SDK 権限の設定 - Amazon Lookout for Vision

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SDK 権限の設定

Amazon Lookout for Vision SDK オペレーションを使用するIdentity and Access Management (IAM) ユーザーまたはグループには、Lookout for Vision API およびモデルトレーニングに使用する Amazon S3 バケットへのアクセス権限が必要です。

AWS 管理ポリシーによる SDK オペレーションアクセスの設定

以下の AWS 管理ポリシーを使用して、Amazon Lookout for Vision コンソールおよび SDK オペレーションに適切なアクセス許可を追加します。

コンソールの管理ポリシーは、SDK オペレーションのアクセス権限も提供します。詳細については、「ステップ 3: アクセス許可の設定」を参照してください。

Lookout for Vision SDK オペレーションへのアクセスを許可するには、アクセスが必要な IAM ユーザーまたはグループに目的の管理ポリシーを追加します。詳細については、「IAM ユーザーのアクセス許可の変更」を参照してください。

AWS 管理ポリシーの詳細については、「AWS 管理ポリシー」を参照してください。

Amazon S3 バケット許可をセッティングする

モデルをトレーニングするには、イメージ、マニフェストファイル、およびトレーニング出力を格納するための適切なアクセス許可を持つ Amazon S3 バケットが必要です。バケットは AWS アカウントによって所有され、Amazon Lookout for Vision を使用している AWS リージョンにある必要があります。

SDK 専用の管理ポリシー (AmazonLookoutVisionFullAccessおよびAmazonLookoutVisionReadOnlyAccess) には Amazon S3 バケットの許可が含まれておらず、既存のコンソールバケットを含む使用するバケットにアクセスするには、以下の許可ポリシーを適用する必要があります。

コンソールの管理ポリシー (AmazonLookoutVisionConsoleFullAccessおよびAmazonLookoutVisionConsoleReadOnlyAccess) はコンソールバケットへのアクセス許可を含めます。SDK オペレーションでコンソールバケットにアクセスしていて、コンソール管理ポリシーのアクセス許可を持っている場合は、次のポリシーを使用する必要はありません。詳細については、「ステップ 3: アクセス許可の設定」を参照してください。

タスク許可の決定

次の情報を使用して、実行するタスクに必要なアクセス許可を決定します。

データセットの作成

でデータセットを作成するにはCreateDataset、以下の権限が必要です。

  • s3:GetBucketLocation — Lookout for Vision により、バケットがLookout for Visionを使用しているのと同じ地域にあることを検証することができます。

  • s3:GetObjectDatasetSource 入力パラメータで指定されたマニフェストファイルへのアクセスを許可します。。マニフェストファイルの S3 オブジェクトのバージョンを正確に指定したい場合は、マニフェストファイル上で s3:GetObjectVersion も必要です。詳細については、「S3 バケットでバージョニングを使用する」を参照してください。

モデルの作成

を使用してモデルを作成するにはCreateModel、次の権限が必要です。

  • s3:GetBucketLocation — Lookout for Vision により、バケットがLookout for Visionを使用しているのと同じ地域にあることを検証することができます。

  • s3:GetObject — プロジェクトのトレーニングデータセットとテストデータセットで指定された画像へのアクセスを許可します。

  • s3:PutObject — 指定したバケットにトレーニング出力を格納するアクセス許可。OutputConfig パラメータで出力バケットの場所を指定します。オプションで、S3Location 入力フィールドの Prefix フィールドで指定されたオブジェクトキーのみに許可を絞り込むことができます。詳細については、「」を参照してくださいOutputConfig

イメージ、マニフェストファイル、およびトレーニング出力へアクセスする

Amazon S3 バケットのアクセス許可は、Amazon Lookout for Vision オペレーションのレスポンスを表示するために必要ありません。操作の応答で参照される画像、マニフェストファイル、トレーニング出力にアクセスする場合は、s3:GetObject 許可が必要です。バージョン管理された Amazon S3 オブジェクトにアクセスする場合は、s3:GetObjectVersion アクセス許可が必要です。

Amazon S3 バケットポリシーをセッティングする

以下のポリシーを使用して、データセットの作成 (CreateDataset)、モデルの作成 (CreateModel)、画像、マニフェストファイル、およびトレーニング出力へのアクセスに必要な Amazon S3 バケットの権限を指定できます。[my-bucket] (マイバケット) の値を使用したいバケットの名前に変更します。

ポリシーは、ニーズに合わせて調整できます。詳細については、「タスク許可の決定」を参照してください。目的の IAM ユーザーまたはロールにポリシーを追加します。IAM ポリシーの作成の詳細については、「IAM ポリシーを作成する」 を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionS3BucketAccess", "Effect": "Allow", "Action": "s3:GetBucketLocation", "Resource": [ "arn:aws:s3:::my-bucket" ], "Condition": { "Bool": { "aws:ViaAWSService": "true" } } }, { "Sid": "LookoutVisionS3ObjectAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::my-bucket/*" ], "Condition": { "Bool": { "aws:ViaAWSService": "true" } } } ] }