适用于 Amazon Rekognition 的 AWS 托管策略 - Amazon Rekognition
AmazonRekognitionFullAccessAmazonRekognitionReadOnlyAccessAmazonRekognitionServiceRoleAmazonRekognitionCustomLabelsFullAccess策略更新

适用于 Amazon Rekognition 的 AWS 托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

AWS 服务负责维护和更新 AWS 托管式策略。您无法更改 AWS 托管式策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,AWS 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 AWS 托管式策略

AWS 托管式策略:AmazonRekognitionAccess

AmazonRekognitionFullAccess 授予对 Amazon Rekognition 资源的完全访问权,包括创建和删除集合。

您可以将 AmazonRekognitionFullAccess 策略附加到 IAM 身份。

权限详细信息

该策略包含以下权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rekognition:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管式策略:AmazonRekognitionReadOnlyAccess

AmazonRekognitionReadOnlyAccess 授予对 Amazon Rekognition 资源的只读访问权限。

您可以将 AmazonRekognitionReadOnlyAccess 策略附加到 IAM 身份。

权限详细信息

该策略包含以下权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonRekognitionReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "rekognition:CompareFaces",
                "rekognition:DetectFaces",
                "rekognition:DetectLabels",
                "rekognition:ListCollections",
                "rekognition:ListFaces",
                "rekognition:SearchFaces",
                "rekognition:SearchFacesByImage",
                "rekognition:DetectText",
                "rekognition:GetCelebrityInfo",
                "rekognition:RecognizeCelebrities",
                "rekognition:DetectModerationLabels",
                "rekognition:GetLabelDetection",
                "rekognition:GetFaceDetection",
                "rekognition:GetContentModeration",
                "rekognition:GetPersonTracking",
                "rekognition:GetCelebrityRecognition",
                "rekognition:GetFaceSearch",
                "rekognition:GetTextDetection",
                "rekognition:GetSegmentDetection",
                "rekognition:DescribeStreamProcessor",
                "rekognition:ListStreamProcessors",
                "rekognition:DescribeProjects",
                "rekognition:DescribeProjectVersions",
                "rekognition:DetectCustomLabels",
                "rekognition:DetectProtectiveEquipment",
                "rekognition:ListTagsForResource",
                "rekognition:ListDatasetEntries",
                "rekognition:ListDatasetLabels",
                "rekognition:DescribeDataset",
                "rekognition:ListProjectPolicies",
                "rekognition:ListUsers",
                "rekognition:SearchUsers",
                "rekognition:SearchUsersByImage",
                "rekognition:GetMediaAnalysisJob",
                "rekognition:ListMediaAnalysisJobs"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管式策略:AmazonRekognitionServiceRole

AmazonRekognitionServiceRole 允许 Amazon Rekognition 代表您调用 Amazon Kinesis Data Streams 和 Amazon SNS 服务。

您可以将 AmazonRekognitionServiceRole 策略附加到 IAM 身份。

如果使用此服务角色,则应将 Amazon Rekognition 的访问范围限制为仅限您正在使用的资源,从而保护您的账户安全。这可以通过将信任策略附加到您的 IAM 服务角色来完成。有关如何执行此操作的信息,请参阅 防止跨服务混淆代理

权限详细信息

该策略包含以下权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:AmazonRekognition*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesis:PutRecord",
                "kinesis:PutRecords"
            ],
            "Resource": "arn:aws:kinesis:*:*:stream/AmazonRekognition*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kinesisvideo:GetDataEndpoint",
                "kinesisvideo:GetMedia"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管式策略:AmazonRekognitionCustomLabelsFullAccess

本策略适用于 Amazon Rekognition Custom Labels;用户。使用 AmazonRekognitionCustomLabelsFullAccess 策略让用户可以完全访问 Amazon Rekognition Custom Labels API,并完全访问由 Amazon Rekognition Custom Labels 控制台创建的控制台存储桶。

权限详细信息

该策略包含以下权限。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectTagging",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::*custom-labels*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "rekognition:CopyProjectVersion",
                "rekognition:CreateProject",
                "rekognition:CreateProjectVersion",
                "rekognition:StartProjectVersion",
                "rekognition:StopProjectVersion",
                "rekognition:DescribeProjects",
                "rekognition:DescribeProjectVersions",
                "rekognition:DetectCustomLabels",
                "rekognition:DeleteProject",
                "rekognition:DeleteProjectVersion",
                "rekognition:TagResource",
                "rekognition:UntagResource",
                "rekognition:ListTagsForResource",
                "rekognition:CreateDataset",
                "rekognition:ListDatasetEntries",
                "rekognition:ListDatasetLabels",
                "rekognition:DescribeDataset",
                "rekognition:UpdateDatasetEntries",
                "rekognition:DistributeDatasetEntries",
                "rekognition:DeleteDataset",
                "rekognition:PutProjectPolicy",
                "rekognition:ListProjectPolicies",
                "rekognition:DeleteProjectPolicy"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管式策略的 Amazon Rekognition 更新

查看自此服务开始跟踪 Amazon Amazon Rekognition 的 AWS 托管策略更新以来这些更改的详细信息。有关此页面更改的自动提示,请订阅 Amazon Rekognition 文档历史记录页面上的 RSS 源。

更改 描述 日期
涉及媒体分析工作的操作已添加到以下托管式策略中:
 Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess 托管式策略中添加了以下操作:

  • GetMediaAnalysisJob

  • ListMediaAnalysisJob

2023 年 10 月 31 日
涉及管理用户的操作已添加到以下托管式策略中:
 Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess 托管式策略中添加了以下操作:

  • ListUsers

  • SearchUsers

  • SearchUsersByImage

2023 年 6 月 12 日
ProjectPolicy 和 Custom Labels Model Copy 的操作已添加到以下托管式策略中:
 Amazon Rekognition 在 AmazonRekognitionCustomLabelsFullAccessAmazonRekognitionFullAccess 托管式策略中添加了以下操作:

  • CopyProjectVersion

  • PutProjectPolicy

  • ListProjectPolicies

  • DeleteProjectPolicy

2022 年 7 月 21 日
ProjectPolicy 和 Custom Labels Model Copy 的操作已添加到以下托管式策略中:
 Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess 托管式策略中添加了以下操作:

  • ListProjectPolicies

 2022 年 7 月 21 日

以下托管式策略的数据集管理更新:

Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess、AmazonRekognitionFullOnlyAccess 和 AmazonRekognitionCustomLabelsFullAccess 托管式策略中添加了以下操作

  • CreateDataset

  • ListDatasetEntries

  • ListDatasetLabels

  • DescribeDataset

  • UpdateDatasetEntries

  • DistributeDatasetEntries

  • DeleteDataset

2021 年 11 月 1 日

AWS 托管式策略:AmazonRekognitionReadOnlyAccessAWS 托管式策略:AmazonRekognitionAccess 标记更新

Amazon Rekognition 在 AmazonRekognitionFullAccess 和 AmazonRekognitionReadOnlyAccess 策略中添加了新的标记操作。

 2021 年 4 月 2 日

Amazon Rekognition 已开始跟踪更改

Amazon Rekognition 为其 AWS 托管式策略开启了跟踪更改。

 2021 年 4 月 2 日