AutoUpdate Berechtigungen einrichten - Amazon Rekognition
Amazon S3 Bucket-BerechtigungenAWS KMS Wichtige Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AutoUpdate Berechtigungen einrichten

Rekognition unterstützt die AutoUpdate Funktion für benutzerdefinierte Adapter. Das bedeutet, dass automatische Umschulungen nach bestem Wissen und Gewissen durchgeführt werden, wenn die AutoUpdate Markierung für ein Projekt AKTIVIERT ist. Für diese automatischen Updates ist eine Zugriffsberechtigung auf Ihre Training/Testing Datensätze und der AWS KMS Schlüssel erforderlich, mit dem Sie Ihren Kundenadapter trainieren. Sie können diese Berechtigungen erteilen, indem Sie die folgenden Schritte ausführen.

Amazon S3 Bucket-Berechtigungen

Standardmäßig werden alle Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Besitzer der Ressource, also das AWS Konto, das den Bucket erstellt hat, kann auf den Bucket und alle darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann jedoch anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Bucket-Richtlinie schreibt.

Wenn Sie einen Amazon-S3-Bucket erstellen oder ändern möchten, der als Quelle für Eingabedatensätze und als Ziel für Trainingsergebnisse in einem benutzerdefinierten Adaptertraining verwendet werden soll, müssen Sie die Bucket-Richtlinie weiter ändern. Um aus einem Amazon-S3-Bucket lesen oder in einen Bucket schreiben zu können, muss Rekognition über die folgenden Berechtigungen verfügen.

Amazon-S3-Richtlinie für Rekognition erforderlich

Rekognition erfordert eine Berechtigungsrichtlinie mit den folgenden Attributen:

  • Die Anweisungs-ID (SID)

  • Den Bucket-Namen

  • Den Prinzipal-Namen des Services für Rekognition.

  • Die Ressourcen, die für Rekognition, den Bucket und seinen gesamten Inhalt benötigt werden

  • Die erforderlichen Maßnahmen, die Rekognition ergreifen muss.

Die folgende Richtlinie erlaubt Rekognition den Zugriff auf einen Amazon-S3-Bucket während eines automatisierten Neutrainings.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "AllowRekognitionAutoUpdateActions",
            "Principal": {
                "Service": "rekognition.amazonaws.com"
            },
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:HeadObject",
                "s3:HeadBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Sie können dieser Anleitung folgen, um die oben genannte Bucket-Richtlinie zu Ihrem S3-Bucket hinzuzufügen.

Weitere Informationen zu Bucket-Richtlinien finden Sie hier.

AWS KMS Wichtige Berechtigungen

Rekognition ermöglicht es Ihnen, KmsKeyId während des Trainings einen optionalen Adapter bereitzustellen. Sofern bereitgestellt, verwendet Rekognition diesen Schlüssel, um Trainings- und Testbilder zu verschlüsseln, die für das Modelltraining in den Service kopiert wurden. Der Schlüssel wird auch verwendet, um Trainingsergebnisse und Manifestdateien zu verschlüsseln, die in den Amazon S3 S3-Ausgabe-Bucket (OutputConfig) geschrieben werden.

Wenn Sie sich dafür entscheiden, einen KMS-Schlüssel als Eingabe für Ihr benutzerdefiniertes Adaptertraining (d. h. Rekognition:CreateProjectVersion) bereitzustellen, müssen Sie die KMS-Schlüsselrichtlinie weiter ändern, damit der Rekognition-Service-Prinzipal diesen Schlüssel in Zukunft für automatisiertes Neutraining verwenden kann. Rekognition muss über die folgenden Berechtigungen verfügen.

Schlüsselrichtlinie „Rekognition erforderlich AWS KMS “

Amazon Rekognition erfordert eine Berechtigungsrichtlinie mit den folgenden Attributen:

  • Die Anweisungs-ID (SID)

  • Den Prinzipal-Namen des Services für Amazon Rekognition.

  • Die erforderlichen Maßnahmen, die Amazon Rekognition ergreifen muss.

Die folgende wichtige Richtlinie ermöglicht Amazon Rekognition den Zugriff auf einen Amazon-KMS-Schlüssel während eines automatisierten Neutrainings:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "KeyPermissions",
            "Effect": "Allow",
            "Principal": {
                "Service": "rekognition.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Sie können dieser Anleitung folgen, um die oben genannte AWS KMS Richtlinie zu Ihrem AWS KMS Schlüssel hinzuzufügen.

Weitere Informationen zu den AWS KMS Richtlinien finden Sie hier.