Vision アクション (SDK オペレーション) で、Amazon Lookout for Vision (およびその依存関係) に対するフルアクセスをユーザーに許可する AmazonLookoutVisionFullAccess ポリシーを使用します。例えば、Amazon Lookout for Vision コンソールを使用せずにモデルをトレーニングできます。詳細については、「アクション」を参照してください。

データセットの作成 (CreateDataset) またはモデルの作成 (CreateModel) を行うには、データセットイメージ、Amazon SageMaker Ground Truth マニフェストファイル、およびトレーニング出力を保存するAmazon S3バケットへのフルアクセス権限がユーザーに付与されている必要があります。詳細については、「ステップ 3: アクセス許可の設定」を参照してください。

また、AmazonLookoutVisionConsoleFullAccess ポリシーを使用して Amazon Lookout for Vision SDK アクションにアクセス許可を付与することもできます。

AmazonLookoutVisionFullAccess ポリシーは IAM ID に添付できます。

許可の詳細

このポリシーには、以下の許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" } ] }

AWS 管理ポリシー: AmazonLookoutVisionConsoleFullAccess

AmazonLookoutVisionFullAccess ポリシーを使用して、Amazon Lookout for Vision コンソール、アクション (SDK オペレーション)、およびサービスの依存関係へのフルアクセスをユーザーに許可します。詳細については、「Amazon Lookout for Vision の使用を開始する」を参照してください。

LookoutVisionConsoleFullAccess ポリシーには、Amazon Lookout for Vision コンソールバケットに対するアクセス許可が含まれます。コンソールバケットの詳細については、「ステップ 4: コンソールバケットの作成」 を参照してください。データセット、画像、および Amazon SageMaker Ground Truth マニフェストファイルを別の Amazon S3 バケットに格納するには、ユーザーに追加の権限が必要です。詳細については、「Amazon S3 バケット許可をセッティングする」を参照してください。

IAM ID に AmazonLookoutVisionConsoleFullAccess ポリシーをアタッチできます。

アクセス許可グルーピング

このポリシーは、提供された一連のアクセス許可に基づくステートメントごとにグループ化されます。

  • LookoutVisionFullAccess — すべての Lookout for Vision アクションを実行するためのアクセスを許可します。

  • LookoutVisionConsoleS3BucketSearchAccess — 発信者が所有するすべての Amazon S3 バケットのリストを許可します。Lookout for Vision では、このアクションを使用して AWS リージョン固有の Lookout for Vision コンソールバケットが呼び出し元のアカウントに存在する場合、そのバケットを特定します。

  • LookoutVisionConsoleS3BucketFirstUseSetupAccessPermissions — Lookout for Vision コンソールバケットの名前パターンに一致する Amazon S3 バケットの作成と設定を許可します。Lookout for Vision では、これらのアクションを使用して、リージョン固有の Lookout for Vision コンソールバケットが見つからない場合に、Lookout for Vision コンソールバケットを作成および設定します。

  • LookoutVisionConsoleS3BucketAccess — Lookout for Vision コンソールバケット名パターンに一致するバケットに対する依存する Amazon S3 アクションを許可します。Lookout for Vision は、Amazon S3 バケットからデータセットを作成する際と、トライアル検出タスクを開始する際に、s3:ListBucket を使用して画像オブジェクトを検索します。Lookout for Vision は s3:GetBucketLocation s3:GetBucketVersioning を用いて、以下の一環としてバケットの AWS リージョン、所有者、コンフィギュレーションを検証しています。

    • データセットの作成

    • モデルのトレーニング

    • トライアル検出タスクの開始

    • トライアル検出フィードバックの実行

    LookoutVisionConsoleS3ObjectAccess — Lookout for Vision コンソールバケット名パターンに一致するバケット内の Amazon S3 オブジェクトの読み取りと書き込みを許可します。Lookout for Vision では、これらのアクションを使用して、コンソールギャラリービューに画像を表示し、データセットで使用する新しい画像をアップロードします。さらに、これらの権限により、Lookout for Vision は、データセットの作成、モデルのトレーニング、トライアル検出タスクの開始、および試行検出フィードバックの実行中にメタデータを書き出すことができます。

  • LookoutVisionConsoleDatasetLabelingToolsAccess— 依存する Amazon SageMaker GroundTruth ラベリングアクションを許可します。Lookout for Vision は、これらのアクションを使用して S3 バケットをスキャンして画像を検索し、 GroundTruth マニフェストファイルを作成し、試行検出タスクの結果を検証ラベルで注釈付けします。

  • LookoutVisionConsoleDashboardAccess-Amazon CloudWatch メトリクスを読み取ることができます。Lookout for Vision では、これらのアクションを使用して、ダッシュボードのグラフと異常が検出された統計情報を入力します。

  • LookoutVisionConsoleTagSelectorAccess — アカウント固有のタグキーとタグ値の提案の読み取りを許可します。Lookout for Visionは、[Manage tags] (タグ管理) コンソールページでタグキーとタグ値の推奨値を提供するために、これらの許可を使用します。

  • LookoutVisionConsoleKmsKeySelectorAccess — AWS Key Management Service (KMS) のキーとエイリアスのリストアップを可能にします。Amazon Lookout for Vision は、この権限を使用して、暗号化のために顧客が管理する KMS キーをサポートする特定の Lookout for Vision アクションの推奨[Tags] (タグ) の選択で KMS キーを入力することができます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketFirstUseSetupAccess", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketVersioning", "s3:PutLifecycleConfiguration", "s3:PutEncryptionConfiguration", "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketAcl", "s3:GetBucketVersioning" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3ObjectAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDatasetLabelingToolsAccess", "Effect": "Allow", "Action": [ "groundtruthlabeling:RunGenerateManifestByCrawlingJob", "groundtruthlabeling:AssociatePatchToManifestJob", "groundtruthlabeling:DescribeConsoleJob" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleTagSelectorAccess", "Effect": "Allow", "Action": [ "tag:GetTagKeys", "tag:GetTagValues" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleKmsKeySelectorAccess", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" } ] }

AWS 管理ポリシー: AmazonLookoutVisionConsoleReadOnlyAccess

AmazonLookoutVisionConsoleReadOnlyAccess ポリシーを使用して、Amazon Lookout for Vision コンソール、アクション (SDK オペレーション)、およびサービスの依存関係への読み取り専用アクセスをユーザーに許可します。

AmazonLookoutVisionConsoleReadOnlyAccess ポリシーには、Amazon Lookout for Vision コンソールバケットに対する Amazon S3 アクセス許可が含まれます。データセットイメージまたは Amazon SageMaker Ground Truth マニフェストファイルが別の Amazon S3 バケットにある場合、ユーザーに追加の権限が必要です。詳細については、「Amazon S3 バケット許可をセッティングする」を参照してください。

IAM ID に AmazonLookoutVisionConsoleReadOnlyAccess ポリシーをアタッチできます。

アクセス許可グルーピング

このポリシーは、提供された一連のアクセス許可に基づくステートメントごとにグループ化されます。

  • LookoutVisionReadOnlyAccess — Lookout for Vision 読み取り専用アクションを実行するためのアクセスを許可します。

  • LookoutVisionConsoleS3BucketSearchAccess — 発信者が所有するすべての Amazon S3 バケットのリストを許可します。Lookout for Vision では、このアクションを使用して AWS リージョン固有の Lookout for Vision コンソールバケットが発信者のアカウントに存在する場合、そのバケットを特定します。

  • LookoutVisionConsoleS3ObjectReadAccess — Lookout for Vision コンソールバケットで Amazon S3 オブジェクトと Amazon S3 オブジェクトのバージョンを読み込むことができます。Lookout for Vision では、これらのアクションを使用して、データセット、モデル、およびトライアル検出で画像を表示します。

  • LookoutVisionConsoleDashboardAccess— Amazon CloudWatch メトリクスを読み取ることができます。Lookout for Vision では、これらのアクションを使用して、検出されたダッシュボードグラフおよび異常の統計情報を入力します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeTrialDetection", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListTrialDetections", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3ObjectReadAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }

Lookout for Vision AWS 管理ポリシーの更新について

Lookout for Vision の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、Lookout for Visionドキュメント履歴ページの RSS フィードを購読してください。

変更 説明 日付

モデルパッケージング操作が追加されました

Amazon Lookout for Vision は、AmazonLookoutVisionFullAccessAmazonLookoutVisionConsoleFullAccessおよびポリシーに以下のモデルパッケージ操作を追加しました。

Amazon Lookout for Vision は、AmazonLookoutVisionReadOnlyAccessAmazonLookoutVisionConsoleReadOnlyAccessおよびポリシーに以下のモデルパッケージ操作を追加しました。

TBD

新しいポリシーが追加されました

Amazon Lookout for Vision では、以下のポリシーを追加しました。

2021 年 5 月 11 日

Lookout for Vision は変更の追跡を開始しました

Amazon Lookout for Vision が AWS 管理ポリシーの変更のトラッキングを開始しました。

2021 年 3 月 1 日