Fonctionnement d’Amazon Rekognition avec IAM - Amazon Rekognition
Politiques basées sur l’identité Amazon RekognitionPolitiques basées sur les ressources Amazon RekognitionRôles IAM Amazon Rekognition

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement d’Amazon Rekognition avec IAM

Avant d’utiliser IAM pour gérer l’accès à Amazon Rekognition, vous devez comprendre quelles sont les fonctionnalités IAM qui peuvent être utilisées avec Amazon Rekognition. Pour obtenir une vue d'ensemble de la manière dont Amazon Rekognition AWS et les autres services fonctionnent avec IAM AWS , consultez la section Services That Work with IAM dans le guide de l'utilisateur IAM.

Politiques basées sur l’identité Amazon Rekognition

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon Rekognition prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, veuillez consulter Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

Actions

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d’actions dans une stratégie afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions de politique dans Amazon Rekognition utilisent le préfixe suivant avant l’action : rekognition:. Par exemple, pour accorder à quelqu’un l’autorisation de détecter des objets, des scènes ou des concepts dans une image avec l’opération d’API DetectLabels Amazon Rekognition, vous incluez l’action rekognition:DetectLabels dans sa stratégie. Les déclarations de politique doivent inclure un élément Action ou NotAction. Amazon Rekognition définit son propre ensemble d’actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": [
      "rekognition:action1",
      "rekognition:action2"

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante :

"Action": "rekognition:Describe*"

Pour afficher la liste des actions Amazon Rekognition, consultez Actions définies par Amazon Rekognition dans le Guide de l’utilisateur IAM.

Ressources

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément de politique JSON Resource indique le ou les objets auxquels l’action s’applique. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.

"Resource": "*"

Pour plus d'informations sur le format de ARNs, consultez Amazon Resource Names (ARNs) et AWS Service Namespaces.

Par exemple, pour spécifier la collection MyCollection dans votre instruction, utilisez l’ARN suivant :

"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"

Pour spécifier toutes les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (*) :

"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"

Certaines actions Amazon Rekognition, telles que celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).

"Resource": "*"

Pour consulter la liste des types de ressources Amazon Rekognition ARNs et leurs caractéristiques, consultez la section Ressources définies par Amazon Rekognition dans le guide de l'utilisateur IAM. Pour savoir les actions avec lesquelles vous pouvez spécifier l’ARN de chaque ressource, consultez Actions définies par Amazon Rekognition.

Clés de condition

Amazon Rekognition ne fournit pas de clés de condition spécifiques au service, mais prend en charge l’utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section Clés contextuelles de condition AWS globale dans le guide de l'utilisateur IAM.

Politiques basées sur les ressources Amazon Rekognition

Amazon Rekognition ne prend en charge que les politiques basées sur les ressources pour la copie des modèles d’étiquettes personnalisées. Pour de plus amples informations, veuillez consulter Exemples de stratégies basées sur les ressources Amazon Rekognition.

D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment.

Pour accéder à des images stockées dans un compartiment Amazon S3, vous devez être autorisé à accéder à l’objet de ce compartiment S3. Grâce à cette autorisation, Amazon Rekognition peut télécharger des images à partir du compartiment S3. L'exemple de politique suivant permet à l'utilisateur d'effectuer l's3:GetObjectaction sur le compartiment S3 nommé amzn-s3-demo-bucket3.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket3/*"
            ]
        }
    ]
}

Pour utiliser un compartiment S3 avec la gestion des versions activée, ajoutez l’action s3:GetObjectVersion, comme indiqué dans l’exemple suivant.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket3/*"
            ]
        }
    ]

Rôles IAM Amazon Rekognition

Un rôle IAM est une entité de votre AWS compte qui possède des autorisations spécifiques.

Utilisation d’informations d’identification temporaires avec Amazon Rekognition

Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que AssumeRoleou GetFederationToken.

Amazon Rekognition prend en charge l’utilisation d’informations d’identification temporaires.

Rôles liés à un service

Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

Amazon Rekognition ne prend pas en charge les fonctions liées à un service.

Fonctions du service

Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

Amazon Rekognition prend en charge les fonctions du service.

L’utilisation d’une fonction du service peut créer un problème de sécurité dans lequel Amazon Rekognition est utilisé pour appeler un autre service et agir sur des ressources auxquelles il ne devrait pas avoir accès. Pour garantir la sécurité de votre compte, vous devez limiter l’accès d’Amazon Rekognition aux seules ressources que vous utilisez. Pour ce faire, attachez une politique de confiance à votre fonction du service IAM. Pour plus d’informations sur la procédure à utiliser, consultez Prévention du problème de l’adjoint confus entre services.

Choix d’un rôle IAM dans Amazon Rekognition

Lorsque vous configurez Amazon Rekognition pour analyser des vidéos stockées, vous devez choisir un rôle pour autoriser Amazon Rekognition à accéder à Amazon SNS en votre nom. Si vous avez déjà créé une fonction du service ou un rôle lié à un service, Amazon Rekognition vous fournit une liste de rôles dans laquelle effectuer votre choix. Pour de plus amples informations, veuillez consulter Configuration de Vidéo Amazon Rekognition.

Exemple : Configuration d'Amazon Rekognition pour accéder aux images d'un compartiment Amazon S3

Voici un exemple de la manière dont vous pouvez configurer Amazon Rekognition pour analyser des images dans un compartiment Amazon S3. Si vous souhaitez utiliser Amazon Rekognition pour analyser des images dans un compartiment Amazon S3, vous devez effectuer les opérations suivantes :

  1. Assurez-vous que votre utilisateur/rôle IAM (le client) est autorisé à appeler les opérations d'API Amazon Rekognition pertinentes (comme, etc.) DetectLabels DetectFaces

    Joignez une politique basée sur l'identité qui accorde les autorisations appropriées pour appeler les opérations d'API souhaitées. Par exemple, pour autoriser votre rôle à appeler DetectLabels etDetectFaces, vous devez associer à votre rôle une politique semblable à celle-ci :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rekognition:DetectLabels",
                "rekognition:DetectFaces"
                // other Rekognition permissions as needed
            ],
            "Resource": "*"
        }
    ]
}

  2. Le service Amazon Rekognition a besoin d'une autorisation pour accéder à votre compartiment Amazon S3. Créez un rôle de service IAM, que vous devrez transmettre à Amazon Rekognition lorsque vous effectuez des appels d'API. Assurez-vous que le rôle de service : fait confiance au principal s3:GetObject du service Amazon Rekognition et dispose d'autorisations pour votre compartiment.

    La politique de confiance peut ressembler à ceci :

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rekognition.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    La politique basée sur l'identité attachée au rôle de service peut ressembler à ceci :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}