本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 SDK 权限
<a name="su-sdk-permissions"></a>

要使用 Amazon Rekognition Custom Labels SDK 操作，您需要具有 Amazon Rekognition Custom Labels API 和用于模型训练的 Amazon S3 存储桶的访问权限。

**Topics**
+ [授予 SDK 操作权限](#su-grant-sdk-permissions)
+ [有关使用 AWS SDK 的政策更新](#su-sdk-policy-update)
+ [分配权限](#su-sdk-assign-permissions)

## 授予 SDK 操作权限
<a name="su-grant-sdk-permissions"></a>

建议仅授予执行任务所必需的权限（最低权限）。例如，要拨打电话 [DetectCustomLabels](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_DetectCustomLabels.html)，您需要获得执行权限`rekognition:DetectCustomLabels`。要查找操作的权限，请查看 [API 参考](https://docs.aws.amazon.com/rekognition/latest/APIReference/Welcome.html)。

刚开始使用应用程序时，您可能不知道具体需要哪些权限，因此可以从广泛权限入手。 AWS 托管式策略可以提供一些权限来帮助您入门。您可以使用`AmazonRekognitionCustomLabelsFullAccess` AWS 托管策略来完全访问亚马逊 Rekognition 自定义标签 API。有关更多信息，请参阅 [AWS 托管策略： AmazonRekognitionCustomLabelsFullAccess](https://docs.aws.amazon.com/rekognition/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-custom-labels-full-access)。如果知道应用程序所需的权限，则可定义特定于您的使用场景的客户管理型策略，从而进一步减少权限。有关更多信息，请参阅[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)。

若要分配权限，请参阅[分配权限](#su-sdk-assign-permissions)。

## 有关使用 AWS SDK 的政策更新
<a name="su-sdk-policy-update"></a>

要将 AWS 软件开发工具包与最新版本的 Amazon Rekognition 自定义标签一起使用，您无需再向亚马逊 Rekognition 自定义标签授予访问包含您的训练和测试图像的 Amazon S3 存储桶的权限。如果之前添加了权限，也不需要将其移除。您可以选择从主体的服务为 `rekognition.amazonaws.com` 的存储桶中移除任何策略。例如：

```
"Principal": {
    "Service": "rekognition.amazonaws.com"
}
```

有关更多信息，请参阅[使用存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。

## 分配权限
<a name="su-sdk-assign-permissions"></a>

要提供访问权限，请为您的用户、组或角色添加权限：
+ 中的用户和群组 AWS IAM Identity Center：

  创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户：

  创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色（联合身份验证）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户：
  + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
  + （不推荐使用）将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限（控制台）](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。