本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊 Rekognition 的托管政策
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略: AmazonRekognitionFullAccess
`AmazonRekognitionFullAccess` 授予对 Amazon Rekognition 资源的完全访问权,包括创建和删除集合。
您可以将 `AmazonRekognitionFullAccess` 策略附加到 IAM 身份。
**权限详细信息**
该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:*"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonRekognitionReadOnlyAccess
`AmazonRekognitionReadOnlyAccess` 授予对 Amazon Rekognition 资源的只读访问权限。
您可以将 `AmazonRekognitionReadOnlyAccess` 策略附加到 IAM 身份。
**权限详细信息**
该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRekognitionReadOnlyAccess",
"Effect": "Allow",
"Action": [
"rekognition:CompareFaces",
"rekognition:DetectFaces",
"rekognition:DetectLabels",
"rekognition:ListCollections",
"rekognition:ListFaces",
"rekognition:SearchFaces",
"rekognition:SearchFacesByImage",
"rekognition:DetectText",
"rekognition:GetCelebrityInfo",
"rekognition:RecognizeCelebrities",
"rekognition:DetectModerationLabels",
"rekognition:GetLabelDetection",
"rekognition:GetFaceDetection",
"rekognition:GetContentModeration",
"rekognition:GetPersonTracking",
"rekognition:GetCelebrityRecognition",
"rekognition:GetFaceSearch",
"rekognition:GetTextDetection",
"rekognition:GetSegmentDetection",
"rekognition:DescribeStreamProcessor",
"rekognition:ListStreamProcessors",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DetectProtectiveEquipment",
"rekognition:ListTagsForResource",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset",
"rekognition:ListProjectPolicies",
"rekognition:ListUsers",
"rekognition:SearchUsers",
"rekognition:SearchUsersByImage",
"rekognition:GetMediaAnalysisJob",
"rekognition:ListMediaAnalysisJobs"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonRekognitionServiceRole
`AmazonRekognitionServiceRole` 允许 Amazon Rekognition 代表您调用 Amazon Kinesis Data Streams 和 Amazon SNS 服务。
您可以将 `AmazonRekognitionServiceRole` 策略附加到 IAM 身份。
如果使用此服务角色,则应将 Amazon Rekognition 的访问范围限制为仅限您正在使用的资源,从而保护您的账户安全。这可以通过将信任策略附加到您的 IAM 服务角色来完成。有关如何执行此操作的信息,请参阅 [Cross-service 混乱的副手预防](cross-service-confused-deputy-prevention.md)。
**权限详细信息**
该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:AmazonRekognition*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "arn:aws:kinesis:*:*:stream/AmazonRekognition*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetMedia"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonRekognitionCustomLabelsFullAccess
本策略适用于 Amazon Rekognition Custom Labels;用户。使用该 AmazonRekognitionCustomLabelsFullAccess 政策允许用户完全访问亚马逊 Rekognition 自定义标签 API,并完全访问由亚马逊 Rekognition 自定义标签控制台创建的主机存储桶。
**权限详细信息**
该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::*custom-labels*"
},
{
"Effect": "Allow",
"Action": [
"rekognition:CopyProjectVersion",
"rekognition:CreateProject",
"rekognition:CreateProjectVersion",
"rekognition:StartProjectVersion",
"rekognition:StopProjectVersion",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DeleteProject",
"rekognition:DeleteProjectVersion",
"rekognition:TagResource",
"rekognition:UntagResource",
"rekognition:ListTagsForResource",
"rekognition:CreateDataset",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset",
"rekognition:UpdateDatasetEntries",
"rekognition:DistributeDatasetEntries",
"rekognition:DeleteDataset",
"rekognition:PutProjectPolicy",
"rekognition:ListProjectPolicies",
"rekognition:DeleteProjectPolicy"
],
"Resource": "*"
}
]
}
```
------
## 亚马逊 Rekognition 更新至 AWS 托管策略
查看自该服务开始跟踪这些更改以来,Amazon Rekognition AWS 托管政策更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon Rekognition 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 涉及媒体分析工作的操作已添加到以下托管式策略中:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess 托管式策略中添加了以下操作:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | 2023 年 10 月 31 日 |
| 涉及管理用户的操作已添加到以下托管式策略中:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess 托管式策略中添加了以下操作:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | 2023 年 6 月 12 日 |
| 针对 ProjectPolicy 和自定义标签模型复制的操作已添加到以下托管策略中:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition 在 AmazonRekognitionCustomLabelsFullAccess 和 AmazonRekognitionFullAccess 托管式策略中添加了以下操作:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | 2022 年 7 月 21 日 |
| 针对 ProjectPolicy 和自定义标签模型复制的操作已添加到以下托管策略中:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition 在 AmazonRekognitionReadOnlyAccess 托管式策略中添加了以下操作:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | 2022 年 7 月 21 日 |
| 以下托管式策略的数据集管理更新:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition 在、和托管策略中添加了以下操作 AmazonRekognitionReadOnlyAccess AmazonRekognitionFullOnlyAccess AmazonRekognitionCustomLabelsFullAccess [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/security-iam-awsmanpol.html) | 2021 年 11 月 1 日 |
| 为 [AWS 托管策略: AmazonRekognitionReadOnlyAccess](#security-iam-awsmanpol-AmazonRekognitionReadOnlyAccess) 和 [AWS 托管策略: AmazonRekognitionFullAccess](#security-iam-awsmanpol-AmazonRekognitionFullAccess) 标记更新 | Amazon Rekognition 在和政策中添加了新的标签操作。 AmazonRekognitionFullAccess AmazonRekognitionReadOnlyAccess | 2021 年 4 月 2 日 |
| Amazon Rekognition 已开始跟踪更改 | 亚马逊 Rekognition 开始跟踪其托管政策的变更。 AWS | 2021 年 4 月 2 日 |