ステップ 3: アクセス許可の設定

Amazon Lookout for Visionコンソールや SDK オペレーションを利用する Identity and Access Management (IAM) ユーザーまたはグループには、Lookout for Vision コンソール、SDK オペレーション、モデルトレーニングに使用するAmazon S3 バケットへのアクセス権限が必要です。

注記

Lookout for Vision SDK オペレーションのみを使用する場合は、Lookout for Vision SDK オペレーションの範囲内にあるポリシーを使用できます。詳細については、「SDK 権限の設定」を参照してください。

AWS マネージドポリシーによるコンソールアクセスの設定

以下の AWS マネージドポリシーを使用して、Amazon Lookout for Vision コンソールおよび SDK オペレーションに適切なアクセス許可を適用します。

• AmazonLookoutVisionConsoleFullAccess— Amazon Lookout for Vision コンソールおよび SDK オペレーションへのフルアクセスを許可します。コンソールバケットを作成するための AmazonLookoutVisionConsoleFullAccess アクセス許可が必要です。詳細については、「ステップ 4: コンソールバケットの作成」を参照してください。

• AmazonLookoutVisionConsoleReadOnlyAccess— Amazon Lookout for Vision コンソールおよび SDK オペレーションへの読み取り専用アクセスを許可します。

Lookout for Vision コンソールおよび SDK オペレーションへのアクセスを許可するには、アクセスが必要な IAM ユーザーまたはグループに必要な管理ポリシーを追加します。詳細については、「IAM ユーザーのアクセス許可の変更」を参照してください。

AWS 管理ポリシーの詳細については、「AWS 管理ポリシー」を参照してください。

Amazon S3 バケット許可をセッティングする

Amazon Lookout for Vision では、Amazon S3 バケットを使用して以下のファイルを保存します。

• データセットイメージ — モデルのトレーニングに使用される画像。詳細については、「データセットを作成する」を参照してください。

• Amazon SageMaker Ground Truth 形式のマニフェストファイル。例えば、 SageMaker GroundTruth job からのマニフェストファイル出力などです。詳細については、「Amazon SageMaker Ground Truth マニフェストファイルを使用してデータセットを作成する」を参照してください。

• モデルトレーニングからの出力。

コンソールを使用する場合、Lookout for Vision はプロジェクトを管理するために Amazon S3 バケット (コンソールバケット) を作成します。LookoutVisionConsoleReadOnlyAccess および LookoutVisionConsoleFullAccess 管理ポリシーには、コンソールバケットの Amazon S3 アクセス許可が含まれます。

コンソールバケットを使用して、データセットイメージおよび SageMaker Ground Truth 形式のマニフェストファイルを保存できます。または、別の Amazon S3 バケットを使用できます。バケットは AWS アカウントで所有され、Lookout for Vision を使用している AWS リージョンに配置されている必要があります。

別のバケットを使用するには、目的の IAM ユーザーまたはグループに次のインラインポリシーを追加します。my-bucket を希望するバケットの名前に置き換えます。IAM ポリシー追加の詳細については、「IAM ポリシーの作成」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],            
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ]
        },
        {
            "Sid": "LookoutVisionS3ObjectAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}