本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon Lookout for Vision 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
亚马逊云科技托管式策略:AmazonLookoutVisionReadOnlyAccess
使用 AmazonLookoutVisionReadOnlyAccess 政策可允许用户通过以下 Amazon Lookout for Vision 操作(SDK 操作),对 Amazon Lookout for Vision(及其依赖项)进行只读访问。例如,您可以使用 DescribeModel 获取有关现有模型的信息。
要调用只读操作,用户不需要 Amazon S3 桶权限。但是,操作响应中可能包含对 Amazon S3 桶的引用。例如,在 ListDatasetEntries 的响应中,source-ref 条目便是引用 Amazon S3 桶中的图像。如果用户需要访问所引用的桶,请添加 Amazon S3 桶权限。例如,用户可能想要下载 source-ref 字段所引用的图像。有关更多信息,请参阅 授予 Amazon S3 桶权限。
您可以将 AmazonLookoutVisionReadOnlyAccess 策略附加得到 IAM 身份。
权限详细信息
此策略包含以下权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" } ] }
亚马逊云科技托管式策略:AmazonLookoutVisionFullAccess
使用 AmazonLookoutVisionFullAccess 政策可允许用户通过 Amazon Lookout for Vision 操作(SDK 操作),完全访问 Amazon Lookout for Vision(及其依赖项)。例如,您无需使用 Amazon Lookout for Vision 控制台即可训练模型。有关更多信息,请参阅操作。
要创建数据集 (CreateDataset) 或创建模型 (CreateModel),用户必须对存储数据集图像、Amazon SageMaker Ground Truth 清单文件和训练输出的 Amazon S3 存储桶拥有完全访问权限。有关更多信息,请参阅 步骤 2:设置权限。
您也可以通过使用 AmazonLookoutVisionConsoleFullAccess 政策,为 Amazon Lookout for Vision SDK 操作赋予权限。
您可以将 AmazonLookoutVisionFullAccess 策略附加得到 IAM 身份。
权限详细信息
此策略包含以下权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" } ] }
亚马逊云科技托管式策略:AmazonLookoutVisionConsoleFullAccess
使用 AmazonLookoutVisionFullAccess 政策可允许用户完全访问 Amazon Lookout for Vision 控制台、操作(SDK 操作),以及该服务具有的任何依赖项。有关更多信息,请参阅 开始使用 Amazon Lookout for Vision。
LookoutVisionConsoleFullAccess 政策中包含了对您的 Amazon Lookout for Vision 控制台桶的权限。有关控制台桶的信息,请参阅步骤 3:创建控制台桶。要将数据集、图像和 Amazon SageMaker Ground Truth 清单文件存储在其他 Amazon S3 桶中,用户需要额外的权限。有关更多信息,请参阅 设置 Amazon S3 桶权限。
您可以将 AmazonLookoutVisionConsoleFullAccess 策略附加得到 IAM 身份。
权限组
此策略根据提供的权限集分为多个语句:
LookoutVisionFullAccess:允许进行访问以执行所有 Lookout for Vision 操作。LookoutVisionConsoleS3BucketSearchAccess:允许列出调用者拥有的所有 Amazon S3 桶。Lookout for Vision 使用此操作来识别亚马逊云科技区域特定的 Lookout for Vision 控制台桶(如果调用者的账户中存在该桶)。LookoutVisionConsoleS3BucketFirstUseSetupAccessPermissions:允许创建和配置与 Lookout for Vision 控制台桶名称模式相匹配的 Amazon S3 桶。Lookout for Vision 在找不到区域特定的 Lookout for Vision 控制台桶时,将会使用这些操作来创建和配置一个这样的桶。LookoutVisionConsoleS3BucketAccess:允许对与 Lookout for Vision 控制台桶名称模式相匹配的 Amazon S3 桶执行依赖性 Amazon S3 操作。当从 Amazon S3 桶中创建数据集,以及当启动试用检测任务时,Lookout for Vision 使用s3:ListBucket来搜索图像对象。作为以下操作的组成部分,Lookout for Vision 会使用s3:GetBucketLocation和s3:GetBucketVersioning来验证桶 AWS 区域、所有者和配置:创建数据集
训练模型
启动试用检测任务
执行试用检测反馈
LookoutVisionConsoleS3ObjectAccess:允许在与 Lookout for Vision 控制台桶名称模式相匹配的桶中,读取和写入 Amazon S3 对象。Lookout for Vision 使用这些操作在控制台图库视图中显示图像,并上传用于数据集的新图像。此外,这些权限还允许 Lookout for Vision 在创建数据集、训练模型、启动试用检测任务和执行试用检测反馈时写出元数据。LookoutVisionConsoleDatasetLabelingToolsAccess:允许执行依赖性 Amazon SageMaker GroundTruth 标注操作。Lookout for Vision 使用这些操作来扫描 S3 桶中的图像,创建 GroundTruth 清单文件,并且用验证标签来注释试用检测任务结果。LookoutVisionConsoleDashboardAccess:允许读取 Amazon CloudWatch 指标。Lookout for Vision 使用这些操作来填充控制面板图形和检测到的异常的统计数据。LookoutVisionConsoleTagSelectorAccess:允许读取账户特定的标签键和标签值建议。Lookout for Vision 使用这些权限在管理标签控制台页面中为标签键和标签值提供建议。LookoutVisionConsoleKmsKeySelectorAccess:允许列出 AWS Key Management Service (KMS) 密钥和别名。Amazon Lookout for Vision 使用此权限,针对某些 Lookout for Vision 操作(支持使用客户管理的 KMS 密钥进行加密),在建议的标签选择中填充 KMS 密钥。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionFullAccess", "Effect": "Allow", "Action": [ "lookoutvision:*" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketFirstUseSetupAccess", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketVersioning", "s3:PutLifecycleConfiguration", "s3:PutEncryptionConfiguration", "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketAcl", "s3:GetBucketVersioning" ], "Resource": "arn:aws:s3:::lookoutvision-*" }, { "Sid": "LookoutVisionConsoleS3ObjectAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDatasetLabelingToolsAccess", "Effect": "Allow", "Action": [ "groundtruthlabeling:RunGenerateManifestByCrawlingJob", "groundtruthlabeling:AssociatePatchToManifestJob", "groundtruthlabeling:DescribeConsoleJob" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleTagSelectorAccess", "Effect": "Allow", "Action": [ "tag:GetTagKeys", "tag:GetTagValues" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleKmsKeySelectorAccess", "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" } ] }
亚马逊云科技托管式策略:AmazonLookoutVisionConsoleReadOnlyAccess
使用 AmazonLookoutVisionConsoleReadOnlyAccess 政策可允许用户以只读方式访问 Amazon Lookout for Vision 控制台、操作(SDK 操作),以及该服务具有的任何依赖项。
AmazonLookoutVisionConsoleReadOnlyAccess 政策中包含了对 Amazon Lookout for Vision 控制台桶的 Amazon S3 权限。如果数据集图像和 Amazon SageMaker Ground Truth 清单文件位于其他 Amazon S3 桶中,则用户需要额外的权限。有关更多信息,请参阅 设置 Amazon S3 桶权限。
您可以将 AmazonLookoutVisionConsoleReadOnlyAccess 策略附加得到 IAM 身份。
权限组
此策略根据提供的权限集分为多个语句:
LookoutVisionReadOnlyAccess:允许进行访问以执行只读 Lookout for Vision 操作。LookoutVisionConsoleS3BucketSearchAccess:允许列出调用者拥有的所有 S3 桶。Lookout for Vision 使用此操作来识别亚马逊云科技区域特定的 Lookout for Vision 控制台桶(如果调用者的账户中有)。LookoutVisionConsoleS3ObjectReadAccess:允许读取 Lookout for Vision 控制台桶中的 Amazon S3 对象和 Amazon S3 对象版本。Lookout for Vision 使用这些操作来显示数据集、模型和试用检测中的图像。LookoutVisionConsoleDashboardAccess:允许读取 Amazon CloudWatch 指标。Lookout for Vision 使用这些操作来为控制面板图形和检测到的异常填充统计数据。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LookoutVisionReadOnlyAccess", "Effect": "Allow", "Action": [ "lookoutvision:DescribeDataset", "lookoutvision:DescribeModel", "lookoutvision:DescribeProject", "lookoutvision:DescribeTrialDetection", "lookoutvision:DescribeModelPackagingJob", "lookoutvision:ListDatasetEntries", "lookoutvision:ListModels", "lookoutvision:ListProjects", "lookoutvision:ListTagsForResource", "lookoutvision:ListTrialDetections", "lookoutvision:ListModelPackagingJobs" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3BucketSearchAccess", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "LookoutVisionConsoleS3ObjectReadAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": "arn:aws:s3:::lookoutvision-*/*" }, { "Sid": "LookoutVisionConsoleDashboardAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
Lookout for Vision 对 AWS 托管式策略的更新
查看自 Lookout for Vision 开始跟踪更改以来,适用于该服务的 AWS 托管式策略的更新详细信息。如需自动提醒此页面发生的更改,请订阅 Lookout for Vision 文档历史记录页面上的 RSS 源。
| 更改 | 说明 | 日期 |
|---|---|---|
添加了模型打包操作 |
Amazon Lookout for Vision 向 AmazonLookoutVisionFullAccess 和 AmazonLookoutVisionConsoleFullAccess 策略中添加了以下模型打包操作: Amazon Lookout for Vision 向 AmazonLookoutVisionReadOnlyAccess 和 AmazonLookoutVisionConsoleReadOnlyAccess 策略中添加了以下模型打包操作: |
2021 年 12 月 7 日 |
添加了新策略 |
Amazon Lookout for Vision 添加了以下策略。 |
2021 年 5 月 11 日 |
|
Lookout for Vision 开始跟踪更改 |
Amazon Lookout for Vision 开始跟踪其 AWS 托管式策略的更改。 |
2021 年 3 月 1 日 |
