本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 步骤 2：设置 Amazon Rekognition Custom Labels 控制台权限
<a name="su-console-policy"></a>

要使用 Amazon Rekognition 控制台，您必须具有相应的权限。如果想将训练文件存储在[控制台存储桶](su-create-console-bucket.md)以外的存储桶中，则需要额外的权限。

**Topics**
+ [允许访问控制台](#su-console-access)
+ [访问外部 Amazon S3 存储桶](#su-external-buckets)
+ [分配权限](#su-assign-permissions)

## 允许访问控制台
<a name="su-console-access"></a>

要使用亚马逊 Rekognition 自定义标签控制台，您需要以下涵盖亚马逊 S3、A SageMaker I Ground Truth 和亚马逊 Rekognition 自定义标签的 IAM 政策。有关分配权限的信息，请参阅[分配权限](#su-assign-permissions)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "s3Policies",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:CreateBucket",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectTagging",
                "s3:GetBucketVersioning",
                "s3:GetObjectVersionTagging",
                "s3:PutBucketCORS",
                "s3:PutLifecycleConfiguration",
                "s3:PutBucketPolicy",
                "s3:PutObject",
                "s3:PutObjectTagging",
                "s3:PutBucketVersioning",
                "s3:PutObjectVersionTagging"
            ],
            "Resource": [
                "arn:aws:s3:::custom-labels-console-*"

            ]
        },
        {
            "Sid": "rekognitionPolicies",
            "Effect": "Allow",
            "Action": [
                "rekognition:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "groundTruthPolicies",
            "Effect": "Allow",
            "Action": [
                "groundtruthlabeling:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 访问外部 Amazon S3 存储桶
<a name="su-external-buckets"></a>

当你首次在新 AWS 区域打开 Amazon Rekognition 自定义标签控制台时，Amazon Rekognition 自定义标签会创建一个用于存储项目文件的存储桶（控制台存储桶）。或者，您可以使用自己的 Amazon S3 存储桶（外部存储桶）将图像或清单文件上传到控制台。要使用外部存储桶，请将以下策略块添加到先前的策略中。将 `amzn-s3-demo-bucket` 替换为存储桶名称。

```
        {
            "Sid": "s3ExternalBucketPolicies",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:GetObjectTagging",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{amzn-s3-demo-bucket}}*"
            ]
        }
```

## 分配权限
<a name="su-assign-permissions"></a>

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组 AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。