Amazon Lookout for Vision アイデンティティとアクセスのトラブルシューティング

次の情報は、Lookout for Vision と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。

Lookout for Vision でアクションを実行する権限がない

AWS Management Console から、アクションを実行することが認可されていないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。担当の管理者はお客様のユーザー名とパスワードを発行した人です。

以下の例のエラーは、mateojackson IAM ユーザーがコンソールを使用して、プロジェクトの詳細を表示しようとしているが、 lookoutvision:DescribeProject 許可がない場合に発生します。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: lookoutvision:DescribeProject on resource: my-project

この場合、マテオは、lookoutvision:DescribeProject アクションを使用して my-project リソースにアクセスできるように、ポリシーの更新を管理者に依頼します。

以下のサンプルエラーは、marymajor IAM ユーザーが画像の異常を検出しようとしているが、lookoutvision:DetectAnomalies 許可を持っていないという場合に発生します。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: lookoutvision:DetectAnomalies

この場合、メアリーは担当の管理者に lookoutvision:DetectAnomalies アクションを実行できるようにポリシーの更新を依頼します。

アクセスキーを表示したい

IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーを再表示することはできません。シークレットアクセスキーを紛失した場合は、新しいキーペアを作成する必要があります。

アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分から構成されています。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーを安全に管理してください。

重要

正規のユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。提供すると、第三者がアカウントへの永続的なアクセスを取得する場合があります。

アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、IAM ユーザーに新しいアクセスキーを追加する必要があります。アクセスキーは最大 2 つまで持つことができます。既に 2 つある場合は、新しいキーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、「IAM ユーザーガイド」の「アクセスキーの管理」を参照してください。

管理者として Lookout for Vision へのアクセスを他のユーザーに許可したい

Lookout for Vision へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。ユーザーまたはアプリケーションは、このエンティティの認証情報を使用して AWS にアクセスします。次に、Lookout for Vision の適切なアクセス許可を付与するポリシーを、そのエンティティに添付する必要があります

すぐにスタートするには、「IAM ユーザーガイド」の「IAM が委任した初期のユーザーおよびグループの作成」を参照してください。

自分の AWS アカウント以外のユーザーに Lookout for Vision リソースへのアクセスを許可したい

他のアカウントのユーザーや組織外のユーザーが、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定することができます。リソースベースのポリシーまたはアクセス制御リスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。

• Lookout for Vision がこれらの機能をサポートしているかどうかを確認するには、「Amazon Lookout for Vision と IAM との連携について」 を参照してください。

• 所有している AWS アカウント 全体のリソースへのアクセス権を提供する方法については、「IAM ユーザーガイド」の「所有している別の AWS アカウント アカウントへのアクセス権を IAM ユーザーに提供」を参照してください。

• サードパーティーの AWS アカウント にリソースへのアクセス権を提供する方法については、「IAM ユーザーガイド」の「第三者が所有する AWS アカウント へのアクセス権を付与する」を参照してください。

• ID フェデレーションを介してアクセスを提供する方法については、「IAM ユーザーガイド」の「外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可」を参照してください。

• クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、「IAM ユーザーガイド」の「IAM ロールとリソースベースのポリシーとの相違点」を参照してください。