AutoUpdate のアクセス権限のセットアップ - Amazon Rekognition
Amazon S3 バケット許可AWS KMS 主要なアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AutoUpdate のアクセス権限のセットアップ

Rekognition はカスタムアダプターの AutoUpdate 機能をサポートしています。したがって、プロジェクトで AutoUpdate フラグが有効になっているときは、自動再トレーニングがベストエフォートで試行されます。これらの自動更新には、トレーニング/テストデータセットにアクセスするためのアクセス許可と、カスタマーアダプターをトレーニングする AWS KMS キーが必要です。これらのアクセス権限は、以下の手順で付与できます。

Amazon S3 バケット許可

デフォルトでは、すべての Amazon S3 バケットとオブジェクトはプライベートです。バケットを作成した AWS アカウントであるリソース所有者のみが、バケットとそれに含まれるオブジェクトにアクセスできます。ただし、リソース所有者は、バケットポリシーを記述することで他のリソースおよびユーザーにアクセス権限を付与できます。

カスタムアダプターのトレーニングで、入力データセットのソースおよびトレーニング結果の宛先として使用する Amazon S3 バケットを作成または変更する場合は、バケットポリシーをさらに変更する必要があります。Amazon S3 バケットの読み取りまたは書き込みを行うには、Rekognition に次のアクセス権限が必要になります。

Rekognition に必要な Amazon S3 ポリシー

Rekognition には、以下の属性を持つアクセス権限ポリシーが必要です。

  • ステートメント SID

  • バケット名

  • Rekognition のサービスプリンシパル名

  • Rekognition に必要なリソース、バケットとそのすべてのコンテンツ

  • Rekognition が取るべき必要なアクション

次のポリシーは、自動再トレーニング中に Rekognition が Amazon S3 バケットにアクセスすることを許可します。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "AllowRekognitionAutoUpdateActions",
            "Principal": {
                "Service": "rekognition.amazonaws.com"
            },
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject",
                "s3:HeadObject",
                "s3:HeadBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

このガイドに従うことで上記のバケットポリシーを S3 バケットに追加できます。

バケットポリシーの詳細については、こちらを参照してください。

AWS KMS 主要なアクセス許可

Rekognition を使用すると、カスタムアダプターのトレーニング中に、オプションの KmsKeyId を指定できます。指定すると、Rekognition は、このキーを使って、モデルトレーニングのためにサービスにコピーされたトレーニングおよびテストイメージを暗号化します。このキーは、出力の Amazon S3 バケット (OutputConfig) に書き込まれたトレーニング結果とマニフェストファイルを暗号化するためにも使用されます。

カスタムアダプタートレーニングへの入力として KMS キーを指定することを選択すると (つまり Rekognition:CreateProjectVersion)、Rekognition サービスプリンシパルが今後このキーを自動再トレーニングに使用できるよう、KMS キーポリシーをさらに変更する必要があります。Rekognition には次のアクセス権限が必要です。

Rekognition に必要な AWS KMS キーポリシー

Amazon Rekognition には、以下の属性を持つアクセス権限ポリシーが必要です。

  • ステートメント SID

  • Amazon Rekognition のサービスプリンシパル名

  • Amazon Rekognition が取るべき必要なアクション

次のキーポリシーは、自動再トレーニング中に Amazon Rekognition が Amazon KMS キーにアクセスすることを許可します。

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "KeyPermissions",
            "Effect": "Allow",
            "Principal": {
                "Service": "rekognition.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

このガイドに従って、上記の AWS KMS ポリシーを AWS KMS キーに追加できます。

AWS KMS ポリシーの詳細については、こちらを参照してください。