Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration d’Étiquettes personnalisées Amazon Rekognition
Les instructions suivantes vous expliquent comment configurer la console Étiquettes personnalisées Amazon Rekognition et le kit SDK.
Notez que vous pouvez utiliser la console Étiquettes personnalisées Amazon Rekognition avec les navigateurs suivants :
+ **Chrome** version 21 ou ultérieure
+ **Firefox** version 27 ou ultérieure
+ **Microsoft Edge** version 88 ou ultérieure
+ **Safari** version 7 ou ultérieure. En outre, vous ne pouvez pas utiliser Safari pour dessiner des cadres de délimitation avec la console Étiquettes personnalisées Amazon Rekognition. Pour plus d’informations, consultez [Étiquetage des objets à l’aide de cadres de délimitation](md-localize-objects.md).
Avant d’utiliser Étiquettes personnalisées Amazon Rekognition pour la première fois, exécutez les tâches suivantes :
**Topics**
+ [Étape 1 : créer un AWS compte](su-account.md)
+ [Étape 2 : Configurer les autorisations d’accès à la console Étiquettes personnalisées Amazon Rekognition](su-console-policy.md)
+ [Étape 3 : Créer le compartiment de la console](su-create-console-bucket.md)
+ [Étape 4 : configurer le AWS CLI et AWS SDKs](su-awscli-sdk.md)
+ [Étape 5 (Facultatif) : Chiffrer les fichiers d’entraînement](su-encrypt-bucket.md)
+ [Étape 6 (Facultatif) : Associer des jeux de données précédents à de nouveaux projets](su-associate-prior-dataset.md)
# Étape 1 : créer un AWS compte
Au cours de cette étape, vous allez créer un AWS compte, créer un utilisateur administratif et apprendre à accorder un accès programmatique au AWS SDK.
**Topics**
+ [Inscrivez-vous pour un Compte AWS](#sign-up-for-aws)
+ [Création d’un utilisateur doté d’un accès administratif](#create-an-admin)
+ [Accès par programmation](#su-sdk-programmatic-access)
## Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
**Pour vous inscrire à un Compte AWS**
1. Ouvrez l'[https://portal.aws.amazon.com/billing/inscription.](https://portal.aws.amazon.com/billing/signup)
1. Suivez les instructions en ligne.
Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un *Utilisateur racine d'un compte AWS*est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les [tâches nécessitant un accès utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à [https://aws.amazon.com/](https://aws.amazon.com/)et en choisissant **Mon compte**.
## Création d’un utilisateur doté d’un accès administratif
Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
**Sécurisez votre Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez [Connexion en tant qu’utilisateur racine](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) dans le *Guide de l’utilisateur Connexion à AWS *.
1. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, consultez la section [Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) dans le guide de l'utilisateur *IAM*.
**Création d’un utilisateur doté d’un accès administratif**
1. Activez IAM Identity Center.
Pour obtenir des instructions, consultez [Activation d’ AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir [Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) dans le *Guide de AWS IAM Identity Center l'utilisateur*.
**Connexion en tant qu’utilisateur doté d’un accès administratif**
+ Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section [Connexion au portail AWS d'accès](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) dans le *guide de l'Connexion à AWS utilisateur*.
**Attribution d’un accès à d’autres utilisateurs**
1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.
Pour obtenir des instructions, consultez [Création d’un ensemble d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
1. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, consultez [Ajout de groupes](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
## Accès par programmation
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/rekognition/latest/customlabels-dg/su-account.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/rekognition/latest/customlabels-dg/su-account.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/rekognition/latest/customlabels-dg/su-account.html) |
# Étape 2 : Configurer les autorisations d’accès à la console Étiquettes personnalisées Amazon Rekognition
Pour utiliser la console Amazon Rekognition, vous devez ajouter les autorisations appropriées. Si vous souhaitez stocker vos fichiers d’entraînement dans un autre compartiment que le [compartiment de la console](su-create-console-bucket.md), vous avez besoin d’autorisations supplémentaires.
**Topics**
+ [Autorisation de l’accès à la console](#su-console-access)
+ [Accès à des compartiments Amazon S3 externes](#su-external-buckets)
+ [Attribution d’autorisations](#su-assign-permissions)
## Autorisation de l’accès à la console
Pour utiliser la console Amazon Rekognition Custom Labels, vous avez besoin de la politique IAM suivante qui couvre Amazon S3 SageMaker , AI Ground Truth et Amazon Rekognition Custom Labels. Pour plus d’informations sur l’attribution d’autorisations, consultez [Attribution d’autorisations](#su-assign-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "s3Policies",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectTagging",
"s3:GetBucketVersioning",
"s3:GetObjectVersionTagging",
"s3:PutBucketCORS",
"s3:PutLifecycleConfiguration",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:PutObjectTagging",
"s3:PutBucketVersioning",
"s3:PutObjectVersionTagging"
],
"Resource": [
"arn:aws:s3:::custom-labels-console-*"
]
},
{
"Sid": "rekognitionPolicies",
"Effect": "Allow",
"Action": [
"rekognition:*"
],
"Resource": "*"
},
{
"Sid": "groundTruthPolicies",
"Effect": "Allow",
"Action": [
"groundtruthlabeling:*"
],
"Resource": "*"
}
]
}
```
------
## Accès à des compartiments Amazon S3 externes
Lorsque vous ouvrez la console Amazon Rekognition Custom Labels pour la première fois dans une nouvelle AWS région, Amazon Rekognition Custom Labels crée un bucket (bucket de console) utilisé pour stocker les fichiers de projet. Vous pouvez également utiliser votre propre compartiment Amazon S3 (compartiment externe) pour télécharger les images ou le fichier manifeste sur la console. Pour utiliser un compartiment externe, ajoutez le bloc de stratégie suivant à la stratégie précédente. Remplacez `amzn-s3-demo-bucket` par le nom du compartiment.
```
{
"Sid": "s3ExternalBucketPolicies",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectTagging",
"s3:ListBucket",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
]
}
```
## Attribution d’autorisations
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
# Étape 3 : Créer le compartiment de la console
Vous utilisez un projet Étiquettes personnalisées Amazon Rekognition pour créer et gérer vos modèles. Lorsque vous ouvrez la console Amazon Rekognition Custom Labels pour la première fois dans une nouvelle AWS région, Amazon Rekognition Custom Labels crée un compartiment Amazon S3 (compartiment de console) pour stocker vos projets. Vous devez noter le nom du compartiment de console à un endroit où vous pourrez vous y référer ultérieurement, car vous devrez peut-être l'utiliser dans les opérations du AWS SDK ou dans les tâches de console, telles que la création d'un ensemble de données.
Le format du nom du compartiment est `custom-labels-console` - ** -**. La valeur aléatoire garantit l’absence de conflit entre les noms de compartiments.
**Pour créer le compartiment de la console**
1. Assurez-vous que l’utilisateur dispose des autorisations adéquates. Pour de plus amples informations, veuillez consulter [Autorisation de l’accès à la console](su-console-policy.md#su-console-access).
1. Connectez-vous à la console Amazon Rekognition AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/rekognition/](https://console.aws.amazon.com/rekognition/)
1. Choisissez **Démarrer**.
1. Si c’est la première fois que vous ouvrez la console dans cette région AWS, procédez comme suit dans la boîte de dialogue **Première configuration** :
1. Copiez le nom du compartiment Amazon S3 qui s’affiche. Vous aurez besoin de ces informations ultérieurement.
1. Choisissez **Créer un compartiment Amazon S3** pour permettre à Étiquettes personnalisées Amazon Rekognition de créer un compartiment Amazon S3 (compartiment de la console) en votre nom.
1. Fermez la fenêtre du navigateur.
# Étape 4 : configurer le AWS CLI et AWS SDKs
Vous pouvez utiliser les étiquettes AWS Command Line Interface personnalisées Amazon Rekognition avec les () et.AWS CLI AWS SDKs Si vous devez exécuter des opérations Étiquettes personnalisées Amazon Rekognition depuis le terminal, installez AWS CLI. Si vous créez une application, téléchargez le AWS SDK correspondant au langage de programmation que vous utilisez.
**Topics**
+ [Installez les AWS SDK](#sdk-install-sdk)
+ [Octroi d’un accès par programmation](su-sdk-programmatic-access.md)
+ [Configuration des autorisations du kit SDK](su-sdk-permissions.md)
+ [Appel d’une opération Étiquettes personnalisées Amazon Rekognition](su-sdk-list-projects.md)
## Installez les AWS SDK
Suivez les étapes pour télécharger et configurer l' AWS SDKs.
**Pour configurer le AWS CLI et le AWS SDKs**
+ Téléchargez et installez le [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)et le AWS SDKs que vous souhaitez utiliser. Ce guide fournit des AWS CLI exemples pour [Java](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup.html) et [Python](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#installation). Pour plus d'informations sur l'installation AWS SDKs, consultez la section [Outils pour Amazon Web Services](https://aws.amazon.com/tools/).
# Octroi d’un accès par programmation
Vous pouvez exécuter les exemples de code AWS CLI et de code présentés dans ce guide sur votre ordinateur local ou dans d'autres AWS environnements, tels qu'une instance Amazon Elastic Compute Cloud. Pour exécuter les exemples, vous devez autoriser l'accès aux opérations du AWS SDK qu'ils utilisent.
**Topics**
+ [Exécuter du code sur votre ordinateur local](#su-sdk-programmatic-access-general)
+ [Exécution de code dans AWS des environnements](#su-sdk-aws-environments)
## Exécuter du code sur votre ordinateur local
Pour exécuter du code sur un ordinateur local, nous vous recommandons d'utiliser des informations d'identification à court terme pour autoriser un utilisateur à accéder aux opérations du AWS SDK. Pour des informations spécifiques sur l'exécution des exemples de code AWS CLI et sur un ordinateur local, consultez[Utiliser un profil sur votre ordinateur local](#su-sdk-programmatic-access-customlabels-examples).
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/rekognition/latest/customlabels-dg/su-sdk-programmatic-access.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/rekognition/latest/customlabels-dg/su-sdk-programmatic-access.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/rekognition/latest/customlabels-dg/su-sdk-programmatic-access.html) |
### Utiliser un profil sur votre ordinateur local
Vous pouvez exécuter les exemples de code AWS CLI et de code présentés dans ce guide à l'aide des informations d'identification à court terme que vous avez créées dans ce guide[Exécuter du code sur votre ordinateur local](#su-sdk-programmatic-access-general). Pour obtenir les informations d’identification et autres informations relatives aux paramètres, les exemples utilisent un profil nommé `custom-labels-access`. Par exemple :
```
session = boto3.Session(profile_name='custom-labels-access')
rekognition_client = session.client("rekognition")
```
L'utilisateur représenté par le profil doit être autorisé à appeler les opérations du SDK Amazon Rekognition Custom Labels AWS et les autres opérations du SDK requises par les exemples. Pour de plus amples informations, veuillez consulter [Configuration des autorisations du kit SDK](su-sdk-permissions.md). Pour attribuer des autorisations, consultez [Configuration des autorisations du kit SDK](su-sdk-permissions.md).
Pour créer un profil qui fonctionne avec les exemples de code AWS CLI et, choisissez l'une des options suivantes. Assurez-vous que le nom du profil que vous créez est `custom-labels-access`.
+ Utilisateurs gérés par IAM : suivez les instructions de la section [Basculer vers un rôle IAM (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html).
+ Identité du personnel (utilisateurs gérés par AWS IAM Identity Center) : suivez les instructions de la [section Configuration de l'interface de ligne de commande AWS à utiliser AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html). Pour les exemples de code, nous recommandons d’utiliser un environnement de développement intégré (IDE), qui prend en charge le kit d’outils AWS permettant l’authentification via IAM Identity Center. Pour les exemples Java, voir [Commencer à créer avec Java](https://aws.amazon.com/developer/language/java/). Pour les exemples Java, voir [Commencer à créer avec Python](https://aws.amazon.com/developer/tools/#IDE_and_IDE_Toolkits). Pour plus d’informations, consultez [informations d’identification du IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html).
**Note**
Vous pouvez utiliser du code pour obtenir des informations d’identification à court terme. Pour plus d’informations, consultez [Basculement vers un rôle IAM (AWS API)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_use_switch-role-api.html). Pour IAM Identity Center, obtenez les informations d’identification à court terme pour un rôle en suivant les instructions de la section [Obtenir les informations d’identification du rôle IAM pour l’accès à la CLI](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html).
## Exécution de code dans AWS des environnements
Vous ne devez pas utiliser les informations d'identification utilisateur pour signer les appels du AWS SDK dans AWS des environnements tels que le code de production exécuté dans une AWS Lambda fonction. Au lieu de cela, configurez un rôle qui définit les autorisations dont votre code a besoin. Vous attachez ensuite le rôle à l’environnement dans lequel votre code s’exécute. La manière dont vous attachez le rôle et mettez à disposition les informations d’identification temporaires varie en fonction de l’environnement dans lequel votre code s’exécute :
+ AWS Lambda function — Utilisez les informations d'identification temporaires que Lambda fournit automatiquement à votre fonction lorsqu'elle assume le rôle d'exécution de la fonction Lambda. Les informations d’identification sont disponibles dans les variables d’environnement Lambda. Vous n’avez pas besoin d’indiquer de profil. Pour plus d’informations, consultez [Rôle d’exécution Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html).
+ Amazon EC2 : utilisez le fournisseur d’informations d’identification du point de terminaison des métadonnées de l’instance Amazon EC2. Le fournisseur génère et actualise automatiquement les informations d’identification pour les rattacher à l’instance Amazon EC2 à l’aide du *profil d’instance* Amazon EC2. Pour plus d’informations, consultez [Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
+ Amazon Elastic Container Service : utilisez le fournisseur d’informations d’identification du conteneur. Amazon ECS envoie et actualise les informations d’identification à un point de terminaison de métadonnées. Un *rôle IAM de tâche* que vous spécifiez fournit une stratégie pour gérer les informations d’identification utilisées par votre application. Pour plus d’informations consultez [Interaction avec les services AWS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html).
Pour plus d’informations sur les fournisseurs d’informations d’identification, consultez la section [Fournisseurs d’informations d’identification standardisés](https://docs.aws.amazon.com/sdkref/latest/guide/standardized-credentials.html).
# Configuration des autorisations du kit SDK
Pour utiliser les opérations du kit SDK Étiquettes personnalisées Amazon Rekognition, vous devez disposer d’autorisations pour accéder à l’API Étiquettes personnalisées Amazon Rekognition et au compartiment Amazon S3 utilisé pour l’entraînement des modèles.
**Topics**
+ [Octroi de droits d’utilisation du kit SDK](#su-grant-sdk-permissions)
+ [Mises à jour des politiques relatives à l'utilisation du AWS SDK](#su-sdk-policy-update)
+ [Attribution d’autorisations](#su-sdk-assign-permissions)
## Octroi de droits d’utilisation du kit SDK
Nous vous recommandons d’accorder uniquement les autorisations nécessaires à l’exécution d’une tâche (autorisations de moindre privilège). Par exemple, pour appeler [DetectCustomLabels](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_DetectCustomLabels.html), vous avez besoin d'une autorisation pour effectuer un appel`rekognition:DetectCustomLabels`. Pour connaître les autorisations relatives à une opération, consultez le [Guide de référence des API](https://docs.aws.amazon.com/rekognition/latest/APIReference/Welcome.html).
Lorsque vous commencez à utiliser une application, il se peut que vous ne connaissiez pas les autorisations spécifiques dont vous avez besoin. C’est pourquoi vous pouvez commencer par des autorisations générales. Les stratégies gérées AWS fournissent les autorisations nécessaires pour vous aider à démarrer. Vous pouvez utiliser la politique `AmazonRekognitionCustomLabelsFullAccess` AWS gérée pour obtenir un accès complet à l'API Amazon Rekognition Custom Labels. Pour plus d'informations, consultez la [politique gérée par AWS : AmazonRekognitionCustomLabelsFullAccess](https://docs.aws.amazon.com/rekognition/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-custom-labels-full-access). Lorsque vous connaissez les autorisations dont votre application a besoin, réduisez les autorisations en définissant des politiques gérées par le client qui sont spécifiques à vos cas d’utilisation. Pour plus d’informations, consultez [Politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies).
Pour attribuer des autorisations, consultez [Attribution d’autorisations](#su-sdk-assign-permissions).
## Mises à jour des politiques relatives à l'utilisation du AWS SDK
Pour utiliser le AWS SDK avec la dernière version d'Amazon Rekognition Custom Labels, vous n'avez plus besoin d'autoriser Amazon Rekognition Custom Labels à accéder au compartiment Amazon S3 qui contient vos images de formation et de test. Si vous avez déjà ajouté des autorisations, vous n’avez pas besoin de les supprimer. Si vous le souhaitez, supprimez du compartiment toute stratégie dont le service pour le principal est `rekognition.amazonaws.com`. Par exemple :
```
"Principal": {
"Service": "rekognition.amazonaws.com"
}
```
Pour plus d’informations, consultez [Utilisation des stratégies de compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
## Attribution d’autorisations
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
# Appel d’une opération Étiquettes personnalisées Amazon Rekognition
Exécutez le code suivant pour vérifier que vous pouvez appeler l’API Étiquettes personnalisées Amazon Rekognition. Le code répertorie les projets de votre AWS compte, dans la AWS région actuelle. Si vous n’avez pas encore créé de projet, la réponse est vide, mais confirme que vous pouvez appeler l’opération `DescribeProjects`.
En général, l’appel d’un exemple de fonction nécessite un client de kit AWS SDK Rekognition et tous les autres paramètres requis. Le client de kit AWS SDK est déclaré dans la fonction principale.
Si le code échoue, vérifiez que l’utilisateur que vous utilisez dispose des autorisations adéquates. Vérifiez également que la AWS région que vous utilisez car les étiquettes personnalisées Amazon Rekognition n'est pas disponible dans toutes les régions. AWS
**Pour appeler une opération Étiquettes personnalisées Amazon Rekognition**
1. Si ce n'est pas déjà fait, installez et configurez le AWS CLI et le AWS SDKs. Pour de plus amples informations, veuillez consulter [Étape 4 : configurer le AWS CLI et AWS SDKs](su-awscli-sdk.md).
1. Utilisez l’exemple de code suivant pour afficher vos projets.
------
#### [ CLI ]
Utilisez la commande `describe-projects` pour répertorier les projets de votre compte.
```
aws rekognition describe-projects \
--profile custom-labels-access
```
------
#### [ Python ]
```
# Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
# SPDX-License-Identifier: Apache-2.0
"""
This example shows how to describe your Amazon Rekognition Custom Labels projects.
If you haven't previously created a project in the current AWS Region,
the response is an empty list, but does confirm that you can call an
Amazon Rekognition Custom Labels operation.
"""
from botocore.exceptions import ClientError
import boto3
def describe_projects(rekognition_client):
"""
Lists information about the projects that are in in your AWS account
and in the current AWS Region.
: param rekognition_client: A Boto3 Rekognition client.
"""
try:
response = rekognition_client.describe_projects()
for project in response["ProjectDescriptions"]:
print("Status: " + project["Status"])
print("ARN: " + project["ProjectArn"])
print()
print("Done!")
except ClientError as err:
print(f"Couldn't describe projects. \n{err}")
raise
def main():
"""
Entrypoint for script.
"""
session = boto3.Session(profile_name='custom-labels-access')
rekognition_client = session.client("rekognition")
describe_projects(rekognition_client)
if __name__ == "__main__":
main()
```
------
#### [ Java V2 ]
```
/*
Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
SPDX-License-Identifier: Apache-2.0
*/
package com.example.rekognition;
import java.util.ArrayList;
import java.util.List;
import java.util.logging.Level;
import java.util.logging.Logger;
import software.amazon.awssdk.auth.credentials.ProfileCredentialsProvider;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.rekognition.RekognitionClient;
import software.amazon.awssdk.services.rekognition.model.DatasetMetadata;
import software.amazon.awssdk.services.rekognition.model.DescribeProjectsRequest;
import software.amazon.awssdk.services.rekognition.model.DescribeProjectsResponse;
import software.amazon.awssdk.services.rekognition.model.ProjectDescription;
import software.amazon.awssdk.services.rekognition.model.RekognitionException;
public class Hello {
public static final Logger logger = Logger.getLogger(Hello.class.getName());
public static void describeMyProjects(RekognitionClient rekClient) {
DescribeProjectsRequest descProjects = null;
// If a single project name is supplied, build projectNames argument
List projectNames = new ArrayList();
descProjects = DescribeProjectsRequest.builder().build();
// Display useful information for each project.
DescribeProjectsResponse resp = rekClient.describeProjects(descProjects);
for (ProjectDescription projectDescription : resp.projectDescriptions()) {
System.out.println("ARN: " + projectDescription.projectArn());
System.out.println("Status: " + projectDescription.statusAsString());
if (projectDescription.hasDatasets()) {
for (DatasetMetadata datasetDescription : projectDescription.datasets()) {
System.out.println("\tdataset Type: " + datasetDescription.datasetTypeAsString());
System.out.println("\tdataset ARN: " + datasetDescription.datasetArn());
System.out.println("\tdataset Status: " + datasetDescription.statusAsString());
}
}
System.out.println();
}
}
public static void main(String[] args) {
try {
// Get the Rekognition client
RekognitionClient rekClient = RekognitionClient.builder()
.credentialsProvider(ProfileCredentialsProvider.create("custom-labels-access"))
.region(Region.US_WEST_2)
.build();
// Describe projects
describeMyProjects(rekClient);
rekClient.close();
} catch (RekognitionException rekError) {
logger.log(Level.SEVERE, "Rekognition client error: {0}", rekError.getMessage());
System.exit(1);
}
}
}
```
------
# Étape 5 (Facultatif) : Chiffrer les fichiers d’entraînement
Vous pouvez choisir l’une des options suivantes pour chiffrer les fichiers manifestes et les fichiers image Étiquettes personnalisées Amazon Rekognition qui se trouvent dans un compartiment de la console ou un compartiment Amazon S3 externe.
+ Utiliser une clé Amazon S3 (SSE-S3).
+ Utilisez votre AWS KMS key.
**Note**
Le [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal%23intro-structure-principal) qui appelle a besoin d’autorisations pour déchiffrer les fichiers. Pour plus d’informations, consultez [Déchiffrer des fichiers chiffrés avec AWS Key Management Service](#su-kms-encryption).
Pour obtenir des informations sur le chiffrement d’un compartiment Amazon S3, consultez [Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html).
## Déchiffrer des fichiers chiffrés avec AWS Key Management Service
Si vous utilisez AWS Key Management Service (KMS) pour chiffrer vos fichiers manifestes et vos fichiers image Amazon Rekognition Custom Labels, ajoutez le responsable IAM qui appelle les étiquettes personnalisées Amazon Rekognition à la politique clé de la clé KMS. Étiquettes personnalisées Amazon Rekognition peut ainsi déchiffrer vos fichiers manifestes et vos fichiers image avant l’entraînement. Pour plus d’informations, consultez la section [Mon compartiment Amazon S3 utilise un chiffrement par défaut avec une clé AWS KMS personnalisée. Comment autoriser des utilisateurs à télécharger depuis et charger vers le compartiment ?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-access-default-encryption/)
Le principal IAM a besoin des autorisations suivantes sur la clé KMS.
+ km : GenerateDataKey
+ kms:Decrypt
Pour plus d’informations, consultez [Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
## Chiffrement de copies d’images d’entraînement et de test
Pour entraîner votre modèle, Étiquettes personnalisées Amazon Rekognition crée une copie de vos images d’entraînement et de test source. Par défaut, les images copiées sont chiffrées au repos à l’aide d’une clé détenue et gérée par AWS. Vous pouvez également choisir d’utiliser votre propre AWS KMS key. Si vous utilisez votre propre clé KMS, vous devez disposer des autorisations suivantes sur la clé KMS.
+ km : CreateGrant
+ km : DescribeKey
Vous pouvez éventuellement spécifier la clé KMS lorsque vous entraînez le modèle avec la console ou lorsque vous appelez l’opération `CreateProjectVersion`. La clé KMS que vous utilisez n’a pas besoin d’être identique à celle que vous utilisez pour chiffrer les fichiers manifestes et les fichiers image de votre compartiment Amazon S3. Pour plus d’informations, consultez [Étape 5 (Facultatif) : Chiffrer les fichiers d’entraînement](#su-encrypt-bucket).
Pour plus d’informations, consultez [Concepts d’AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Vos images source ne sont pas affectées.
Pour plus d’informations sur l’entraînement d’un modèle, consultez [Entraînement d’un modèle Étiquettes personnalisées Amazon Rekognition](training-model.md).
# Étape 6 (Facultatif) : Associer des jeux de données précédents à de nouveaux projets
Étiquettes personnalisées Amazon Rekognition gère désormais l’association de jeux de données à des projets. Les jeux de données que vous avez créés (précédemment) sont en lecture seule et doivent être associés à un projet pour pouvoir être utilisés. Lorsque vous ouvrez la page de détails d’un projet à l’aide de la console, nous associons automatiquement à ce dernier les jeux de données ayant entraîné la dernière version du modèle du projet. L'association automatique d'un ensemble de données à un projet ne se produit pas si vous utilisez le AWS SDK.
Les jeux de données précédents qui ne sont pas associés n’ont jamais été utilisés pour entraîner un modèle ou ont été utilisés pour entraîner une version précédente d’un modèle. La page Jeux de données précédents affiche tous vos jeux de données, associés ou non.
Pour utiliser un jeu de données précédent qui n’est pas associé, vous devez créer un nouveau projet sur la page Jeux de données précédents. Le jeu de données devient le jeu de données d’entraînement du nouveau projet. Vous pouvez également créer un projet pour un jeu de données déjà associé, car les jeux de données précédents peuvent être associés à plusieurs projets.
**Pour associer un jeu de données précédent à un nouveau projet**
1. Ouvrez la console Amazon Rekognition à l'adresse. [https://console.aws.amazon.com/rekognition/](https://console.aws.amazon.com/rekognition/)
1. Dans le volet de gauche, choisissez **Utiliser Custom Labels**. La page d’accueil d’Étiquettes personnalisées Amazon Rekognition s’affiche.
1. Dans le volet de navigation de gauche, sélectionnez **Jeux de données précédents**.
1. Dans la vue Jeux de données, choisissez le jeu de données précédent que vous souhaitez associer à un projet.
1. Choisissez **Créer un projet avec un jeu de données**.
1. Sur la page **Créer un projet**, saisissez un nom pour votre nouveau projet sous **Nom du projet**.
1. Choisissez **Créer un projet** pour créer le projet. La création du projet peut prendre un certain temps.
1. Utilisez le projet. Pour plus d’informations, consultez [Présentation de la fonctionnalité Étiquettes personnalisées Amazon Rekognition](understanding-custom-labels.md).
## Utilisation d’un jeu de données précédent comme jeu de données de test
Vous pouvez utiliser un jeu de données précédent comme jeu de données de test pour un projet existant en associant d’abord le jeu de données précédent à un nouveau projet. Vous copiez ensuite le jeu de données d’entraînement du nouveau projet dans le jeu de données de test du projet existant.
**Pour utiliser un jeu de données précédent comme jeu de données de test**
1. Suivez les instructions de l’[Étape 6 (Facultatif) : Associer des jeux de données précédents à de nouveaux projets](#su-associate-prior-dataset) pour associer le jeu de données précédent à un nouveau projet.
1. Copiez le jeu de données d’entraînement du nouveau projet dans le jeu de données de test du projet existant. Pour plus d’informations, consultez [Copier le contenu d'un ensemble de données existant](md-create-dataset-existing-dataset.md).
1. Suivez les instructions de [Suppression d’un projet Étiquettes personnalisées Amazon Rekognition (console)](mp-delete-project.md#mp-delete-project-console) pour supprimer le nouveau projet.
Vous pouvez également créer le jeu de données de test en utilisant le fichier manifeste du jeu de données précédent. Pour plus d’informations, consultez [Création d’un fichier manifeste](md-create-manifest-file.md).