授予编程式访问权限 - Amazon Rekognition
在本地计算机上运行代码在AWS环境中运行代码

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予编程式访问权限

您可以在本地计算机或其他AWS环境(例如 Amazon Elastic Compute Cloud 实例)上运行本指南中的AWS CLI和代码示例。要运行这些示例,您需要授予对示例使用的 AWS SDK 操作的访问权限。

在本地计算机上运行代码

要在本地计算机上运行代码,我们建议您使用短期凭证向用户授予对 AWS SDK 操作的访问权限。有关在本地计算机上运行AWS CLI和代码示例的具体信息,请参阅在本地计算机上使用配置文件

如果用户想在AWS外部进行交互,则需要编程访问权限AWS 管理控制台。授予编程访问权限的方式取决于正在访问的用户类型AWS。

要向用户授予编程式访问权限,请选择以下选项之一。

哪个用户需要编程式访问权限? 目的 方式
IAM (推荐)使用控制台凭证作为临时凭证,签署对AWS CLIAWSSDKs、或的编程请求AWSAPIs。

按照您希望使用的界面的说明进行操作。

  • 有关的AWS CLI,请参阅《AWS Command Line Interface用户指南》中的 “登录AWS本地开发”。

  • 有关信息 AWSSDKs,请参阅《工具参考指南》AWSSDKs 和《工具参考指南》中的 “登录进行AWS本地开发”。

人力身份

(在 IAM Identity Center 中管理的用户)

 使用临时证书签署向AWS CLIAWSSDKs、或发出的编程请求AWSAPIs。

按照您希望使用的界面的说明进行操作。
IAM 使用临时证书签署向AWS CLIAWSSDKs、或发出的编程请求AWSAPIs。 按照 IAM 用户指南中的将临时证书与AWS资源配合使用中的说明进行操作。
IAM

(不推荐使用)

使用长期凭证签署向AWS CLIAWSSDKs、或发出的编程请求AWSAPIs。

按照您希望使用的界面的说明进行操作。

在本地计算机上使用配置文件

您可以使用您在中创建AWS CLI的短期证书运行本指南中的和代码示例在本地计算机上运行代码。为了获取凭证和其他设置信息,这些示例使用名为 profile-name 的配置文件。例如:

session = boto3.Session(profile_name="profile-name")
rekognition_client = session.client("rekognition")

个人资料所代表的用户必须有权调用 Rekognition SDK 操作以及示例所需的AWS其他 SDK 操作。

要创建适用于AWS CLI和代码示例的配置文件,请选择以下选项之一。确保您创建的配置文件的名称为 profile-name

注意

您可以使用代码获取短期凭证。有关更多信息,请参阅切换到 IAM 角色 (AWS API)。对于 IAM Identity Center,请按照获取用于 CLI 访问的 IAM 角色凭证部分的说明操作,获取角色的短期凭证。

在AWS环境中运行代码

您不应使用用户凭据在AWS环境中签署 AWS SDK 调用,例如在AWS Lambda函数中运行的生产代码。相反,您应该配置一个角色来定义代码所需的权限。然后,将该角色附加到运行代码的环境。关于如何附加角色和提供可用的临时凭证,取决于运行代码的环境:

  • AWS Lambda函数 — 使用 Lambda 在您的函数担任 Lambda 函数的执行角色时自动提供给您的函数的临时证书。这些凭证在 Lambda 环境变量中可用。您不需要指定配置文件。有关更多信息,请参阅 Lambda 执行角色

  • 亚马逊 EC2 -使用亚马逊 EC2 实例元数据终端节点凭证提供程序。提供商使用您附加到亚马逊实例的亚马逊 EC2 实例配置文件自动为您生成和刷新证书。 EC2 有关更多信息,请参阅使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限

  • Amazon Elastic Container Service — 使用 Container 凭证提供程序。Amazon ECS 会向元数据端点发送和刷新凭证。您指定的任务 IAM 角色会提供一项策略,用于管理您的应用程序所使用的凭证。有关更多信息,请参阅与 AWS 服务交互

有关凭证提供程序的更多信息,请参阅标准化凭证提供程序